《ISO/IEC 27701：2019 ISO/IEC 27001 与 ISO/IEC 27002隐私信息管理的扩展—要求与指南》，给予企业更好做好个人信息保护的指引。

无论要求如何，企业始终还是希望能保护好个人信息，相较事后补救，企业更好的做法是在业务设计之初就考虑好个人信息保护的要求，并贯穿业务始终。

好的个人信息保护应当是遵循如下原则：主动预防、个人信息保护作为默认设置、将个人信息保护嵌入设计之中、功能完整——正和而非零和、个人信息全生命周期保护、可见性和透明性、尊重个人隐私——以个人为中心。

·         主动预防

应当采取积极预防的态度，从一开始就考虑如何预防和阻止侵害的发生，而非被动救济的立场，不要等到个人信息风险已经明朗化或侵害发生后，再去提供事后的救济。

·         个人信息保护作为默认设置

个人信息保护应当成为组织商业实践和系统运行的默认规则。如果个人不做任何主动同意个人信息处理的选择，那么他们的个人信息应当处于默认保护的状态。例如，许多浏览器将Cookies 设置成默认关闭状态，保护个人的浏览数据不被追踪。

·         将个人信息保护嵌入设计之中

个人信息保护的需求应当嵌入到计系统的设之中，成为系统的核心组成部分，同时又不损害系统的功能。

·         功能完整—正和而非零和

以正和方式（positive-sum,win/win）来保护个人信息，实现个人、组织等多方共赢，反对将个人信息保护与功能、效率、安全、商业利益等价值对立的零和方式（zero-sum,win/lose）。

·         个人信息全生命周期保护

个人信息保护的需求在个人数据被首次收集之前就嵌入系统设计之中，并扩展至系统运行的整个生命周期，提供从开发到下线全过程的保护。

·         可见性和透明性

应确保商业活动或者技术所涉及的各相关利益方，能够根据各自的目标和承诺进行运作，并能够接受独立的检验。各相关利益方应向个人和提供者保证其组成部分和运营程序的可见性和透明性。

·         尊重个人隐私—以个人为中心

将个人利益作为最高利益，将完善的个人信息保护措施作为默认设计，如适当的通知、提供友好的选项权，推动抽象立法原则落地到实践技术业务中，实现个人对个人信息的控制权。