CISPE 資料保護行為準則

常見問答集

• 什麼是 CISPE GDPR 資料保護行為準則 (CISPE 準則)？

  《歐洲雲端基礎設施服務供應商資料保護行為準則》 (CISPE 準則) 依據歐盟一般資料保護條例第 40 條，是首個關注雲端基礎設施服務供應商的泛歐資料保護行為準則 (GDPR)。它於 2021 年 5 月獲得歐洲資料保護委員會 (EDPB) 的核准，並於 2021 年 6 月被法國資料保護局 (CNIL) 正式採用。
  

• 為什麼它對我們的客戶很重要？

  CISPE 準則可讓組織保證其雲端基礎設施服務供應商符合 GDPR 下適用於資料處理器的要求。這讓雲端客戶更有信心，他們可以選擇經獨立驗證且符合 GDPR 的服務。
  

• CISPE 資料保護行為準則如何協助客戶遵守 GDPR？

  AWS 對 CISPE 準則的遵守為我們的客戶提供了額外的保證，即 AWS 已依據 GDPR 第 28 條，實施了適用於處理器要求的合同和營運措施。AWS 對 CISPE 準則的遵守已得到 EY CertifyPoint 的驗證，EY CertifyPoint 是 CNIL 認可為監管機構的外部稽核機構。
  

• AWS 依據 CISPE 準則進行的認證，如何協助客戶確保他們對其資料的存放和處理位置擁有更多的控制權和透明度？

  CISPE 準則超越了 GDPR 合規性，要求雲端基礎設施服務供應商為客戶提供在歐洲經濟區內存放和處理其資料的選項。雲端基礎設施服務供應商還必須承諾，他們不會存取或使用任何客戶資料，除非為提供和維護聲明的服務所必要。尤其是，雲端基礎設施服務供應商必須承諾不將客戶資料用於自己的用途，包括用於資料挖掘、分析或直接行銷。

• 為什麼 AWS 聲明服務遵守 CISPE 準則？

  CISPE 準則讓雲端客戶能夠自信地選擇遵循 GDPR 規範的雲端基礎設施服務。CISPE 準則可讓組織保證其雲端基礎設施服務供應商符合 GDPR 下適用於資料處理器的要求。這讓雲端客戶更有信心，他們可以選擇經獨立驗證且符合 GDPR 的雲端服務。AWS 依據 CISPE 準則聲明服務，因為它為我們的客戶提供了額外的保證。CISPE 準則是首個專注於雲端基礎設施服務的泛歐資料保護行為準則，得到歐洲資料保護委員會的認可，並獲得主要資料保護機構法國資料保護局 (CNIL) 的核准。

• 如果我不處理個人身分識別資訊 (PII)/個人資訊，CISPE 準則對於作為客戶的我是否重要？

  是，AWS 針對所有客戶內容，確保 CISPE 準則中規定的高標準資料保護和隱私控制。

• 誰是獨立監管機構？

  EY CertifyPoint (EYCP) 獨立認證 AWS 服務，結果證明均符合 CISPE 準則。EYCP 是首個獲得 CNIL 認可的「監管機構」，可驗證雲端基礎架構供應商是否符合 CISPE 規範。此後，CNIL 已認可包括 Bureau Veritas 和 LNE 在內的其他若干監管機構。這些都是國際公認的獨立稽核機構和認證機構，在驗證公司是否符合資料保護要求方面擁有成熟的經驗。

• AWS 聲明有多少項服務遵守 CISPE 準則？

  聲明遵守 CISPE 守則的服務在 CISPE 公共登記冊中註冊為「受控遵守」。對於這些服務，經 CNIL 認可的獨立監管機構 EY CertifyPoint 已驗證 AWS 對 CISPE 準則的遵守。您可以在合規計畫的 AWS 服務範圍內找到涵蓋於 CISPE 行為準則範圍內的 AWS 服務。

• 您是否計劃依據歐盟雲端行為準則聲明服務？

  AWS 支援的安全標準和合規認證比任何其他雲端供應商都多，隨著監管環境的發展，我們會不斷審查客戶的需求。CISPE 準則讓我們的客戶能夠自信地選擇遵循 GDPR 規範使用的雲端基礎設施服務，並滿足我們客戶當今的合規要求。

   

  然而，歐盟雲端行為準則是一項不同的倡議，其考量和方法與 CISPE 準則相似。雖然 AWS 認為 CISPE 準則是展示 AWS 與 GDPR 相關的合規性，以及滿足客戶相應期望的絕佳工具，但隨著監管環境的演進，我們將繼續審查客戶的需求。