安德烈·科列索夫| 2015 年 2 月 17 日
微软决定在其云应用服务中使用旨在保护云中存储的个人数据的国际标准ISO/IEC 27018。微软总法律顾问兼法律和公司事务执行副总裁布拉德·史密斯 (Brad Smith) 在公司博客中指出,他的公司是全球领先供应商中第一个承诺支持该标准准则以确保公共云中个人身份信息 (PII) 的隐私的公司。英国标准协会 (BSI) 将对 Microsoft Azure(包括 Office 365 和 Dynamics CRM Online)是否符合 ISO 27018 进行独立审核,而必维国际检验集团 (Bureau Veritas) 将对 Microsoft Intune 服务进行类似的工作。
值得注意的是,现今各国的国家立法对于“个人数据”的概念有着不同的解读。例如,如果在俄罗斯采用非常笼统的表述——“任何与直接或间接已识别或可识别的自然人有关的信息”,那么在美国通常使用术语 PII,其仅包括可识别个人的信息(住宅地址、社会保险号、关键文件编号、出生日期等;个人的全名和电子邮件地址——根据个人要求受到保护),以及个人信息(例如,医疗信息或犯罪记录),如果它们属于第一类数据。
ISO/IEC 27018:2014 标准《信息技术 - 安 俄罗斯电报数据 全技术 - 作为 PII 处理器的公共云中 PII 保护实践准则》于 2014 年夏季通过,作为 ISO/IEC 27001 的补充,后者制定了信息安全管理系统的通用要求。新标准定义了普遍接受的目标和控制,并提供了实施指导,以根据 ISO/IEC 29100 公共云环境国际标准中规定的隐私原则保护 PII。 ISO/IEC 27018:2014 的关键思想之一是个人数据控制者能够在信誉良好的国际认证体系框架内开展独立审核,确保其遵守最佳实践。众所周知,ISO/IEC 27018:2014的前身是英国标准BS 10012:2009《数据保护 – 个人数据管理系统规范》,这是全球第一个关于该主题的标准。这或许就是微软选择 BSI 作为其审计师的原因。