22、GDPR合规：云服务提供商的技术与组织措施建议

GDPR合规：云服务提供商的技术与组织措施建议

1. 引言

云计算在信息通信技术（ICT）的诸多方面和领域得到了广泛应用。过去几年，人们对云环境（尤其是共享云）的安全、隐私和信任问题进行了大量研究，但相关研究仍在继续，目前云技术的采用仍面临一些障碍。自2018年5月起，云服务提供商需要遵守《通用数据保护条例》（GDPR）。GDPR旨在在欧盟范围内引入更高、更一致的个人数据保护水平，让公民重新掌控自己的个人数据，并简化企业的监管环境。该条例适用于所有持有或处理欧盟居民数据的公司，包括云计算用户、提供商及其分包商。

2. GDPR要求

2.1 适用范围

GDPR适用于云“控制器”（决定如何以及为何处理个人数据的主体）和“处理者”（代表控制器处理个人数据的主体）。具体而言，欧盟境内的云控制器或处理者应遵守GDPR要求，此外，非欧盟的云服务若为欧盟公民提供服务或在欧盟境内进行监控活动，也需遵守该条例。可以通过实施审计警报机制来检查云是否需要满足GDPR要求，当触发警报时，应采取特定的自动或手动行动以及技术和组织措施，以确保GDPR合规。

2.2 数据保护原则

云服务提供商必须确保以下GDPR原则：合法性、公平性和透明度、目的限制、数据最小化、准确性、存储限制、完整性和保密性、问责制。为遵守这些原则，云服务提供商需采取以下措施：
- 维护个人数据的完整文档，包括数据来源、共享对象和处理原因。
- 在组织中考虑数据最小化，在安全策略中定义收集信息的目的。
- 定期进行数据重新评估。
- 对云客户和员工进行定期审计，以确保目的限制。
- 定期进行数据准确性合规检查。