引  言

欧盟行为守则（Codes of Conduct）规定于《一般数据保护条例》（以下简称“GDPR”）第40条，是由协会以及代表数据控制者或数据处理者的实体起草的、用于细化GDPR之适用的准则。

GDPR下的行为守则分为两种类型，一是“国家行为守则”，守则草案须由所在成员国的主管机关批准后方可生效；二是“跨成员国行为守则”，该行为守则涉及多个成员国的数据处理活动，成员国监管机构批准守则草案之后还需将该行为守则及其意见书提交给欧洲数据保护委员会，并最终由欧盟委员会以颁布实施法案的形式确认该行为守则在欧洲经济区的一般有效性。

数治君将就行为守则发布三篇系列文章，其中两篇关于“跨成员国行为守则”，一篇关于“国家行为守则”。本文为第一篇文章，介绍于2020年12月发布的最新版（Version 2.11）“欧盟云行为守则”，该守则为“跨成员国行为守则”。还有两篇文章将于近期发布，敬请期待！

此前数治君关于行为守则的研究有：

 • 《EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评（附征求意见前后对比中译本全文）》；

 • 《对数据的监管如何培育数字经济创新和竞争——GDPR提供的共同监管工具》。

1

适用范围

欧盟云行为守则（EU Cloud Code of Conduct，以下简称“云CoC”）适用于公有云、私有云或混合云中所有提供可以处理用户个人数据的SaaS、PaaS、IaaS或其他“企业对企业”（B2B）云服务产品的提供商，此类云服务提供商提供商应当是欧盟《一般数据保护条例》（以下简称“GDPR”）所定义的数据处理者（Processor）。认为其一项或多项云服务符合本守则规定的要求的云服务提供商，可以向监督机构提交其一项或多项云服务的遵守声明，并遵循云CoC规定的程序。

云CoC属于“跨成员国行为守则”，即可以覆盖欧盟内部的数据处理行为，但尚不涵盖数据跨境传输。Schrems II案件后，云CoC启动了“向第三国传输的倡议”，旨在扩展成为可以作为数据跨境传输工具的行为守则。目前，该倡议尚在召集利益相关者加入的阶段。

2

制定过程

2014年，C-SIG工作组完成了第一稿云CoC。2015年，云行为守则开始提交给欧盟数据保护委员会（以下简称“EDPB”）第29工作组征求反馈意见。

2017年，来自C-SIG工作组的六家公司（Cisco、Google Cloud、TrustArc[3]和Workday之后也陆续加入）成立了欧盟云CoC大会，并指定SCOPE Europe作为其监督机构和秘书处。

2018年，GDPR正式生效，云CoC在这之后不久（2019年4月）定稿。比利时数据保护机构（以下简称“比利时DPA”）作为主管监管机构负责审查最终版的云CoC。2021年5月19日，EDPB发布了关于该云CoC的积极意见。比利时DPA在这之后的一天（20日）发布了最后批准的决定，并指定SCOPE Europe作为云CoC的专门监督机构。

图1 欧盟云行为守则时间表

3

守则文本

4

守则运行

4.1 治理架构

云CoC的治理架构分为内部和外部两个部分，其中，内部治理架构是指云CoC协会/机构本身的组织框架，包括大会、指导委员会和秘书处；外部治理则主要指守则的监督机构SCOPE Europe。

(1) 内部治理架构

云CoC的内部治理架构规定于其守则文本的8. “内部治理”。

一般大会（General Assembly）

一般大会由创始成员和所有其他成员组成，加入的条件是：

  •  该成员至少有一项可以符合本守则要求的云服务；

  •  可以预计在适当的时间范围内可以宣布至少一项云服务遵守本守则；

  •   按照大会指导，为守则提供业务支持；

  •   经大会同意，向守则运行提供财政支持，特别是继续支付至少24个月的会员费和加入声明费以及任何其他可能的费用。

成为大会成员并不意味着该云服务提供商遵守了本守则。每个云服务提供商成员在大会上都有一票，他们应该在云计算和/或数据保护领域有成熟的专业知识，并且应该对云计算商业模式有深刻的理解。

大会有权指定大会主席和指导委员会成员；批准每年的会员费、支持者费和指导委员会提议的任何其他费用；批准新会员；决定在大会内临时或永久撤销任何会员的会员资格，如果该会员违反守则但未违反第5条和第6条，则在大会内临时或永久撤销；批准对守则的修改，并决定指导委员会要求的任何其他事项。

指导委员会

除非大会决定更多的成员人数，指导委员会最多由13名成员组成。

指导委员会的每个云服务提供商成员都有一票，但可以指定最多三个人作为他们在指导委员会的代表，如果他们不能参加指导委员会的会议，可以指定一个替代者。每个成员应告知指导委员会主席他们的代表是谁。在指导委员会中代表其组织的个人应在云计算和/或数据保护领域拥有成熟的专业知识，并对云计算商业模式有深刻的理解。指导委员会可以通过一项决议，邀请有兴趣的第三方加入指导委员会，以加强有兴趣参与守则的利益相关者的平衡代表，包括来自私营部门和公共部门。特别是，在可能的情况下，应确保指导委员会包括以下方面的代表。

  •  云服务提供商和客户及其代表组织（包括公共和私人部门的代表）；

  •  数据保护和云计算方面的学者或专家。

指导委员会的职责有：

  •  监测欧盟数据保护法的变化，并提出对守则的修改意见供大会批准。

  •  与监督机构协商，确定并提出向监督机构提交遵守情况声明的模板和在线表格；

  •  确定适当的现有标准和认证计划；

  •  定义并提出更详细的守则的应用和解释，提交给主管监督机构批准；

  •  定义并提出更具体的守则模块，例如，与特定的使用案例、数据类型、服务提供模式、部门或行业有关的模块，提交给主管监督机构批准；

  •  确定可由加入的成员使用的合规标志；

  •  任命、撤销或暂停任命监督机构；

  •  批准秘书处，选择一个合适的组织来执行秘书处的任务。

  •  讨论并提交大会批准会员费、支持者费，并与监督机构协商，讨论加入声明及其审查的费用、投诉费以及可能适用的任何其他费用；

  •  经与监督机构协商，建议从宣布加入云服务的成员那里分配一部分年度会员费，以保障监督机构的法定最低功能和独立性，供大会批准；

  •  提出一份制裁和补救措施的清单，供大会决定，由监督机构在发生违反守则的情况下适用，如暂停或取消；

  •  在必要时，通过与监管机构、欧洲数据保护委员会和委员会协商，制定和提出年度工作计划。

秘书处

秘书处履行以下职能：

  •  维护经核实符合要求的云服务的公共登记册；

  •  维持一个公开的守则守则登记册；

  •  应大会主席的要求，召开大会会议，并要求根据守则通过电子邮件作出决定，筹备大会会议并起草会议记录；

  •  应指导委员会主席的要求，召集指导委员会、会议，并要求根据守则通过电子邮件作出决定，准备指导委员会的会议和会议记录草案；

  •  在成员国中推广守则；

  •  维护守则网站；

  •  应指导委员会的要求，履行其他相关职能。

（2）外部治理架构

云CoC的监督机构是SCOPE EUROPE。SCOPE EUROPE成立于2017年2月，是德国非营利组织SRIW（Self-Regulation Information Economy，“SRIW”）的子公司，并于2021年5月成为第一个获得欧洲通用数据保护认证的行为守则监督机构。SRIW是Gaia-X的创始成员之一，也是GAIA-X“认证与认可”工作组的成员。因此，SRIW积极参与开发未来GAIA-X产品的认证和认可流程。

根据云CoC文本，监督机构的工作有：

  •  审查并核实已宣布加入的云服务是否符合本守则。

  •  定期监测加入的云服务是否符合本守则的规定。

  •  审查并决定对违反本守则的投诉。

  •  建立程序和结构，以处理有关违反守则或社区服务提供者已经或正在执行守则的方式的投诉，并透明地传达这些程序和结构。

  •  实施预泄利益冲突的程序和结构。

  •  采取适当的行动，对违反本守则的云服务提供商进行处理，或者在云服务提供商没有向监督机构提供审查可能违反本守则的必要信息的情况下进行处理。

  •  告知主管监管机构对云服务提供商采取的行动以及采取这些行动的原因。

4.2 守则成员

守则成员分为两类，针对云提供商开放的大会成员资格和支持者。

同意守则中体现的欧盟云行为守则的方法和原则、在欧盟云 CoC 网站上被列为成员，公开传达对欧盟云CoC的支持——任何满足以上要求的云服务提供商（Cloud Service Provider，“CSP”）可申请大会成员资格。成员资格分为三种，正式成员资格（包括大会投票权）、中型企业成员资格（不包括投票权）和小型企业成员资格（不包括投票权）。中小型企业的资格依据欧洲对中小型企业（SME）的定义认定。

另一类成员是支持者，是努力支持欧盟云行为守则目标的任何云服务提供商的自然或法人实体（例如协会、当局、律师事务所、非政府组织、智智库等）。

通过填写在线申请表，可以申请成为成员。申请后，守则秘书处将进行审查，检查申请的法律状态和真实性。申请表中提供不同成员资格的报价方案，费用区别由企业规模决定：

  •  完全成员资格年费：15,000欧

  •  中型企业成员（无投票权）年费：5,000欧

  •  小型企业成员（无投票权）年费：1,500欧

  •  支持者年费：5,000欧

  •  中型组织支持者费用：3,000欧

  •  小型组织支持者费用：1,500欧

4.3 评估与认证

监督机构通过（1）初始评估；（2）年度定期评估，和（3）临时评估（如果监督机构认为是合理的）检查在欧盟云CoC网站上声明和发布的附属云服务是否符合欧盟云CoC的规定。

初始评估

只要云服务提供商声明其服务符合欧盟云CoC，就会触发初始评估。这是云服务提供商经受的第一次（初始）验证。要被列入公共登记册，必须成功通过监督机构执行的验证。

初始评估旨在验证云服务提供商是否符合欧盟云CoC的规定。欧盟云CoC 已将其规定转化为明确的控制措施。控制由单独的控制指导完成。

云服务提供商应明确指出要宣布遵守哪种云服务。对于每项附属服务，云服务提供商必须向监控机构提供涵盖此类服务的详细云服务协议，并解释如何以及为何遵守欧盟云CoC 的规定和/或控制。这种解释应在逐个控制的基础上进行。

监控机构将评估每个云服务提供商提供的信息。对于被宣布为遵守的每项服务，监督机构将确认所提供的信息是完整的和相关的。它还将要求提供额外的文件和样本，以支持解释中提到的措施的有效实施。将使用深入评估（例如随机抽样）来确定服务是否符合要求——根据服务类型，将使用适当比例的欧盟云 CoC 控制措施。只有在提供的解释和支持文件足够的情况下，监管机构才能正式验证合规性，以便将申报的服务列入公共登记册。

定期评估

定期评估每年进行一次。要继续在公共登记册中列为当前有效，必须至少每 12 个月通过监督机构执行的重新验证。

每个云服务都将接受监控机构执行的可靠验证。监控机构将根据云服务及其技术和组织措施以及合同框架确定欧盟云CoC 最相关的控制措施，以确定相关的详细合规性验证的优先级。此外，监管机构将随机抽取控制样本进行深入验证。监督机构应在适当的时间范围内，在定期评估中验证欧盟云 CoC 的每项控制。

临时评估

每当监管机构意识到引起对云服务符合欧盟云 CoC 的担忧的事实时，必须成功通过监管机构执行的临时验证，以保持在公共登记册中列为最新且经过验证。可能的情形包括云服务提供商显著更新其服务，因此无法再应用之前的评估、不良媒体报道与直接影响某项服务或与某项服务有关以及由客户或匿名提交的投诉。

临时评估将根据触发此类评估的情况而有所不同。每个临时评估都需要澄清任何问题或减轻监管机构对各自云服务是否（仍然）符合欧盟云 CoC 的担忧。监管机构采取的行动可能会有所不同，从简单的面谈和要求提供文件到在云服务提供商场所进行验证。

认证级别

守则提供了三种不同的合规级别（见下表）。不同的合规级别仅与提交给监管机构的证据级别有关。但是，在涵盖准则的哪些部分方面没有区别，因为附属云服务必须遵守准则的所有规定及其各自的控制。

[1] EU Cloud Code of Conduct, Version 2.11

[2] https://eucoc.cloud/en/about/third-country-transfer-initiative. 

[3] https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0529:FIN:EN:PDF. 

[4] https://itlaw.fandom.com/wiki/Cloud_Select_Industry_Group. 

[5] https://trustarc.com/trustarc-incorporates-eu-cloud-code-of-conduct-into-privacycentral-platform/

[6] https://eucoc.cloud/en/about/history. 

[7] https://edpb.europa.eu/system/files/2021-05/edpb_opinion_202116_eucloudcode_en.pdf. 

[8] https://www.dataprotectionauthority.be/publications/decision-n05-2021-of-20-may-2021.pdf. 

[9] https://scope-europe.eu/en/home. 

[10] https://sriw.de/en/detail/sriw-will-actively-contribute-at-the-gaia-x-vision-kick-off-january-27th-2021. 

[11] https://ec.europa.eu/growth/smes/sme-definition_de

[12] https://eucoc.cloud/en/join-the-code

[13] https://eucoc.cloud/en/public-register/assessment-procedure