《信息技术 安全技术 公有云中个人信息保护实践指南-编制说明》

国家标准征求意见稿材料

一、工作简况

1、任务来源

2019年8月21日，信安标委下发《全国信息安全标准化技术委员会关于2019

年网络安全标准项目立项的通知》（信安秘字[2019]050号），标准《信息技术安

全技术个人可识别信息(PII)处理者在公有云中保护PII的实践指南》获批立项，

项目编号：2019BZZD-WG7-007。2020年4月，国家标准化技术委员会下达2020年

第一批推荐性国家标准计划（国标委发[2020]14号），本标准计划号：

20201694-T-469。

2、主要起草单位和工作组成员

本标准由全国信息安全标准化技术委员（TC260）会提出并归口，由山东省

标准化研究院牵头编制，起草有山东省标准化研究院、杭州拓深科技有限公司、

中国网络安全审查技术与认证中心、陕西省网络与信息安全测评中心、同程艺龙

控股有限公司、中电长城网际系统应用有限公司、北京钱袋宝支付技术有限公司、

国家工业信息安全发展研究中心、腾讯云计算（北京）有限责任公司、陕西省信

息化工程研究院、中电数据服务有限公司、上海市信息安全行业协会、上海安言

信息技术有限公司、安徽省电子产品监督检验所（安徽省信息安全测评中心）。

本标准主要起草人：王庆升、尤其、党斌、闵京华、兰安娜、柳彩云、王永

霞、张勇、张博、周亚超、张轩铭、王利强、王爱义、杨帆、石磊、黄磊、王理

东、王法中、许立前、范正翔、于秀彦、刘堪伪。

3、主要工作过程

（１）草案阶段

GB/T22080－2016《信息技术安全技术信息安全管理体系要求》和GB/T

22081－2016《信息技术安全技术信息安全控制实践指南》构成了我国信息安

全管理标准体系的基础。这两个标准的颁布和实施，有效提升了各类组织信息安

全管理的水平，增强组织抵御灾难性事件的能力，大大提高了信息管理工作的安

全性和可靠性。同时，通过指导信息安全管理体系的建设，有效提高了对信息安

全风险的管控能力。

国家标准征求意见稿材料

近年来，信息安全领域出现了新的形势。随着大数据、云计算等技术的应用

推广，公有云以其独特的优势越来越受到用户的青睐，数据信息由本地化存储逐

渐转向云端共享。带来便捷的同时，也产生了新的安全隐患，尤其是个人信息的

泄露可能带来更为严重的后果。国家急需制定相关标准对公有云服务商行为进行

规范，保护云端个人信息安全。

目前，我国除了基本的信息安全管理标准之外，还缺乏面向特定应用领域的

信息安全标准。ISO/IEC27018是第一个指导公有云服务商保护云中个人信息安

全的国际标准，可为充当个人信息处理者的云服务商提供有关评估风险和实施控

制措施的指导。同时，以ISO/IEC27018为依据的“云隐私保护认证”也得到云

服务商的认可。我国的众多主流公有云服务商，如腾讯、平安、百度、华为等，

也都通过了该项认证。

ISO/IEC27018是国际上公认的最权威、最严格的云中个人信息保护标准。

它是在GB/T22081（ISO/IEC27002，IDT）的基础上，针对公有云个人信息保护

提出的额外控制措施。可见，该标准是对原有信息安全管理标准体系在云端实施

个人信息保护的细化和延伸，与现有信息安全管理标准体系具有天然的内在联

系。我国信息安全管理标准体系是由ISO27000系列标准转化而来，完全可以继

续采用ISO/IEC27018作为我国的国家标准，规范公有云服务商的个人信息处理

行为，保护个人信息安全。

ISO/IEC27018转化实施后，我国认证机构也可据此建立认证规则，开展认

证服务，规范公有云服务商保护个人信息安全的行为，同时，促进标准的贯彻实

施。

草案阶段的主要工作如下：

2019年1月前，项目牵头单位一直跟踪国内外信息安全管理体系的技术发展，

关注国内个人信息保护方面的行业动态，及时了解到国内云服务提供商对于“云

隐私保护认证”的迫切需求。通过与中国网络安全审查技术与认证中心、陕西省

网络与信息安全测评中心的沟通协调，发现国内缺少开展“云隐私保护认证”的

标准依据。而目前国际上最权威的“云隐私保护认证”都是基于ISO/IEC27018

开展的，由此确定将ISO/IEC27018:2019《信息技术安全技术个人可识别信息

国家标准征求意见稿材料

(PII)处理者在公有云中保护PII的实践指南》转化为国家标准，完善国家信息安

全管理标准体系，并适时推动相关认证工作。

2019年1月-2019年3月，按照《申报指南》的要求，项目牵头单位与中国网

络安全审查技术与认证中心、陕西省网络与信息安全测评中心签订联合申报2019

年网络安全国家标准合作协议，准备网络安全国家标准《信息技术安全技术个

人可识别信息(PII)处理者在公有云中保护PII的实践指南》的申报材料，并向信

安标委提出立项申请。标准申报材料主要包括：项目建议书、项目申请书、标准

草案。

2019年4月，参加信安标委组织的2019年第一次工作组“会议周”活动。会

上，《信息技术安全技术个人可识别信息(PII)处理者在公有云中保护PII的实

践指南》作为新立项申报项目参与项目评审，顺利通过工作组全体成员单位的评

审（见工作组会议纪要，文件编号：TC260-WG7-2019011）。

2019年5月-2019年8月，配合信安标委秘书处，完成标准立项阶段其他工作。

期间，项目主要人员多次标准草案进行修改完善。

2019年8月21日，信安标委下发《全国信息安全标准化技术委员会关于2019

年网络安全标准项目立项的通知》（信安秘字[2019]050号），项目牵头单位牵

头申请的《信息技术安全技术个人可识别信息(PII)处理者在公有云中保护PII

的实践指南》获批立项。

2019年9月11日，项目牵头单位派员参加了信安标委组织的标准技术评审会，

与会专家建议结合国内个人信息保护的法律法规、标准规范研制本标准，并注意

统一“个人可识别信息”的定义。

2019年9月25日，项目牵头单位发布“关于征集《信息技术安全技术个人

可识别信息（PII）处理者在公有云中保护PII的实践指南》标准参编单位的通知”，

向社会公开征集标准参编单位。截止目前，中国网络安全审查技术与认证中心、

陕西省网络与信息安全测评中心、同程艺龙控股有限公司等多家单位申请参与标

准研制工作。同时，正在筹划标准项目启动会，确定标准研制的工作思路、工作

计划，以及各参编单位的任务分工等工作。

国家标准征求意见稿材料

2019年10月，参加信安标委组织的2019年第二次工作组“会议周”活动，向

工作组全体成员单位汇报项目进展情况，确定下一步工作安排。

2019年11月，标准编制组召开标准编制会，重点对国内外个人信息保护体系

的协调性展开讨论，并达成共识。

2020年4月，标准编制组召开标准编制会议。参编单位讨论了国内外个人信

息标准体系的协调问题。

（２）征求意见稿阶段

2020年5月，参加信息安标委组织的2020年WG7工作组第一次全体会议，标准

编制组向会议汇报标准编制情况，听取与会专家意见，并对意见进行处理。

2020年6月17日，TC260/WG7主持召开标准征求意见稿评审会，对本标准进行

评审，标准编制组结合专家意见，对标准征求意见稿进行了进一步完善。6月24

日，秘书处责任编辑对征求意见稿进行了审查，根据责任编辑意见进行了相应修

改。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1、编制原则

（1）合规性原则

本标准采用ISO/IEC27018:2019《信息技术安全技术个人可识别信息

（PII）处理者在公有云中保护PII的实践指南》。首先坚持合规性原则，确保本

标准符合我国现行法律法规的相关规定，标准条款与我国法律法规和相关政策不

冲突。

（2）适用性原则

为确保本标准符合我国基本国情，重点研究关键术语与角色在我国的表述形

式，保证与我国现行标准体系的相适应，为后期标准的实施奠定良好的基础。

2、主要内容

本标准是在GB/T22081－2016（ISO/IEC27002：2013,IDT）的基础上，充

分考虑了公有云服务商保护个人信息安全的风险环境，给出了额外的控制措施，

加强云中个人信息保护。本标准包含14个安全控制章节、35个安全类别、114

国家标准征求意见稿材料

项控制，以及规范性附录（公有云个人信息处理者保护个人信息的控制集）。本

标准的内容结构见表3。

表3本标准主要内容结构

序号章节号章节内容

1第５章信息安全策略

2第６章信息安全组织

3第７章人力资源安全

4第８章资产管理

5第９章访问控制

6第１０章密码

7第１１章物理和环境安全

8第１２章运行安全

9第１３章通信安全

10第１４章系统获取、开发和维护

11第１５章供应商关系

12第１６章信息安全事件管理

13第１７章业务连续性管理的信息安全方面

14第１８章符合性

3、解决的主要问题

（１）如何确定适用于公有云环境下的个人可识别信息保护的额外控制；

（2）针对国内云服务商云中个人信息保护认证需求，解决缺少认证标准依据的

问题；

（3）解决国内云服务提供商缺少个人可识别信息保护能力自我评估实施指南的

问题。

三、主要试验[或验证]情况分析

编制组在标准编制过程中，广泛听取云服务商、认证机构、研究机构、行业

国家标准征求意见稿材料

组织的意见和建议，不断完善标准文本。

四、知识产权情况说明

本标准不涉及专利。

五、产业化情况、推广应用论证和预期达到的经济效果

无。

六、采用国际标准和国外先进标准的程度

本标准采用国际标准ISO/IEC27018:2019《Informationtechnology－

Securitytechniques－Codeofpracticeforprotectionofpersonally

identifiableinformation(PII)inpubliccloudsactingasPIIprocessor》，

该标准是国际上最权威、最严格的云中个人信息保护标准。

七、与现行相关法律、法规、规章及相关标准的协调性

在标准编制过程中，编制组认真分析了本标准与现行法律、法规、规章及相

关国家标准的协调性，确保本标准不违反现行法律、法规、规章的规定，并与相

关国家标准相协调。

1、合规性分析

ISO/IEC27018:2019作为一项国际标准，为保证标准的广泛适用性，坚持遵

守不同国家或地区法律法规的原则，并不违反我国的相关法律法规。将本标准条

款与《中华人民共和国网络安全法》、《民法总则》、《刑法》、《儿童个人信

息网络保护规定》、《电信和互联网用户个人信息保护规定》等法律法规相关条

款对比分析（见表1），也证实了这一点。

表1本标准合规性分析

法律法

序号法律法规相关内容本标准合规性分析

规名称

中华人民共第四十条网络运营者应当对其收集的本标准的目的就是规范公有云

1

和国网络安用户信息严格保密，并建立健全用户信服务提供商处理个人信息的行

国家标准征求意见稿材料

法律法

序号法律法规相关内容本标准合规性分析

规名称

全法息保护制度。为，保护个人信息的安全。与该

法律条款的要求一致。

第四十一条网络运营者收集、使用个本标准遵循的隐私保护原则正

人信息，应当遵循合法、正当、必要的是对该法律条款的体现，比方

原则，公开收集、使用规则，明示收集、说：同意和选择原则、目的合法

使用信息的目的、方式和范围，并经被性原则、最小化原则等；5.1.1

收集者同意。网络运营者不得收集与其信息安全策略中规定，个人信

提供的服务无关的个人信息，不得违反息主体也可以与个人信息处理

法律、行政法规的规定和双方的约定收者签订合同，约定相关的事宜，

集、使用个人信息，并应当依照法律、约束个人信息处理者的行为。

行政法规的规定和与用户的约定，处理

其保存的个人信息。

第四十二条网络运营者不得泄露、篡本条款的规定，在本标准遵循的

改、毁损其收集的个人信息；未经被收隐私原则有所体现。如本标准附

集者同意，不得向他人提供个人信息。录A.6使用、保存和披露限制，

但是，经过处理无法识别特定个人且不附录A.8开放性、透明度和通知

能复原的除外。网络运营者应当采取技等都约定了个人信息处理者、甚

术措施和其他必要措施，确保其收集的至分包商的保密责任，签订保密

个人信息安全，防止信息泄露、毁损、协议。附录A.10.1规定了发生

丢失。在发生或者可能发生个人信息泄数据泄漏时，应立即通知客户。

露、毁损、丢失的情况时，应当立即采

取补救措施，按照规定及时告知用户并

向有关主管部门报告。

第五章第一百一十一条自然人的个明确了个人信息受法律保护，确

人信息受法律保护。任何组织和个人需定了个人信息权利基本民事权

2民法总则

要获取他人个人信息的，应当依法取得利地位。

并确保信息安全，不得非法收集、使用、本标准在5.1.1信息安全策略

国家标准征求意见稿材料

法律法

序号法律法规相关内容本标准合规性分析

规名称

加工、传输他人个人信息，不得非法买和附录A.2中都明确要求公有

卖、提供或者公开他人个人信息。云个人信息处理者遵守当地的

法律法规。

第二百五十三条违反国家有关规定，定义了侵犯公民个人信息罪，明

向他人出售或者提供公民个人信息，情确了违法者承担的法律后果。本

节严重的，处三年以下有期徒刑或者拘标准规范个人信息处理者的行

役，并处或者单处罚金;情节特别严重为，避免犯罪，维护个人信息主

的，处三年以上七年以下有期徒刑，并体的合法权益。

处罚金。

违反国家有关规定，将在履行职责

或者提供服务过程中获得的公民个人

3刑法信息，出售或者提供给他人的，依照前

款的规定从重处罚。

窃取或者以其他方法非法获取公

民个人信息的，依照第一款的规定处

罚。

单位犯前三款罪的，对单位判处罚

金，并对其直接负责的主管人员和其他

直接责任人员，依照各该款的规定处

罚。

第二条本规定所称儿童，是指不满十本标准提出了面向云服务中所

四周岁的未成年人。有个人可识别信息的保护要求，

儿童个人信第三条在中华人民共和国境内通过网涵盖了儿童个人信息保护要求。

4息网络保护络从事收集、存储、使用、转移、披露在我国境内云服务商提供个人

规定儿童个人信息等活动，适用本规定。信息保护涉及儿童个人信息保

护的，按照《儿童个人信息网络

保护规定》执行。本标准是云服

国家标准征求意见稿材料

法律法

序号法律法规相关内容本标准合规性分析

规名称

务中个人信息保护的基础要求，

与《儿童个人信息网络保护规

定》无违背或冲突。

第一条为了保护电信和互联网用户的《电信和互联网用户个人信息

合法权益，维护网络信息安全，根据《全保护规定》规定提供电信服务和

国人民代表大会常务委员会关于加强互联网信息服务过程中个人信

网络信息保护的决定》、《中华人民共息的保护要求，涵盖了服务过程

电信和互联

和国电信条例》和《互联网信息服务管中收集、使用用户个人信息的活

网用户个人

5理办法》等法律、行政法规，制定本规动。本标准与《电信和互联网用

信息保护规

定。户个人信息保护规定》无违背或

定

第二条在中华人民共和国境内提供电冲突。

信服务和互联网信息服务过程中收集、

使用用户个人信息的活动，适用本规

定。

2、协调性分析

国内涉及个人信息及云计算的相关标准见表2。

表2国内相关标准

序号标准号标准名称标准内容

规定了开展收集、保存、使用、共享、

《信息安全技术个人

1GB/T35273－2020转让、公开披露等个人信息处理活动应

信息安全规范》

遵循的原则和安全要求。

提出了政府部门采用云计算服务的安

《信息安全技术云计

2GB/T31167－2014全要求及云计算服务的生命周期各阶

算服务安全指南》

段的安全管理和技术要求。

《信息安全技术云计规定了以社会化方式提供云计算服务

3GB/T31168－2014

算服务安全能力要求》的服务商应满足信息安全基本要求。

国家标准征求意见稿材料

（1）与GB/T35273《信息安全技术个人信息安全规范》的协调性分析

GB/T35273是实践《网络安全法》中有关个人信息保护的基础标准，重点规

范个人信息控制者在收集、存储、适用、共享、转让、公开披露等信息处理环节

的相关行为。本标准规范了个人信息处理者在公有云中处理个人信息的相关行

为。由于个人信息处理者是按照个人信息控制者指令处理个人信息的一方，所以

本标准是在GB/T35273基础上，面向云应用场景对个人信息处理者的要求。由此

可见，本标准与GB/T35273相协调。

（2）与GB/T31167《信息安全技术云计算服务安全指南》的协调性分析

GB/T31167规定了政府部门采用云计算服务的安全管理基本要求，适用于政

府部门采购和使用云计算服务。本标准规定了公有云服务商作为个人信息处理者

角色时处理个人信息的基本要求，两者适用范围不同，未发生冲突。

（3）与GB/T31168《信息安全技术云计算服务安全能力要求》的协调性分析

GB/T31168标准侧重云计算平台应具备的整体安全能力。依据《云计算服务

安全评估办法》，该标准适用于对党政机关和关键信息基础设施运营者使用的云

计算服务进行安全管理，还适用于指导云服务商建设安全的云计算平台和提供安

全的云计算服务。

同时，GB/T31168弱化了个人信息保护的相关要求，侧重能够提供相关机制，

满足客户需求。此外，根据云计算服务评估实践经验，一般以IaaS模式的社区云

为主，上层应用由客户部署，在平台层面难以实现数据分级分类。此外，对于政

府客户和关键信息基础设施客户，在数据保护方面，更多是迁移过程中的数据完

整性和业务连续性，服务关闭后的数据留存，以及数据管理机制建设。

八、重大分歧意见的处理经过和依据

１、重大分歧

针对如何协调处理本标准中的“个人可识别信息（ＰＩＩ）”与国内标准中

的“个人信息”，业内专家给出了不同的意见和建议，归纳如下：

（1）本标准采用国际标准ISO/IEC27018：2019，首先要融入我国现有的标准体

国家标准征求意见稿材料

系，才能保证标准的顺利实施。针对自然人信息的术语，我国使用“个人信息”

进行表述，而没有“个人可识别信息（PII）”的表述。因此，建议使用“个人

信息”代替“个人可识别信息（PII）”，保证与我国标准术语表述的一致性。

（2）“个人可识别信息（PII）”与“个人信息”是两个不同的术语，不能使用

“个人信息”代替“个人可识别信息（PII）”。

（3）不宜过多关注“个人可识别信息（PII）”与“个人信息”的差别，应该重

点考虑使用“个人信息”代替“个人可识别信息（PII）”后，原有标准条款的

适用性。

2、处理经过和依据

标准编制组先后于2019年10月10日、2019年11月18日、2019年12月25日、2020

年3月5日、2020年4月7日、2020年4月16日召开标准编制会议及专家评审会议对

该问题进行研讨处理。处理经过和依据如下：

（1）认真分析两个术语定义的内涵

GB/T35273－２０２０《信息安全技术个人信息安全规范》对“个人信息”

的定义：

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人

身份或者反映特定自然人活动情况的各种信息。

该定义包含两层含义：

a）单独识别自然人身份的各种信息；

b）与其他信息结合识别自然人身份的各种信息。

ISO/IEC27018：2019《Informationtechnology—Security

techniques—Codeofpracticeforprotectionofpersonallyidentifiable

information(PII)inpubliccloudsActingasPIIprocessors》对“个人

可识别信息（PII）”的定义：

anyinformationthat(a)canbeusedtoestablishalinkbetweenthe

国家标准征求意见稿材料

informationandthenaturalpersontowhomsuchinformationrelates,or

(b)isorcanbedirectlyorindirectlylinkedtoanaturalperson.

该定义也包含两层含义：

a）帮助建立信息和自然人链接的任何信息；

b）直接或间接链接到自然人的任何信息。