信息技术 安全技术 公有云中个人信息保护实践指南-编制说明

国家标准征求意见稿材料一、工作简况1、任务来源2019年8月21日，信安标委下发《全国信息安全标准化技术委员会关于2019年网络安全标准项目立项的通知》（信安秘字[2019]050号），标准《信息技术安全技术个人可识别信息(PII)处理者在公有云中保护PII的实践指南》获批立项，项目编号：2019BZZD-WG7-007。2020年4月，国家标准化技术委员会下达2020年第一批推荐性国家标准计划（国标委发[2020]14号），本标准计划号：20201694-T-469。2、主要起草单位和工作组成员本标准由全国信息安全标准化技术委员（TC260）会提出并归口，由山东省标准化研究院牵头编制，起草有山东省标准化研究院、杭州拓深科技有限公司、中国网络安全审查技术与认证中心、陕西省网络与信息安全测评中心、同程艺龙控股有限公司、中电长城网际系统应用有限公司、北京钱袋宝支付技术有限公司、国家工业信息安全发展研究中心、腾讯云计算（北京）有限责任公司、陕西省信息化工程研究院、中电数据服务有限公司、上海市信息安全行业协会、上海安言信息技术有限公司、安徽省电子产品监督检验所（安徽省信息安全测评中心）。本标准主要起草人：王庆升、尤其、党斌、闵京华、兰安娜、柳彩云、王永霞、张勇、张博、周亚超、张轩铭、王利强、王爱义、杨帆、石磊、黄磊、王理东、王法中、许立前、范正翔、于秀彦、刘堪伪。3、主要工作过程（１）草案阶段 GB/T22080－2016《信息技术安全技术信息安全管理体系要求》和GB/T22081－2016《信息技术安全技术信息安全控制实践指南》构成了我国信息安全管理标准体系的基础。这两个标准的颁布和实施，有效提升了各类组织信息安全管理的水平，增强组织抵御灾难性事件的能力，大大提高了信息管理工作的安全性和可靠性。同时，通过指导信息安全管理体系的建设，有效提高了对信息安全风险的管控能力。 近年来，信息安全领域出现了新的形势。随着大数据、云计算等技术的应用推广，公有云以其独特的优势越来越受到用户的青睐，数据信息由本地化存储逐渐转向云端共享。带来便捷的同时，也产生了新的安全隐患，尤其是个人信息的泄露可能带来更为严重的后果。国家急需制定相关标准对公有云服务商行为进行规范，保护云端个人信息安全。 目前，我国除了基本的信息安全管理标准之外，还缺乏面向特定应用领域的信息安全标准。ISO/IEC27018是第一个指导公有云服务商保护云中个人信息安全的国际标准，可为充当个人信息处理者的云服务商提供有关评估风险和实施控制措施的指导。同时，以ISO/IEC27018为依据的“云隐私保护认证”也得到云服务商的认可。我国的众多主流公有云服务商，如腾讯、平安、百度、华为等，也都通过了该项认证。 ISO/IEC27018是国际上公认的最权威、最严格的云中个人信息保护标准。它是在GB/T22081（ISO/IEC27002，IDT）的基础上，针对公有云个人信息保护提出的额外控制措施。可见，该标准是对原有信息安全管理标准体系在云端实施个人信息保护的细化和延伸，与现有信息安全管理标准体系具有天然的内在联系。我国信息安全管理标准体系是由ISO27000系列标准转化而来，完全可以继续采用ISO/IEC27018作为我国的国家标准，规范公有云服务商的个人信息处理行为，保护个人信息安全。 ISO/IEC27018转化实施后，我国认证机构也可据此建立认证规则，开展认证服务，规范公有云服务商保护个人信息安全的行为，同时，促进标准的贯彻实施。 草案阶段的主要工作如下： 2019年1月前，项目牵头单位一直跟踪国内外信息安全管理体系的技术发展，关注国内个人信息保护方面的行业动态，及时了解到国内云服务提供商对于“云隐私保护认证”的迫切需求。通过与中国网络安全审查技术与认证中心、陕西省网络与信息安全测评中心的沟通协调，发现国内缺少开展“云隐私保护认证”的标准依据。而目前国际上最权威的“云隐私保护认证”都是基于ISO/IEC27018开展的，由此确定将ISO/IEC27018:2019《信息技术安全技术个人可识别信息(PII)处理者在公有云中保护PII的实践指南》转化为国家标准，完善国家信息安全管理标准体系，并适时推动相关认证工作。 2019年1月-2019年3月，按照《申报指南》的要求，项目牵头单位与中国网络安全审查技术与认证中心、陕西省网络与信息安全测评中心签订联合申报2019年网络安全国家标准合作协议，准备网络安全国家标准《信息技术安全技术个人可识别信息(PII)处理者在公有云中保护PII的实践指南》的申报材料，并向信安标委提出立项申请。标准申报材料主要包括：项目建议书、项目申请书、标准草案。 2019年4月，参加信安标委组织的2019年第一次工作组“会议周”活动。会上，《信息技术安全技术个人可识别信息(PII)处理者在公有云中保护PII的实践指南》作为新立项申报项目参与项目评审，顺利通过工作组全体成员单位的评审（见工作组会议纪要，文件编号：TC260-WG7-2019011）。 2019年5月-2019年8月，配合信安标委秘书处，完成标准立项阶段其他工作。期间，项目主要人员多次标准草案进行修改完善。 2019年8月21日，信安标委下发《全国信息安全标准化技术委员会关于2019年网络安全标准项目立项的通知》（信安秘字[2019]050号），项目牵头单位牵头申请的《信息技术安全技术个人可识别信息(PII)处理者在公有云中保护PII的实践指南》获批立项。 2019年9月11日，项目牵头单位派员参加了信安标委组织的标准技术评审会，与会专家建议结合国内个人信息保护的法律法规、标准规范研制本标准，并注意统一“个人可识别信息”的定义。 2019年9月25日，项目牵头单位发布“关于征集《信息技术安全技术个人可识别信息（PII）处理者在公有云中保护PII的实践指南》标准参编单位的通知”，向社会公开征集标准参编单位。截止目前，中国网络安全审查技术与认证中心、陕西省网络与信息安全测评中心、同程艺龙控股有限公司等多家单位申请参与标准研制工作。同时，正在筹划标准项目启动会，确定标准研制的工作思路、工作计划，以及各参编单位的任务分工等工作。 2019年10月，参加信安标委组织的2019年第二次工作组“会议周”活动，向工作组全体成员单位汇报项目进展情况，确定下一步工作安排。 2019年11月，标准编制组召开标准编制会，重点对国内外个人信息保护体系的协调性展开讨论，并达成共识。 2020年4月，标准编制组召开标准编制会议。参编单位讨论了国内外个人信息标准体系的协调问题。（２）征求意见稿阶段 2020年5月，参加信息安标委组织的2020年WG7工作组第一次全体会议，标准编制组向会议汇报标准编制情况，听取与会专家意见，并对意见进行处理。 2020年6月17日，TC260/WG7主持召开标准征求意见稿评审会，对本标准进行评审，标准编制组结合专家意见，对标准征求意见稿进行了进一步完善。6月24日，秘书处责任编辑对征求意见稿进行了审查，根据责任编辑意见进行了相应修改。二、标准编制原则和确定主要内容的论据及解决的主要问题1、编制原则（1）合规性原则本标准采用ISO/IEC27018:2019《信息技术安全技术个人可识别信息（PII）处理者在公有云中保护PII的实践指南》。首先坚持合规性原则，确保本标准符合我国现行法律法规的相关规定，标准条款与我国法律法规和相关政策不冲突。（2）适用性原则 为确保本标准符合我国基本国情，重点研究关键术语与角色在我国的表述形式，保证与我国现行标准体系的相适应，为后期标准的实施奠定良好的基础。2、主要内容本标准是在GB/T22081－2016（ISO/IEC27002：2013,IDT）的基础上，充分考虑了公有云服务商保护个人信息安全的风险环境，给出了额外的控制措施，加强云中个人信息保护。本标准包含14个安全控制章节、35个安全类别、114项控制，以及规范性附录（公有云个人信息处理者保护个人信息的控制集）。本标准的内容结构见表3。表3本标准主要内容结构序号章节号章节内容1第５章信息安全策略2第６章信息安全组织3第７章人力资源安全4第８章资产管理5第９章访问控制6第１０章密码7第１１章物理和环境安全8第１２章运行安全9第１３章通信安全10第１４章系统获取、开发和维护11第１５章供应商关系12第１６章信息安全事件管理13第１７章业务连续性管理的信息安全方面14第１８章符合性3、解决的主要问题（１）如何确定适用于公有云环境下的个人可识别信息保护的额外控制；（2）针对国内云服务商云中个人信息保护认证需求，解决缺少认证标准依据的问题；（3）解决国内云服务提供商缺少个人可识别信息保护能力自我评估实施指南的问题。三、主要试验[或验证]情况分析编制组在标准编制过程中，广泛听取云服务商、认证机构、研究机构、行业组织的意见和建议，不断完善标准文本。四、知识产权情况说明本标准不涉及专利。五、产业化情况、推广应用论证和预期达到的经济效果无。六、采用国际标准和国外先进标准的程度本标准采用国际标准ISO/IEC27018:2019《Informationtechnology－Securitytechniques－Codeofpracticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPIIprocessor》，该标准是国际上最权威、最严格的云中个人信息保护标准。七、与现行相关法律、法规、规章及相关标准的协调性在标准编制过程中，编制组认真分析了本标准与现行法律、法规、规章及相关国家标准的协调性，确保本标准不违反现行法律、法规、规章的规定，并与相关国家标准相协调。1、合规性分析 ISO/IEC27018:2019作为一项国际标准，为保证标准的广泛适用性，坚持遵守不同国家或地区法律法规的原则，并不违反我国的相关法律法规。将本标准条款与《中华人民共和国网络安全法》、《民法总则》、《刑法》、《儿童个人信息网络保护规定》、《电信和互联网用户个人信息保护规定》等法律法规相关条款对比分析（见表1），也证实了这一点。表1本标准合规性分析序号法律法规名称法律法规相关内容本标准合规性分析1中华人民共和国网络安全法第四十条网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。本标准的目的就是规范公有云服务提供商处理个人信息的行为，保护个人信息的安全。与该法律条款的要求一致。第四十一条网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。本标准遵循的隐私保护原则正是对该法律条款的体现，比方说：同意和选择原则、目的合法性原则、最小化原则等；5.1.1信息安全策略中规定，个人信息主体也可以与个人信息处理者签订合同，约定相关的事宜，约束个人信息处理者的行为。第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。本条款的规定，在本标准遵循的隐私原则有所体现。如本标准附录A.6使用、保存和披露限制，附录A.8开放性、透明度和通知等都约定了个人信息处理者、甚至分包商的保密责任，签订保密协议。附录A.10.1规定了发生数据泄漏时，应立即通知客户。2民法总则第五章第一百一十一条自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。明确了个人信息受法律保护，确定了个人信息权利基本民事权利地位。本标准在5.1.1信息安全策略和附录A.2中都明确要求公有云个人信息处理者遵守当地的法律法规。3刑法第二百五十三条违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。定义了侵犯公民个人信息罪，明确了违法者承担的法律后果。本标准规范个人信息处理者的行为，避免犯罪，维护个人信息主体的合法权益。4儿童个人信息网络保护规定第二条本规定所称儿童，是指不满十四周岁的未成年人。第三条在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动，适用本规定。本标准提出了面向云服务中所有个人可识别信息的保护要求，涵盖了儿童个人信息保护要求。在我国境内云服务商提供个人信息保护涉及儿童个人信息保护的，按照《儿童个人信息网络保护规定》执行。本标准是云服务中个人信息保护的基础要求，与《儿童个人信息网络保护规定》无违背或冲突。5电信和互联网用户个人信息保护规定第一条为了保护电信和互联网用户的合法权益，维护网络信息安全，根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规，制定本规定。第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动，适用本规定。《电信和互联网用户个人信息保护规定》规定提供电信服务和互联网信息服务过程中个人信息的保护要求，涵盖了服务过程中收集、使用用户个人信息的活动。本标准与《电信和互联网用户个人信息保护规定》无违背或冲突。2、协调性分析 国内涉及个人信息及云计算的相关标准见表2。表2国内相关标准序号标准号标准名称标准内容1GB/T35273－2020《信息安全技术个人信息安全规范》规定了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求。2GB/T31167－2014《信息安全技术云计算服务安全指南》提出了政府部门采用云计算服务的安全要求及云计算服务的生命周期各阶段的安全管理和技术要求。3GB/T31168－2014《信息安全技术云计算服务安全能力要求》规定了以社会化方式提供云计算服务的服务商应满足信息安全基本要求。（1）与GB/T35273《信息安全技术个人信息安全规范》的协调性分析 GB/T35273是实践《网络安全法》中有关个人信息保护的基础标准，重点规范个人信息控制者在收集、存储、适用、共享、转让、公开披露等信息处理环节的相关行为。本标准规范了个人信息处理者在公有云中处理个人信息的相关行为。由于个人信息处理者是按照个人信息控制者指令处理个人信息的一方，所以本标准是在GB/T35273基础上，面向云应用场景对个人信息处理者的要求。由此可见，本标准与GB/T35273相协调。（2）与GB/T31167《信息安全技术云计算服务安全指南》的协调性分析 GB/T31167规定了政府部门采用云计算服务的安全管理基本要求，适用于政府部门采购和使用云计算服务。本标准规定了公有云服务商作为个人信息处理者角色时处理个人信息的基本要求，两者适用范围不同，未发生冲突。（3）与GB/T31168《信息安全技术云计算服务安全能力要求》的协调性分析 GB/T31168标准侧重云计算平台应具备的整体安全能力。依据《云计算服务安全评估办法》，该标准适用于对党政机关和关键信息基础设施运营者使用的云计算服务进行安全管理，还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。 同时，GB/T31168弱化了个人信息保护的相关要求，侧重能够提供相关机制，满足客户需求。此外，根据云计算服务评估实践经验，一般以IaaS模式的社区云为主，上层应用由客户部署，在平台层面难以实现数据分级分类。此外，对于政府客户和关键信息基础设施客户，在数据保护方面，更多是迁移过程中的数据完整性和业务连续性，服务关闭后的数据留存，以及数据管理机制建设。八、重大分歧意见的处理经过和依据１、重大分歧 针对如何协调处理本标准中的“个人可识别信息（ＰＩＩ）”与国内标准中的“个人信息”，业内专家给出了不同的意见和建议，归纳如下：（1）本标准采用国际标准ISO/IEC27018：2019，首先要融入我国现有的标准体系，才能保证标准的顺利实施。针对自然人信息的术语，我国使用“个人信息”进行表述，而没有“个人可识别信息（PII）”的表述。因此，建议使用“个人信息”代替“个人可识别信息（PII）”，保证与我国标准术语表述的一致性。（2）“个人可识别信息（PII）”与“个人信息”是两个不同的术语，不能使用“个人信息”代替“个人可识别信息（PII）”。（3）不宜过多关注“个人可识别信息（PII）”与“个人信息”的差别，应该重点考虑使用“个人信息”代替“个人可识别信息（PII）”后，原有标准条款的适用性。2、处理经过和依据 标准编制组先后于2019年10月10日、2019年11月18日、2019年12月25日、2020年3月5日、2020年4月7日、2020年4月16日召开标准编制会议及专家评审会议对该问题进行研讨处理。处理经过和依据如下：（1）认真分析两个术语定义的内涵 GB/T35273－２０２０《信息安全技术个人信息安全规范》对“个人信息”的定义： 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。 该定义包含两层含义： a）单独识别自然人身份的各种信息； b）与其他信息结合识别自然人身份的各种信息。 ISO/IEC27018：2019《Informationtechnology—Securitytechniques—Codeofpracticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsActingasPIIprocessors》对“个人可识别信息（PII）”的定义： anyinformationthat(a)canbeusedtoestablishalinkbetweentheinformationandthenaturalpersontowhomsuchinformationrelates,or(b)isorcanbedirectlyorindirectlylinkedtoanaturalperson. 该定义也包含两层含义： a）帮助建立信息和自然人链接的任何信息； b）直接或间接链接到自然人的任何信息。 由此可见，“个人可识别信息（PII）”定义的a）对应“个人信息”定义b），“个人可识别信息（PII）”定义的b）对应“个人信息”定义a），两个术语定义的内涵是一致的。 不能简单认为有“可识别信息”就必然有“不可识别信息”，并由此将“个人信息”分为“个人可识别信息”和“个人不可识别信息”。“个人可识别信息”只是对“personallyidentifiableinformation”的一种翻译形式，也有专家认为“personallyidentifiableinformation”应该翻译为“个人身份信息”。因此，基于两个术语的表述形式认为“个人可识别信息（PII）”和“个人信息”不同的观点欠妥。（2）2019年10月，ISO/IECJTC1会议（夏威夷会议）也对“个人信息”和“个人可识别信息”的处理问题进行了研讨，会议列出了使用“个人信息”和“个人可识别信息”的20个标准，对比分析了这些