ISO/IEC29151标准使用、保留和披露限制

目标

为了具体的，明确的和合法的目的限制PII的使用和披露，保留的PII不能超过实现所述目的或遵守适用的法律。

组织应采取适当措施限制PII的处理，以用于合法目的和预期目的，并且仅在必要时保留PII,实现所述目的或遵守适用法律。

a）将PII的使用，保留和披露（包括转让）限制在为实现特定，明确和合法目的的必要的范围内；

b）配置其信息系统，以记录：收集，创建、更新PII的日期、何时将PII删除、归档的时间。

a）当所述目的已径过期时，锁定（即归档，保护和免除进一步处理）任何PII,并满足适用法律的保留要求；

b）使用适当的技术或方法确保安全删除或销毁PII （包括原件，副本和存档记录）；

c）仅将PII用于在收集之前或收集时向PII主体商定披露的目的，并且在为任何新用途进行之前获得必要的同意；

d）将外部组织对PII的访问权，限制在必要且已获得正式授权的范围内：如果业务确实需要访问，则应遵循适当的审批程序；

e）确认被允许连接到本组织系统的外部系统在被允许连接之前已经实施了适当的保护措施；

f）定期审査第三方实施的保障措施，以确保它们继续满足本组织的安全要求：

如果由于此类审査而发现保障措施不足.应立即断开第三方的连接，直到已经恢复了适当的保障措施；

g）当通过远程接口访问PII时，实施适当的访问认证机制：记录PII访问的日志；

h）利用安全监控持续收集PII的变更，应向公众提供警示。

a）仅保留授权时间段的PII,以履行通知中确定的目的或法律和组织的要求，并在保留期届满时立即删除PII；

b）如果需要保留PII的时间超过特定商业目的所需时间，则应实施诸如去识别化等措施以保护PII;

c）定义有时间限制的、适合于处理目的的PII保留期；

d）确认信息系统可以检测到保留期限到期；

e）确保实施商定的保留期限并根据保留期限处置PII；

f）开发一种自动化功能，在其保留期限到期时删除PII,这种删除应立即发生或尽快实施；

g）PII的存储形式（包括数据库字段或文本摘录）以及确定的风险，应该是“去标识”的内容；

h）根据待识别数据的形式（包括数据库和文本记录）和已确定的风险,去识别化数据；

i）如果数据不能被“去识别"，则选择用于保护PII的工具（包括部分删除，哈希，密钥散列和索引）。

a）未经PII主体事先知情同意，不得将PII披露给外部各方，除非相关法律允许此类披露：如果向需要了解的内部各方（例如员工）披露.则可能不需要PII主体的知情和同意；

b）在转让个人身份信息时提供强有力的保护机制，包括数据加密和完整性保护。

员工个人身份信息应按照适用的法律和法规、组织处置策略，适当情况下需征得员工同意才能进行处置（即安全删除或存档）。