适用于云基础设施服务提供商行为合规的CISPE守则评析

编译：裴轶

来源：中欧常务董事，TMT、竞争、知识产权、生命科学和医疗卫生领域负责人Dóra Petrányi女士

原文标题：New GDPR Code of Conduct approved for Cloud Infrastructure Service Providers

近日，EDPB和CNIL批准了CISPE守则（《欧洲云基础设施服务提供商数据保护行为守则》，该守则对于云服务提供商的合规性做出了进一步的细化规定，尤其对于用户信息的处理赋予相比于GDPR更严格的保护义务。CISPE的适用，既可以保障GDPR的进一步推行与遵守，而且作为云服务提供商的专项行为守则，更具有针对性，自然也会更好地对用户数据进行保护。

——编者按

近日，欧洲数据保护委员会（EDPB）和法国数据保护局（CNIL）根据GDPR第40和41条批准了CISPE《欧洲云基础设施服务提供商数据保护行为守则》（CISPE守则），CISPE守则是针对欧洲云基础设施服务提供商的行业行为守则，可被视为新的GDPR行为准则。

01 CISPE守则的适用性

CISPE规范针对的是云基础设施服务提供商（CISP），仅适用于IaaS云产品，守则的适用将使CISPE规范对寻求证明IaaS服务合规性的组织更具吸引力。

CISPE规范适用于云服务的B2B背景，其中云服务提供商将按照GDPR第28条的规定成为“处理者”。然而，该规范并不适用于B2C服务或任何云服务提供商可能作为数据控制者的处理活动，这与云服务的客户类型有关，因为他们在聘用合规的云服务提供商时将获得额外的合规保障。

02 CISPE守则促进了GDPR的遵守

CISPE代码的目的是为IaaS供应商定义一个符合欧洲数据保护法规的自我监管模式。在接受该守则时，laaS供应商将承诺以常规方式使用客户的个人数据，并在EU/EEA境内处理和存储这些数据。

CISPE规范由范围定义、数据保护要求、透明度要求、遵守和治理部分组成。对于与云基础设施提供相关的每项GDPR要求，CISPE规范都列出了相应的要求和解释说明。这些说明包括专门针对IaaS提供的事项的指导，如：如何制定CISP服务的合同条款和条件，CISP人员和记录合规性，以及一般GDPR要求，如：子处理、数据泄露管理和数据安全。

03 CISPE提供遵守情况的持续监测

宣布遵守CISPE规范的组织必须核实持续遵守情况。根据GDPR第41条的规定，CISPE规范已经指定了几个外部监督机构。这些监督机构将监督其应用，确保遵守CISPE规范的成员遵守规定，并采取行动，如在出现违反规范的情况下进行制裁。

04 成为守则的遵守者

IaaS供应商有两种可能的途径来宣布其提供的服务加入CISPE规范。

1.受控遵守(由独立的第三方进行审计，核实并证明IaaS提供商受CISPE规范的约束并遵守该规范);与自我评估合规性（由IaaS供应商评估其是否符合要求，并使用守则中提供的模式签署一份承诺声明）。

2.申请标志：任何加入CISPE规范并支付必要费用的公司都有资格申请CISPE的官方信任标志之一。包括：

• 候选标志：提供给已经根据CISPE规范要求进行自我评估的IaaS服务和供应商，等待验证。

• 符合标志：颁发给已核实符合要求的服务和供应商。

05 加入CISPE守则的主要好处

通过声明其服务遵守CISPE守则，云基础设施服务提供商等于向客户提供保证，其服务所进行的处理完全符合GDPR的要求。此外，加入CISPE守则的主要优势包括：

• 具体性：CISPE守则并不适用于所有的云服务提供模式，而是考虑到IaaS产品的具体问题，为IaaS供应商量身定做。

• 信任：遵守所有欧洲数据保护机构批准的自律机制，以便在客户中建立信任。

• 促进数字主权：CISPE守则规定，经认证的服务必须提供在欧洲经济区内保留所有个人数据的选择。为组织提供选择自由，开发符合GDPR和数据主权要求的云服务。

• 最佳实践：CISPE守则提供了遵守GDPR的最佳实践，并解决了客户的主要关切之处。

声明：本文来自网信企业对外合作促进，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。