如果说遵守法规、应对监管、市场竞争促使隐私保护成为企业的必修命题，那么，国内和国际上一系列关于隐私保护的标准则，为企业如何完成这一命题提供了具有普适性、实用性、可证明性、透明性的解决方案，成为企业实施隐私合规和信息安全管理的切实有效工具。为行文简便，本文对“隐私”与“个人信息”不做区分，均指能够单独或者与其他信息结合识别自然人个人身份的各种信息。

　　一、现有国内和国际标准映射不同适用法

　　在目前关于隐私保护的国内和国际标准中，最有影响力、最为普遍采用、与隐私保护强相关的标准包括下述三者：

　　一是国家标准《信息安全技术个人信息安全规范》 GB/T 35273-2020（以下简称“国标35273”）。国标 35273 针对个人信息全生命周期的合规与保护，提供了全面的操作指引，也是执法机构开展合规检查时重要的参照系。

　　二是国家标准《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019 及其相关系列标准（以下简称“等保 2.0 标准”）。该标准的实施是落实网络安全等级保护制度的支撑，标志等级保护工作进入了 2.0 时代。相对于侧重处理个人信息合规性的国标 35273，等保 2.0 标准则侧重信息处理的安全性措施和控制。

　　三是《ISO/IEC 27701 安全技术——对用于隐私信息管理的 ISO/IEC 27001 和 ISO/IEC 27002的扩展——要求和指南》（以下简称“ISO/IEC27701”）。ISO/IEC 27701 作为对 ISO 27001 和 ISO27002 标准在隐私保护方面的解释和扩展，是目前重要的隐私保护国际标准之一。它将信息安全管理体系和措施扩展到隐私保护领域，旨在明确如何建立、实施、维护和持续改进隐私信息管理系统。

　　综合看，上述标准各有优势和特点。

　　在合规性价值方面，国标 35273 与等保 2.0 标准可以映射到国内关于个人信息保护的核心法律要求，且两者在信息安全与个人信息合规方面相互支撑和呼应，可满足企业在中国境内业务运营中进行个人信息保护的基本合规需求；而 ISO/IEC 27701则为企业提供了国际普遍接受的隐私信息保护和管理工具。因其积极响应和精准映射欧盟《通用数据保护条例》（GDPR）这一目前全球公认最为严苛的个人信息保护立法，从而能够切实帮助企业跨法域开展隐私合规工作、降低风险。

　　在可证明性和传递信任的价值方面，较高等级的等保评级认定在安全性方面具有传递信任的实际效果，而就证明隐私保护能力而言，国标 35273 尚需专门配套的标准认证制度。与国内标准不同的是，ISO/IEC 27701 提供了被广泛接受的第三方隐私信用保证，以用于出海业务拓展或强化品牌的隐私保护内涵。

　　二、国内和国际标准实施过程中的融合路径

　　上述国内和国际标准各有优势，如果企业需要兼具国内和海外业务运营合规且旨在通过隐私标准体系的认证传递信任，则企业将需要贯彻实施多项国内和国际标准。多重贯标带来的实际挑战，是企业必须考量如何能以最少的实施成本融合这些标准，以便在降低合规风险的同时减轻合规负担。否则，如果贯标采用的是多套标准独立并行，甚至针对每一法域或每一业务线对应一套安全治理标准和隐私合规解决方案，那么，这样做虽然会优化标准实施和风险控制的效果，但也必然导致网络安全与隐私合规治理在人力、物力、财力的成本激增和组织结构冗杂，也没有使既有的标准实施成果效益最大化。

　　因此，一种较为有效的标准融合路径是：以既有实施的一（套）标准（系列）作为落地实施新增标准的基准线，再结合不同标准的差异，兼顾业务场景，分别强化或减免控制项或措施，按照“识别一致性——分析差异化——实施增减项”的步骤，最终以不同标准体系的“公约数”构建企业隐私保护治理的整体架构。

　　考虑到境内大多数企业或多或少在隐私合规领域对标国标 35273，甚至在产品设计、业务流程和应对执法要求中，已经大量应用这一国标，且在网络安全领域也实施了较为成熟的等级保护制度，对这些企业而言，上述融标路径的具体方式就是将ISO/IEC 27701 的相应要求融入现有的隐私保护标准和等级保护标准中。

　　此外，有的企业虽有多元业务场景、涉及不同法域，或存在不同的标准认证需求，但同时还有大量共享的数据安全与隐私保护中后台系统和组织架构；对一些孵化创新成长中的业务而言，企业也需要动态设定隐私合规水平，有效控制业务初创期的合规成本、逐步推进隐私保护治理水平。因此，也可以考虑借助既有的境内隐私保护贯标体系和成果，将 ISO/IEC 27701 的控制项和隐私信息管理系统融入其中。

　　以“设置数据保护负责人”这一组织措施为例，上述三个标准设立的隐私保护和信息安全治理架构，无一例外地将该等负责人岗位的设立及其职责作为一个重要的组织机构管理手段。相较于等保标准 GB/T 22239-2019 第 7.1.7 条仅宽泛规定“设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责”，国标 35273 对个人信息保护负责人的岗位和职责要求更为具体详细。因此，为提高贯标的效率、减少隐私安全组织机构的烦冗，实施 ISO/IEC 27701 的企业则仅需要在基于等保 2.0和国标 35273 设立的负责人岗位基础上，根据国标35273 与 ISO/IEC 27701 的相关规定对比，实施增强项即可。

　　1.指定总负责人

　　（1）国标 35273 第 11.1 条 a：明确法定代表人或主要负责人对个人信息安全负全面领导责任，包括为个人信息安全工作提供人力、财力、物力保障等。

　　（2）ISO/IEC 27701 第 6.3.1.1 条：无此要求。可以比照国标 35273，做减免项。

　　2.岗位设定

　　（1）国标 35273 第 11.1 条 b：任命个人信息保护负责人和个人信息保护工作机构。

　　（2）ISO/IEC 27701 第 6.3.1.1 条：任命一名或多名负责制定、实施、维护和监督组织范围内的治理和隐私计划人员，以确保遵守有关 PII 处理的所有适用法律和法规。这是通用项，可与国标 35273对应，直接沿用即可。

　　3.任职要求和汇报线设置

　　（1）国标 35273 第 11.1 条 b：个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任，参与有关个人信息处理活动的重要决策，直接向组织主要负责人报告工作。

　　（2）ISO/IEC 27701 第 6.3.1.1 条：在适当的情形下，负责人应：a. 独立并直接向组织的适当管理层报告，以确保有效管理隐私风险。这是通用项，可与国标 35273 对应，直接沿用即可。b. 系数据保护法律、法规和实践方面的专家。这是通用项，可与国标 35273 对应，直接沿用即可。c. 可由工作人员或外包人员担任，并履行岗位职责。这是增强项，可参考适用。在实践中，鉴于 GDPR 系域外法，境内企业通常在已任命的个人信息保护 / 网络安全负责人之外，还可能委托境外专业机构担任咨询顾问等辅助该负责人工作。

　　4.任命“专职”的增强要求

　　（1）国标 35273 第 11.1 条 c：满足以下条件之一的组织，应设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作：主要业务涉及个人信息处理，且从业人员规模大于200 人；处理超过 100 万人的个人信息，或预计在12 个月内处理超过 100 万人的个人信息；处理超过10 万人的个人敏感信息。

　　（2）ISO/IEC 27701 第 6.3.1.1 条：这是减免项，但特别提醒“某些司法管辖区称这一人员为数据保护官员，并界定了何时需要这样的职位以及他们的职位和角色”。因此，建议沿用国标 35273 的专门要求，以提高在高风险处理场景下适用 GDPR 第37.1 条的合规基准。

　　5.岗位职责

　　（1）国标 35273 第 11.1 条 c：个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于：全面统筹实施组织内部的个人信息安全工作，对个人信息安全负直接责任；组织制定个人信息保护工作计划并督促落实；制定、签发、实施、定期更新个人信息保护政策和相关规程；建立、维护和更新组织所持有的个人信息清单和授权访问策略；开展个人信息安全影响评估，提出个人信息保护的对策建议，督促整改安全隐患；组织开展个人信息安全培训；在产品或服务上线发布前进行检测，避免未知的个人信息收集、使用、共享等处理行为；公布投诉、举报方式等信息并及时受理投诉举报；进行安全审计；与监督、管理部门保持沟通，通报或报告个人信息保护和事件处置等情况。

　　（2）ISO/IEC 27701 第 6.3.1.1 条：在适当的情形下，负责人应该参与管理与个人信息处理有关的所有问题；充当监管组织的联络点；告知顶级管理层和组织员工在个人信息处理方面的义务（可对应上文国标 35273 第 11.1 条 c 中的“培训”职责）；就组织实施的隐私影响评估提供建议。这是通用项，可与国标 35273 对应，直接沿用即可。

　　6.资源保障要求

　　（1）国标 35273 第 11.1 条 e：应为个人信息保护负责人和个人信息保护工作机构提供必要的资源，保障其独立履行职责。

　　（2）ISO/IEC 27701 第 6.3.1.1 条：无具体要求。建 议 沿 用 国 标 35273 第 11.1 条 e 的 措 施， 以 符 合GDPR 第 38.2 条的合规基准。

　　此外，在技术侧的融标整合方面，等保 2.0 标准具备更为全面细致的、可操作的落地要求，可以给予 ISO/IEC 27701 诸多控制项以更好的技术支撑。在管理侧的融标整合方面，ISO/IEC 27000 标准族在管理体系上的要求更为详细，在与等级保护的管理要求整合的过程中，大部分情况可将“信息安全”替换为“信息安全和隐私保护”，而其中针对个人信息保护的扩展控制措施则与国标 35273 有更多映射和呼应。

　　三、隐私保护和信息安全工作落地依赖标准工具

　　在企业的日常运营中，隐私保护和信息安全的落地实施越来越依赖标准工具，而这些标准工具指引企业作为个人信息控制者和处理者进行全面隐私保护，满足立法、监管、用户信任、品牌建设、市场竞争的多重要求。不同标准的背后则越来越体现出趋同的个人信息保护理念和原则，例如确保个人信息的安全、产品或服务的可信，将组织管理和技术措施落实到产品和组织流程中，以及数据控制者问责制原则等。

　　综合贯彻实施国标 35273、等保 2.0 和 ISO/IEC27701 国际标准等，一方面，可以帮助企业同时满足信息安全与个人信息保护的融合需求、兼容不同法域的合规要求，另一方面，也需要企业注意整合不同的标准体系和制度，先求相“同”再找相“异”，从而以更加经济和高效的路径构建起企业的信息安全与隐私合规治理体系。