國家標(biāo)準(zhǔn)征求意見稿材料一、工作簡況1、任務(wù)來源2019年8月21日，信安標(biāo)委下發(fā)《全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會關(guān)于2019年網(wǎng)絡(luò)安全標(biāo)準(zhǔn)項目立項的通知》（信安秘字[2019]050號），標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)個人可識別信息(PII)處理者在公有云中保護PII的實踐指南》獲批立項，項目編號：2019BZZD-WG7-007。2020年4月，國家標(biāo)準(zhǔn)化技術(shù)委員會下達2020年第一批推薦性國家標(biāo)準(zhǔn)計劃（國標(biāo)委發(fā)[2020]14號），本標(biāo)準(zhǔn)計劃號：20201694-T-469。2、主要起草單位和工作組成員本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員（TC260）會提出并歸口，由山東省標(biāo)準(zhǔn)化研究院牽頭編制，起草有山東省標(biāo)準(zhǔn)化研究院、杭州拓深科技有限公司、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、陜西省網(wǎng)絡(luò)與信息安全測評中心、同程藝龍控股有限公司、中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、北京錢袋寶支付技術(shù)有限公司、國家工業(yè)信息安全發(fā)展研究中心、騰訊云計算（北京）有限責(zé)任公司、陜西省信息化工程研究院、中電數(shù)據(jù)服務(wù)有限公司、上海市信息安全行業(yè)協(xié)會、上海安言信息技術(shù)有限公司、安徽省電子產(chǎn)品監(jiān)督檢驗所（安徽省信息安全測評中心）。本標(biāo)準(zhǔn)主要起草人：王慶升、尤其、黨斌、閔京華、蘭安娜、柳彩云、王永霞、張勇、張博、周亞超、張軒銘、王利強、王愛義、楊帆、石磊、黃磊、王理東、王法中、許立前、范正翔、于秀彥、劉堪偽。3、主要工作過程（１）草案階段 GB/T22080－2016《信息技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T22081－2016《信息技術(shù)安全技術(shù)信息安全控制實踐指南》構(gòu)成了我國信息安全管理標(biāo)準(zhǔn)體系的基礎(chǔ)。這兩個標(biāo)準(zhǔn)的頒布和實施，有效提升了各類組織信息安全管理的水平，增強組織抵御災(zāi)難性事件的能力，大大提高了信息管理工作的安全性和可靠性。同時，通過指導(dǎo)信息安全管理體系的建設(shè)，有效提高了對信息安全風(fēng)險的管控能力。 近年來，信息安全領(lǐng)域出現(xiàn)了新的形勢。隨著大數(shù)據(jù)、云計算等技術(shù)的應(yīng)用推廣，公有云以其獨特的優(yōu)勢越來越受到用戶的青睞，數(shù)據(jù)信息由本地化存儲逐漸轉(zhuǎn)向云端共享。帶來便捷的同時，也產(chǎn)生了新的安全隱患，尤其是個人信息的泄露可能帶來更為嚴(yán)重的后果。國家急需制定相關(guān)標(biāo)準(zhǔn)對公有云服務(wù)商行為進行規(guī)范，保護云端個人信息安全。 目前，我國除了基本的信息安全管理標(biāo)準(zhǔn)之外，還缺乏面向特定應(yīng)用領(lǐng)域的信息安全標(biāo)準(zhǔn)。ISO/IEC27018是第一個指導(dǎo)公有云服務(wù)商保護云中個人信息安全的國際標(biāo)準(zhǔn)，可為充當(dāng)個人信息處理者的云服務(wù)商提供有關(guān)評估風(fēng)險和實施控制措施的指導(dǎo)。同時，以ISO/IEC27018為依據(jù)的“云隱私保護認(rèn)證”也得到云服務(wù)商的認(rèn)可。我國的眾多主流公有云服務(wù)商，如騰訊、平安、百度、華為等，也都通過了該項認(rèn)證。 ISO/IEC27018是國際上公認(rèn)的最權(quán)威、最嚴(yán)格的云中個人信息保護標(biāo)準(zhǔn)。它是在GB/T22081（ISO/IEC27002，IDT）的基礎(chǔ)上，針對公有云個人信息保護提出的額外控制措施。可見，該標(biāo)準(zhǔn)是對原有信息安全管理標(biāo)準(zhǔn)體系在云端實施個人信息保護的細(xì)化和延伸，與現(xiàn)有信息安全管理標(biāo)準(zhǔn)體系具有天然的內(nèi)在聯(lián)系。我國信息安全管理標(biāo)準(zhǔn)體系是由ISO27000系列標(biāo)準(zhǔn)轉(zhuǎn)化而來，完全可以繼續(xù)采用ISO/IEC27018作為我國的國家標(biāo)準(zhǔn)，規(guī)范公有云服務(wù)商的個人信息處理行為，保護個人信息安全。 ISO/IEC27018轉(zhuǎn)化實施后，我國認(rèn)證機構(gòu)也可據(jù)此建立認(rèn)證規(guī)則，開展認(rèn)證服務(wù)，規(guī)范公有云服務(wù)商保護個人信息安全的行為，同時，促進標(biāo)準(zhǔn)的貫徹實施。 草案階段的主要工作如下： 2019年1月前，項目牽頭單位一直跟蹤國內(nèi)外信息安全管理體系的技術(shù)發(fā)展，關(guān)注國內(nèi)個人信息保護方面的行業(yè)動態(tài)，及時了解到國內(nèi)云服務(wù)提供商對于“云隱私保護認(rèn)證”的迫切需求。通過與中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、陜西省網(wǎng)絡(luò)與信息安全測評中心的溝通協(xié)調(diào)，發(fā)現(xiàn)國內(nèi)缺少開展“云隱私保護認(rèn)證”的標(biāo)準(zhǔn)依據(jù)。而目前國際上最權(quán)威的“云隱私保護認(rèn)證”都是基于ISO/IEC27018開展的，由此確定將ISO/IEC27018:2019《信息技術(shù)安全技術(shù)個人可識別信息(PII)處理者在公有云中保護PII的實踐指南》轉(zhuǎn)化為國家標(biāo)準(zhǔn)，完善國家信息安全管理標(biāo)準(zhǔn)體系，并適時推動相關(guān)認(rèn)證工作。 2019年1月-2019年3月，按照《申報指南》的要求，項目牽頭單位與中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、陜西省網(wǎng)絡(luò)與信息安全測評中心簽訂聯(lián)合申報2019年網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)合作協(xié)議，準(zhǔn)備網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)個人可識別信息(PII)處理者在公有云中保護PII的實踐指南》的申報材料，并向信安標(biāo)委提出立項申請。標(biāo)準(zhǔn)申報材料主要包括：項目建議書、項目申請書、標(biāo)準(zhǔn)草案。 2019年4月，參加信安標(biāo)委組織的2019年第一次工作組“會議周”活動。會上，《信息技術(shù)安全技術(shù)個人可識別信息(PII)處理者在公有云中保護PII的實踐指南》作為新立項申報項目參與項目評審，順利通過工作組全體成員單位的評審（見工作組會議紀(jì)要，文件編號：TC260-WG7-2019011）。 2019年5月-2019年8月，配合信安標(biāo)委秘書處，完成標(biāo)準(zhǔn)立項階段其他工作。期間，項目主要人員多次標(biāo)準(zhǔn)草案進行修改完善。 2019年8月21日，信安標(biāo)委下發(fā)《全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會關(guān)于2019年網(wǎng)絡(luò)安全標(biāo)準(zhǔn)項目立項的通知》（信安秘字[2019]050號），項目牽頭單位牽頭申請的《信息技術(shù)安全技術(shù)個人可識別信息(PII)處理者在公有云中保護PII的實踐指南》獲批立項。 2019年9月11日，項目牽頭單位派員參加了信安標(biāo)委組織的標(biāo)準(zhǔn)技術(shù)評審會，與會專家建議結(jié)合國內(nèi)個人信息保護的法律法規(guī)、標(biāo)準(zhǔn)規(guī)范研制本標(biāo)準(zhǔn)，并注意統(tǒng)一“個人可識別信息”的定義。 2019年9月25日，項目牽頭單位發(fā)布“關(guān)于征集《信息技術(shù)安全技術(shù)個人可識別信息（PII）處理者在公有云中保護PII的實踐指南》標(biāo)準(zhǔn)參編單位的通知”，向社會公開征集標(biāo)準(zhǔn)參編單位。截止目前，中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、陜西省網(wǎng)絡(luò)與信息安全測評中心、同程藝龍控股有限公司等多家單位申請參與標(biāo)準(zhǔn)研制工作。同時，正在籌劃標(biāo)準(zhǔn)項目啟動會，確定標(biāo)準(zhǔn)研制的工作思路、工作計劃，以及各參編單位的任務(wù)分工等工作。 2019年10月，參加信安標(biāo)委組織的2019年第二次工作組“會議周”活動，向工作組全體成員單位匯報項目進展情況，確定下一步工作安排。 2019年11月，標(biāo)準(zhǔn)編制組召開標(biāo)準(zhǔn)編制會，重點對國內(nèi)外個人信息保護體系的協(xié)調(diào)性展開討論，并達成共識。 2020年4月，標(biāo)準(zhǔn)編制組召開標(biāo)準(zhǔn)編制會議。參編單位討論了國內(nèi)外個人信息標(biāo)準(zhǔn)體系的協(xié)調(diào)問題。（２）征求意見稿階段 2020年5月，參加信息安標(biāo)委組織的2020年WG7工作組第一次全體會議，標(biāo)準(zhǔn)編制組向會議匯報標(biāo)準(zhǔn)編制情況，聽取與會專家意見，并對意見進行處理。 2020年6月17日，TC260/WG7主持召開標(biāo)準(zhǔn)征求意見稿評審會，對本標(biāo)準(zhǔn)進行評審，標(biāo)準(zhǔn)編制組結(jié)合專家意見，對標(biāo)準(zhǔn)征求意見稿進行了進一步完善。6月24日，秘書處責(zé)任編輯對征求意見稿進行了審查，根據(jù)責(zé)任編輯意見進行了相應(yīng)修改。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題1、編制原則（1）合規(guī)性原則本標(biāo)準(zhǔn)采用ISO/IEC27018:2019《信息技術(shù)安全技術(shù)個人可識別信息（PII）處理者在公有云中保護PII的實踐指南》。首先堅持合規(guī)性原則，確保本標(biāo)準(zhǔn)符合我國現(xiàn)行法律法規(guī)的相關(guān)規(guī)定，標(biāo)準(zhǔn)條款與我國法律法規(guī)和相關(guān)政策不沖突。（2）適用性原則 為確保本標(biāo)準(zhǔn)符合我國基本國情，重點研究關(guān)鍵術(shù)語與角色在我國的表述形式，保證與我國現(xiàn)行標(biāo)準(zhǔn)體系的相適應(yīng)，為后期標(biāo)準(zhǔn)的實施奠定良好的基礎(chǔ)。2、主要內(nèi)容本標(biāo)準(zhǔn)是在GB/T22081－2016（ISO/IEC27002：2013,IDT）的基礎(chǔ)上，充分考慮了公有云服務(wù)商保護個人信息安全的風(fēng)險環(huán)境，給出了額外的控制措施，加強云中個人信息保護。本標(biāo)準(zhǔn)包含14個安全控制章節(jié)、35個安全類別、114項控制，以及規(guī)范性附錄（公有云個人信息處理者保護個人信息的控制集）。本標(biāo)準(zhǔn)的內(nèi)容結(jié)構(gòu)見表3。表3本標(biāo)準(zhǔn)主要內(nèi)容結(jié)構(gòu)序號章節(jié)號章節(jié)內(nèi)容1第５章信息安全策略2第６章信息安全組織3第７章人力資源安全4第８章資產(chǎn)管理5第９章訪問控制6第１０章密碼7第１１章物理和環(huán)境安全8第１２章運行安全9第１３章通信安全10第１４章系統(tǒng)獲取、開發(fā)和維護11第１５章供應(yīng)商關(guān)系12第１６章信息安全事件管理13第１７章業(yè)務(wù)連續(xù)性管理的信息安全方面14第１８章符合性3、解決的主要問題（１）如何確定適用于公有云環(huán)境下的個人可識別信息保護的額外控制；（2）針對國內(nèi)云服務(wù)商云中個人信息保護認(rèn)證需求，解決缺少認(rèn)證標(biāo)準(zhǔn)依據(jù)的問題；（3）解決國內(nèi)云服務(wù)提供商缺少個人可識別信息保護能力自我評估實施指南的問題。三、主要試驗[或驗證]情況分析編制組在標(biāo)準(zhǔn)編制過程中，廣泛聽取云服務(wù)商、認(rèn)證機構(gòu)、研究機構(gòu)、行業(yè)組織的意見和建議，不斷完善標(biāo)準(zhǔn)文本。四、知識產(chǎn)權(quán)情況說明本標(biāo)準(zhǔn)不涉及專利。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達到的經(jīng)濟效果無。六、采用國際標(biāo)準(zhǔn)和國外先進標(biāo)準(zhǔn)的程度本標(biāo)準(zhǔn)采用國際標(biāo)準(zhǔn)ISO/IEC27018:2019《Informationtechnology－Securitytechniques－Codeofpracticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPIIprocessor》，該標(biāo)準(zhǔn)是國際上最權(quán)威、最嚴(yán)格的云中個人信息保護標(biāo)準(zhǔn)。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性在標(biāo)準(zhǔn)編制過程中，編制組認(rèn)真分析了本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)、規(guī)章及相關(guān)國家標(biāo)準(zhǔn)的協(xié)調(diào)性，確保本標(biāo)準(zhǔn)不違反現(xiàn)行法律、法規(guī)、規(guī)章的規(guī)定，并與相關(guān)國家標(biāo)準(zhǔn)相協(xié)調(diào)。1、合規(guī)性分析 ISO/IEC27018:2019作為一項國際標(biāo)準(zhǔn)，為保證標(biāo)準(zhǔn)的廣泛適用性，堅持遵守不同國家或地區(qū)法律法規(guī)的原則，并不違反我國的相關(guān)法律法規(guī)。將本標(biāo)準(zhǔn)條款與《中華人民共和國網(wǎng)絡(luò)安全法》、《民法總則》、《刑法》、《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)相關(guān)條款對比分析（見表1），也證實了這一點。表1本標(biāo)準(zhǔn)合規(guī)性分析序號法律法規(guī)名稱法律法規(guī)相關(guān)內(nèi)容本標(biāo)準(zhǔn)合規(guī)性分析1中華人民共和國網(wǎng)絡(luò)安全法第四十條網(wǎng)絡(luò)運營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護制度。本標(biāo)準(zhǔn)的目的就是規(guī)范公有云服務(wù)提供商處理個人信息的行為，保護個人信息的安全。與該法律條款的要求一致。第四十一條網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。本標(biāo)準(zhǔn)遵循的隱私保護原則正是對該法律條款的體現(xiàn)，比方說：同意和選擇原則、目的合法性原則、最小化原則等；5.1.1信息安全策略中規(guī)定，個人信息主體也可以與個人信息處理者簽訂合同，約定相關(guān)的事宜，約束個人信息處理者的行為。第四十二條網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當(dāng)立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。本條款的規(guī)定，在本標(biāo)準(zhǔn)遵循的隱私原則有所體現(xiàn)。如本標(biāo)準(zhǔn)附錄A.6使用、保存和披露限制，附錄A.8開放性、透明度和通知等都約定了個人信息處理者、甚至分包商的保密責(zé)任，簽訂保密協(xié)議。附錄A.10.1規(guī)定了發(fā)生數(shù)據(jù)泄漏時，應(yīng)立即通知客戶。2民法總則第五章第一百一十一條自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。明確了個人信息受法律保護，確定了個人信息權(quán)利基本民事權(quán)利地位。本標(biāo)準(zhǔn)在5.1.1信息安全策略和附錄A.2中都明確要求公有云個人信息處理者遵守當(dāng)?shù)氐姆煞ㄒ?guī)。3刑法第二百五十三條違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規(guī)定處罰。單位犯前三款罪的，對單位判處罰金，并對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰。定義了侵犯公民個人信息罪，明確了違法者承擔(dān)的法律后果。本標(biāo)準(zhǔn)規(guī)范個人信息處理者的行為，避免犯罪，維護個人信息主體的合法權(quán)益。4兒童個人信息網(wǎng)絡(luò)保護規(guī)定第二條本規(guī)定所稱兒童，是指不滿十四周歲的未成年人。第三條在中華人民共和國境內(nèi)通過網(wǎng)絡(luò)從事收集、存儲、使用、轉(zhuǎn)移、披露兒童個人信息等活動，適用本規(guī)定。本標(biāo)準(zhǔn)提出了面向云服務(wù)中所有個人可識別信息的保護要求，涵蓋了兒童個人信息保護要求。在我國境內(nèi)云服務(wù)商提供個人信息保護涉及兒童個人信息保護的，按照《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》執(zhí)行。本標(biāo)準(zhǔn)是云服務(wù)中個人信息保護的基礎(chǔ)要求，與《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》無違背或沖突。5電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定第一條為了保護電信和互聯(lián)網(wǎng)用戶的合法權(quán)益，維護網(wǎng)絡(luò)信息安全，根據(jù)《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》、《中華人民共和國電信條例》和《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法律、行政法規(guī)，制定本規(guī)定。第二條在中華人民共和國境內(nèi)提供電信服務(wù)和互聯(lián)網(wǎng)信息服務(wù)過程中收集、使用用戶個人信息的活動，適用本規(guī)定。《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》規(guī)定提供電信服務(wù)和互聯(lián)網(wǎng)信息服務(wù)過程中個人信息的保護要求，涵蓋了服務(wù)過程中收集、使用用戶個人信息的活動。本標(biāo)準(zhǔn)與《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》無違背或沖突。2、協(xié)調(diào)性分析 國內(nèi)涉及個人信息及云計算的相關(guān)標(biāo)準(zhǔn)見表2。表2國內(nèi)相關(guān)標(biāo)準(zhǔn)序號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱標(biāo)準(zhǔn)內(nèi)容1GB/T35273－2020《信息安全技術(shù)個人信息安全規(guī)范》規(guī)定了開展收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等個人信息處理活動應(yīng)遵循的原則和安全要求。2GB/T31167－2014《信息安全技術(shù)云計算服務(wù)安全指南》提出了政府部門采用云計算服務(wù)的安全要求及云計算服務(wù)的生命周期各階段的安全管理和技術(shù)要求。3GB/T31168－2014《信息安全技術(shù)云計算服務(wù)安全能力要求》規(guī)定了以社會化方式提供云計算服務(wù)的服務(wù)商應(yīng)滿足信息安全基本要求。（1）與GB/T35273《信息安全技術(shù)個人信息安全規(guī)范》的協(xié)調(diào)性分析 GB/T35273是實踐《網(wǎng)絡(luò)安全法》中有關(guān)個人信息保護的基礎(chǔ)標(biāo)準(zhǔn)，重點規(guī)范個人信息控制者在收集、存儲、適用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)的相關(guān)行為。本標(biāo)準(zhǔn)規(guī)范了個人信息處理者在公有云中處理個人信息的相關(guān)行為。由于個人信息處理者是按照個人信息控制者指令處理個人信息的一方，所以本標(biāo)準(zhǔn)是在GB/T35273基礎(chǔ)上，面向云應(yīng)用場景對個人信息處理者的要求。由此可見，本標(biāo)準(zhǔn)與GB/T35273相協(xié)調(diào)。（2）與GB/T31167《信息安全技術(shù)云計算服務(wù)安全指南》的協(xié)調(diào)性分析 GB/T31167規(guī)定了政府部門采用云計算服務(wù)的安全管理基本要求，適用于政府部門采購和使用云計算服務(wù)。本標(biāo)準(zhǔn)規(guī)定了公有云服務(wù)商作為個人信息處理者角色時處理個人信息的基本要求，兩者適用范圍不同，未發(fā)生沖突。（3）與GB/T31168《信息安全技術(shù)云計算服務(wù)安全能力要求》的協(xié)調(diào)性分析 GB/T31168標(biāo)準(zhǔn)側(cè)重云計算平臺應(yīng)具備的整體安全能力。依據(jù)《云計算服務(wù)安全評估辦法》，該標(biāo)準(zhǔn)適用于對黨政機關(guān)和關(guān)鍵信息基礎(chǔ)設(shè)施運營者使用的云計算服務(wù)進行安全管理，還適用于指導(dǎo)云服務(wù)商建設(shè)安全的云計算平臺和提供安全的云計算服務(wù)。 同時，GB/T31168弱化了個人信息保護的相關(guān)要求，側(cè)重能夠提供相關(guān)機制，滿足客戶需求。此外，根據(jù)云計算服務(wù)評估實踐經(jīng)驗，一般以IaaS模式的社區(qū)云為主，上層應(yīng)用由客戶部署，在平臺層面難以實現(xiàn)數(shù)據(jù)分級分類。此外，對于政府客戶和關(guān)鍵信息基礎(chǔ)設(shè)施客戶，在數(shù)據(jù)保護方面，更多是遷移過程中的數(shù)據(jù)完整性和業(yè)務(wù)連續(xù)性，服務(wù)關(guān)閉后的數(shù)據(jù)留存，以及數(shù)據(jù)管理機制建設(shè)。八、重大分歧意見的處理經(jīng)過和依據(jù)１、重大分歧 針對如何協(xié)調(diào)處理本標(biāo)準(zhǔn)中的“個人可識別信息（ＰＩＩ）”與國內(nèi)標(biāo)準(zhǔn)中的“個人信息”，業(yè)內(nèi)專家給出了不同的意見和建議，歸納如下：（1）本標(biāo)準(zhǔn)采用國際標(biāo)準(zhǔn)ISO/IEC27018：2019，首先要融入我國現(xiàn)有的標(biāo)準(zhǔn)體系，才能保證標(biāo)準(zhǔn)的順利實施。針對自然人信息的術(shù)語，我國使用“個人信息”進行表述，而沒有“個人可識別信息（PII）”的表述。因此，建議使用“個人信息”代替“個人可識別信息（PII）”，保證與我國標(biāo)準(zhǔn)術(shù)語表述的一致性。（2）“個人可識別信息（PII）”與“個人信息”是兩個不同的術(shù)語，不能使用“個人信息”代替“個人可識別信息（PII）”。（3）不宜過多關(guān)注“個人可識別信息（PII）”與“個人信息”的差別，應(yīng)該重點考慮使用“個人信息”代替“個人可識別信息（PII）”后，原有標(biāo)準(zhǔn)條款的適用性。2、處理經(jīng)過和依據(jù) 標(biāo)準(zhǔn)編制組先后于2019年10月10日、2019年11月18日、2019年12月25日、2020年3月5日、2020年4月7日、2020年4月16日召開標(biāo)準(zhǔn)編制會議及專家評審會議對該問題進行研討處理。處理經(jīng)過和依據(jù)如下：（1）認(rèn)真分析兩個術(shù)語定義的內(nèi)涵 GB/T35273－２０２０《信息安全技術(shù)個人信息安全規(guī)范》對“個人信息”的定義： 以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。 該定義包含兩層含義： a）單獨識別自然人身份的各種信息； b）與其他信息結(jié)合識別自然人身份的各種信息。 ISO/IEC27018：2019《Informationtechnology—Securitytechniques—Codeofpracticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsActingasPIIprocessors》對“個人可識別信息（PII）”的定義： anyinformationthat(a)canbeusedtoestablishalinkbetweentheinformationandthenaturalpersontowhomsuchinformationrelates,or(b)isorcanbedirectlyorindirectlylinkedtoanaturalperson. 該定義也包含兩層含義： a）幫助建立信息和自然人鏈接的任何信息； b）直接或間接鏈接到自然人的任何信息。 由此可見，“個人可識別信息（PII）”定義的a）對應(yīng)“個人信息”定義b），“個人可識別信息（PII）”定義的b）對應(yīng)“個人信息”定義a），兩個術(shù)語定義的內(nèi)涵是一致的。 不能簡單認(rèn)為有“可識別信息”就必然有“不可識別信息”，并由此將“個人信息”分為“個人可識別信息”和“個人不可識別信息”。“個人可識別信息”只是對“personallyidentifiableinformation”的一種翻譯形式，也有專家認(rèn)為“personallyidentifiableinformation”應(yīng)該翻譯為“個人身份信息”。因此，基于兩個術(shù)語的表述形式認(rèn)為“個人可識別信息（PII）”和“個人信息”不同的觀點欠妥。（2）2019年10月，ISO/IECJTC1會議（夏威夷會議）也對“個人信息”和“個人可識別信息”的處理問題進行了研討，會議列出了使用“個人信息”和“個人可識別信息”的20個標(biāo)準(zhǔn)，對比分析了這些