爱尔兰DPC发布《组织与云服务提供商进行合作的指南》

2019年10月25日，爱尔兰数据保护委员会（简称爱尔兰DPC）发布了《组织与云服务提供商进行合作的指南》，该指南旨在帮助数据控制者确保他们遵循GDPR中的透明性要求，并在与云服务提供商进行合作时拥有适当的合同。该指南还规定了云计算的定义和安全注意事项，以及欧洲数据保护主管和欧洲网络与信息安全局的进一步指引。

数据控制者使用云服务极具便利，允许文档、照片、视频或其他文件上传并存储在远程服务器上，可以启用共享、远程访问或充当备份副本，但是数据控制者必须确保自身和云服务提供商能够为个人数据提供足够的安全保障措施，否则将导致个人数据具有安全风险。

什么是云计算？

人们对于“在云中”处理数据具有不同的理解，对于处理个人数据的控制者，通常涉及使用外部云服务提供商控制下的服务器或数据中心进行部分或全部的处理或存储。在多数情况下，外部服务提供者都属于“数据处理者”，GDPR也对其规定了很多义务。数据处理者可以是代表数据控制者或依据其指令处理个人数据的任何个人、组织。对于组织来说，通常有三种不同的云计算服务模型，在其最先进的形式中，除了个别用户输入的原始数据之外，云服务提供商代表客户端处理数据的所有方面。因此，云组织提供：数据中心的物理基础设施；运行必要软件的操作系统；处理个人数据的软件。云提供商通常向数据控制者提供处理服务，但也可能向其他提供商提供子处理服务。但是在某些情况下，云提供商也是数据控制者或“共同控制者”。在这种情况下，它们在GDPR下承担的义务比作为处理者时更为繁重。

有关云计算的安全考虑是什么?

根据GDPR第28（1）条的规定，数据控制者所合作的数据处理者必须提供充分保障以实施适当的技术、组织措施。此外，GDPR第32条要求控制者和处理者实施适当的技术和组织措施，以确保采取与风险相适应的安全级别。经核准的行为准则(GDPR第40条)或经核准的认证机制(GDPR第42条)可用于补充遵守第32条的规定。因此，数据控制者如果将个人数据处理外包给云服务提供商，必须确保这些数据是安全的。

在这种情况下，安全性具有两个方面的考虑：一是数据控制者必须确保处理者（云服务提供商）将仅根据数据控制者的指令处理数据，这与数据控制者和云服务提供商之间签订合同的需求直接相关；二是数据控制者必须确保云服务提供商以及考虑到因意外或非法行为导致的数据破坏、丢失、更改、未经授权的披露或访问，以及以其他方式处理个人数据所带来的风险。

数据控制者在考虑将个人数据委托给云服务提供商之前，必须确保云服务提供商能够在以下关键问题提供保证，包括：要求的假名或加密措施；将数据控制者提供的个人数据与云服务提供商其他客户的数据进行隔离或分离；确保处理系统和服务的持续保密性、完整性、可用性和可恢复性的能力；在发生物理或技术事故时能够及时恢复的能力；定期测试、评估以确保处理的安全性；制定突发事件响应制度；就数据控制者和处理者之间的违约达成有约束力的协议，避免使数据主体处于不必要的风险中；在合同终止时，将所有个人数据删除或返还给控制者的方法。

什么是透明度要求?

为了确保数据控制者了解云服务提供商符合GDPR的处理要求，透明度的程度应当更高。首先，云服务提供商必须能够对其处理操作做出令用户满意的解释，数据控制者亦应当向数据主体提供更多关于使用云服务进行处理的信息，透明度是个人进行决策的一个重要因素。其次，为了确保云服务提供商满足GDPR第28（3）（h）条规定的义务，数据控制者可以对云服务提供商的业务进行审计，审计的关键点在于安全措施。再次，根据GDPR第30（2）条规定的义务，云服务提供商应当记录并向数据控制者提供其要求的基本信息。另外，根据GDPR第28（2）和（4）条的规定，云服务提供商还需要向数据控制者提供其服务所涉及的所有外包处理者的信息。最后，根据GDPR第28（5）的规定，数据控制者必须清楚云服务提供商作为数据处理者被批准的行为准则或认证机制的性质、范围和内容，以充分了解或核验云服务提供商能在多大程度上处理他们的个人数据。

数据的存储位置是否重要？

只有依赖以下机制之一时，云服务提供商才能在EEA（欧洲经济区：欧盟成员国加上冰岛、列支敦士登和挪威）之外处理个人数据：一是数据传输是根据GDPR第45条规定的适当性决定进行的；二是数据传输受GDPR第46条规定的适当保障措施约束；三是根据GDPR第47条的规定，数据传输应遵守具有约束力的公司规则。重要的是，在使用“示范合同”或“约束性公司规则”时，这些机制提供的保护也应扩展到云服务提供商所雇佣的所有外包数据处理者。

使用云服务需要什么样的合同？

根据GDPR第28（3）条的规定，数据处理者的处理行为受合同约束。未经数据控制者授权，数据处理者不能与其他处理者进行合作。这意味着数据控制者在于云服务提供商进行合作后仍然保留着对个人数据的控制权，对于数据处理规定了经过同意的、清晰的限制，对于相关侵权、违约责任也进行了规定，数据处理者清楚自己对于数据控制者的义务。

合同应当包括以下要点：云服务提供商和外包数据处理者只能处理数据控制者允许处理的数据；云服务提供商应当采取的符合GDPR的详细的安全保障措施；外包数据处理者有关如何处理数据的详细信息；在EEA之外处理个人数据而采取的安全保障措施；发生侵权、个人数据泄露等事件是数据控制者和处理者之间的责任分配；等等。

更多指引

欧盟网络和信息安全局ENISA还提供了更多主题的指南，包括《云和物联网的安全融合》《为数字服务供应商实施最低保安措施的技术指引》《中小企业的云安全指南》；欧洲数据保护主管(EDPS)发布了《欧洲机构和机构的计算服务云的使用指南》。

作者简介：刘耀华，中国信息通信研究院互联网法律研究中心研究员

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。