国际标准化组织发布《ISO/IEC 27018:2025 信息安全、网络安全和隐私保护—公共云作为PII处理者对个人身份信息（PII）保护的指南》

　　【预警资讯】

　　2025年8月26日，国际标准化组织（ISO）和国际电工委员会（IEC）联合发布了《ISO/IEC 27018:2025信息安全、网络安全和隐私保护—公共云作为PII处理者对个人身份信息（PII）保护的指南》（以下简称《指南》）。ISO指出，《指南》以ISO/IEC 27002（信息安全管理核心标准）为基础，为公共云服务中个人身份信息（PII）的保护提供指导，尤其适用于云服务提供商作为个人身份信息处理者的场景。（资讯分类：境外，信息传输、软件和信息技术服务业，数据和隐私保护；资讯来源：国际标准化组织）

　　【要点提示】

　　建议企业关注以下要点：一是《指南》基于ISO/IEC 27002，提供针对云环境的安全控制措施和管理原则，涵盖数据处理、访问控制、风险管理及透明度要求；二是企业需关注云服务中个人身份信息（PII）处理不透明风险，若未明确界定云服务商作为PII处理者的角色与责任，或未在合同中约定数据处理范围、方式与安全义务，可能导致数据滥用、越权访问或违规跨境传输，违反隐私保护法规；三是企业需关注跨境数据传输合规冲突风险，在使用公共云存储或处理PII时，若未识别数据物理存储位置及适用的司法管辖要求，可能因数据自动复制至境外服务器而违反本国数据本地化或出境监管规定，引发监管处罚。

[ 期号：20250816-20250831]