如果說遵守法規、應對監管、市場競爭促使隱私保護成為企業的必修命題，那么，國內和國際上一系列關于隱私保護的標準則，為企業如何完成這一命題提供了具有普適性、實用性、可證明性、透明性的解決方案，成為企業實施隱私合規和信息安全管理的切實有效工具。為行文簡便，本文對“隱私”與“個人信息”不做區分，均指能夠單獨或者與其他信息結合識別自然人個人身份的各種信息。

　　一、現有國內和國際標準映射不同適用法

　　在目前關于隱私保護的國內和國際標準中，最有影響力、最為普遍采用、與隱私保護強相關的標準包括下述三者：

　　一是國家標準《信息安全技術個人信息安全規范》 GB/T 35273-2020（以下簡稱“國標35273”）。國標 35273 針對個人信息全生命周期的合規與保護，提供了全面的操作指引，也是執法機構開展合規檢查時重要的參照系。

　　二是國家標準《信息安全技術 網絡安全等級保護基本要求》GB/T 22239-2019 及其相關系列標準（以下簡稱“等保 2.0 標準”）。該標準的實施是落實網絡安全等級保護制度的支撐，標志等級保護工作進入了 2.0 時代。相對于側重處理個人信息合規性的國標 35273，等保 2.0 標準則側重信息處理的安全性措施和控制。

　　三是《ISO/IEC 27701 安全技術——對用于隱私信息管理的 ISO/IEC 27001 和 ISO/IEC 27002的擴展——要求和指南》（以下簡稱“ISO/IEC27701”）。ISO/IEC 27701 作為對 ISO 27001 和 ISO27002 標準在隱私保護方面的解釋和擴展，是目前重要的隱私保護國際標準之一。它將信息安全管理體系和措施擴展到隱私保護領域，旨在明確如何建立、實施、維護和持續改進隱私信息管理系統。

　　綜合看，上述標準各有優勢和特點。

　　在合規性價值方面，國標 35273 與等保 2.0 標準可以映射到國內關于個人信息保護的核心法律要求，且兩者在信息安全與個人信息合規方面相互支撐和呼應，可滿足企業在中國境內業務運營中進行個人信息保護的基本合規需求；而 ISO/IEC 27701則為企業提供了國際普遍接受的隱私信息保護和管理工具。因其積極響應和精準映射歐盟《通用數據保護條例》（GDPR）這一目前全球公認最為嚴苛的個人信息保護立法，從而能夠切實幫助企業跨法域開展隱私合規工作、降低風險。

　　在可證明性和傳遞信任的價值方面，較高等級的等保評級認定在安全性方面具有傳遞信任的實際效果，而就證明隱私保護能力而言，國標 35273 尚需專門配套的標準認證制度。與國內標準不同的是，ISO/IEC 27701 提供了被廣泛接受的第三方隱私信用保證，以用于出海業務拓展或強化品牌的隱私保護內涵。

　　二、國內和國際標準實施過程中的融合路徑

　　上述國內和國際標準各有優勢，如果企業需要兼具國內和海外業務運營合規且旨在通過隱私標準體系的認證傳遞信任，則企業將需要貫徹實施多項國內和國際標準。多重貫標帶來的實際挑戰，是企業必須考量如何能以最少的實施成本融合這些標準，以便在降低合規風險的同時減輕合規負擔。否則，如果貫標采用的是多套標準獨立并行，甚至針對每一法域或每一業務線對應一套安全治理標準和隱私合規解決方案，那么，這樣做雖然會優化標準實施和風險控制的效果，但也必然導致網絡安全與隱私合規治理在人力、物力、財力的成本激增和組織結構冗雜，也沒有使既有的標準實施成果效益最大化。

　　因此，一種較為有效的標準融合路徑是：以既有實施的一（套）標準（系列）作為落地實施新增標準的基準線，再結合不同標準的差異，兼顧業務場景，分別強化或減免控制項或措施，按照“識別一致性——分析差異化——實施增減項”的步驟，最終以不同標準體系的“公約數”構建企業隱私保護治理的整體架構。

　　考慮到境內大多數企業或多或少在隱私合規領域對標國標 35273，甚至在產品設計、業務流程和應對執法要求中，已經大量應用這一國標，且在網絡安全領域也實施了較為成熟的等級保護制度，對這些企業而言，上述融標路徑的具體方式就是將ISO/IEC 27701 的相應要求融入現有的隱私保護標準和等級保護標準中。

　　此外，有的企業雖有多元業務場景、涉及不同法域，或存在不同的標準認證需求，但同時還有大量共享的數據安全與隱私保護中后臺系統和組織架構；對一些孵化創新成長中的業務而言，企業也需要動態設定隱私合規水平，有效控制業務初創期的合規成本、逐步推進隱私保護治理水平。因此，也可以考慮借助既有的境內隱私保護貫標體系和成果，將 ISO/IEC 27701 的控制項和隱私信息管理系統融入其中。

　　以“設置數據保護負責人”這一組織措施為例，上述三個標準設立的隱私保護和信息安全治理架構，無一例外地將該等負責人崗位的設立及其職責作為一個重要的組織機構管理手段。相較于等保標準 GB/T 22239-2019 第 7.1.7 條僅寬泛規定“設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責”，國標 35273 對個人信息保護負責人的崗位和職責要求更為具體詳細。因此，為提高貫標的效率、減少隱私安全組織機構的煩冗，實施 ISO/IEC 27701 的企業則僅需要在基于等保 2.0和國標 35273 設立的負責人崗位基礎上，根據國標35273 與 ISO/IEC 27701 的相關規定對比，實施增強項即可。

　　1.指定總負責人

　　（1）國標 35273 第 11.1 條 a：明確法定代表人或主要負責人對個人信息安全負全面領導責任，包括為個人信息安全工作提供人力、財力、物力保障等。

　　（2）ISO/IEC 27701 第 6.3.1.1 條：無此要求。可以比照國標 35273，做減免項。

　　2.崗位設定

　　（1）國標 35273 第 11.1 條 b：任命個人信息保護負責人和個人信息保護工作機構。

　　（2）ISO/IEC 27701 第 6.3.1.1 條：任命一名或多名負責制定、實施、維護和監督組織范圍內的治理和隱私計劃人員，以確保遵守有關 PII 處理的所有適用法律和法規。這是通用項，可與國標 35273對應，直接沿用即可。

　　3.任職要求和匯報線設置

　　（1）國標 35273 第 11.1 條 b：個人信息保護負責人應由具有相關管理工作經歷和個人信息保護專業知識的人員擔任，參與有關個人信息處理活動的重要決策，直接向組織主要負責人報告工作。

　　（2）ISO/IEC 27701 第 6.3.1.1 條：在適當的情形下，負責人應：a. 獨立并直接向組織的適當管理層報告，以確保有效管理隱私風險。這是通用項，可與國標 35273 對應，直接沿用即可。b. 系數據保護法律、法規和實踐方面的專家。這是通用項，可與國標 35273 對應，直接沿用即可。c. 可由工作人員或外包人員擔任，并履行崗位職責。這是增強項，可參考適用。在實踐中，鑒于 GDPR 系域外法，境內企業通常在已任命的個人信息保護 / 網絡安全負責人之外，還可能委托境外專業機構擔任咨詢顧問等輔助該負責人工作。

　　4.任命“專職”的增強要求

　　（1）國標 35273 第 11.1 條 c：滿足以下條件之一的組織，應設立專職的個人信息保護負責人和個人信息保護工作機構，負責個人信息安全工作：主要業務涉及個人信息處理，且從業人員規模大于200 人；處理超過 100 萬人的個人信息，或預計在12 個月內處理超過 100 萬人的個人信息；處理超過10 萬人的個人敏感信息。

　　（2）ISO/IEC 27701 第 6.3.1.1 條：這是減免項，但特別提醒“某些司法管轄區稱這一人員為數據保護官員，并界定了何時需要這樣的職位以及他們的職位和角色”。因此，建議沿用國標 35273 的專門要求，以提高在高風險處理場景下適用 GDPR 第37.1 條的合規基準。

　　5.崗位職責

　　（1）國標 35273 第 11.1 條 c：個人信息保護負責人和個人信息保護工作機構的職責應包括但不限于：全面統籌實施組織內部的個人信息安全工作，對個人信息安全負直接責任；組織制定個人信息保護工作計劃并督促落實；制定、簽發、實施、定期更新個人信息保護政策和相關規程；建立、維護和更新組織所持有的個人信息清單和授權訪問策略；開展個人信息安全影響評估，提出個人信息保護的對策建議，督促整改安全隱患；組織開展個人信息安全培訓；在產品或服務上線發布前進行檢測，避免未知的個人信息收集、使用、共享等處理行為；公布投訴、舉報方式等信息并及時受理投訴舉報；進行安全審計；與監督、管理部門保持溝通，通報或報告個人信息保護和事件處置等情況。

　　（2）ISO/IEC 27701 第 6.3.1.1 條：在適當的情形下，負責人應該參與管理與個人信息處理有關的所有問題；充當監管組織的聯絡點；告知頂級管理層和組織員工在個人信息處理方面的義務（可對應上文國標 35273 第 11.1 條 c 中的“培訓”職責）；就組織實施的隱私影響評估提供建議。這是通用項，可與國標 35273 對應，直接沿用即可。

　　6.資源保障要求

　　（1）國標 35273 第 11.1 條 e：應為個人信息保護負責人和個人信息保護工作機構提供必要的資源，保障其獨立履行職責。

　　（2）ISO/IEC 27701 第 6.3.1.1 條：無具體要求。建 議 沿 用 國 標 35273 第 11.1 條 e 的 措 施， 以 符 合GDPR 第 38.2 條的合規基準。

　　此外，在技術側的融標整合方面，等保 2.0 標準具備更為全面細致的、可操作的落地要求，可以給予 ISO/IEC 27701 諸多控制項以更好的技術支撐。在管理側的融標整合方面，ISO/IEC 27000 標準族在管理體系上的要求更為詳細，在與等級保護的管理要求整合的過程中，大部分情況可將“信息安全”替換為“信息安全和隱私保護”，而其中針對個人信息保護的擴展控制措施則與國標 35273 有更多映射和呼應。

　　三、隱私保護和信息安全工作落地依賴標準工具

　　在企業的日常運營中，隱私保護和信息安全的落地實施越來越依賴標準工具，而這些標準工具指引企業作為個人信息控制者和處理者進行全面隱私保護，滿足立法、監管、用戶信任、品牌建設、市場競爭的多重要求。不同標準的背后則越來越體現出趨同的個人信息保護理念和原則，例如確保個人信息的安全、產品或服務的可信，將組織管理和技術措施落實到產品和組織流程中，以及數據控制者問責制原則等。

　　綜合貫徹實施國標 35273、等保 2.0 和 ISO/IEC27701 國際標準等，一方面，可以幫助企業同時滿足信息安全與個人信息保護的融合需求、兼容不同法域的合規要求，另一方面，也需要企業注意整合不同的標準體系和制度，先求相“同”再找相“異”，從而以更加經濟和高效的路徑構建起企業的信息安全與隱私合規治理體系。