GDPR合规行为准则4.0版

CSAGDPR合规行为准则（CoC）©2013-2020年，CSA版权所有。保留所有权利。1 云安全联盟 GDPR合规行为准则 隐私级别协议工作组，2020年9月 说明与感谢 云安全联盟（CSA）的通用数据保护条例（GDPR）合规行为准则（CoC）是在CSA内部由PaoloBalboni教授（ICT法律咨询公司的创始合伙人；马斯特里赫特大学法学院中的欧洲隐私和网络安全中心的隐私、网络安全和IT合同法教授；欧洲隐私协会主席）和FrançoiseGilbert（GreenbergTraurig合伙人；《全球隐私和安全法》作者和编辑；PLI隐私和安全法研究所联合主席）主持的一个专家工作组（WG）开发完成。PaoloBalboni教授也是隐私级别协议（PLA）的主要作者。DanieleCatteddu、EleftheriosSkoutaris、JohnDiMaria和MartimTabordaBarata对本准则的创作也做出了很大贡献。 隐私级别协议（PLA）工作组由云服务提供商（CSP）、地方监管机构和独立的安全与隐私专业人士的代表组成。1 我们还要感谢CSA工作人员HillaryBaron、DamirSavanovic和KendallScoboria的支持。 我们的赞助商Gemalto和Shellman也为本准则的出版做出了巨大贡献。 1本文件的第三部分，即PLACoC治理部分，是在欧盟委员会资助的欧洲安全认证框架（EU-SEC）项目的帮助下制定的。 版权声明 ©2013-2020CSA—版权所有 云安全联盟（CSA）欧洲通用数据保护条例（GDPR）合规行为准则（CoC）及其附件，例如：附件1：隐私级别协议（PLA）模板，附件2：遵守声明模板（统称为“CSAGDPR合规行为准则”）由CSA根据知识共享署名-非商业性使用-禁止演绎4.0国际许可协议（CC-BY-NC-ND4.0）授权。 分享 您可以通过任何媒介或任何形式分享和分发CSAGDPR合规行为准则。 署名 您必须提及CSA，并链接到位于https://gdpr.cloudsecurityalliance.org/的CSAGDPR网页。您不得暗示CSA认可您或您的使用。 非商业性使用 您不得使用、共享或重新分发PLACoC以获得商业收益或金钱补偿。 禁止演绎 如果你对CSAGDPR合规行为准则本创作进行了重混、转换、依据本创作进行再创作等行为，你不得再次公开传播经过修改的创作。 不得增加额外限制 您不得运用法律条款或技术措施，来限制他人实施本许可证允许的任何行为。 商业许可 如果您出于商业营收的目的，希望调整、转换、构建或分发CSAGDPR合规行为准则的副本，您必须首先获得相应的CSA的许可。请联系我们info@cloudsecurityalliance.org。 声明 所有在CSAGDPR合规行为准则上出现的商标、版权或其他声明必须同时被复制，不得删除。 中文版说明 云安全联盟（CSA）GDPR合规行为准则（CoC）于2020年发布了更新的4.0版本，与上一版相比，从体量和内容上均有较大改动。鉴于数据安全与隐私合规成为普遍关注的话题，CSA大中华区（CSAGCR）数据安全工作组牵头进行了新版本的翻译工作，隐私法律工作组支持并进行审校。 翻译组长：高巍 翻译组专家成员（按姓氏拼音排序，排名不分先后）： 仇蓉蓉、付艳艳、李安伦、李芊晔、王安宇、王彪、王永霞、姚凯、张淼、张明敏审校组长： 原浩 审校组专家成员（按姓氏拼音排序，排名不分先后）：江澎、邢海韬、魏晓刚、张元恺、赵晔、曾令平 注： 本准则正文中有较多缩写，为便于读者的阅读，正文中第一次出现缩写时使用：中文全称（英文缩写）的格式，例如：云安全联盟（CSA），该术语再次出现时使用英文缩写表述。 翻译过程中难免有一些不当之处，敬请读者联系CSAGCR数据安全工作组给与雅正。联系邮箱：research@c-csa.cn。 序言 2018年5月25日，欧洲议会通过的《通用数据保护条例》(GDPR)法案正式生效实施。这意味着欧盟对个人信息保护及其监管达到了前所未有的高度，堪称史上最严格的数据保护法案。 云安全联盟CSA发布的CoCforGDPRCompliance(CSAGDPR合规行为准则)，旨在为云服务提供商(CSP)、云消费者、及相关企业提供GDPR合规解决方案，并提供涉及云服务提供商应提交的关于数据保护级别的透明性准则。这个准则为各种规模的客户提供工具来评估其个人数据保护水平从而支持决策。它也指导任何规模和地点的云服务提供商，遵守欧盟(EU)个人数据保护法规，并以结构化的方式披露其提供给客户的个人数据保护级别。 GDPR对于中国业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚，以及对中国与数据相关的法学研究都具重要意义。CSA发布的GDPR合规行动准则在德国、法国等欧盟国家受到首席隐私保护官的认可，在国际和国内即将推�GDPR合规自检和第三方认证。CSA大中华区组织专家进行翻译为中文版本，对中国今后借鉴它把《数据安全法》和《个人信息保护法》进行落地实施也会有很大帮助，相信一定会有助中国企业对GDPR的认知并帮助它们在欧洲的业务避免隐私风险。 李雨航云安全联盟大中华区主席 目录 I.简介1 II.背景信息3 III.CSAGDPR合规行为准则的结构6 第一部分CSACoC的目标、范围、方法、假设和注释说明7 1.CSACoC的目标8 2.范围和方法10 3.假设14 3.1云客户的内部尽职调查15 3.2云客户的外部尽职调查15 4.说明性注释16 5.词汇表17 6.参考文献列表21 第二部分CSA行为准则控制指南：隐私级别协议27 1.CSP的合规和职责声明28 2.CSP相关联系人及其角色32 3.数据处理方式34 3.1指令34 3.2服务变更35 3.3个人数据位置36 3.4子处理者37 3.5在云客户系统上安装软件39 3.6数据处理协议（或其他具有约束力的法律行为）40 3.7通过设计和默认的设置保护数据42 4.记录保存44 5.数据传输45 6.数据安全措施48 7.监督52 8.个人数据违规52 9.数据转移、迁移和回传55 10.对处理的限制56 11.数据留存、归还和删除57 11.1数据留存、归还和删除策略57 11.2数据留存57 11.3为遵守特定部门的法律要求而留存数据58 11.4数据归还和/或删除58 12.与云客户的合作59 13.法律要求的披露60 14.云客户的补救措施60 15.CSP保险策略62 第三部分CSA行为准则治理和遵守机制63 1.技术构建65 1.1控制指南：PLA68 1.2CoC遵守机制68 1.3道德准则74 1.4隐私级别协议（PLA）工作组及开放认证框架（OCF）工作组章程74 2.治理工作组、角色和职责74 2.1PLA工作组74 2.2OCF工作组74 2.3云安全联盟（CSA）75 2.4针对监管机构的协作和支持行动76 2.5监督机构76 3.治理过程和相关活动86 3.1控制指南：PLA的评审过程86 3.2CoC遵守机制的评审过程87 3.3CoC认证标识的颁发和遵守声明的发布87 3.4投诉管理过程88 3.5持续监督过程88 3.6道德准则评审过程89 3.7PLA和开放认证框架工作组章程文件评审过程90 附录1：隐私级别协议[v4]模板1 附录2：遵守声明模板1 附录3：CSASTAR计划和开放认证框架（OCF）1 附录4：道德准则1 附录5：隐私级别协议工作组章程1 附录6：开放认证框架工作组章程1 附录7：投诉管理过程1 附录8：监督/审计过程1 附录9：ENISA技术指南：安全目标1 I.简介 考虑到EDPB的行为准则（CoC）指南1，CoC的第1部分以及提交CoC时的封面，包含了详细说明CoC目的、CoC范围以及它将如何促进GDPR有效应用的“解释性声明”。 数据保护合规越来越以风险为基础2。数据控制者和处理者有职责在其组织中确定并实施对所处理个人数据的适当保护级别。在这样的决定中，他们必须考虑到各种因素，如技术级别，实施成本，处理的性质、范围、背景和目的，以及对自然人3权利和自由产生不同可能性和严重程度的风险。因此，云服务提供商（CSP）将负责确定所处理个人数据所需的保护级别。 正是在这种情况下，CSA创建了CoC。 CoC的目标是为CSP和云客户提供GDPR合规的解决方案，以及关于CSP所能提供的数据保护级别的透明性指南。 CoC主要是为了提供： 任何规模的云客户都可以使用的一个工具，来评估不同CSP所提供服务的个人数据保护级别（从而支持知情决策）4 任何规模和地点的CSP都可以使用的一个指南，可以用来遵守欧盟个人数据保护法规，并以结构化方式披露他们向客户所提供服务的个人数据保护级别。 尽管CoC的直接目标受众是CSP（而不是云客户），因为只有CSP才会实际提供其遵守CoC的服务。然而，CoC通过隐私级别协议（PLA）控制措施（控制指南：PLA），最终使CSP和云客户（以及数据主体和整个云社区）都受益。 CoC的合规基于两个主要的技术部分，即“控制指南：PLA”（这是一个技术 1下文第一部分第6节中包含一个词汇表，它包括本准则中使用的定义和缩写，以及那些与立法和其他参考资料有关的词汇。 2例如序言部分83条，和GDPR第25，32，33，34和35条款。 3例如GDPR第24，25，32，35和39条款。 4WP29云计算指南，第2页：“所有在欧洲经济区（EEA）提供服务的云供应商应向云客户提供所有必要的信息，以正确评估采用此类服务的利弊。安全性、透明度和客户的法律确定性应该是提供云计算服务的主要驱动力。”，第4页：“（）依赖云计算安排的前提条件是控制者[云客户]进行充分的风险评估工作，包括处理数据的服 务器位置以及从数据保护角度考虑风险和利益。” 标准），规定了GDPR中包含的要求；以及与CoC相关的遵守机制。 由于CoC主要侧重于法律要求，CSA建议将该CoC与CSA的其他最佳实践和认证5结合起来采用，如云控制矩阵（CCM）和安全，信任，保证和风险（STAR）认证（或STAR证明，或STAR自评估），它们围绕信息安全的技术控制和目标提供额外指导。 在这种情况下，采用信息安全技术标准，如云控制矩阵或其等同物（如ISO27001，由ISO27017或ISO27018支持，或AICPA可信服务标准），及其相关的认证体系（如STAR认证、STAR证明、STAR自评估、ISO27001或SOC2）将证明CSP已经实施了安全项目或信息安全管理体系（ISMS），充分保护消费者数据免受风险评估和数据保护影响评估（DPIA）中概述的威胁的证据。 为了避免疑问： 上述体系下的认证（或证明）（如ISO27001、STAR认证、SOC2证明）并不意味着自动遵守CoC。CSP仍需通过所提供的遵守机制来提交他们的服务，以实现遵从性：自评估（第三部分，第1.2.1节和第3.3.1节）或第三方评估（第三部分，第1.2.2节和第3.3.2节）。 同样，遵守CoC也不意味着自动获得上述任何一种认证。 CoC反映了与云计算相关的GDPR要求，是CSASTAR的组成部分。 如下文第3部分第1.2节所述，提交其一项或多项服务以遵守CoC的CSP将受“控制指南：PLA”（第二部分）中的控制措施约束，并且必须遵守所有适用于他们的规定。否则，在监督机构对投诉进行调查（下文第3部分，第2.5.7节，以及附件7）或持续的CoC合规监测活动（下文第3部分，第2.5.12节，以及附件8）中，可能会导致CSP被监督机构处罚。 最后，需要注意的是，对CoC的任何遵守行为都不会降低CSP和云客户遵守 GDPR的职责，且不影响国家监管机构的任务和权力。 5为避免疑问，这里提到的认证体系不是第42条