國家標準征求意見稿材料

一、工作簡況

1、任務來源

2019年8月21日，信安標委下發(fā)《全國信息安全標準化技術委員會關于2019

年網(wǎng)絡安全標準項目立項的通知》（信安秘字[2019]050號），標準《信息技術安

全技術個人可識別信息(PII)處理者在公有云中保護PII的實踐指南》獲批立項，

項目編號：2019BZZD-WG7-007。2020年4月，國家標準化技術委員會下達2020年

第一批推薦性國家標準計劃（國標委發(fā)[2020]14號），本標準計劃號：

20201694-T-469。

2、主要起草單位和工作組成員

本標準由全國信息安全標準化技術委員（TC260）會提出并歸口，由山東省

標準化研究院牽頭編制，起草有山東省標準化研究院、杭州拓深科技有限公司、

中國網(wǎng)絡安全審查技術與認證中心、陜西省網(wǎng)絡與信息安全測評中心、同程藝龍

控股有限公司、中電長城網(wǎng)際系統(tǒng)應用有限公司、北京錢袋寶支付技術有限公司、

國家工業(yè)信息安全發(fā)展研究中心、騰訊云計算（北京）有限責任公司、陜西省信

息化工程研究院、中電數(shù)據(jù)服務有限公司、上海市信息安全行業(yè)協(xié)會、上海安言

信息技術有限公司、安徽省電子產品監(jiān)督檢驗所（安徽省信息安全測評中心）。

本標準主要起草人：王慶升、尤其、黨斌、閔京華、蘭安娜、柳彩云、王永

霞、張勇、張博、周亞超、張軒銘、王利強、王愛義、楊帆、石磊、黃磊、王理

東、王法中、許立前、范正翔、于秀彥、劉堪偽。

3、主要工作過程

（１）草案階段

GB/T22080－2016《信息技術安全技術信息安全管理體系要求》和GB/T

22081－2016《信息技術安全技術信息安全控制實踐指南》構成了我國信息安

全管理標準體系的基礎。這兩個標準的頒布和實施，有效提升了各類組織信息安

全管理的水平，增強組織抵御災難性事件的能力，大大提高了信息管理工作的安

全性和可靠性。同時，通過指導信息安全管理體系的建設，有效提高了對信息安

全風險的管控能力。

國家標準征求意見稿材料

近年來，信息安全領域出現(xiàn)了新的形勢。隨著大數(shù)據(jù)、云計算等技術的應用

推廣，公有云以其獨特的優(yōu)勢越來越受到用戶的青睞，數(shù)據(jù)信息由本地化存儲逐

漸轉向云端共享。帶來便捷的同時，也產生了新的安全隱患，尤其是個人信息的

泄露可能帶來更為嚴重的后果。國家急需制定相關標準對公有云服務商行為進行

規(guī)范，保護云端個人信息安全。

目前，我國除了基本的信息安全管理標準之外，還缺乏面向特定應用領域的

信息安全標準。ISO/IEC27018是第一個指導公有云服務商保護云中個人信息安

全的國際標準，可為充當個人信息處理者的云服務商提供有關評估風險和實施控

制措施的指導。同時，以ISO/IEC27018為依據(jù)的“云隱私保護認證”也得到云

服務商的認可。我國的眾多主流公有云服務商，如騰訊、平安、百度、華為等，

也都通過了該項認證。

ISO/IEC27018是國際上公認的最權威、最嚴格的云中個人信息保護標準。

它是在GB/T22081（ISO/IEC27002，IDT）的基礎上，針對公有云個人信息保護

提出的額外控制措施?？梢?，該標準是對原有信息安全管理標準體系在云端實施

個人信息保護的細化和延伸，與現(xiàn)有信息安全管理標準體系具有天然的內在聯(lián)

系。我國信息安全管理標準體系是由ISO27000系列標準轉化而來，完全可以繼

續(xù)采用ISO/IEC27018作為我國的國家標準，規(guī)范公有云服務商的個人信息處理

行為，保護個人信息安全。

ISO/IEC27018轉化實施后，我國認證機構也可據(jù)此建立認證規(guī)則，開展認

證服務，規(guī)范公有云服務商保護個人信息安全的行為，同時，促進標準的貫徹實

施。

草案階段的主要工作如下：

2019年1月前，項目牽頭單位一直跟蹤國內外信息安全管理體系的技術發(fā)展，

關注國內個人信息保護方面的行業(yè)動態(tài)，及時了解到國內云服務提供商對于“云

隱私保護認證”的迫切需求。通過與中國網(wǎng)絡安全審查技術與認證中心、陜西省

網(wǎng)絡與信息安全測評中心的溝通協(xié)調，發(fā)現(xiàn)國內缺少開展“云隱私保護認證”的

標準依據(jù)。而目前國際上最權威的“云隱私保護認證”都是基于ISO/IEC27018

開展的，由此確定將ISO/IEC27018:2019《信息技術安全技術個人可識別信息

國家標準征求意見稿材料

(PII)處理者在公有云中保護PII的實踐指南》轉化為國家標準，完善國家信息安

全管理標準體系，并適時推動相關認證工作。

2019年1月-2019年3月，按照《申報指南》的要求，項目牽頭單位與中國網(wǎng)

絡安全審查技術與認證中心、陜西省網(wǎng)絡與信息安全測評中心簽訂聯(lián)合申報2019

年網(wǎng)絡安全國家標準合作協(xié)議，準備網(wǎng)絡安全國家標準《信息技術安全技術個

人可識別信息(PII)處理者在公有云中保護PII的實踐指南》的申報材料，并向信

安標委提出立項申請。標準申報材料主要包括：項目建議書、項目申請書、標準

草案。

2019年4月，參加信安標委組織的2019年第一次工作組“會議周”活動。會

上，《信息技術安全技術個人可識別信息(PII)處理者在公有云中保護PII的實

踐指南》作為新立項申報項目參與項目評審，順利通過工作組全體成員單位的評

審（見工作組會議紀要，文件編號：TC260-WG7-2019011）。

2019年5月-2019年8月，配合信安標委秘書處，完成標準立項階段其他工作。

期間，項目主要人員多次標準草案進行修改完善。

2019年8月21日，信安標委下發(fā)《全國信息安全標準化技術委員會關于2019

年網(wǎng)絡安全標準項目立項的通知》（信安秘字[2019]050號），項目牽頭單位牽

頭申請的《信息技術安全技術個人可識別信息(PII)處理者在公有云中保護PII

的實踐指南》獲批立項。

2019年9月11日，項目牽頭單位派員參加了信安標委組織的標準技術評審會，

與會專家建議結合國內個人信息保護的法律法規(guī)、標準規(guī)范研制本標準，并注意

統(tǒng)一“個人可識別信息”的定義。

2019年9月25日，項目牽頭單位發(fā)布“關于征集《信息技術安全技術個人

可識別信息（PII）處理者在公有云中保護PII的實踐指南》標準參編單位的通知”，

向社會公開征集標準參編單位。截止目前，中國網(wǎng)絡安全審查技術與認證中心、

陜西省網(wǎng)絡與信息安全測評中心、同程藝龍控股有限公司等多家單位申請參與標

準研制工作。同時，正在籌劃標準項目啟動會，確定標準研制的工作思路、工作

計劃，以及各參編單位的任務分工等工作。

國家標準征求意見稿材料

2019年10月，參加信安標委組織的2019年第二次工作組“會議周”活動，向

工作組全體成員單位匯報項目進展情況，確定下一步工作安排。

2019年11月，標準編制組召開標準編制會，重點對國內外個人信息保護體系

的協(xié)調性展開討論，并達成共識。

2020年4月，標準編制組召開標準編制會議。參編單位討論了國內外個人信

息標準體系的協(xié)調問題。

（２）征求意見稿階段

2020年5月，參加信息安標委組織的2020年WG7工作組第一次全體會議，標準

編制組向會議匯報標準編制情況，聽取與會專家意見，并對意見進行處理。

2020年6月17日，TC260/WG7主持召開標準征求意見稿評審會，對本標準進行

評審，標準編制組結合專家意見，對標準征求意見稿進行了進一步完善。6月24

日，秘書處責任編輯對征求意見稿進行了審查，根據(jù)責任編輯意見進行了相應修

改。

二、標準編制原則和確定主要內容的論據(jù)及解決的主要問題

1、編制原則

（1）合規(guī)性原則

本標準采用ISO/IEC27018:2019《信息技術安全技術個人可識別信息

（PII）處理者在公有云中保護PII的實踐指南》。首先堅持合規(guī)性原則，確保本

標準符合我國現(xiàn)行法律法規(guī)的相關規(guī)定，標準條款與我國法律法規(guī)和相關政策不

沖突。

（2）適用性原則

為確保本標準符合我國基本國情，重點研究關鍵術語與角色在我國的表述形

式，保證與我國現(xiàn)行標準體系的相適應，為后期標準的實施奠定良好的基礎。

2、主要內容

本標準是在GB/T22081－2016（ISO/IEC27002：2013,IDT）的基礎上，充

分考慮了公有云服務商保護個人信息安全的風險環(huán)境，給出了額外的控制措施，

加強云中個人信息保護。本標準包含14個安全控制章節(jié)、35個安全類別、114

國家標準征求意見稿材料

項控制，以及規(guī)范性附錄（公有云個人信息處理者保護個人信息的控制集）。本

標準的內容結構見表3。

表3本標準主要內容結構

序號章節(jié)號章節(jié)內容

1第５章信息安全策略

2第６章信息安全組織

3第７章人力資源安全

4第８章資產管理

5第９章訪問控制

6第１０章密碼

7第１１章物理和環(huán)境安全

8第１２章運行安全

9第１３章通信安全

10第１４章系統(tǒng)獲取、開發(fā)和維護

11第１５章供應商關系

12第１６章信息安全事件管理

13第１７章業(yè)務連續(xù)性管理的信息安全方面

14第１８章符合性

3、解決的主要問題

（１）如何確定適用于公有云環(huán)境下的個人可識別信息保護的額外控制；

（2）針對國內云服務商云中個人信息保護認證需求，解決缺少認證標準依據(jù)的

問題；

（3）解決國內云服務提供商缺少個人可識別信息保護能力自我評估實施指南的

問題。

三、主要試驗[或驗證]情況分析

編制組在標準編制過程中，廣泛聽取云服務商、認證機構、研究機構、行業(yè)

國家標準征求意見稿材料

組織的意見和建議，不斷完善標準文本。

四、知識產權情況說明

本標準不涉及專利。

五、產業(yè)化情況、推廣應用論證和預期達到的經(jīng)濟效果

無。

六、采用國際標準和國外先進標準的程度

本標準采用國際標準ISO/IEC27018:2019《Informationtechnology－

Securitytechniques－Codeofpracticeforprotectionofpersonally

identifiableinformation(PII)inpubliccloudsactingasPIIprocessor》，

該標準是國際上最權威、最嚴格的云中個人信息保護標準。

七、與現(xiàn)行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調性

在標準編制過程中，編制組認真分析了本標準與現(xiàn)行法律、法規(guī)、規(guī)章及相

關國家標準的協(xié)調性，確保本標準不違反現(xiàn)行法律、法規(guī)、規(guī)章的規(guī)定，并與相

關國家標準相協(xié)調。

1、合規(guī)性分析

ISO/IEC27018:2019作為一項國際標準，為保證標準的廣泛適用性，堅持遵

守不同國家或地區(qū)法律法規(guī)的原則，并不違反我國的相關法律法規(guī)。將本標準條

款與《中華人民共和國網(wǎng)絡安全法》、《民法總則》、《刑法》、《兒童個人信

息網(wǎng)絡保護規(guī)定》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)相關條

款對比分析（見表1），也證實了這一點。

表1本標準合規(guī)性分析

法律法

序號法律法規(guī)相關內容本標準合規(guī)性分析

規(guī)名稱

中華人民共第四十條網(wǎng)絡運營者應當對其收集的本標準的目的就是規(guī)范公有云

1

和國網(wǎng)絡安用戶信息嚴格保密，并建立健全用戶信服務提供商處理個人信息的行

國家標準征求意見稿材料

法律法

序號法律法規(guī)相關內容本標準合規(guī)性分析

規(guī)名稱

全法息保護制度。為，保護個人信息的安全。與該

法律條款的要求一致。

第四十一條網(wǎng)絡運營者收集、使用個本標準遵循的隱私保護原則正

人信息，應當遵循合法、正當、必要的是對該法律條款的體現(xiàn)，比方

原則，公開收集、使用規(guī)則，明示收集、說：同意和選擇原則、目的合法

使用信息的目的、方式和范圍，并經(jīng)被性原則、最小化原則等；5.1.1

收集者同意。網(wǎng)絡運營者不得收集與其信息安全策略中規(guī)定，個人信

提供的服務無關的個人信息，不得違反息主體也可以與個人信息處理

法律、行政法規(guī)的規(guī)定和雙方的約定收者簽訂合同，約定相關的事宜，

集、使用個人信息，并應當依照法律、約束個人信息處理者的行為。

行政法規(guī)的規(guī)定和與用戶的約定，處理

其保存的個人信息。

第四十二條網(wǎng)絡運營者不得泄露、篡本條款的規(guī)定，在本標準遵循的

改、毀損其收集的個人信息；未經(jīng)被收隱私原則有所體現(xiàn)。如本標準附

集者同意，不得向他人提供個人信息。錄A.6使用、保存和披露限制，

但是，經(jīng)過處理無法識別特定個人且不附錄A.8開放性、透明度和通知

能復原的除外。網(wǎng)絡運營者應當采取技等都約定了個人信息處理者、甚

術措施和其他必要措施，確保其收集的至分包商的保密責任，簽訂保密

個人信息安全，防止信息泄露、毀損、協(xié)議。附錄A.10.1規(guī)定了發(fā)生

丟失。在發(fā)生或者可能發(fā)生個人信息泄數(shù)據(jù)泄漏時，應立即通知客戶。

露、毀損、丟失的情況時，應當立即采

取補救措施，按照規(guī)定及時告知用戶并

向有關主管部門報告。

第五章第一百一十一條自然人的個明確了個人信息受法律保護，確

人信息受法律保護。任何組織和個人需定了個人信息權利基本民事權

2民法總則

要獲取他人個人信息的，應當依法取得利地位。

并確保信息安全，不得非法收集、使用、本標準在5.1.1信息安全策略

國家標準征求意見稿材料

法律法

序號法律法規(guī)相關內容本標準合規(guī)性分析

規(guī)名稱

加工、傳輸他人個人信息，不得非法買和附錄A.2中都明確要求公有

賣、提供或者公開他人個人信息。云個人信息處理者遵守當?shù)氐?/p>

法律法規(guī)。

第二百五十三條違反國家有關規(guī)定，定義了侵犯公民個人信息罪，明

向他人出售或者提供公民個人信息，情確了違法者承擔的法律后果。本

節(jié)嚴重的，處三年以下有期徒刑或者拘標準規(guī)范個人信息處理者的行

役，并處或者單處罰金;情節(jié)特別嚴重為，避免犯罪，維護個人信息主

的，處三年以上七年以下有期徒刑，并體的合法權益。

處罰金。

違反國家有關規(guī)定，將在履行職責

或者提供服務過程中獲得的公民個人

3刑法信息，出售或者提供給他人的，依照前

款的規(guī)定從重處罰。

竊取或者以其他方法非法獲取公

民個人信息的，依照第一款的規(guī)定處

罰。

單位犯前三款罪的，對單位判處罰

金，并對其直接負責的主管人員和其他

直接責任人員，依照各該款的規(guī)定處

罰。

第二條本規(guī)定所稱兒童，是指不滿十本標準提出了面向云服務中所

四周歲的未成年人。有個人可識別信息的保護要求，

兒童個人信第三條在中華人民共和國境內通過網(wǎng)涵蓋了兒童個人信息保護要求。

4息網(wǎng)絡保護絡從事收集、存儲、使用、轉移、披露在我國境內云服務商提供個人

規(guī)定兒童個人信息等活動，適用本規(guī)定。信息保護涉及兒童個人信息保

護的，按照《兒童個人信息網(wǎng)絡

保護規(guī)定》執(zhí)行。本標準是云服

國家標準征求意見稿材料

法律法

序號法律法規(guī)相關內容本標準合規(guī)性分析

規(guī)名稱

務中個人信息保護的基礎要求，

與《兒童個人信息網(wǎng)絡保護規(guī)

定》無違背或沖突。

第一條為了保護電信和互聯(lián)網(wǎng)用戶的《電信和互聯(lián)網(wǎng)用戶個人信息

合法權益，維護網(wǎng)絡信息安全，根據(jù)《全保護規(guī)定》規(guī)定提供電信服務和

國人民代表大會常務委員會關于加強互聯(lián)網(wǎng)信息服務過程中個人信

網(wǎng)絡信息保護的決定》、《中華人民共息的保護要求，涵蓋了服務過程

電信和互聯(lián)

和國電信條例》和《互聯(lián)網(wǎng)信息服務管中收集、使用用戶個人信息的活

網(wǎng)用戶個人

5理辦法》等法律、行政法規(guī)，制定本規(guī)動。本標準與《電信和互聯(lián)網(wǎng)用

信息保護規(guī)

定。戶個人信息保護規(guī)定》無違背或

定

第二條在中華人民共和國境內提供電沖突。

信服務和互聯(lián)網(wǎng)信息服務過程中收集、

使用用戶個人信息的活動，適用本規(guī)

定。

2、協(xié)調性分析

國內涉及個人信息及云計算的相關標準見表2。

表2國內相關標準

序號標準號標準名稱標準內容

規(guī)定了開展收集、保存、使用、共享、

《信息安全技術個人

1GB/T35273－2020轉讓、公開披露等個人信息處理活動應

信息安全規(guī)范》

遵循的原則和安全要求。

提出了政府部門采用云計算服務的安

《信息安全技術云計

2GB/T31167－2014全要求及云計算服務的生命周期各階

算服務安全指南》

段的安全管理和技術要求。

《信息安全技術云計規(guī)定了以社會化方式提供云計算服務

3GB/T31168－2014

算服務安全能力要求》的服務商應滿足信息安全基本要求。

國家標準征求意見稿材料

（1）與GB/T35273《信息安全技術個人信息安全規(guī)范》的協(xié)調性分析

GB/T35273是實踐《網(wǎng)絡安全法》中有關個人信息保護的基礎標準，重點規(guī)

范個人信息控制者在收集、存儲、適用、共享、轉讓、公開披露等信息處理環(huán)節(jié)

的相關行為。本標準規(guī)范了個人信息處理者在公有云中處理個人信息的相關行

為。由于個人信息處理者是按照個人信息控制者指令處理個人信息的一方，所以

本標準是在GB/T35273基礎上，面向云應用場景對個人信息處理者的要求。由此

可見，本標準與GB/T35273相協(xié)調。

（2）與GB/T31167《信息安全技術云計算服務安全指南》的協(xié)調性分析

GB/T31167規(guī)定了政府部門采用云計算服務的安全管理基本要求，適用于政

府部門采購和使用云計算服務。本標準規(guī)定了公有云服務商作為個人信息處理者

角色時處理個人信息的基本要求，兩者適用范圍不同，未發(fā)生沖突。

（3）與GB/T31168《信息安全技術云計算服務安全能力要求》的協(xié)調性分析

GB/T31168標準側重云計算平臺應具備的整體安全能力。依據(jù)《云計算服務

安全評估辦法》，該標準適用于對黨政機關和關鍵信息基礎設施運營者使用的云

計算服務進行安全管理，還適用于指導云服務商建設安全的云計算平臺和提供安

全的云計算服務。

同時，GB/T31168弱化了個人信息保護的相關要求，側重能夠提供相關機制，

滿足客戶需求。此外，根據(jù)云計算服務評估實踐經(jīng)驗，一般以IaaS模式的社區(qū)云

為主，上層應用由客戶部署，在平臺層面難以實現(xiàn)數(shù)據(jù)分級分類。此外，對于政

府客戶和關鍵信息基礎設施客戶，在數(shù)據(jù)保護方面，更多是遷移過程中的數(shù)據(jù)完

整性和業(yè)務連續(xù)性，服務關閉后的數(shù)據(jù)留存，以及數(shù)據(jù)管理機制建設。

八、重大分歧意見的處理經(jīng)過和依據(jù)

１、重大分歧

針對如何協(xié)調處理本標準中的“個人可識別信息（ＰＩＩ）”與國內標準中

的“個人信息”，業(yè)內專家給出了不同的意見和建議，歸納如下：

（1）本標準采用國際標準ISO/IEC27018：2019，首先要融入我國現(xiàn)有的標準體

國家標準征求意見稿材料

系，才能保證標準的順利實施。針對自然人信息的術語，我國使用“個人信息”

進行表述，而沒有“個人可識別信息（PII）”的表述。因此，建議使用“個人

信息”代替“個人可識別信息（PII）”，保證與我國標準術語表述的一致性。

（2）“個人可識別信息（PII）”與“個人信息”是兩個不同的術語，不能使用

“個人信息”代替“個人可識別信息（PII）”。

（3）不宜過多關注“個人可識別信息（PII）”與“個人信息”的差別，應該重

點考慮使用“個人信息”代替“個人可識別信息（PII）”后，原有標準條款的

適用性。

2、處理經(jīng)過和依據(jù)

標準編制組先后于2019年10月10日、2019年11月18日、2019年12月25日、2020

年3月5日、2020年4月7日、2020年4月16日召開標準編制會議及專家評審會議對

該問題進行研討處理。處理經(jīng)過和依據(jù)如下：

（1）認真分析兩個術語定義的內涵

GB/T35273－２０２０《信息安全技術個人信息安全規(guī)范》對“個人信息”

的定義：

以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人

身份或者反映特定自然人活動情況的各種信息。

該定義包含兩層含義：

a）單獨識別自然人身份的各種信息；

b）與其他信息結合識別自然人身份的各種信息。

ISO/IEC27018：2019《Informationtechnology—Security

techniques—Codeofpracticeforprotectionofpersonallyidentifiable

information(PII)inpubliccloudsActingasPIIprocessors》對“個人

可識別信息（PII）”的定義：

anyinformationthat(a)canbeusedtoestablishalinkbetweenthe

國家標準征求意見稿材料

informationandthenaturalpersontowhomsuchinformationrelates,or

(b)isorcanbedirectlyorindirectlylinkedtoanaturalperson.

該定義也包含兩層含義：

a）幫助建立信息和自然人鏈接的任何信息；

b）直接或間接鏈接到自然人的任何信息。