CISPE 数据保护行为准则

欧洲云基础设施服务提供商数据保护行为准则（CISPE 准则）是第一个符合欧盟通用数据保护条例 (GDPR) 第 40 条的面向云基础设施服务提供商的泛欧洲数据保护行为准则。它于 2021 年 5 月获得欧盟数据保护委员会 (EDPB) 批准，并于 2021 年 6 月被法国数据保护机关 (CNIL) 正式采用。

CISPE 准则向企业确保，其云基础设施服务提供商能够满足遵循 GDPR 适用于数据处理方的要求。这可进一步提升云客户的信心，使他们可以选择能够独立地验证自身的 GDPR 合规性的服务。

由于 AWS 符合 CISPE 准则，因此为客户提供了额外的保证：AWS 已实施了合同和运营措施，这些措施符合按照 GDPR 第 28 条适用于处理方的要求。AWS 的 CISPE 准则合规性已经过 EY CertifyPoint 验证，这是一家被 CNIL 认证为监控机构的外部审计机构。

CISPE 准则的标准高于 GDPR 合规性，要求云基础设施服务提供商为客户提供适当的选项，用于在欧洲经济区内存储和处理其数据的服务。云基础设施服务提供商还必须承诺，他们不会出于任何目的访问或使用任何客户数据，除非此等访问或使用为提供和维护声明的服务所必需。尤其是，云基础设施服务提供商必须承诺不将客户数据用于其自身目的，包括数据挖掘、分析或直接营销。

CISPE 准则让云客户能够自信地选择可以遵循 GDPR 使用的云基础设施服务。CISPE 准则向企业确保，其云基础设施服务提供商能够满足遵循 GDPR 适用于数据处理方的要求。这可额外提升云客户的自信，他们可以选择能够独立地验证自身的 GDPR 合规性的云服务。AWS 宣称服务符合 CISPE 准则，因为它可为客户提供更进一步的保证。CISPE 准则是首个泛欧洲专注于云基础设施服务的数据保护行为准则，已得到欧洲数据保护委员会认可，并获得担任主要数据保护机构的法国数据保护机关 (CNIL) 批准。

是的，AWS 针对所有客户内容保持 CISPE 准则中所列的数据保护和隐私控制方面的高标准。

EY CertifyPoint（EYCP）对 AWS 服务进行独立认证，确认其符合 CISPE 准则。EYCP 是第一个经 CNIL 认证的验证云基础设施提供商的 CISPE 准则合规性的“监督机构”。CNIL 曾经认证过多个其他监控机构，包括法国国际检验局和 LNE。这些都是国际认可的独立审计机构和认证机构，在验证公司的数据保护要求合规性方面拥有成熟的经验。

声明遵守 CISPE 准则的服务在 CISPE 公共注册系统中注册为“受控遵守”。对于这些服务，AWS 的 CISPE 准则要求合规性已经过 EY CertifyPoint 验证，这是一家通过了 CNIL 认证的独立监控机构。CISPE 准则涵盖的 AWS 服务也可以在 AWS 按合规性计划提供的范围内服务中找到。

AWS 支持的安全标准和合规性认证比任何其他云提供商都多，随着监管环境的发展，我们还会持续地审视客户的需求。CISPE 准则让客户能够自信地选择使用遵循 GDPR 的云基础设施服务，并满足客户如今的合规性要求。

EU 云行为准则是另一项不同的计划，但是考虑的因素和方法与 CISPE 准则相似。虽然 AWS 深信 CISPE 准则可作为出色的工具展示 AWS 的 GDPR 相关合规性并满足客户对应的期望，但是我们将随着监管环境的发展继续审视客户的需求。