ISO27701审核时，老师到底在看什么？

ISO/IEC 27701不是“加个后缀就完事”的认证，它是对原有ISO 27001体系的深度延伸——专攻隐私信息管理。很多企业准备材料时一头雾水：明明ISMS做得挺扎实，为什么审核老师总在几个点上反复追问？别急，九蚂蚁陪过上百家企业过审，今天就掏心窝子说说那些真正卡脖子的审核重点。

看你有没有把“隐私”从口号落到角色里

审核员第一眼扫的，不是文档厚度，而是组织架构图里有没有明确的“隐私负责人”（PIM），以及TA是否真有权限、资源和决策链路。光挂个头衔不行，得看到会议纪要、授权邮件、跨部门协作记录——比如法务部修改用户协议前，是否同步给了PIM评估？IT上线新表单收集手机号，有没有经过隐私影响评估（PIA）签字放行？人不在岗、权责不匹配，这一项直接扣分。

查你处理“数据流”是不是真闭环

老师会随机抽1–2个典型业务场景（比如电商注册、HR入职、客服工单），逆向追踪：数据从哪来？谁在用？存多久？怎么删？尤其盯三个“断点”——供应商共享环节有没有DPA（数据处理协议）；跨境传输有没有合法机制（如SCCs或认证白名单）；用户行权（查、改、删、撤回同意）的响应流程是否能在30天内闭环留痕。纸质审批、口头承诺、系统无留痕？统统不算数。

验你“隐私设计”是不是嵌进骨头里

不是等系统上线后再补方案，而是看需求评审阶段有没有隐私条款、开发规范里有没有默认关闭非必要字段、测试用例里有没有模拟未成年人提交场景……审核员甚至可能打开你的APP，现场点开隐私政策，核对“收集目的”和后台实际调用的API是否一一对应。没做Privacy by Design？那不是优化项，是硬性缺失。

说到底，27701审的从来不是文件，而是你每天怎么对待用户那一条条姓名、身份证号、定位轨迹。九蚂蚁帮客户过审的关键，从来不是堆材料，而是提前把隐私逻辑“长”进业务毛细血管里——需要一起盘盘你们的实操卡点？我们随时备着白板和咖啡。