GDPR行为守则系列研究（二）：欧盟云基础设施提供商行为守则（EU CISPE CoC）

Original 数治君数据信任与治理 2023-01-13

收录于合集 #欧盟数据治理模式 22个

引言

欧盟行为守则（Codes of Conduct）规定于《一般数据保护条例》（以下简称“GDPR”）第40条，是由协会以及代表数据控制者或数据处理者的实体起草的、用于细化GDPR之适用的准则。

GDPR下的行为守则分为两种类型，一是“国家行为守则”，守则草案须由所在成员国的主管机关批准后方可生效；二是“跨成员国行为守则”，该行为守则涉及多个成员国的数据处理活动，成员国监管机构批准守则草案之后还需将该行为守则及其意见书提交给欧洲数据保护委员会，并最终由欧盟委员会以颁布实施法案的形式确认该行为守则在欧洲经济区的一般有效性。

数治君将就行为守则发布三篇系列文章，其中两篇关于“跨成员国行为守则”，一篇关于“国家行为守则”。本文为第二篇文章，介绍“欧盟云基础设施提供商行为守则”（EU CISPE CoC）。该守则为“跨成员国行为守则”。还有一篇文章将于近日发布，敬请期待！

此前数治君关于行为守则的研究有：

• 《GDPR行为守则系列研究（一）：欧盟云行为守则（EU Cloud CoC）》

• 《EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评（附征求意见前后对比中译本全文）》；

• 《对数据的监管如何培育数字经济创新和竞争——GDPR提供的共同监管工具》。

适用范围

CISPE是一个由云基础设施服务提供商和欧洲运营商组成的联盟，起源于首个欧盟行为守则讨论小组，随后作为一个单独的计划衍生出来，其目标是更广泛地代表IaaS提供商和中型云服务提供商。CISPE只关注B2B云基础设施服务，并制定了欧洲云基础设施行为准则（EU CISPE Code of Conduct, 以下简称“CISPE CoC”)。

CISPE CoC是第一个根据欧盟《一般数据保护条例》（以下简称“GDPR”）40条获得欧洲数据保护委员会（以下简称“EDPB”）批准的针对云基础设施服务提供商（以下简称“IaaS”）的泛欧特定行业准则。

CISPE CoC旨在帮助IaaS遵守GDPR。由于IaaS的服务性质与其他类型的云计算服务区别较大，基础设施CoC可以视为为IaaS量身打造的守则。

制定过程

2016年6月，CISPE向欧盟委员提交了CISPE CoC的第一版。2016年9月，CISPE CoC首次在欧洲议会发布。经过初步审查，2017年1月CISPE签署了CISPE CoC。但此时的CISPE CoC并不具有法律效力，因为它是由一个没有法律权力的行业协会授予的。

2021年5月，EDPB和所有的欧洲国家数据保护机构都批准了CISPE CoC，2021年6月，法国正式启用CISPE CoC。

迄今为止，CISPE已批准3个监督机构用以审核企业是否符合CISPE CoC标准。值得注意的是，CISPE是GAIA-X倡议的22个创始成员之一，CISPE CoC促进了欧盟GAIA-X倡议的核心数据保护实践，以开发欧洲云数据服务。

守则文本（目录）

简介
1.本守则的
2.目的
3.范围
4.数据保护要求	4.1 合法处理个人数据
GDPR要求
4.2 CISPE服务协议的条款和条件
4.3 安全
4.4 向第三国传输数据
4.5 子处理
4.6 合规证明
4.7 数据主体权利
4.8 CISP人员
4.9 数据泄露
4.10 删除或返还个人数据
4.11 处理记录
5.透明度要求	5.1 对服务安全的责任划分合同
5.2安全目标及标准说明
5.3 服务和管理
5.4 风险管理流程和标准
5.5 安全信息
5.6 信息安全管理文件
5.7服务功能：允许客户i）限制、删除、限制、访问或携带数据；以及ii）检索和删除数据
关于适用于该服务的安全目标和标准的高级声明
6.遵守	6.1 宣布服务遵守守则
6.2 文件
6.3 更新和审查
6.4 审查
7.内部治理	7.1 组织框架
7.2 监管、投诉和执法
7.3 检讨
附件A-技术和组织安全实践及安全责任
附件B-合规检查表
附件C-遵守声明模板
附件D-欧洲经济区监管机构
附件E-股东协商摘要
附件F-安全漏洞通知模板
附件G-词汇表

运行情况

4.1 治理架构

一般大会（General Assembly）

每个参与组织允许在大会中有一名有表决权的代表。参与组织的数量没有限制。

资格：要获得大会成员资格，组织必须：

（a）向欧洲经济区的客户提供云基础设施服务；

（b）该服务必须让客户能够选择使用该服务在欧洲经济区存储和处理其全部数据；

（c）至少有一项服务被其监督机构宣布为遵守本守则（i）如果CISP遵循受控遵守程序，则在加入大会之前；或者（ii）如果CISP遵循自我评估程序，则在加入大会后一年内。

主要职责：选举执行委员会代表；至少10%的共同行动成员可以向执行委员会提议对守则进行修改；采纳对准则的修改。

执行委员会

由5-10名一般大会的代表组成，一般委员会的代表由大会选举产生。

资格：要有资格向执行委员会推荐候选人，成员必须

（a）是创始成员，或；

（b）同时（i）从云基础设施服务中获得大部分收入，以及（ii）拥有或有效控制云基础设施服务的基础物理计算基础设施。

主要职责：批准：（a）接纳新的大会成员，（b）分数，（c）遵守准则的准则，以及（d）审查和修改准则。任命：（a）CCTF的无投票权代表，（b）CISC成员，（c）秘书处和（d）观察员。

行为准则工作组

若机构拥有一项以上服务通过本守则审核（无论其是否为大会成员）均可任命一名有投票权的代表加入CCTF。CCTF应由最多十二（12）名具备（i）与云计算和/或数据保护相关的专业知识，以及（ii）对云计算商业模式的理解的个人组成。各一般大会成员和执行委员会可任命无投票权代表加入CCTF（例如学者或专家、云基础设施服务用户协会代表、欧盟委员会代表）。希望有无表决权代表的任何第三方（包括任何最终客户）可向执行委员会发送书面请求，请求邀请。

资格：代表必须证明：（a）与云计算和/或数据保护相关的专业知识，以及；（b）对云计算商业模式的理解。

主要职责：根据适用的欧盟数据保护法的变化评估守则；向执行委员会提议对守则的修改；制定遵守准则的指导方针；对执行委员会提出的守则拟议变更发表无约束力的意见，建议适用于证明实体遵守守则的审计员、准则和认证方案；开发标志；并制定合规标记使用指南。

守则监督委员会

由执行委员会任命的三个代表组成。

资格：来自学术界、技术或法律背景的外部独立专家。这些专家应具有与监管机构、企业和数据主体接触的经验。

主要职责：维护CNIL认证为监测机构的组织名单；支持监督机构审查投诉流程的应用；为监督机构提供支持，使每个监督机构一致地应用该准则；通过与监督机构的年度研讨会定期审查准则的运行情况。

监督机构

从CISC的名单中任命。

主要职责：监督CISP遵守本规范的情况；考虑有关服务不符合规范的投诉；对不符合CISP的情况采取执法行动；向任何主管监管机构报告有关本准则运行的任何问题

秘书处

由执行委员会任命

主要职责：审查遵守守则的声明；在CISPE公共登记册上发布和维护信息；CISPE的日常管理。

投诉委员会

由执行委员会任命。

主要职责：（a）考虑有关不遵守本准则的服务的投诉，以及（b）对不合规的 CISP 采取执法行动，并在必要时向执行委员会建议执法行动。

观察成员

执行委员会邀请与一般大会成员无关的代表作为无表决权观察员参加。

4.2 遵守守则的程序

若要加入CISPE CoC，将合规标志用于服务，IaaS必须按照CCTF制定并经执行委员会批准的《遵守守则指南》填写并提交《守则声明》。秘书处将在 CISPE 公共登记册上发布和维护最新版本的遵守声明和守则遵守指南。IaaS可以选择以下两种方式加入：

• 自我评估；

• 由独立第三方审核员出具的认证。

IaaS可以按照《守则指南》填写并提交《守则声明》，秘书处应根据守则遵守指南审查 IaaS的遵守声明，并在收到遵守声明后的40个工作日内，秘书处将通知 IaSS《守则声明》是否完整。如果不完整，秘书处可以要求IaaS提供完成其《守则声明》所需的任何缺失文件或信息。如果《守则声明》完整，秘书处应在秘书处通知 CISP 接受后 10 个工作日内将遵守声明纳入 CISPE 公共登记册。一旦遵守声明被纳入 CISPE 公共登记册：

• IaaS有权将遵守声明和适当的合规标志用于遵守声明所涵盖的服务，只要它仍然有效并受CISPE CoC第 7.2 节约束；

• 更改服务需要更新《守则声明》IaaS必须立即通知秘书处，并且与秘书处合作更新这些材料。

4.2.1 自我评估

IaaS可以通过按照《遵守守则指南》完成自我评估，证明其一项或多项服务符合守则要求。选择此程序的IaaS必须根据《遵守守则指南》向秘书处提交其《守则声明》以及任何所需的支持信息。

通过自我评估获得的《守则声明》仅在其被纳入CISPE公共登记册之日起一年内有效。要继续使用合规标志，依赖通过自我评估获得的遵守声明的IaaS必须每年更新该遵守声明

4.2.2 独立第三方审核员的认证

IaaS可以证明其一项或多项服务符合技术和操作安全性和/或数据保护行为的守则要求，并且在《守则遵守指南》中指定提供一份或多份适当的证书、审计报告、证明报告、适用性声明和/或涵盖这些服务的所有可审计准则要求并由独立第三方审计师准备的等效文件（证书）。

选择此程序的IaaS必须根据准则遵守指南向秘书处提交涵盖所有可审计准则要求的证书及其遵守声明。IaaS还必须就非可审计守则的要求提交《守则遵守指南》中指定的任何支持信息。

IaaS必须通过聘请一家或多家合格且信誉良好的审计和专业会计师事务所进行审计并准备一份或多份关于相关服务符合一项或多项公认的行业规范和/或或涵盖所有可审计守则要求的认证计划。

如果IaaS持有涵盖满足上述要求的服务的现有证书或报告，则IaaS可以依赖该现有证书或报告作为证书来证明该服务符合可审计守则要求，而无需进行新的或单独的审核以获得新的证书或报告。

CCTF 可能会推荐某些审计和专业会计师事务所和/或行业规范或认证计划，秘书处会在CISPE公共登记册上发布并维护一份此类公司和/或规范和认证计划的清单。但是，这不会阻止IaaS依赖其他公司或规范和认证计划。

通过证书获得的遵守声明仅在其被纳入CISPE公共登记册之日起一年内有效。但是，如果自证书颁发以来原始证书所涵盖的服务和代码均未发生重大修改，IaaS可以通过确认内容的持续准确性，自动将遵守声明的有效期免费延长一年。向秘书处提供的证书和随该证书提供的支持信息（如有）。在其他情况下，要继续使用合规标志，依赖通过证书获得的遵守声明的IaaS必须每年更新该遵守声明。

4.2.2 认证标志

认证标志由CCTF制定，作为服务遵守规范要求的面向公众的标志。标志须经执行委员会批准。选择自我评估的IaaS不得使用合规标志，直到监督机构完成其初始审查并验证IaaS的合规性。当前的标志如下：

	候选人： “候选”标志授予在独立监督机构验证之前已根据CISPE CoC要求完成自我评估的服务和供应商。
	合规： “合规”标志授予独立监督机构验证其遵守CISPE CoC的服务和供应商。