ISO 27701 是 ISO 27001 的隱私擴充標準,建立「隱私資訊管理系統(PIMS)」框架,整合 GDPR、台灣個人資料保護法(個資法)等隱私法規要求。這一頁整理了 ISO 27701 條文架構、PII 控制者 vs 處理者角色、GDPR Annex D 對應、隱私影響評估(PIA),以及 ISO 27001 整合路徑。
一句話定義:ISO 27701 是在 ISO 27001 資訊安全管理系統的基礎上,針對個人識別資訊(PII)的隱私保護,建立「隱私資訊管理系統(PIMS)」的擴充標準,提供組織在 GDPR、台灣個資法等隱私法規下系統性管理隱私風險的框架。
ISO 27701 的核心洞見是:「資訊安全(Information Security)」和「隱私保護(Privacy)」雖然密切相關,但不完全相同。一個組織可以有嚴密的資訊安全控制,但仍可能在個人資料的使用目的、保留期限、資料主體權利等隱私議題上不符合法規。ISO 27701 填補了這個缺口,在 ISO 27001 的基礎上疊加隱私管理要求。
對台灣企業特別重要:台灣《個人資料保護法》(個資法)要求對特定種類個人資料的處理需有「特定目的」和「合法要件」,並規定資料主體的查閱、更正、刪除等權利。ISO 27701 提供系統化工具落實這些要求。GDPR 適用情境:如果你的客戶或服務對象包含歐盟居民,GDPR 就適用於你,ISO 27701 的 Annex D 是簡化 GDPR 合規工作的重要工具。
歐盟 GDPR(一般資料保護規則)5 月生效,企業迫切需要系統化工具管理個人資料合規,推動 ISO 隱私標準的開發。
ISO 發布 27701,作為 27001/27002 的隱私擴充標準。全球首個 PIMS 國際標準,Annex D 提供 GDPR 完整對應。
台灣《個人資料保護法》持續修訂討論(提高罰則),ISO 27701 成為企業建立系統化個資保護能力的重要工具。
美國 CPRA、印度 DPDP 法、台灣個資法修法等隱私法規持續擴展,ISO 27701 認證成為跨國企業展示隱私合規能力的通用工具。
ISO 27701 對 PII 控制者(Controller)和 PII 處理者(Processor)有不同的隱私管理要求。在開始導入前,必須先確認你的組織角色——這決定了哪些條文適用於你。
你「決定」為什麼收集資料、用什麼方式使用資料。你是資料的主要責任人。
你「依照客戶(控制者)的指示」處理資料,本身不決定資料使用目的。
許多組織同時扮演兩種角色:對自己的客戶個資是「控制者」,同時作為客戶的 IT 服務商又是「處理者」。ISO 27701 允許組織在同一 PIMS 中涵蓋兩種角色。
| ISO 27001 條款 | ISO 27701 新增/擴充要求 | 隱私管理重點 |
|---|---|---|
| 4 組織背景 | 新增:識別 PII 相關利害關係人(資料主體、監管機關);確認 PIMS 範疇(哪些 PII 處理活動) | 需明確定義組織處理哪些 PII、以哪種角色(控制者/處理者)、在哪些業務流程中處理 |
| 5 領導力 | 新增:隱私政策(Privacy Policy);指定隱私保護負責人(DPO 或等同角色) | 最高管理層需承諾隱私保護;部分法規(GDPR 特定情況)要求指定資料保護官(DPO) |
| 6 規劃 | 擴充:隱私風險評估(PIA)作為 ISMS 風險評估的補充;隱私目標需可量測 | PIA 是識別 PII 處理活動中隱私風險的系統化工具,需涵蓋高風險 PII 處理活動 |
| 7 支援 | 新增:隱私培訓(員工了解隱私政策和各自職責);外部溝通(隱私通知) | 所有接觸 PII 的員工需接受隱私培訓;面向資料主體的隱私通知需清晰透明 |
| 8 運作(核心) | 第 7、8 章新增:控制者要求(PII 收集限制、目的說明、同意管理、資料主體權利);處理者要求(依指示範圍、DPA) | 這是 ISO 27701 與 ISO 27001 差異最大的部分;依控制者/處理者角色有不同要求 |
| 9–10 評估/改善 | 擴充:PIMS 有效性評估需涵蓋隱私相關指標(PIA 完成率、資料主體權利響應時間);隱私事件管理(資料外洩通報) | 資料外洩通報是 GDPR 和台灣個資法的重要要求;ISO 27701 提供系統化的事件管理程序 |
ISO 27701 的 Annex D 提供 GDPR 條款與 ISO 27701 控制項的完整對應表,讓已取得 ISO 27701 認證的組織可以更高效地回應 GDPR 合規查核。以下是關鍵 GDPR 要求與 ISO 27701 的對應方式:
| GDPR 要求 | ISO 27701 對應章節 | 實作重點 |
|---|---|---|
| 合法處理依據(Art. 6):收集個人資料需有合法基礎(同意、合約履行、法律義務等) | 7.2.1 PII 收集目的識別與限制 | 建立「處理活動記錄(Records of Processing Activities, RoPA)」,記錄每項 PII 處理活動的目的和合法依據 |
| 資料主體權利(Art. 15-22):查閱、更正、刪除(被遺忘權)、可攜性、反對處理 | 7.3 資料主體 PII 主體(principals)權利 | 建立資料主體請求處理程序(30 天內響應);技術措施支援資料刪除和可攜性輸出 |
| 隱私通知(Art. 13-14):收集時告知資料主體處理目的、保留期限、權利 | 7.2.2 隱私通知 | 隱私通知需清晰、易理解;在收集時點提供;定期審查更新 |
| DPIA(Art. 35):高風險處理活動(人臉辨識、大規模監控、兒童資料)需執行資料保護影響評估 | 6.1.2 擴充:PIA(隱私影響評估) | 識別高風險 PII 處理活動清單;對各活動執行 PIA;高風險且無法降低風險時需諮詢監管機關 |
| 資料外洩通報(Art. 33-34):72 小時內通報監管機關;視情況通知資料主體 | 8.2.5 / ISO 27001 A.16 事件管理 | 建立「隱私資料外洩」識別分類、評估影響(資料主體人數、敏感性)、72 小時通報流程 |
| 資料處理協議(Art. 28):控制者委託處理者時需簽署 DPA,規定處理者義務 | 8.5 PII 處理者要求 | 制定標準 DPA 範本;確認受委資料處理者符合 GDPR 要求(次處理者管理) |
評估現有 ISO 27001 ISMS 與 ISO 27701 PIMS 要求的差距;識別所有 PII 處理活動(哪些系統、哪些流程處理個人資料);確認組織角色(控制者/處理者);識別適用法規(GDPR、台灣個資法、其他)。
交付物:PIMS 差距分析報告+PII 處理活動清單+角色確認建立組織的「個人資料盤點清單」:識別所有 PII 種類(姓名、email、IP 地址、健康資料等);繪製資料流程圖(資料從何而來、如何處理、向何處傳輸、何時刪除);建立「處理活動記錄(RoPA)」。
交付物:PII 盤點清單+資料流程圖+處理活動記錄(RoPA)隱私政策(Privacy Policy)和面向資料主體的隱私通知(Privacy Notice);資料主體權利請求處理程序(查閱/更正/刪除/可攜);資料保護衝擊評估(PIA/DPIA)方法論;資料外洩通報程序(72 小時機制)。
交付物:隱私政策、隱私通知、主體權利程序、外洩通報程序對高風險 PII 處理活動執行隱私影響評估(PIA);識別和評估所有提供個人資料處理服務的供應商;建立標準資料處理協議(DPA)範本;確認各供應商的隱私合規能力。
交付物:PIA 報告(至少 3 個高風險活動)+供應商 DPA 清單擴展現有 ISO 27001 內稽範圍至 ISO 27701 要求;重點稽核:PIA 執行記錄、資料主體請求響應記錄、隱私培訓記錄、DPA 執行情況;管理審查需涵蓋 PIMS 績效指標。
交付物:ISMS + PIMS 聯合內稽報告+管審記錄Stage 1 文件審查:PIMS 架構合理性、PIA 方法論、RoPA 完整性。Stage 2 現場稽核:資料流程圖現場確認、PIA 執行記錄審查、人員隱私訓練理解度訪談、外洩通報演練(可能要求)。
交付物:ISO 27001 + ISO 27701 聯合認證書常見原因:許多組織建立了隱私政策文件,但底層的「處理活動記錄(RoPA)」不完整:只記錄主要系統(如 CRM),遺漏邊緣系統(行銷平台、HR 工具、第三方分析工具);沒有定期審查和更新機制,導致 RoPA 與實際業務不符。
對策:採「系統導向」盤點方法:逐一識別所有處理個人資料的系統和工具(包含 SaaS 工具)→確認每個系統的資料種類、處理目的、合法依據、保留期限→建立審查機制(每年或業務變更時更新 RoPA)。
常見原因:組織雖建立了程序文件,但實際上:沒有明確的請求入口(消費者不知道如何行使權利);後台系統無法技術上支援「刪除」或「資料可攜性」(資料散落多個系統);響應時間超過法規要求(GDPR 要求 30 天;台灣個資法要求 15 天)。
對策:建立清晰的請求管道(官網表單或電子郵件);進行「資料刪除演練」確認技術可行性;設立響應時間 SLA 並追蹤;特別注意「次處理者」的資料刪除是否可以聯動。
常見原因:DPA 管理只涵蓋重要合約供應商,遺漏日常使用的 SaaS 工具(Google Workspace、Slack、HubSpot、Zoom 等)——而這些工具實際上也在處理員工或客戶個人資料。
對策:建立「第三方工具個資盤點」清單;確認各工具是否提供 DPA 或符合 GDPR 的資料處理條款(大多數主流 SaaS 提供商已提供標準 DPA);將 DPA 管理整合進採購流程(新採購任何 SaaS 工具前先確認 DPA)。
常見原因:PIA 文件雖建立,但風險評估只是「填表」而非實質分析:所有風險都評為低,沒有識別出真正的高風險點;PIA 結論與實際資料處理措施脫節;高風險活動(如生物辨識資料、兒童資料)沒有對應的 PIA。
對策:PIA 應納入業務負責人(不只 IT 或法務)參與,因為他們最了解業務目的;識別「如果發生資料外洩,影響的資料主體人數和敏感性」作為風險嚴重度評估基礎;高風險的 PIA 需包含降低風險的具體措施和後續追蹤。
PIA(Privacy Impact Assessment,隱私影響評估)是 ISO 27701 和 GDPR(稱為 DPIA)的核心工具,用於在設計和實施個人資料處理活動時,預先評估並降低隱私風險。
以下情況建議(GDPR 在特定情況下要求)執行 PIA/DPIA:
健康資料、金融資料、生物辨識(人臉辨識)、兒童資料、位置資料的大規模處理。例如:App 收集用戶位置資料、HR 系統儲存員工健康紀錄。
使用演算法或 AI 對個人進行自動化評估或決策:信用評分、人才篩選、行為分析。這類處理對資料主體權益影響重大。
任何涉及新型個人資料處理的系統導入或業務流程變更(如導入 CRM 系統、啟動新行銷活動、建立員工監控系統)都應執行 PIA。
① 識別 PII 處理活動範疇 → ② 評估必要性和相稱性 → ③ 識別隱私風險(資料外洩、濫用、識別性) → ④ 制定降低風險措施 → ⑤ 記錄結論和後續追蹤
| 標準/法規 | 性質 | 與 ISO 27701 關係 | 台灣企業適用說明 |
|---|---|---|---|
| 台灣個人資料保護法 | 台灣法規 | ISO 27701 系統性支援個資法符合;特別是資料主體權利、特定目的要求 | 所有在台灣處理個人資料的組織均受個資法規範;ISO 27701 是最有效的系統化合規工具 |
| GDPR(歐盟) | 歐盟法規 | ISO 27701 Annex D 提供完整對應;是市場公認的 GDPR 合規工具 | 服務歐盟居民(客戶/員工)的台灣企業受 GDPR 管轄 |
| ISO 27001 ISMS | ISO 管理系統 | ISO 27701 的必要前提;共用 HLS 架構、控制項、文件系統 | 必須先有 ISO 27001 才能取得 ISO 27701;建議聯合認證 |
| SOC 2 Type II | 美國稽核報告 | 不同框架;SOC 2 隱私原則有部分重疊 | 出口美國 SaaS 市場常被要求;與 ISO 27701 互補但不替代 |
| APEC CBPR(跨境隱私規則) | APEC 框架 | 不同框架;聚焦跨境資料傳輸合規 | 台灣是 APEC 成員;CBPR 認證有助於 APEC 跨境資料傳輸合法性 |
德宣深度了解台灣個人資料保護法和歐盟 GDPR 的差異與重疊,輔導時建立同時滿足兩套法規要求的 PIMS,讓一套系統支援多市場合規要求。
PII 盤點和資料流程圖是 PIMS 的基礎,也是最耗時的工作。德宣提供系統性的盤點方法,協助識別包含 SaaS 工具在內的所有 PII 處理活動,確保 RoPA 完整性。
ISO 27701 必須建立在 ISO 27001 之上,德宣提供 27001 + 27701 一體化輔導,共用差距分析、內稽和管審,避免重複工作。已有 27001 的客戶加取 27701 路徑最高效。
PIA 是 PIMS 最重要也最難落地的工具。德宣協助建立適合業務特性的 PIA 方法論、識別哪些活動需要 PIA、執行實際 PIA 並輸出符合稽核要求的記錄文件。
DPA 管理範疇常被低估(特別是 SaaS 工具)。德宣協助系統性盤點所有資料處理供應商、確認 DPA 簽署狀態、建立新採購的 DPA 審查流程。
72 小時通報要求在實際操作中需要充分演練。德宣協助設計資料外洩識別、影響評估、通報決策的完整流程,並執行模擬演練確保應急響應準備就緒。
提供人力資源管理 SaaS,處理客戶員工個人資料(即 PII 處理者角色)。歐洲客戶要求提供 ISO 27701 認證書或 GDPR 合規證明作為續約條件;現有 ISO 27001 認證 2 年。
德宣聚焦 PII 處理者要求(第 8.5 章):建立標準 DPA 範本、次處理者管理清單(AWS、Stripe 等)、資料主體請求協助程序(協助客戶履行其對員工的 GDPR 義務)。
台灣跨境電商平台,服務台灣和歐洲消費者(PII 控制者角色)。台灣個資法下面臨合規壓力;同時服務歐盟消費者需符合 GDPR;現有 ISO 27001 認證,需擴展至隱私管理。
德宣建立雙軌合規架構:一套 RoPA 同時對應台灣個資法特定目的和 GDPR 合法依據;建立雙語隱私通知;資料主體請求程序涵蓋台灣 15 天和 GDPR 30 天要求。
提供個人信用評分和貸款媒合服務,處理個人財務資料、身分證號、信用記錄等高敏感 PII。台灣金管會持續加強個資要求;同時需應對客戶和投資人的資料安全要求。
德宣重點建立高敏感資料的 PIA 方法論(針對信用評分演算法的自動化決策 PIA);資料最小化原則實作;自動化決策透明度程序(資料主體可要求人工審查)。
中型製造集團,同時有 HR 系統(員工個資)和 CRM 系統(客戶個資),以及多個工廠的 ERP。集團治理需要統一的個資管理框架;同時出口歐美需展示 GDPR 合規能力。
德宣建立集團層級的 PIMS 架構:統一 RoPA 格式(各子公司填報)、集中式 PIA 程序、標準化隱私培訓(分員工等級)、集中式資料外洩通報流程。
| 費用項目 | 已有 ISO 27001(加取 27701) | 同時導入 ISO 27001 + ISO 27701 |
|---|---|---|
| 認證機構稽核費增加 | ISO 27001 稽核費增加約 30–40%(因聯合稽核增加 PIM 範圍) | 比分開認證節省約 20–30%(聯合稽核效益) |
| 首次認證時程 | 3–5 個月(在現有 ISMS 基礎上擴充) | 10–14 個月(從零開始建立兩個系統) |
| 主要工作量 | PII 盤點、RoPA、PIA、DPA 管理、主體權利程序 | ISMS + PIMS 全套建立 |
德宣管理顧問