自2018年欧盟GDPR(通用数据保护条例)实施以来,对全球范围内个人数据处理活动产生了深远的影响,提升了企业的数据保护意识和自觉力。云安全联盟CSA发布的CoC for GDPR Compliance(CSA GDPR 合规行为准则)旨在为云服务提供商(CSP)、云消费者及相关企业提供GDPR合规解决方案,并提供涉及云服务提供商应提交的关于数据保护级别的透明性准则。这个准则为各种规模的客户提供工具来评估其个人数据保护水平从而支持决策。它也指导任何规模和地点的云服务提供商,遵守欧盟(EU)个人数据保护法规,并以结构化的方式披露其提供给客户的个人数据保护级别。
恰逢《中华人民共和国数据安全法》(以下简称数安法)、《中华人民共和国个人信息保护法》(以下简称个保法)发布,CSA大中华区数据安全工作组组织业内专家翻译了《GDPR合规行为准则》4.0版,以期为我国企业,尤其是云服务提供商(CSP)落地实施数安法和个保法提供思路和借鉴。
《GDPR合规行为准则》(以下简称准则)旨在为CSP、云客户及相关企业提供GDPR合规解决方案,以及关于CSP所能提供的数据保护级别的透明性指南。
CSP可以用其来遵守GDPR,并以结构化方式披露他们向客户所提供服务的个人数据保护级别;云客户可以用其来评估不同CSP所提供服务的个人数据保护级别。该准则适用于企业对企业(B2B)场景,面向CSP提供的软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(IaaS)。
《准则》从内容架构划分,主要分为三个部分,一是目标、范围和方法,二是隐私级别协议控制指南,三是治理和遵守机制。
1.CSA 行为准则的目标、范围、方法、假设和注释说明
《准则》的主要目标是为CSP建立一套符合GDPR要求的、一致的合规性基准,重点关注CSP承诺维护的隐私和个人数据保护级别,最终目的是符合在云计算领域个人数据保护的监管要求。
2.CSA行为准则控制指南:隐私级别协议
《准则》明确了CSP对外提供的符合要求的服务隐私级别协议中,至少要涵盖合规和职责声明、相关联系人和角色、数据处理方式、记录保存、数据传输、数据安全措施等15个维度。为CSP的组织、人员、技术、工具等不同的能力域提出了合规性的要求。
3.CSA行为准则治理和遵守机制
CSP所提供的云服务范围不是一成不变的而是应时而变的,为了满足数据经济时代下的监管要求,就需要不断地调整合规性策略,确保现有的安全和隐私措施满足任何新的监管要求。在这种情况下,需要一个治理结构以确保变更的一致性、可控制性和可操作性。
数据安全合规时代已然到来,学习并实践GDPR的精髓,亟需相应的合规行为准则来作为指导,提升企业在数据经济中的差异竞争力。
致谢
《GDPR合规行为准则》4.0由CSA大中华区(CSA GCR)数据安全工作组进行翻译,隐私法律工作组支持并进行审校。
翻译组长:
高巍
翻译组专家成员(按姓氏拼音排序,排名不分先后):
仇蓉蓉、付艳艳、李安伦、李芊晔、王安宇、王彪、王永霞、姚凯、张淼、张明敏
审校组长:
原浩
审校组专家成员(按姓氏拼音排序,排名不分先后):
江澎、邢海韬、魏晓刚、张元恺、赵晔、曾令平