國(guó)家標(biāo)準(zhǔn)征求意見稿材料

一、工作簡(jiǎn)況

1、任務(wù)來源

2019年8月21日，信安標(biāo)委下發(fā)《全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)關(guān)于2019

年網(wǎng)絡(luò)安全標(biāo)準(zhǔn)項(xiàng)目立項(xiàng)的通知》（信安秘字[2019]050號(hào)），標(biāo)準(zhǔn)《信息技術(shù)安

全技術(shù)個(gè)人可識(shí)別信息(PII)處理者在公有云中保護(hù)PII的實(shí)踐指南》獲批立項(xiàng)，

項(xiàng)目編號(hào)：2019BZZD-WG7-007。2020年4月，國(guó)家標(biāo)準(zhǔn)化技術(shù)委員會(huì)下達(dá)2020年

第一批推薦性國(guó)家標(biāo)準(zhǔn)計(jì)劃（國(guó)標(biāo)委發(fā)[2020]14號(hào)），本標(biāo)準(zhǔn)計(jì)劃號(hào)：

20201694-T-469。

2、主要起草單位和工作組成員

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員（TC260）會(huì)提出并歸口，由山東省

標(biāo)準(zhǔn)化研究院牽頭編制，起草有山東省標(biāo)準(zhǔn)化研究院、杭州拓深科技有限公司、

中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心、同程藝龍

控股有限公司、中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司、北京錢袋寶支付技術(shù)有限公司、

國(guó)家工業(yè)信息安全發(fā)展研究中心、騰訊云計(jì)算（北京）有限責(zé)任公司、陜西省信

息化工程研究院、中電數(shù)據(jù)服務(wù)有限公司、上海市信息安全行業(yè)協(xié)會(huì)、上海安言

信息技術(shù)有限公司、安徽省電子產(chǎn)品監(jiān)督檢驗(yàn)所（安徽省信息安全測(cè)評(píng)中心）。

本標(biāo)準(zhǔn)主要起草人：王慶升、尤其、黨斌、閔京華、蘭安娜、柳彩云、王永

霞、張勇、張博、周亞超、張軒銘、王利強(qiáng)、王愛義、楊帆、石磊、黃磊、王理

東、王法中、許立前、范正翔、于秀彥、劉堪偽。

3、主要工作過程

（１）草案階段

GB/T22080－2016《信息技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T

22081－2016《信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南》構(gòu)成了我國(guó)信息安

全管理標(biāo)準(zhǔn)體系的基礎(chǔ)。這兩個(gè)標(biāo)準(zhǔn)的頒布和實(shí)施，有效提升了各類組織信息安

全管理的水平，增強(qiáng)組織抵御災(zāi)難性事件的能力，大大提高了信息管理工作的安

全性和可靠性。同時(shí)，通過指導(dǎo)信息安全管理體系的建設(shè)，有效提高了對(duì)信息安

全風(fēng)險(xiǎn)的管控能力。

國(guó)家標(biāo)準(zhǔn)征求意見稿材料

近年來，信息安全領(lǐng)域出現(xiàn)了新的形勢(shì)。隨著大數(shù)據(jù)、云計(jì)算等技術(shù)的應(yīng)用

推廣，公有云以其獨(dú)特的優(yōu)勢(shì)越來越受到用戶的青睞，數(shù)據(jù)信息由本地化存儲(chǔ)逐

漸轉(zhuǎn)向云端共享。帶來便捷的同時(shí)，也產(chǎn)生了新的安全隱患，尤其是個(gè)人信息的

泄露可能帶來更為嚴(yán)重的后果。國(guó)家急需制定相關(guān)標(biāo)準(zhǔn)對(duì)公有云服務(wù)商行為進(jìn)行

規(guī)范，保護(hù)云端個(gè)人信息安全。

目前，我國(guó)除了基本的信息安全管理標(biāo)準(zhǔn)之外，還缺乏面向特定應(yīng)用領(lǐng)域的

信息安全標(biāo)準(zhǔn)。ISO/IEC27018是第一個(gè)指導(dǎo)公有云服務(wù)商保護(hù)云中個(gè)人信息安

全的國(guó)際標(biāo)準(zhǔn)，可為充當(dāng)個(gè)人信息處理者的云服務(wù)商提供有關(guān)評(píng)估風(fēng)險(xiǎn)和實(shí)施控

制措施的指導(dǎo)。同時(shí)，以ISO/IEC27018為依據(jù)的“云隱私保護(hù)認(rèn)證”也得到云

服務(wù)商的認(rèn)可。我國(guó)的眾多主流公有云服務(wù)商，如騰訊、平安、百度、華為等，

也都通過了該項(xiàng)認(rèn)證。

ISO/IEC27018是國(guó)際上公認(rèn)的最權(quán)威、最嚴(yán)格的云中個(gè)人信息保護(hù)標(biāo)準(zhǔn)。

它是在GB/T22081（ISO/IEC27002，IDT）的基礎(chǔ)上，針對(duì)公有云個(gè)人信息保護(hù)

提出的額外控制措施。可見，該標(biāo)準(zhǔn)是對(duì)原有信息安全管理標(biāo)準(zhǔn)體系在云端實(shí)施

個(gè)人信息保護(hù)的細(xì)化和延伸，與現(xiàn)有信息安全管理標(biāo)準(zhǔn)體系具有天然的內(nèi)在聯(lián)

系。我國(guó)信息安全管理標(biāo)準(zhǔn)體系是由ISO27000系列標(biāo)準(zhǔn)轉(zhuǎn)化而來，完全可以繼

續(xù)采用ISO/IEC27018作為我國(guó)的國(guó)家標(biāo)準(zhǔn)，規(guī)范公有云服務(wù)商的個(gè)人信息處理

行為，保護(hù)個(gè)人信息安全。

ISO/IEC27018轉(zhuǎn)化實(shí)施后，我國(guó)認(rèn)證機(jī)構(gòu)也可據(jù)此建立認(rèn)證規(guī)則，開展認(rèn)

證服務(wù)，規(guī)范公有云服務(wù)商保護(hù)個(gè)人信息安全的行為，同時(shí)，促進(jìn)標(biāo)準(zhǔn)的貫徹實(shí)

施。

草案階段的主要工作如下：

2019年1月前，項(xiàng)目牽頭單位一直跟蹤國(guó)內(nèi)外信息安全管理體系的技術(shù)發(fā)展，

關(guān)注國(guó)內(nèi)個(gè)人信息保護(hù)方面的行業(yè)動(dòng)態(tài)，及時(shí)了解到國(guó)內(nèi)云服務(wù)提供商對(duì)于“云

隱私保護(hù)認(rèn)證”的迫切需求。通過與中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、陜西省

網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心的溝通協(xié)調(diào)，發(fā)現(xiàn)國(guó)內(nèi)缺少開展“云隱私保護(hù)認(rèn)證”的

標(biāo)準(zhǔn)依據(jù)。而目前國(guó)際上最權(quán)威的“云隱私保護(hù)認(rèn)證”都是基于ISO/IEC27018

開展的，由此確定將ISO/IEC27018:2019《信息技術(shù)安全技術(shù)個(gè)人可識(shí)別信息

國(guó)家標(biāo)準(zhǔn)征求意見稿材料

(PII)處理者在公有云中保護(hù)PII的實(shí)踐指南》轉(zhuǎn)化為國(guó)家標(biāo)準(zhǔn)，完善國(guó)家信息安

全管理標(biāo)準(zhǔn)體系，并適時(shí)推動(dòng)相關(guān)認(rèn)證工作。

2019年1月-2019年3月，按照《申報(bào)指南》的要求，項(xiàng)目牽頭單位與中國(guó)網(wǎng)

絡(luò)安全審查技術(shù)與認(rèn)證中心、陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心簽訂聯(lián)合申報(bào)2019

年網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)合作協(xié)議，準(zhǔn)備網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)個(gè)

人可識(shí)別信息(PII)處理者在公有云中保護(hù)PII的實(shí)踐指南》的申報(bào)材料，并向信

安標(biāo)委提出立項(xiàng)申請(qǐng)。標(biāo)準(zhǔn)申報(bào)材料主要包括：項(xiàng)目建議書、項(xiàng)目申請(qǐng)書、標(biāo)準(zhǔn)

草案。

2019年4月，參加信安標(biāo)委組織的2019年第一次工作組“會(huì)議周”活動(dòng)。會(huì)

上，《信息技術(shù)安全技術(shù)個(gè)人可識(shí)別信息(PII)處理者在公有云中保護(hù)PII的實(shí)

踐指南》作為新立項(xiàng)申報(bào)項(xiàng)目參與項(xiàng)目評(píng)審，順利通過工作組全體成員單位的評(píng)

審（見工作組會(huì)議紀(jì)要，文件編號(hào)：TC260-WG7-2019011）。

2019年5月-2019年8月，配合信安標(biāo)委秘書處，完成標(biāo)準(zhǔn)立項(xiàng)階段其他工作。

期間，項(xiàng)目主要人員多次標(biāo)準(zhǔn)草案進(jìn)行修改完善。

2019年8月21日，信安標(biāo)委下發(fā)《全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)關(guān)于2019

年網(wǎng)絡(luò)安全標(biāo)準(zhǔn)項(xiàng)目立項(xiàng)的通知》（信安秘字[2019]050號(hào)），項(xiàng)目牽頭單位牽

頭申請(qǐng)的《信息技術(shù)安全技術(shù)個(gè)人可識(shí)別信息(PII)處理者在公有云中保護(hù)PII

的實(shí)踐指南》獲批立項(xiàng)。

2019年9月11日，項(xiàng)目牽頭單位派員參加了信安標(biāo)委組織的標(biāo)準(zhǔn)技術(shù)評(píng)審會(huì)，

與會(huì)專家建議結(jié)合國(guó)內(nèi)個(gè)人信息保護(hù)的法律法規(guī)、標(biāo)準(zhǔn)規(guī)范研制本標(biāo)準(zhǔn)，并注意

統(tǒng)一“個(gè)人可識(shí)別信息”的定義。

2019年9月25日，項(xiàng)目牽頭單位發(fā)布“關(guān)于征集《信息技術(shù)安全技術(shù)個(gè)人

可識(shí)別信息（PII）處理者在公有云中保護(hù)PII的實(shí)踐指南》標(biāo)準(zhǔn)參編單位的通知”，

向社會(huì)公開征集標(biāo)準(zhǔn)參編單位。截止目前，中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、

陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心、同程藝龍控股有限公司等多家單位申請(qǐng)參與標(biāo)

準(zhǔn)研制工作。同時(shí)，正在籌劃標(biāo)準(zhǔn)項(xiàng)目啟動(dòng)會(huì)，確定標(biāo)準(zhǔn)研制的工作思路、工作

計(jì)劃，以及各參編單位的任務(wù)分工等工作。

國(guó)家標(biāo)準(zhǔn)征求意見稿材料

2019年10月，參加信安標(biāo)委組織的2019年第二次工作組“會(huì)議周”活動(dòng)，向

工作組全體成員單位匯報(bào)項(xiàng)目進(jìn)展情況，確定下一步工作安排。

2019年11月，標(biāo)準(zhǔn)編制組召開標(biāo)準(zhǔn)編制會(huì)，重點(diǎn)對(duì)國(guó)內(nèi)外個(gè)人信息保護(hù)體系

的協(xié)調(diào)性展開討論，并達(dá)成共識(shí)。

2020年4月，標(biāo)準(zhǔn)編制組召開標(biāo)準(zhǔn)編制會(huì)議。參編單位討論了國(guó)內(nèi)外個(gè)人信

息標(biāo)準(zhǔn)體系的協(xié)調(diào)問題。

（２）征求意見稿階段

2020年5月，參加信息安標(biāo)委組織的2020年WG7工作組第一次全體會(huì)議，標(biāo)準(zhǔn)

編制組向會(huì)議匯報(bào)標(biāo)準(zhǔn)編制情況，聽取與會(huì)專家意見，并對(duì)意見進(jìn)行處理。

2020年6月17日，TC260/WG7主持召開標(biāo)準(zhǔn)征求意見稿評(píng)審會(huì)，對(duì)本標(biāo)準(zhǔn)進(jìn)行

評(píng)審，標(biāo)準(zhǔn)編制組結(jié)合專家意見，對(duì)標(biāo)準(zhǔn)征求意見稿進(jìn)行了進(jìn)一步完善。6月24

日，秘書處責(zé)任編輯對(duì)征求意見稿進(jìn)行了審查，根據(jù)責(zé)任編輯意見進(jìn)行了相應(yīng)修

改。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、編制原則

（1）合規(guī)性原則

本標(biāo)準(zhǔn)采用ISO/IEC27018:2019《信息技術(shù)安全技術(shù)個(gè)人可識(shí)別信息

（PII）處理者在公有云中保護(hù)PII的實(shí)踐指南》。首先堅(jiān)持合規(guī)性原則，確保本

標(biāo)準(zhǔn)符合我國(guó)現(xiàn)行法律法規(guī)的相關(guān)規(guī)定，標(biāo)準(zhǔn)條款與我國(guó)法律法規(guī)和相關(guān)政策不

沖突。

（2）適用性原則

為確保本標(biāo)準(zhǔn)符合我國(guó)基本國(guó)情，重點(diǎn)研究關(guān)鍵術(shù)語與角色在我國(guó)的表述形

式，保證與我國(guó)現(xiàn)行標(biāo)準(zhǔn)體系的相適應(yīng)，為后期標(biāo)準(zhǔn)的實(shí)施奠定良好的基礎(chǔ)。

2、主要內(nèi)容

本標(biāo)準(zhǔn)是在GB/T22081－2016（ISO/IEC27002：2013,IDT）的基礎(chǔ)上，充

分考慮了公有云服務(wù)商保護(hù)個(gè)人信息安全的風(fēng)險(xiǎn)環(huán)境，給出了額外的控制措施，

加強(qiáng)云中個(gè)人信息保護(hù)。本標(biāo)準(zhǔn)包含14個(gè)安全控制章節(jié)、35個(gè)安全類別、114

國(guó)家標(biāo)準(zhǔn)征求意見稿材料

項(xiàng)控制，以及規(guī)范性附錄（公有云個(gè)人信息處理者保護(hù)個(gè)人信息的控制集）。本

標(biāo)準(zhǔn)的內(nèi)容結(jié)構(gòu)見表3。

表3本標(biāo)準(zhǔn)主要內(nèi)容結(jié)構(gòu)

序號(hào)章節(jié)號(hào)章節(jié)內(nèi)容

1第５章信息安全策略

2第６章信息安全組織

3第７章人力資源安全

4第８章資產(chǎn)管理

5第９章訪問控制

6第１０章密碼

7第１１章物理和環(huán)境安全

8第１２章運(yùn)行安全

9第１３章通信安全

10第１４章系統(tǒng)獲取、開發(fā)和維護(hù)

11第１５章供應(yīng)商關(guān)系

12第１６章信息安全事件管理

13第１７章業(yè)務(wù)連續(xù)性管理的信息安全方面

14第１８章符合性

3、解決的主要問題

（１）如何確定適用于公有云環(huán)境下的個(gè)人可識(shí)別信息保護(hù)的額外控制；

（2）針對(duì)國(guó)內(nèi)云服務(wù)商云中個(gè)人信息保護(hù)認(rèn)證需求，解決缺少認(rèn)證標(biāo)準(zhǔn)依據(jù)的

問題；

（3）解決國(guó)內(nèi)云服務(wù)提供商缺少個(gè)人可識(shí)別信息保護(hù)能力自我評(píng)估實(shí)施指南的

問題。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

編制組在標(biāo)準(zhǔn)編制過程中，廣泛聽取云服務(wù)商、認(rèn)證機(jī)構(gòu)、研究機(jī)構(gòu)、行業(yè)

國(guó)家標(biāo)準(zhǔn)征求意見稿材料

組織的意見和建議，不斷完善標(biāo)準(zhǔn)文本。

四、知識(shí)產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)不涉及專利。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

無。

六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度

本標(biāo)準(zhǔn)采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27018:2019《Informationtechnology－

Securitytechniques－Codeofpracticeforprotectionofpersonally

identifiableinformation(PII)inpubliccloudsactingasPIIprocessor》，

該標(biāo)準(zhǔn)是國(guó)際上最權(quán)威、最嚴(yán)格的云中個(gè)人信息保護(hù)標(biāo)準(zhǔn)。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

在標(biāo)準(zhǔn)編制過程中，編制組認(rèn)真分析了本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)、規(guī)章及相

關(guān)國(guó)家標(biāo)準(zhǔn)的協(xié)調(diào)性，確保本標(biāo)準(zhǔn)不違反現(xiàn)行法律、法規(guī)、規(guī)章的規(guī)定，并與相

關(guān)國(guó)家標(biāo)準(zhǔn)相協(xié)調(diào)。

1、合規(guī)性分析

ISO/IEC27018:2019作為一項(xiàng)國(guó)際標(biāo)準(zhǔn)，為保證標(biāo)準(zhǔn)的廣泛適用性，堅(jiān)持遵

守不同國(guó)家或地區(qū)法律法規(guī)的原則，并不違反我國(guó)的相關(guān)法律法規(guī)。將本標(biāo)準(zhǔn)條

款與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《民法總則》、《刑法》、《兒童個(gè)人信

息網(wǎng)絡(luò)保護(hù)規(guī)定》、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)相關(guān)條

款對(duì)比分析（見表1），也證實(shí)了這一點(diǎn)。

表1本標(biāo)準(zhǔn)合規(guī)性分析

法律法

序號(hào)法律法規(guī)相關(guān)內(nèi)容本標(biāo)準(zhǔn)合規(guī)性分析

規(guī)名稱

中華人民共第四十條網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的本標(biāo)準(zhǔn)的目的就是規(guī)范公有云

1

和國(guó)網(wǎng)絡(luò)安用戶信息嚴(yán)格保密，并建立健全用戶信服務(wù)提供商處理個(gè)人信息的行

國(guó)家標(biāo)準(zhǔn)征求意見稿材料

法律法

序號(hào)法律法規(guī)相關(guān)內(nèi)容本標(biāo)準(zhǔn)合規(guī)性分析

規(guī)名稱

全法息保護(hù)制度。為，保護(hù)個(gè)人信息的安全。與該

法律條款的要求一致。

第四十一條網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)本標(biāo)準(zhǔn)遵循的隱私保護(hù)原則正

人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的是對(duì)該法律條款的體現(xiàn)，比方

原則，公開收集、使用規(guī)則，明示收集、說：同意和選擇原則、目的合法

使用信息的目的、方式和范圍，并經(jīng)被性原則、最小化原則等；5.1.1

收集者同意。網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其信息安全策略中規(guī)定，個(gè)人信

提供的服務(wù)無關(guān)的個(gè)人信息，不得違反息主體也可以與個(gè)人信息處理

法律、行政法規(guī)的規(guī)定和雙方的約定收者簽訂合同，約定相關(guān)的事宜，

集、使用個(gè)人信息，并應(yīng)當(dāng)依照法律、約束個(gè)人信息處理者的行為。

行政法規(guī)的規(guī)定和與用戶的約定，處理

其保存的個(gè)人信息。

第四十二條網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡本條款的規(guī)定，在本標(biāo)準(zhǔn)遵循的

改、毀損其收集的個(gè)人信息；未經(jīng)被收隱私原則有所體現(xiàn)。如本標(biāo)準(zhǔn)附

集者同意，不得向他人提供個(gè)人信息。錄A.6使用、保存和披露限制，

但是，經(jīng)過處理無法識(shí)別特定個(gè)人且不附錄A.8開放性、透明度和通知

能復(fù)原的除外。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技等都約定了個(gè)人信息處理者、甚

術(shù)措施和其他必要措施，確保其收集的至分包商的保密責(zé)任，簽訂保密

個(gè)人信息安全，防止信息泄露、毀損、協(xié)議。附錄A.10.1規(guī)定了發(fā)生

丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄數(shù)據(jù)泄漏時(shí)，應(yīng)立即通知客戶。

露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采

取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并

向有關(guān)主管部門報(bào)告。

第五章第一百一十一條自然人的個(gè)明確了個(gè)人信息受法律保護(hù)，確

人信息受法律保護(hù)。任何組織和個(gè)人需定了個(gè)人信息權(quán)利基本民事權(quán)

2民法總則

要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得利地位。

并確保信息安全，不得非法收集、使用、本標(biāo)準(zhǔn)在5.1.1信息安全策略

國(guó)家標(biāo)準(zhǔn)征求意見稿材料

法律法

序號(hào)法律法規(guī)相關(guān)內(nèi)容本標(biāo)準(zhǔn)合規(guī)性分析

規(guī)名稱

加工、傳輸他人個(gè)人信息，不得非法買和附錄A.2中都明確要求公有

賣、提供或者公開他人個(gè)人信息。云個(gè)人信息處理者遵守當(dāng)?shù)氐?/p>

法律法規(guī)。

第二百五十三條違反國(guó)家有關(guān)規(guī)定，定義了侵犯公民個(gè)人信息罪，明

向他人出售或者提供公民個(gè)人信息，情確了違法者承擔(dān)的法律后果。本

節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘標(biāo)準(zhǔn)規(guī)范個(gè)人信息處理者的行

役，并處或者單處罰金;情節(jié)特別嚴(yán)重為，避免犯罪，維護(hù)個(gè)人信息主

的，處三年以上七年以下有期徒刑，并體的合法權(quán)益。

處罰金。

違反國(guó)家有關(guān)規(guī)定，將在履行職責(zé)

或者提供服務(wù)過程中獲得的公民個(gè)人

3刑法信息，出售或者提供給他人的，依照前

款的規(guī)定從重處罰。

竊取或者以其他方法非法獲取公

民個(gè)人信息的，依照第一款的規(guī)定處

罰。

單位犯前三款罪的，對(duì)單位判處罰

金，并對(duì)其直接負(fù)責(zé)的主管人員和其他

直接責(zé)任人員，依照各該款的規(guī)定處

罰。

第二條本規(guī)定所稱兒童，是指不滿十本標(biāo)準(zhǔn)提出了面向云服務(wù)中所

四周歲的未成年人。有個(gè)人可識(shí)別信息的保護(hù)要求，

兒童個(gè)人信第三條在中華人民共和國(guó)境內(nèi)通過網(wǎng)涵蓋了兒童個(gè)人信息保護(hù)要求。

4息網(wǎng)絡(luò)保護(hù)絡(luò)從事收集、存儲(chǔ)、使用、轉(zhuǎn)移、披露在我國(guó)境內(nèi)云服務(wù)商提供個(gè)人

規(guī)定兒童個(gè)人信息等活動(dòng)，適用本規(guī)定。信息保護(hù)涉及兒童個(gè)人信息保

護(hù)的，按照《兒童個(gè)人信息網(wǎng)絡(luò)

保護(hù)規(guī)定》執(zhí)行。本標(biāo)準(zhǔn)是云服

國(guó)家標(biāo)準(zhǔn)征求意見稿材料

法律法

序號(hào)法律法規(guī)相關(guān)內(nèi)容本標(biāo)準(zhǔn)合規(guī)性分析

規(guī)名稱

務(wù)中個(gè)人信息保護(hù)的基礎(chǔ)要求，

與《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)

定》無違背或沖突。

第一條為了保護(hù)電信和互聯(lián)網(wǎng)用戶的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息

合法權(quán)益，維護(hù)網(wǎng)絡(luò)信息安全，根據(jù)《全保護(hù)規(guī)定》規(guī)定提供電信服務(wù)和

國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)互聯(lián)網(wǎng)信息服務(wù)過程中個(gè)人信

網(wǎng)絡(luò)信息保護(hù)的決定》、《中華人民共息的保護(hù)要求，涵蓋了服務(wù)過程

電信和互聯(lián)

和國(guó)電信條例》和《互聯(lián)網(wǎng)信息服務(wù)管中收集、使用用戶個(gè)人信息的活

網(wǎng)用戶個(gè)人

5理辦法》等法律、行政法規(guī)，制定本規(guī)動(dòng)。本標(biāo)準(zhǔn)與《電信和互聯(lián)網(wǎng)用

信息保護(hù)規(guī)

定。戶個(gè)人信息保護(hù)規(guī)定》無違背或

定

第二條在中華人民共和國(guó)境內(nèi)提供電沖突。

信服務(wù)和互聯(lián)網(wǎng)信息服務(wù)過程中收集、

使用用戶個(gè)人信息的活動(dòng)，適用本規(guī)

定。

2、協(xié)調(diào)性分析

國(guó)內(nèi)涉及個(gè)人信息及云計(jì)算的相關(guān)標(biāo)準(zhǔn)見表2。

表2國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)

序號(hào)標(biāo)準(zhǔn)號(hào)標(biāo)準(zhǔn)名稱標(biāo)準(zhǔn)內(nèi)容

規(guī)定了開展收集、保存、使用、共享、

《信息安全技術(shù)個(gè)人

1GB/T35273－2020轉(zhuǎn)讓、公開披露等個(gè)人信息處理活動(dòng)應(yīng)

信息安全規(guī)范》

遵循的原則和安全要求。

提出了政府部門采用云計(jì)算服務(wù)的安

《信息安全技術(shù)云計(jì)

2GB/T31167－2014全要求及云計(jì)算服務(wù)的生命周期各階

算服務(wù)安全指南》

段的安全管理和技術(shù)要求。

《信息安全技術(shù)云計(jì)規(guī)定了以社會(huì)化方式提供云計(jì)算服務(wù)

3GB/T31168－2014

算服務(wù)安全能力要求》的服務(wù)商應(yīng)滿足信息安全基本要求。

國(guó)家標(biāo)準(zhǔn)征求意見稿材料

（1）與GB/T35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》的協(xié)調(diào)性分析

GB/T35273是實(shí)踐《網(wǎng)絡(luò)安全法》中有關(guān)個(gè)人信息保護(hù)的基礎(chǔ)標(biāo)準(zhǔn)，重點(diǎn)規(guī)

范個(gè)人信息控制者在收集、存儲(chǔ)、適用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)

的相關(guān)行為。本標(biāo)準(zhǔn)規(guī)范了個(gè)人信息處理者在公有云中處理個(gè)人信息的相關(guān)行

為。由于個(gè)人信息處理者是按照個(gè)人信息控制者指令處理個(gè)人信息的一方，所以

本標(biāo)準(zhǔn)是在GB/T35273基礎(chǔ)上，面向云應(yīng)用場(chǎng)景對(duì)個(gè)人信息處理者的要求。由此

可見，本標(biāo)準(zhǔn)與GB/T35273相協(xié)調(diào)。

（2）與GB/T31167《信息安全技術(shù)云計(jì)算服務(wù)安全指南》的協(xié)調(diào)性分析

GB/T31167規(guī)定了政府部門采用云計(jì)算服務(wù)的安全管理基本要求，適用于政

府部門采購和使用云計(jì)算服務(wù)。本標(biāo)準(zhǔn)規(guī)定了公有云服務(wù)商作為個(gè)人信息處理者

角色時(shí)處理個(gè)人信息的基本要求，兩者適用范圍不同，未發(fā)生沖突。

（3）與GB/T31168《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》的協(xié)調(diào)性分析

GB/T31168標(biāo)準(zhǔn)側(cè)重云計(jì)算平臺(tái)應(yīng)具備的整體安全能力。依據(jù)《云計(jì)算服務(wù)

安全評(píng)估辦法》，該標(biāo)準(zhǔn)適用于對(duì)黨政機(jī)關(guān)和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者使用的云

計(jì)算服務(wù)進(jìn)行安全管理，還適用于指導(dǎo)云服務(wù)商建設(shè)安全的云計(jì)算平臺(tái)和提供安

全的云計(jì)算服務(wù)。

同時(shí)，GB/T31168弱化了個(gè)人信息保護(hù)的相關(guān)要求，側(cè)重能夠提供相關(guān)機(jī)制，

滿足客戶需求。此外，根據(jù)云計(jì)算服務(wù)評(píng)估實(shí)踐經(jīng)驗(yàn)，一般以IaaS模式的社區(qū)云

為主，上層應(yīng)用由客戶部署，在平臺(tái)層面難以實(shí)現(xiàn)數(shù)據(jù)分級(jí)分類。此外，對(duì)于政

府客戶和關(guān)鍵信息基礎(chǔ)設(shè)施客戶，在數(shù)據(jù)保護(hù)方面，更多是遷移過程中的數(shù)據(jù)完

整性和業(yè)務(wù)連續(xù)性，服務(wù)關(guān)閉后的數(shù)據(jù)留存，以及數(shù)據(jù)管理機(jī)制建設(shè)。

八、重大分歧意見的處理經(jīng)過和依據(jù)

１、重大分歧

針對(duì)如何協(xié)調(diào)處理本標(biāo)準(zhǔn)中的“個(gè)人可識(shí)別信息（ＰＩＩ）”與國(guó)內(nèi)標(biāo)準(zhǔn)中

的“個(gè)人信息”，業(yè)內(nèi)專家給出了不同的意見和建議，歸納如下：

（1）本標(biāo)準(zhǔn)采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27018：2019，首先要融入我國(guó)現(xiàn)有的標(biāo)準(zhǔn)體

國(guó)家標(biāo)準(zhǔn)征求意見稿材料

系，才能保證標(biāo)準(zhǔn)的順利實(shí)施。針對(duì)自然人信息的術(shù)語，我國(guó)使用“個(gè)人信息”

進(jìn)行表述，而沒有“個(gè)人可識(shí)別信息（PII）”的表述。因此，建議使用“個(gè)人

信息”代替“個(gè)人可識(shí)別信息（PII）”，保證與我國(guó)標(biāo)準(zhǔn)術(shù)語表述的一致性。

（2）“個(gè)人可識(shí)別信息（PII）”與“個(gè)人信息”是兩個(gè)不同的術(shù)語，不能使用

“個(gè)人信息”代替“個(gè)人可識(shí)別信息（PII）”。

（3）不宜過多關(guān)注“個(gè)人可識(shí)別信息（PII）”與“個(gè)人信息”的差別，應(yīng)該重

點(diǎn)考慮使用“個(gè)人信息”代替“個(gè)人可識(shí)別信息（PII）”后，原有標(biāo)準(zhǔn)條款的

適用性。

2、處理經(jīng)過和依據(jù)

標(biāo)準(zhǔn)編制組先后于2019年10月10日、2019年11月18日、2019年12月25日、2020

年3月5日、2020年4月7日、2020年4月16日召開標(biāo)準(zhǔn)編制會(huì)議及專家評(píng)審會(huì)議對(duì)

該問題進(jìn)行研討處理。處理經(jīng)過和依據(jù)如下：

（1）認(rèn)真分析兩個(gè)術(shù)語定義的內(nèi)涵

GB/T35273－２０２０《信息安全技術(shù)個(gè)人信息安全規(guī)范》對(duì)“個(gè)人信息”

的定義：

以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人

身份或者反映特定自然人活動(dòng)情況的各種信息。

該定義包含兩層含義：

a）單獨(dú)識(shí)別自然人身份的各種信息；

b）與其他信息結(jié)合識(shí)別自然人身份的各種信息。

ISO/IEC27018：2019《Informationtechnology—Security

techniques—Codeofpracticeforprotectionofpersonallyidentifiable

information(PII)inpubliccloudsActingasPIIprocessors》對(duì)“個(gè)人

可識(shí)別信息（PII）”的定義：

anyinformationthat(a)canbeusedtoestablishalinkbetweenthe

國(guó)家標(biāo)準(zhǔn)征求意見稿材料

informationandthenaturalpersontowhomsuchinformationrelates,or

(b)isorcanbedirectlyorindirectlylinkedtoanaturalperson.

該定義也包含兩層含義：

a）幫助建立信息和自然人鏈接的任何信息；

b）直接或間接鏈接到自然人的任何信息。