ISO27701自评，别让“我以为”毁掉你的隐私合规路

做ISO27701认证前的自我评估，不是填张表、打几个勾就完事的事儿。很多企业踩坑，不是因为标准太难，而是被几个“看起来很合理”的认知偏差悄悄带偏了节奏——结果一上正式审核，问题扎堆冒出来，返工、补材料、延期，成本全算在自己头上。

“我司没存多少个人信息”，所以不用管PII识别？

错！ISO27701关注的是“是否处理”而非“处理多少”。前台客服记下的客户微信昵称、后台日志里带手机号的访问记录、甚至招聘系统里未录用候选人的身份证后四位……只要能关联到自然人，就是PII（个人身份信息）。九蚂蚁在陪跑几十家企业自评时发现：超60%的漏评点，都出在“非结构化数据”和“边缘业务场景”上——比如行政用Excel登记访客信息、销售随手存的微信聊天截图。别用“量少”当盲区借口，先画清数据流，再谈要不要控。

“我们按ISO27001做了，27701只是加个附件？”

这是最危险的思维惯性。ISO27701不是27001的简单叠加，它要求你把“隐私影响”作为独立变量嵌入每个控制环节：比如访问控制策略里，得区分“谁可以看员工工资”和“谁可以改客户联系方式”；供应商管理中，不能只签保密协议，还得验证对方有没有DPA（数据处理协议）条款、有没有隐私设计（Privacy by Design）落地痕迹。很多企业自评时直接复制27001检查表，结果在“隐私角色职责”“数据主体权利响应流程”这些专属模块上集体失守。

“法务写个声明就合规了？”

声明≠能力。ISO27701要验证的是“能不能真响应”——比如用户发来一封“请删除我的账号”，你们系统3天内能否定位所有散落的数据副本（CRM、BI报表缓存、测试库镜像）并完成擦除？自评时别只查有没有《隐私政策》链接，要顺着“请求—分派—执行—验证—反馈”走一遍真实动线。九蚂蚁帮客户做差距诊断时，常发现：政策写得漂亮，但客服根本不知道如何转交IT，IT也不知道从哪几个数据库删，最后靠人工翻日志，耗时两天还漏删。

自评不是考试，是帮你提前把“看不见的漏洞”拎到光下照一照。与其硬扛正式审核时的措手不及，不如现在花半天，用对的方法，理清自己的隐私脉络。