GB/T 41574-2022《信息技術(shù)安全技術(shù)公有云中個(gè)人信息保護(hù)實(shí)踐指南》(ISO/IEC 27018-2019)

　　GB/T 41574-2022《信息技術(shù)安全技術(shù)公有云中個(gè)人信息保護(hù)實(shí)踐指南》標(biāo)準(zhǔn)給出了在公有云中實(shí)施個(gè)人信息保護(hù)的控制目標(biāo)和控制措施，在GB/T 22081基礎(chǔ)上給出了公有云個(gè)人信息保護(hù)指南。

　　公有云服務(wù)提供者通常需要依據(jù)與云服務(wù)客戶簽訂的合同，并在雙方均遵守個(gè)人信息保護(hù)法律法規(guī)相關(guān)要求的前提下開展服務(wù)。對(duì)于個(gè)人信息保護(hù)的這些要求，云服務(wù)提供者與云服務(wù)客戶是依據(jù)法律法規(guī)和它們之間的合同來(lái)確定的。

　　當(dāng)公有云服務(wù)提供者按照云服務(wù)客戶的要求處理個(gè)人信息時(shí)，公有云服務(wù)提供者充當(dāng)“個(gè)人信息處理者"的角色。與公有云個(gè)人信息處理者有合同關(guān)系的云服務(wù)客戶是“個(gè)人信息控制者"。在云計(jì)算環(huán)境下，個(gè)人信息控制者掌握個(gè)人信息的控制權(quán)，其也具有處理和使用個(gè)人信息的權(quán)限。個(gè)人信息控制者與個(gè)人信息處理者均可處理個(gè)人信息，但個(gè)人信息處理者作為受委托的一方，只能執(zhí)行個(gè)人信息控制者要求的個(gè)人信息處理操作和為實(shí)現(xiàn)個(gè)人信息控制者目標(biāo)而進(jìn)行的必要操作。同時(shí)，云服務(wù)客戶也可授權(quán)一個(gè)或多個(gè)云服務(wù)用戶使用其服務(wù)，但這些服務(wù)僅限于云服務(wù)客戶與公有云個(gè)人信息處理者簽訂合同中約定的可用服務(wù)。

　　GB/T 41574-2022《信息技術(shù)安全技術(shù)公有云中個(gè)人信息保護(hù)實(shí)踐指南》標(biāo)準(zhǔn)旨在創(chuàng)建一組通用的控制類別和控制措施，與GB/T22081中的信息安全控制目標(biāo)和控制措施結(jié)合使用，由個(gè)人信息處理者來(lái)實(shí)現(xiàn)。本文件的目的如下：

　　— 幫助公有云個(gè)人信息處理者履行相應(yīng)義務(wù)，這些義務(wù)包括法律法規(guī)規(guī)定的直接義務(wù)及合同約定的其他義務(wù);

　　— 使公有云個(gè)人信息處理者在相關(guān)事務(wù)上保持透明，便于云服務(wù)客戶選擇管理良好的基于云的個(gè)人信息處理服務(wù);

　　— 協(xié)助云服務(wù)客戶和公有云個(gè)人信息處理者簽訂合同協(xié)議;

　　— 在單個(gè)云服務(wù)客戶無(wú)法對(duì)托管在多方或虛擬化服務(wù)器(云)中的數(shù)據(jù)進(jìn)行審計(jì)，或者此類審計(jì)可能增加現(xiàn)有物理和邏輯網(wǎng)絡(luò)安全控制風(fēng)險(xiǎn)的情況下，為云服務(wù)客戶行使審計(jì)權(quán)力和承擔(dān)符合性責(zé)任提供一種機(jī)制。

　　— 本文件可為公有云服務(wù)提供者，特別是跨國(guó)運(yùn)營(yíng)的公有云服務(wù)提供者，提供一種通用的合規(guī)框架。

　　GB/T 41574-2022《信息技術(shù)安全技術(shù)公有云中個(gè)人信息保護(hù)實(shí)踐指南》標(biāo)準(zhǔn)適用于作為個(gè)人信息處理者的所有類型和規(guī)模的組織，包括公有和私營(yíng)公司、政府機(jī)構(gòu)和非營(yíng)利組織。