《云平台个人信息保护技术要求（征求意见稿）》编制说明

标准起草工作组当前，个人信息保护已成为全球网络安全防护中的核心议题，其重要性关系到个人隐私权的保障、企业责任的履行乃至国家安全的稳定。近年来，云平台个人信息泄露事件频发，涉及范围广，影响力大，不仅使得用户个人信息遭到严重侵害，也让云服务提供商面临数据保护合规与公众信任缺失的双重挑战。2016年，十二届全国人大常委会第二十四次会议表决通过的《中华人民共和国网络安全法》首次在立法层面明确了个人信息在存储和处理过程中的要求。2020年，十三届全国人民代表大会第三次会议通过的《中华人民共和国民法典》进一步细化了个人信息保护的原则，明确了自然人的个人信息受法律保护，任何组织或个人，包括云平台服务提供商，在收集、存储、使用、加工、传输个人信息时，均需严格遵守法律规定。2021年《中华人民共和国个人信息保护法》的颁布，对个人信息保护提出了更为全面和具体的要求。一系列法规的颁布，不仅构建了我国个人信息保护的法律体系，也对个人信息保护的作出了明确要求。面对日益严峻的全球数据滥用和个人信息泄露问题，日趋严格的隐私保护法律法规不断完善，企业和组织亟需采取更积极的措施来加强个人信息保护和安全管理。这一做法不仅是为了符合相应法规要求，也是为了建立公众信任、保护用户个人信息和维护企业声誉。在上述过程中，云平台个人信息保护技术要求发挥着至关重要的作用：1、在云计算广泛应用的时代，亟需可以指导云平台保护和管理个人信息的相关要求和方法。2、国际上普遍缺少全面的云平台个人信息保护框架，难以全面把握和指导云平台保护个人信息安全的实践和方3、各国在制定和实施具体、有效的云平台个人信息保护措施方面存在不足，导致云平台个人信息保护技术与期望的安全标准之间存在差距。4、主管监管部门在理解和应用云平台个人信息保护技术方面缺乏成熟的指导和支持，影响决策和执行的有效性。二、任务来源数据安全和隐私保护从20世纪70年代开始逐渐受到国际社会的关注，到80年代和90年代受到的关注更为广泛，成为当前全球关注焦点。随着云计算技术的普及和数据泄露事件频发，云平台的个人信息保护技术显得尤为重要。少数欧美国家和国际组织已提出了云数据保护的标准和指导原则，以确保在云环境中个人信息的安全和隐私得到有效保障。针对云平台个人信息保护技术的要求，不仅反映了当前数据安全的紧迫需求和技术挑战，也是对现有云数据保护措施有效性的一次全面审视。通过明确云平台个人信息保护技术要求，可以规范云服务提供商的行为，确保数据在存储和处理过程中的安全性，保障用户的隐私权，同时降低数据泄露和被非法访问的风险，确保个人信息在云环境中的安全性和合规性。尽管国内外在云平台保护技术方面已有一定的进展，但实践中仍存在诸如标准不统一、保护措施不够全面等问题。亟需制定统一的技术标准来指导云平台个人信息保护的安全实施，支持保护用户隐私和数据安全。制定云平台个人信息保护技术要求的标准将有助于提供明确的操作指南和技术规范，提升数据使用中的安全性和透明度。同时，构建全面的信息保护框架，确保云数据处理中的合规性，能够提升整体隐私保护能力。三、编制过程单位对前期的研究工作进行了汇报。确定了标准的研究思路和分工。3）2023年5月27日，召开立项评审会，邀请中国电信、腾讯、阿里等企业专家对草案给出建议。了多次标准工作组内部讨论，并根据专家提出的建议进行修改，形成第二版草案。了多次标准工作组内部讨论，并根据专家提出的建议针对草案部分内容进行了细节的修改与调整，形成第三版草案。7）2023年11月3日，邀请专家对第三版草案给出建版本进行评审。10）2024年11月，形成征求意见稿。四、主要内容技术指标确立本标准规范了云平台个人信息的分类以及技术和管理要求。详情如下：1、云平台个人信息分类：将云平台个人信息划分为七类，分别是个人基本信息、个人身份信息、个人生物识别信息、网络身份识别信息、个人金融信息、设备标识信息、个人上网记录信息。此外，不同服务阶段对个人信息的保护要求不同，因此将个人信息根据云平台服务流程划分为账户个人信息和服务个人信息。2、云平台个人信息保护技术要求：按照云平台个人信息分类提出云平台账户个人信息保护要求和云平台服务个人信息保护要求。云平台账户个人信息技术要求是指用户在登录/注册、使用、注销账户时，云平台收集、存储、使用和删除个人信息等方面应当遵循的技术要求。云平台服务个人信息保护技术要求是指用户使用云平台提供的云服务作为个人信息处理容器时，针对云服务中涉及的个人信息传输、存储、处理、共享和删除等方面应遵循的技术要求。3、云平台个人信息安全管理要求：是云平台管理部门和操作人员应当满足的安全管理要求，以及对个人信息操作活动的存证审计要求。本标准适用于规范云平台的个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对云平台个人信息处理活动进行监督、管理和评估。本标准牵头单位为中国网络空间研究院，参加单位包括中国科学院信息工程研究所、华中科技大学、西安电子科技京）数字科技有限公司、航天信息股份有限公司北京市计算中心有限公司、普华永道商务咨询(上海)有限公司。五、与相关法律法规和国家标准的关系本标准的总体结构和编写方法按照GB/T1.1-2020《标准化工作导则第一部分：标准化文件的结构和起草规则》的规定执行。本标准参考的相关法律、法规和GB/T25069-2022信息安全技术术语GB/T32400-2015信息技术云计算概览与词汇GB/T35273-2020信息安全技术个人信息安全规范GB/T22081-2016信息技术安全技术信息安全控制实现指南GB/T41574-2022信息技术安全技术公有云中个人信息保护实践指南GB/T39335-2020