CSA GDPR合规行为准则4.0版

m o b u h t i GDPR合规 g 云安全联盟 c . 5 行为准则隐私级别协议工作组，2020 年 9 月 CSA GDPR 合规行为准则（CoC）© 2013-2020 年，CSA 版权所有。保留所有权利。 1 说明与感谢云安全联盟（CSA）的通用数据保护条例（GDPR）合规行为准则（CoC）是在CSA内部由Paolo Balboni教授（ICT法律咨询公司的创始合伙人；马斯特里赫特大学法学院中的欧洲隐私和网络安全中心的隐私、网络安全和IT合同法教授；欧洲隐私协会主席）和Françoise Gilbert（Greenberg Traurig合伙人；《全球隐私和安全法》作者和编辑；PLI隐私和安全法研究所联合主席）主持的一个专家工作组（WG）开发完成。Paolo Balboni教授也是隐私级别协议（PLA）的主要作者。Daniele Catteddu、Eleftherios Skoutaris、John Di Maria和Martim Taborda Barata对本准则的创作也做出了很大贡献。 m o 隐私级别协议（PLA）工作组由云服务提供商（CSP）、地方监管机构和独立的安全与隐私专业人士的代表组成。1 c . 5 我们还要感谢 CSA 工作人员 Hillary Baron 、 Damir Savanovic 和 Kendall Scoboria的支持。 b u 我们的赞助商Gemalto和Shellman也为本准则的出版做出了巨大贡献。 h t i g 本文件的第三部分，即PLA CoC治理部分，是在欧盟委员会资助的欧洲安全认证框架（EU-SEC）项目的帮助下制定的。 1 CSA GDPR 合规行为准则（CoC） © 2013-2020 年，CSA 版权所有。保留所有权利。 i 版权声明 © 2013-2020 CSA—版权所有云安全联盟（CSA）欧洲通用数据保护条例（GDPR）合规行为准则（CoC）及其附件，例如：附件1：隐私级别协议（PLA）模板，附件2：遵守声明模板（统称为“CSA GDPR合规行为准则”）由CSA根据知识共享署名-非商业性使用-禁止演绎4.0国际许可协议（CC-BY-NC-ND 4.0）授权。分享您可以通过任何媒介或任何形式分享和分发CSA GDPR合规行为准则。 m o 署名您必须提及CSA，并链接到位于https://gdpr.cloudsecurityalliance.org/的CSA GDPR网页。您不得暗示CSA认可您或您的使用。 c . 5 非商业性使用您不得使用、共享或重新分发PLA CoC以获得商业收益或金钱补偿。 b u 禁止演绎如果你对CSA GDPR合规行为准则本创作进行了重混、转换、依据本创作进行再创作等行为，你不得再次公开传播经过修改的创作。 h t i g 不得增加额外限制您不得运用法律条款或技术措施，来限制他人实施本许可证允许的任何行为。商业许可如果您出于商业营收的目的，希望调整、转换、构建或分发CSA GDPR合规行为准则的副本，您必须首先获得相应的 CSA 的许可。请联系我们 info@cloudsecurityalliance.org。声明所有在CSA GDPR合规行为准则上出现的商标、版权或其他声明必须同时被复制，不得删除。 CSA GDPR 合规行为准则（CoC）© 2013-2020 年，CSA 版权所有。保留所有权利。 ii 中文版说明云安全联盟（CSA）GDPR合规行为准则（CoC）于2020年发布了更新的4.0 版本，与上一版相比，从体量和内容上均有较大改动。鉴于数据安全与隐私合规成为普遍关注的话题，CSA大中华区（CSA GCR）数据安全工作组牵头进行了新版本的翻译工作，隐私法律工作组支持并进行审校。翻译组长：高巍 m o 翻译组专家成员（按姓氏拼音排序，排名不分先后）： c . 5 仇蓉蓉、付艳艳、李安伦、李芊晔、王安宇、王彪、王永霞、姚凯、张淼、张明敏审校组长： b u 原浩 h t i g 审校组专家成员（按姓氏拼音排序，排名不分先后）：江澎、邢海韬、魏晓刚、张元恺、赵晔、曾令平注：本准则正文中有较多缩写，为便于读者的阅读，正文中第一次出现缩写时使用：中文全称（英文缩写）的格式，例如：云安全联盟（CSA），该术语再次出现时使用英文缩写表述。翻译过程中难免有一些不当之处，敬请读者联系CSA GCR数据安全工作组给与雅正。联系邮箱：research@c-csa.cn。 CSA GDPR 合规行为准则（CoC）© 2013-2020 年，CSA 版权所有。保留所有权利。 iii 序言 2018 年 5 月 25 日，欧洲议会通过的《通用数据保护条例》(GDPR)法案正式生效实施。这意味着欧盟对个人信息保护及其监管达到了前所未有的高度，堪称史上最严格的数据保护法案。云安全联盟 CSA 发布的 CoC for GDPR Compliance (CSA GDPR 合规行为准 m o 则)，旨在为云服务提供商(CSP)、云消费者、及相关企业提供 GDPR 合规解决方案， c . 5 并提供涉及云服务提供商应提交的关于数据保护级别的透明性准则。这个准则为各种规模的客户提供工具来评估其个人数据保护水平从而支持决策。它也指导任何规 b u 模和地点的云服务提供商，遵守欧盟 (EU)个人数据保护法规，并以结构化的方式披 h t i g 露其提供给客户的个人数据保护级别。 GDPR 对于中国业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚，以及对中国与数据相关的法学研究都具重要意义。CSA 发布的 GDPR 合规行动准则在德国、法国等欧盟国家受到首席隐私保护官的认可，在国际和国内即将推出 GDPR 合规自检和第三方认证。CSA 大中华区组织专家进行翻译为中文版本，对中国今后借鉴它把《数据安全法》和《个人信息保护法》进行落地实施也会有很大帮助，相信一定会有助中国企业对 GDPR 的认知并帮助它们在欧洲的业务避免隐私风险。李雨航云安全联盟大中华区主席 CSA GDPR 合规行为准则（CoC）© 2013-2020 年，CSA 版权所有。保留所有权利。 iv 目录 I. 简介................................................................................................................................................... 1 II. 背景信息........................................................................................................................................... 3 III. CSA GDPR 合规行为准则的结构....................................................................................................6 第一部分 CSA CoC 的目标、范围、方法、假设和注释说明............................................................ 7 1. 2. 3. 4. 5. 6. CSA CoC 的目标...................................................................................................................... 8 范围和方法.............................................................................................................................10 假设......................................................................................................................................... 14 3.1 云客户的内部尽职调查.........................................................................................15 3.2 云客户的外部尽职调查.........................................................................................15 说明性注释.............................................................................................................................16 词汇表..................................................................................................................................... 17 参考文献列表.........................................................................................................................21 m o c . 5 第二部分 CSA 行为准则控制指南：隐私级别协议.......................................................................... 27 1. 2. 3. b u CSP 的合规和职责声明.................................................................