lSO29151标准数据最小化

目标:控制者处理PII应限制在为达到合法利益所必需的最低限度，并将PI隐私的披露,限制到最低数量的利益相关者。

控制

组织应采取适当措施，将正在处理的个人身份信息的数量减至符合个人信息管理控制人合法利益的程度（例如，组织可寻求增加或延长其业务运营的方式，合法增加PII处理和存储)

保护PII的实施指南

组织应该:

a）确保采用“需要知道”的原则，只有在PII处理的合法目的框架内，才可获得职责所必需的PlI的访问权;b)使用和提供默认选项时，尽可能不包含PII主体的身份;

C)限制PII收集的可联系性;

d)对组织保留的个人身份信息进行初步评估，并制定、遵循定期对其进行审查的时间表，以确保仅收集通知中确定的个人身份信息，并且仅限于为了达成业务目的，有必要继续使用;

e)将包含PII的电子文档传输给与其工作相关的利益相关者，利益相关者应最小量化;

f)依据PI的存储形式（(例如数据库字段或文本摘录）和风险识别，确定应对哪些PII进行匿名或去标识化;g)基于待识别数据的形式(例如，数据库和文本记录）和所识别的风险，去标识这些数据;

h)当PII处理的目的已经过期时，又没有法定义务需要保留PII,应删除和处置PII;

i)考虑采用隐私增强技术(PET)。

支持特定组织业务流程所需的最小量的PII元素，可能是该组织被授权收集的PII的子集。应将PII分类为:强制性PII、可选PII,以供收集。

在收集可选的PI时，组织应仅收集提供服务所需的强制性PII,并从PII主体获得适当的同意。当PII主体拒绝提供可选的PlI时，组织不应拒绝提供服务。

CPO和法律顾问应该提出PIl处理合理性的质疑和建议，以确保信息系统或活动达到法定授权目的的最低限度。

注1: ISO29100中定义的匿名化是一种过程，通过该过程，PII不可逆转地改变，使得PII主体不能直接、间接的被识别。这样的过程必然涉及(不可逆转的）信息丢失，在某些情况下，只要删除部分数据可以达到所需的目标。注2∶根据ISO29100中的隐私原则，隐私增强和去标识技术，被用来描述和设计去身份识别措施,作为符合本国际标准的计划。为了鉴别过程符合法律的结论，可以通过删除或概括属性、强有力的组织和技术措施，来进行识别过程。

注3:当为某种目的处理个人身份信息时，处理的个人身份信息的范围应被最小化，以便仅用于预期目的，而不会泄露主体的过多信息，例如，交通相关调查的答复者的地理区域,需要考虑只收集附近的地标而不是确切的地址。注4:当输出是一个小数据集时，通常在分析匿名数据时，可以揭示PII主体的身份。因此，当记录数最小于阈值数时（例如10条记录)，防止输出是一种好的做法。根据数据分布模式，需要仔细设计输出阈值。

在适当的情况下，组织应该通过减少他们的PII库存来降低他们的隐私和安全风险。

组织应对其持有的PII进行初步审查和随后的审查，在最大可能的范围内确保这些数据堆栈的准确性，相关性，及时性和完整性。

组织也应该被指示将其PII持有量减少到履行业务目的所需的最低限度。组织应制定并公布定期审查其数据堆栈的计划，作为初始审查的补充。

通过定期评估，组织可以降低风险，确保他们仅收集通知中指定的数据，并确保收集的数据仍然是相关且必要的。