云平臺個人信息保護技術(shù)要求編制說明

目的意義當(dāng)前，個人信息保護已成為全球網(wǎng)絡(luò)安全防護中的核心議題，其重要性關(guān)系到個人隱私權(quán)的保障、企業(yè)責(zé)任的履行乃至國家安全的穩(wěn)定。近年來，云平臺個人信息泄露事件頻發(fā)，涉及范圍廣，影響力大，不僅使得用戶個人信息遭到嚴(yán)重侵害，也讓云服務(wù)提供商面臨數(shù)據(jù)保護合規(guī)與公眾信任缺失的雙重挑戰(zhàn)。2016年，十二屆全國人大常委會第二十四次會議表決通過的《中華人民共和國網(wǎng)絡(luò)安全法》首次在立法層面明確了個人信息在存儲和處理過程中的要求。2020年，十三屆全國人民代表大會第三次會議通過的《中華人民共和國民法典》進一步細化了個人信息保護的原則，明確了自然人的個人信息受法律保護，任何組織或個人，包括云平臺服務(wù)提供商，在收集、存儲、使用、加工、傳輸個人信息時，均需嚴(yán)格遵守法律規(guī)定。2021年《中華人民共和國個人信息保護法》的頒布，對個人信息保護提出了更為全面和具體的要求。一系列法規(guī)的頒布，不僅構(gòu)建了我國個人信息保護的法律體系，也對個人信息保護的作出了明確要求。面對日益嚴(yán)峻的全球數(shù)據(jù)濫用和個人信息泄露問題，日趨嚴(yán)格的隱私保護法律法規(guī)不斷完善，企業(yè)和組織亟需采取更積極的措施來加強個人信息保護和安全管理。這一做法不僅是為了符合相應(yīng)法規(guī)要求，也是為了建立公眾信任、保護用戶個人信息和維護企業(yè)聲譽。在上述過程中，云平臺個人信息保護技術(shù)要求發(fā)揮著至關(guān)重要的作用：1、在云計算廣泛應(yīng)用的時代，亟需可以指導(dǎo)云平臺保護和管理個人信息的相關(guān)要求和方法。2、國際上普遍缺少全面的云平臺個人信息保護框架，難以全面把握和指導(dǎo)云平臺保護個人信息安全的實踐和方向。3、各國在制定和實施具體、有效的云平臺個人信息保護措施方面存在不足，導(dǎo)致云平臺個人信息保護技術(shù)與期望的安全標(biāo)準(zhǔn)之間存在差距。4、主管監(jiān)管部門在理解和應(yīng)用云平臺個人信息保護技術(shù)方面缺乏成熟的指導(dǎo)和支持，影響決策和執(zhí)行的有效性。任務(wù)來源數(shù)據(jù)安全和隱私保護從20世紀(jì)70年代開始逐漸受到國際社會的關(guān)注，到80年代和90年代受到的關(guān)注更為廣泛，成為當(dāng)前全球關(guān)注焦點。隨著云計算技術(shù)的普及和數(shù)據(jù)泄露事件頻發(fā)，云平臺的個人信息保護技術(shù)顯得尤為重要。少數(shù)歐美國家和國際組織已提出了云數(shù)據(jù)保護的標(biāo)準(zhǔn)和指導(dǎo)原則，以確保在云環(huán)境中個人信息的安全和隱私得到有效保障。針對云平臺個人信息保護技術(shù)的要求，不僅反映了當(dāng)前數(shù)據(jù)安全的緊迫需求和技術(shù)挑戰(zhàn)，也是對現(xiàn)有云數(shù)據(jù)保護措施有效性的一次全面審視。通過明確云平臺個人信息保護技術(shù)要求，可以規(guī)范云服務(wù)提供商的行為，確保數(shù)據(jù)在存儲和處理過程中的安全性，保障用戶的隱私權(quán)，同時降低數(shù)據(jù)泄露和被非法訪問的風(fēng)險，確保個人信息在云環(huán)境中的安全性和合規(guī)性。盡管國內(nèi)外在云平臺保護技術(shù)方面已有一定的進展，但實踐中仍存在諸如標(biāo)準(zhǔn)不統(tǒng)一、保護措施不夠全面等問題。亟需制定統(tǒng)一的技術(shù)標(biāo)準(zhǔn)來指導(dǎo)云平臺個人信息保護的安全實施，支持保護用戶隱私和數(shù)據(jù)安全。制定云平臺個人信息保護技術(shù)要求的標(biāo)準(zhǔn)將有助于提供明確的操作指南和技術(shù)規(guī)范，提升數(shù)據(jù)使用中的安全性和透明度。同時，構(gòu)建全面的信息保護框架，確保云數(shù)據(jù)處理中的合規(guī)性，能夠提升整體隱私保護能力。編制過程1）2023年3月3日，規(guī)范研制正式啟動會。標(biāo)準(zhǔn)牽頭單位對前期的研究工作進行了匯報。確定了標(biāo)準(zhǔn)的研究思路和分工。2）2023年3月29日，提交項目立項申請書。3）2023年5月27日，召開立項評審會，邀請中國電信、騰訊、阿里等企業(yè)專家對草案給出建議。4）2023年6月16日至2023年8月25日，期間進行了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，并根據(jù)專家提出的建議進行修改，形成第二版草案。5）2023年9月7日，邀請專家對第二版草案給出建議。6）2023年9月18日至2023年10月30日，期間進行了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，并根據(jù)專家提出的建議針對草案部分內(nèi)容進行了細節(jié)的修改與調(diào)整，形成第三版草案。7）2023年11月3日，邀請專家對第三版草案給出建議。8）2023年12月22日，形成征求意見初稿。9）2024年7月1日，邀請專家對征求意見稿后的修改版本進行評審。10）2024年11月，形成征求意見稿。主要內(nèi)容技術(shù)指標(biāo)確立本標(biāo)準(zhǔn)規(guī)范了云平臺個人信息的分類以及技術(shù)和管理要求。詳情如下：云平臺個人信息分類：將云平臺個人信息劃分為七類，分別是個人基本信息、個人身份信息、個人生物識別信息、網(wǎng)絡(luò)身份識別信息、個人金融信息、設(shè)備標(biāo)識信息、個人上網(wǎng)記錄信息。此外，不同服務(wù)階段對個人信息的保護要求不同，因此將個人信息根據(jù)云平臺服務(wù)流程劃分為賬戶個人信息和服務(wù)個人信息。云平臺個人信息保護技術(shù)要求：按照云平臺個人信息分類提出云平臺賬戶個人信息保護要求和云平臺服務(wù)個人信息保護要求。云平臺賬戶個人信息技術(shù)要求是指用戶在登錄/注冊、使用、注銷賬戶時，云平臺收集、存儲、使用和刪除個人信息等方面應(yīng)當(dāng)遵循的技術(shù)要求。云平臺服務(wù)個人信息保護技術(shù)要求是指用戶使用云平臺提供的云服務(wù)作為個人信息處理容器時，針對云服務(wù)中涉及的個人信息傳輸、存儲、處理、共享和刪除等方面應(yīng)遵循的技術(shù)要求。云平臺個人信息安全管理要求：是云平臺管理部門和操作人員應(yīng)當(dāng)滿足的安全管理要求，以及對個人信息操作活動的存證審計要求。本標(biāo)準(zhǔn)適用于規(guī)范云平臺的個人信息處理活動，也適用于主管監(jiān)管部門、第三方評估機構(gòu)等組織對云平臺個人信息處理活動進行監(jiān)督、管理和評估。本標(biāo)準(zhǔn)牽頭單位為中國網(wǎng)絡(luò)空間研究院，參加單位包括中國科學(xué)院信息工程研究所、華中科技大學(xué)、西安電子科技大學(xué)、電子科技大學(xué)、中國電信股份有限公司、京東城市（北京）數(shù)字科技有限公司、航天信息股份有限公司北京市計算中心有限公司、普華永道商務(wù)咨詢(上海)有限公司。與相關(guān)法律法規(guī)和國家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)的總體結(jié)構(gòu)和編寫方法按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定執(zhí)行。本標(biāo)準(zhǔn)參考的相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)文件如下：GB/T25069-2022信息安全技術(shù)術(shù)語GB/T32400-2015信息技術(shù)云計算概覽與詞匯GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范GB/T22081-2016信息技術(shù)安全技術(shù)信息安全控制實現(xiàn)指南GB/T41574-2022信息技術(shù)安全技術(shù)公有云中個人信息保護實踐指南GB/T