ISO 27701:2025:隐私管理可脱离 27001 单独认证
2025年10月14日,国际标准化组织(ISO)与国际电工委员会(IEC)正式发布 ISO/IEC 27701:2025 新版标准。最显著的变化是:隐私信息管理体系(Privacy Information Management System,PIMS)从此成为一个独立标准,不再是 ISO 27001 的扩展。在旧版下,企业必须先行或并行实施 ISO 27001 才能完成 27701 认证;新版则允许企业直接认证 27701:2025。这条简化路径对以数据处理和隐私合规为核心的 SaaS、AI 服务商尤为友好——无论是否已持有 27001,都需要重新评估自己的认证路径。
TL;DR
- ISO/IEC 27701:2025 于2025年10月14日发布,PIMS 转为独立管理体系标准,不再强制依赖 ISO 27001。
- 新版要求与实施指南由 ISO/IEC 27701:2019、ISO/IEC 27001:2022、ISO/IEC 27002:2022 的现有要素重组而成,并强化了对 AI、控制者与处理者角色的指导。
- 三类企业面临不同认证路径:未持证企业可直接认证 27701:2025;已持 27001:2022 者可并入既有 ISMS 或独立展示;已持旧版 27701:2019 者须做 PIMS 差距评估并切换为独立表述。
- 标准与 GDPR、CCPA、LGPD 等主流法规更紧密对齐,控制者控制措施列于附件A,处理者列于附件B。
独立 PIMS 意味着什么
ISO/IEC 27701:2025 的核心变化之一,是更聚焦纯粹的隐私风险,精简了2019版中大量引用自 ISO 27002 的通用安全控制。这使它更适合以数据处理和隐私合规为核心的组织单独申领认证。新版还明确增加了对人工智能与数字生态系统中管理个人信息的指导,并被设计为可与 ISO 9001(质量)、ISO/IEC 27001(信息安全)、ISO/IEC 42001(人工智能)等其他管理体系集成。对于同时受多法域约束的出海企业,这意味着一套 PIMS 可以横向对接 GDPR 的控制者/处理者义务、CCPA 的消费者权利响应,以及巴西 LGPD 等法规,减少重复建设。
三条认证路径
新版转为独立 PIMS 体系后,企业需要按现有认证状况选择路径:
- 尚未认证的企业:可以直接认证 ISO 27701:2025,无需先取得 27001。这条简化路径最适合以隐私合规为核心、需优先获取隐私安全认证的团队。
- 已持 27001:2022、但未认证 27701 的企业:有两条路径。其一,将 PIMS 纳入既有信息安全管理体系(ISMS),共享证据与流程,提高审核效率;其二,保留已持有的 27001:2022 证书,另行独立展示 27701 隐私信息管理体系证书,此路径管理成本通常更高。
- 已持 27001 及旧版扩展 27701:2019 的企业:应立即进行 PIMS 差距评估,重点检查治理、KPI、记录保存等流程,把文件结构从“扩展”表述切换为“独立 PIMS”表述,并尽快与认证机构沟通过渡审核安排。
此外,新标准更新了控制者(附件A)与处理者(附件B)的控制措施。建议企业基于第6条的风险评估结果,重新审查并更新《适用性声明》(Statement of Applicability,SoA),确保必要的隐私控制被纳入,并为排除项准备充分理由。对于使用算法推荐、AIGC 等 AI 技术的产品,应审查其数据处理活动,尤其是隐私设计与默认(Privacy by Design/Default)措施是否符合新标准的强化要求。将隐私要求落到书面文书这一环,可对照 数据跨境企业隐私合规的重要一环:“纸”上“用”兵 中对政策文档化的实操建议。
PIMS 核心条款梳理(第4–10条)
ISO/IEC 27701 列出了建立 PIMS 的高阶要求,任何寻求认证的组织都必须遵守。以下是第4条至第10条管理体系核心条款的梳理:
- 第4章 组织环境:确定与 PIMS 相关的内外部议题,理解利益相关方(尤其对个人信息处理有利益或责任者)的需求,划定 PIMS 范围。组织须在此阶段明确自身是个人信息的控制者还是处理者。
- 第5章 领导力:设定清晰的高层基调,建立一份内部《数据隐私政策》(区别于面向信息主体的隐私声明),明确 PIMS 相关角色、职责与权限,最高管理层须展示承诺。
- 第6章 规划:定义识别、评估隐私风险的流程与风险处理流程,编制《适用性声明》记录必要控制措施;控制措施可来自附件A(控制者)、附件B(处理者)或其他来源,排除任何附件控制须给出合理理由。同时定义可衡量、可监控的 PIMS 目标。
- 第7章 支持:提供建立、维护、改进 PIMS 所需资源,确保相关人员具备能力,维持隐私意识与沟通,并对隐私政策、SoA、框架等文件化信息进行维护和控制。
- 第8章 运行:按计划实施风险评估与处理措施,确保运行层面活动受控,并将结果文件化。
- 第9章 绩效评价:监控和测量 PIMS 绩效,明确监控内容、方式与时间,建立内部审核计划,定期由高层进行管理评审。
- 第10章 改进措施:承诺持续改进,识别不符合项、实施纠正措施并评审其有效性,不断优化 PIMS 以适应环境变化与新风险。
对同时布局 AI 合规的团队,PIMS 与 ISO/IEC 42001 的集成尤为关键。AI 治理的监管走向可对照 欧盟通过 AI Act 简化提案:高风险合规期限延后 与 韩国《AI 基本法》 中对高风险系统的分级要求。
对出海企业的启示
对以隐私合规为卖点的中国出海企业,27701:2025 的独立化降低了认证门槛:不必先背上一整套 27001 才能证明隐私能力,可以直接以 PIMS 认证向海外客户与监管展示合规姿态。落地上应尽早完成三件事:明确自身在数据处理中的控制者/处理者角色、基于第6条风险评估更新 SoA、审查 AI 相关产品的隐私设计。已有 27701:2019 扩展证书的企业尤其应尽快启动差距评估,避免过渡审核期临近时被动。
参考资料:https://www.dnv.com/news/2025/iso-iec-27701-standard-update-release/ ;https://iapp.org/news/a/iso-updates-standard-on-managing-privacy-compliance-programs/ 。

