云平臺(tái)個(gè)人信息保護(hù)技術(shù)要求編制說(shuō)明

目的意義當(dāng)前，個(gè)人信息保護(hù)已成為全球網(wǎng)絡(luò)安全防護(hù)中的核心議題，其重要性關(guān)系到個(gè)人隱私權(quán)的保障、企業(yè)責(zé)任的履行乃至國(guó)家安全的穩(wěn)定。近年來(lái)，云平臺(tái)個(gè)人信息泄露事件頻發(fā)，涉及范圍廣，影響力大，不僅使得用戶個(gè)人信息遭到嚴(yán)重侵害，也讓云服務(wù)提供商面臨數(shù)據(jù)保護(hù)合規(guī)與公眾信任缺失的雙重挑戰(zhàn)。2016年，十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議表決通過(guò)的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》首次在立法層面明確了個(gè)人信息在存儲(chǔ)和處理過(guò)程中的要求。2020年，十三屆全國(guó)人民代表大會(huì)第三次會(huì)議通過(guò)的《中華人民共和國(guó)民法典》進(jìn)一步細(xì)化了個(gè)人信息保護(hù)的原則，明確了自然人的個(gè)人信息受法律保護(hù)，任何組織或個(gè)人，包括云平臺(tái)服務(wù)提供商，在收集、存儲(chǔ)、使用、加工、傳輸個(gè)人信息時(shí)，均需嚴(yán)格遵守法律規(guī)定。2021年《中華人民共和國(guó)個(gè)人信息保護(hù)法》的頒布，對(duì)個(gè)人信息保護(hù)提出了更為全面和具體的要求。一系列法規(guī)的頒布，不僅構(gòu)建了我國(guó)個(gè)人信息保護(hù)的法律體系，也對(duì)個(gè)人信息保護(hù)的作出了明確要求。面對(duì)日益嚴(yán)峻的全球數(shù)據(jù)濫用和個(gè)人信息泄露問(wèn)題，日趨嚴(yán)格的隱私保護(hù)法律法規(guī)不斷完善，企業(yè)和組織亟需采取更積極的措施來(lái)加強(qiáng)個(gè)人信息保護(hù)和安全管理。這一做法不僅是為了符合相應(yīng)法規(guī)要求，也是為了建立公眾信任、保護(hù)用戶個(gè)人信息和維護(hù)企業(yè)聲譽(yù)。在上述過(guò)程中，云平臺(tái)個(gè)人信息保護(hù)技術(shù)要求發(fā)揮著至關(guān)重要的作用：1、在云計(jì)算廣泛應(yīng)用的時(shí)代，亟需可以指導(dǎo)云平臺(tái)保護(hù)和管理個(gè)人信息的相關(guān)要求和方法。2、國(guó)際上普遍缺少全面的云平臺(tái)個(gè)人信息保護(hù)框架，難以全面把握和指導(dǎo)云平臺(tái)保護(hù)個(gè)人信息安全的實(shí)踐和方向。3、各國(guó)在制定和實(shí)施具體、有效的云平臺(tái)個(gè)人信息保護(hù)措施方面存在不足，導(dǎo)致云平臺(tái)個(gè)人信息保護(hù)技術(shù)與期望的安全標(biāo)準(zhǔn)之間存在差距。4、主管監(jiān)管部門在理解和應(yīng)用云平臺(tái)個(gè)人信息保護(hù)技術(shù)方面缺乏成熟的指導(dǎo)和支持，影響決策和執(zhí)行的有效性。任務(wù)來(lái)源數(shù)據(jù)安全和隱私保護(hù)從20世紀(jì)70年代開(kāi)始逐漸受到國(guó)際社會(huì)的關(guān)注，到80年代和90年代受到的關(guān)注更為廣泛，成為當(dāng)前全球關(guān)注焦點(diǎn)。隨著云計(jì)算技術(shù)的普及和數(shù)據(jù)泄露事件頻發(fā)，云平臺(tái)的個(gè)人信息保護(hù)技術(shù)顯得尤為重要。少數(shù)歐美國(guó)家和國(guó)際組織已提出了云數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn)和指導(dǎo)原則，以確保在云環(huán)境中個(gè)人信息的安全和隱私得到有效保障。針對(duì)云平臺(tái)個(gè)人信息保護(hù)技術(shù)的要求，不僅反映了當(dāng)前數(shù)據(jù)安全的緊迫需求和技術(shù)挑戰(zhàn)，也是對(duì)現(xiàn)有云數(shù)據(jù)保護(hù)措施有效性的一次全面審視。通過(guò)明確云平臺(tái)個(gè)人信息保護(hù)技術(shù)要求，可以規(guī)范云服務(wù)提供商的行為，確保數(shù)據(jù)在存儲(chǔ)和處理過(guò)程中的安全性，保障用戶的隱私權(quán)，同時(shí)降低數(shù)據(jù)泄露和被非法訪問(wèn)的風(fēng)險(xiǎn)，確保個(gè)人信息在云環(huán)境中的安全性和合規(guī)性。盡管國(guó)內(nèi)外在云平臺(tái)保護(hù)技術(shù)方面已有一定的進(jìn)展，但實(shí)踐中仍存在諸如標(biāo)準(zhǔn)不統(tǒng)一、保護(hù)措施不夠全面等問(wèn)題。亟需制定統(tǒng)一的技術(shù)標(biāo)準(zhǔn)來(lái)指導(dǎo)云平臺(tái)個(gè)人信息保護(hù)的安全實(shí)施，支持保護(hù)用戶隱私和數(shù)據(jù)安全。制定云平臺(tái)個(gè)人信息保護(hù)技術(shù)要求的標(biāo)準(zhǔn)將有助于提供明確的操作指南和技術(shù)規(guī)范，提升數(shù)據(jù)使用中的安全性和透明度。同時(shí)，構(gòu)建全面的信息保護(hù)框架，確保云數(shù)據(jù)處理中的合規(guī)性，能夠提升整體隱私保護(hù)能力。編制過(guò)程1）2023年3月3日，規(guī)范研制正式啟動(dòng)會(huì)。標(biāo)準(zhǔn)牽頭單位對(duì)前期的研究工作進(jìn)行了匯報(bào)。確定了標(biāo)準(zhǔn)的研究思路和分工。2）2023年3月29日，提交項(xiàng)目立項(xiàng)申請(qǐng)書。3）2023年5月27日，召開(kāi)立項(xiàng)評(píng)審會(huì)，邀請(qǐng)中國(guó)電信、騰訊、阿里等企業(yè)專家對(duì)草案給出建議。4）2023年6月16日至2023年8月25日，期間進(jìn)行了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，并根據(jù)專家提出的建議進(jìn)行修改，形成第二版草案。5）2023年9月7日，邀請(qǐng)專家對(duì)第二版草案給出建議。6）2023年9月18日至2023年10月30日，期間進(jìn)行了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，并根據(jù)專家提出的建議針對(duì)草案部分內(nèi)容進(jìn)行了細(xì)節(jié)的修改與調(diào)整，形成第三版草案。7）2023年11月3日，邀請(qǐng)專家對(duì)第三版草案給出建議。8）2023年12月22日，形成征求意見(jiàn)初稿。9）2024年7月1日，邀請(qǐng)專家對(duì)征求意見(jiàn)稿后的修改版本進(jìn)行評(píng)審。10）2024年11月，形成征求意見(jiàn)稿。主要內(nèi)容技術(shù)指標(biāo)確立本標(biāo)準(zhǔn)規(guī)范了云平臺(tái)個(gè)人信息的分類以及技術(shù)和管理要求。詳情如下：云平臺(tái)個(gè)人信息分類：將云平臺(tái)個(gè)人信息劃分為七類，分別是個(gè)人基本信息、個(gè)人身份信息、個(gè)人生物識(shí)別信息、網(wǎng)絡(luò)身份識(shí)別信息、個(gè)人金融信息、設(shè)備標(biāo)識(shí)信息、個(gè)人上網(wǎng)記錄信息。此外，不同服務(wù)階段對(duì)個(gè)人信息的保護(hù)要求不同，因此將個(gè)人信息根據(jù)云平臺(tái)服務(wù)流程劃分為賬戶個(gè)人信息和服務(wù)個(gè)人信息。云平臺(tái)個(gè)人信息保護(hù)技術(shù)要求：按照云平臺(tái)個(gè)人信息分類提出云平臺(tái)賬戶個(gè)人信息保護(hù)要求和云平臺(tái)服務(wù)個(gè)人信息保護(hù)要求。云平臺(tái)賬戶個(gè)人信息技術(shù)要求是指用戶在登錄/注冊(cè)、使用、注銷賬戶時(shí)，云平臺(tái)收集、存儲(chǔ)、使用和刪除個(gè)人信息等方面應(yīng)當(dāng)遵循的技術(shù)要求。云平臺(tái)服務(wù)個(gè)人信息保護(hù)技術(shù)要求是指用戶使用云平臺(tái)提供的云服務(wù)作為個(gè)人信息處理容器時(shí)，針對(duì)云服務(wù)中涉及的個(gè)人信息傳輸、存儲(chǔ)、處理、共享和刪除等方面應(yīng)遵循的技術(shù)要求。云平臺(tái)個(gè)人信息安全管理要求：是云平臺(tái)管理部門和操作人員應(yīng)當(dāng)滿足的安全管理要求，以及對(duì)個(gè)人信息操作活動(dòng)的存證審計(jì)要求。本標(biāo)準(zhǔn)適用于規(guī)范云平臺(tái)的個(gè)人信息處理活動(dòng)，也適用于主管監(jiān)管部門、第三方評(píng)估機(jī)構(gòu)等組織對(duì)云平臺(tái)個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督、管理和評(píng)估。本標(biāo)準(zhǔn)牽頭單位為中國(guó)網(wǎng)絡(luò)空間研究院，參加單位包括中國(guó)科學(xué)院信息工程研究所、華中科技大學(xué)、西安電子科技大學(xué)、電子科技大學(xué)、中國(guó)電信股份有限公司、京東城市（北京）數(shù)字科技有限公司、航天信息股份有限公司北京市計(jì)算中心有限公司、普華永道商務(wù)咨詢(上海)有限公司。與相關(guān)法律法規(guī)和國(guó)家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)的總體結(jié)構(gòu)和編寫方法按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定執(zhí)行。本標(biāo)準(zhǔn)參考的相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)文件如下：GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)GB/T32400-2015信息技術(shù)云計(jì)算概覽與詞匯GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T22081-2016信息技術(shù)安全技術(shù)信息安全控制實(shí)現(xiàn)指南GB/T41574-2022信息技術(shù)安全技術(shù)公有云中個(gè)人信息保護(hù)實(shí)踐指南GB/T