GB/T 41574-2022《信息技术安全技术公有云中个人信息保护实践指南》(ISO/IEC 27018-2019)
GB/T 41574-2022《信息技术安全技术公有云中个人信息保护实践指南》标准给出了在公有云中实施个人信息保护的控制目标和控制措施,在GB/T 22081基础上给出了公有云个人信息保护指南。
公有云服务提供者通常需要依据与云服务客户签订的合同,并在双方均遵守个人信息保护法律法规相关要求的前提下开展服务。对于个人信息保护的这些要求,云服务提供者与云服务客户是依据法律法规和它们之间的合同来确定的。
当公有云服务提供者按照云服务客户的要求处理个人信息时,公有云服务提供者充当“个人信息处理者"的角色。与公有云个人信息处理者有合同关系的云服务客户是“个人信息控制者"。在云计算环境下,个人信息控制者掌握个人信息的控制权,其也具有处理和使用个人信息的权限。个人信息控制者与个人信息处理者均可处理个人信息,但个人信息处理者作为受委托的一方,只能执行个人信息控制者要求的个人信息处理操作和为实现个人信息控制者目标而进行的必要操作。同时,云服务客户也可授权一个或多个云服务用户使用其服务,但这些服务**于云服务客户与公有云个人信息处理者签订合同中约定的可用服务。
GB/T 41574-2022《信息技术安全技术公有云中个人信息保护实践指南》标准旨在创建一组通用的控制类别和控制措施,与GB/T22081中的信息安全控制目标和控制措施结合使用,由个人信息处理者来实现。本文件的目的如下:
— 帮助公有云个人信息处理者履行相应义务,这些义务包括法律法规规定的直接义务及合同约定的其他义务;
— 使公有云个人信息处理者在相关事务上保持透明,便于云服务客户选择管理良好的基于云的个人信息处理服务;
— 协助云服务客户和公有云个人信息处理者签订合同协议;
— 在单个云服务客户无法对托管在多方或虚拟化服务器(云)中的数据进行审计,或者此类审计可能增加现有物理和逻辑网络安全控制风险的情况下,为云服务客户行使审计权力和承担符合性责任提供一种机制。
— 本文件可为公有云服务提供者,特别是跨国运营的公有云服务提供者,提供一种通用的合规框架。
GB/T 41574-2022《信息技术安全技术公有云中个人信息保护实践指南》标准适用于作为个人信息处理者的所有类型和规模的组织,包括公有和私营公司、政府机构和非营利组织。