ICS 35.030 CCS L 80
中华人民共和国国家标准
GB/T 41574—2022
信息技术 安全技术
公有云中个人信息保护实践指南Information technology——Security techniques——Code of practice for protection of personal information in public clouds
(ISO/IEC 27018:2019,Information technology——Security techniques—Code of practice for protection of personally identifiable information(PII) in public clouds acting as PII processors,MOD)
2022-07-11发布
2023-02-01实施
国家市场监督管理总局
发 布
国家标准化管理委员会
GB/T 41574—2022
信息技术 安全技术
公有云中个人信息保护实践指南
1 范围
本文件给出了在公有云中实施个人信息保护的控制目标和控制措施，在GB/T 22081基础上给出了公有云个人信息保护指南。
本文件适用于作为个人信息处理者的所有类型和规模的组织，包括公有和私营公司、政府机构和非营利组织。
本文件也可能适用于作为个人信息控制者的组织。但是，个人信息控制者可能还受额外的个人信息保护法律法规和义务的约束，而这些法律法规和义务不适用于个人信息处理者。本文件不涵盖此类额外义务。2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T 22081—2016 信息技术 安全技术 信息安全控制实践指南（ISO/IEC 27002：2013，IDT）GB/T 29246 信息技术 安全技术 信息安全管理体系 概述和词汇（GB/T 29246—2017，ISO/IEC 27000:2016,IDT)
GB/T 32400 信息技术 云计算 概览与词汇（GB/T 32400—2015，ISO/IEC 17788：2014，IDT）GB/T 35273—2020 信息安全技术 个人信息安全规范
3 术语和定义
GB/T 29246和 GB/T 32400界定的以及下列术语和定义适用于本文件。3.1
个人信息 personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式、通信记录和内容、账号
密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。注2：关于个人信息的判定方法和类型参见GB/T35273—2020中附录A。
注3：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者
与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。【来源：GB/T 35273—2020，3.1】。3.2
个人信息控制者 personal information controller 有能力决定个人信息处理目的、方式等的组织或个人。来源：GB/T 35273—2020，3.4。
GB/T 41574——2022
3.3
个人信息主体 personal information principal 个人信息所标识或者关联的自然人。【来源：GB/T 35273—2020，3.3】。3.4
个人信息处理者 personal information processor
代表并根据个人信息控制者的要求处理个人信息的组织或个人。
注：对于处理个人信息而言，个人信息处理者与GB/T 35273—2020中9.1提到的“受委托者”履行的义务相同，两
者可以等同使用。3.5
个人信息处理 processing of personal information 对个人信息执行的操作或操作集。
注：个人信息处理操作包括但不限于收集、存储、变更、恢复、查阅、披露、匿名化、假名化、传播或以其他方式提供、
删除或销毁个人信息。3.6
公有云服务提供者 public cloud service provider 根据公有云模型提供云服务的参与方。3.7
数据失陷 data breach
导致受保护数据在传输、存储或处理过程中被意外或非法销毁、丢失、变更，以及未经授权披露或访问的安全危害。
【来源：ISO/IEC 27040：2015，3.7】
4 概述4.1 本文件的结构
本文件的结构与GB/T 22081类似。当无需补充其他信息，GB/T 22081中规定的控制目标和控制措施适用于本文件时，本文件仅给出对GB/T 22081相应条款的引用。附录B给出了适用于公有云个人信息处理者保护个人信息的额外控制措施和相关实现指南。
“公有云个人信息保护实现指南”标题下给出了适用于公有云服务提供者保护个人信息的额外指南。"公有云个人信息保护其他信息"标题下给出了增强这些额外指南的更多相关信息。
如表1所示，面向特定应用的指南和其他信息包含在GB/T 22081定义的控制类别中。本文件的条款号与GB/T22081中的条款号一致，见表1。
本文件应与GB/T22080结合使用，并将附录B给出的额外控制措施作为实施基于GB/T22080 的信息安全管理体系的组成部分。
表1 实现GB/T 22081中定义的控制措施所需的特定指南和其他信息在本文件中的位置
备注
条款号
标题信息安全策略
提供了特定应用的实现指南和其他信息
信息安全组织
提供了特定应用的实现指南
人力资源安全
提供了特定应用的实现指南和其他信息