# SOC 2 与 GDPR：向住宅代理服务商提出哪些问题


向住宅代理供应商提出的问题应从一个核心话题入手：网络资源的来源。认证虽能证明供应商管理得当，且确实重要，但最关键的是要了解这些 IP 地址是如何获得授权的，因为这是所有其他环节的基础。这些都是向任何网络数据合作伙伴（包括 Massive）合理提出的问题。 本指南将按提问顺序列出这些问题，说明如何识别有力的回答，并在适当情况下介绍 Massive 是如何回答这些问题的，以便您能够区分真正符合 GDPR 要求的住宅代理与仅停留在口头承诺的供应商。信誉良好的网络供应商会对每个问题给出具体答复。

如果您是负责选择网络数据供应商的人员，或需要向安全团队解释这一选择的人，本文正是为您而写。本文假设您了解组织收集公开网络数据的原因，并重点探讨如何通过尽职调查确保数据收集过程稳健且易于辩护。

## 关键要点

- **数据来源是首要问题，而非最后考虑的因素。** 认证仅能证明供应商实施了相关控制措施；而关于数据来源的解答则能说明 IP 地址是如何获得授权的。在查看任何认证标识之前，请先询问设备是如何接入网络的。
- **SOC 2 认证有范围和类型之分，二者都至关重要。** SOC 2 II 类报告是对一段时间内控制措施的测试；I 类报告则是单日快照。请明确询问是哪一种类型、覆盖多长时间，以及涵盖五项“信任服务标准”中的哪些内容。
- **GDPR 合规性意味着具备合法依据，并且有一份您可以签署的数据处理协议（DPA）。** 对于代理网络，关键在于设备的参与符合同意标准，且您能获得一份包含指定次级处理商名单的数据处理协议。
- **审计追踪记录是透明度的证明。** 能够将请求追溯至同意来源的供应商，才能展示其工作过程。 这与“选择加入”网络旨在提供的[证据链](https://www.joinmassive.com/blog/rendering-web-through-consent)如出一辙。
- **可靠的合作伙伴会乐于回答这些问题。** 良好的尽职调查应是协作而非对抗的。关键在于确认坚实的基础，而建立在坚实基础上的网络会给出明确的答复。

## 为何来源问题值得得到真实答案

住宅代理供应商在您的技术架构中占据着关键位置：您的流量通过供应商采购的设备流出，因此这些设备如何加入网络，是您自身基础架构的一部分。这使得了解来源成为一件合理且有意义的事情，而非走过场。

并非所有住宅网络都是基于用户同意构建的，这正是为什么关于来源的问题值得得到一个实质性的答案，而不是一个形容词。 好消息是，基于同意的网络能轻松解决这个问题：它能明确说明其 IP 地址通过何种机制获得授权，指出覆盖链条各环节的认证，并描述将请求追溯至同意设备的审计轨迹。 提出以下问题，正是确认这一基础是否存在的方式，也是强有力的合作伙伴所期待并珍视的那种尽职调查。

## 按顺序提出的问题

请按顺序处理这四个问题组。来源问题组被有意安排在首位，因为它是其余部分赖以构建的基础。

### 第一组：数据来源与同意

这是最重要的一组，也是值得优先探讨的。

- **IP 地址是如何进入您的网络的？** 您需要一个具体的机制，一个公开的 SDK，以及用户基于价值交换主动选择加入。
- **设备所有者获得了什么回报？他们是否被告知自己同意的内容？** 根据[《通用数据保护条例》（GDPR）第4条第11款](https://gdpr-info.eu/art-4-gdpr/)，有效的同意必须是自愿的、具体的、知情的且明确无误的。真正的价值交换才是使其具有真实性的关键。
- **用户能否撤回同意？撤回后会发生什么？** 《GDPR》第 7(3) 条规定，撤回同意应与给予同意同样便捷。明确的答复体现了健全的模式。
- **能否将特定请求追溯到同意的源设备？** 这是关于审计追踪的问题，若能给出肯定答复并附带说明，便是供应商所能提供的最有力的单一信号。

### 第二组：认证及其覆盖范围

接下来是认证标识，其有效性取决于覆盖范围。

- **您是否持有 SOC 2 认证？是 I 类还是 II 类？** II 类认证根据 [AICPA 信任服务标准](https://www.aicpa-cima.com/resources/download/2017-trust-services-criteria-with-revised-points-of-focus-2022)（安全性、可用性、处理完整性、保密性、隐私性），测试控制措施在一定时期内是否有效运行。 请在签署保密协议（NDA）后索取报告，并核查报告涵盖的时间段及具体标准。
- **您是否拥有针对应用注册流程本身的认证？** [AppEsteem](https://customer.appesteem.com/Home/AppCertReqs) 根据独立知情同意、捆绑组件披露以及干净卸载等要求对应用进行认证。 对于基于 SDK 的网络，这是关于同意时刻的直接证据。
- **贵方是否持有 ISO/IEC 27001 认证？** 其中关于供应商关系的控制措施 A.5.19 与此相关，且该认证表明存在受管的安全计划。

### 第 3 组：数据处理与法律

使合作关系易于建立的书面文件。

- **您是否愿意签署数据处理协议？根据《通用数据保护条例》（GDPR）第 6 条，您的合法依据是什么？** 您需要一份数据处理协议（DPA），且供应商应能明确说明其数据采集的法律依据。
- **您的次级处理者有哪些？若发生变更，将如何通知我们？** 《通用数据保护条例》（GDPR）第 28 条规定了处理者的保障义务及次级处理者的披露要求。提供一份列明名称的清单是理想的答复方式。
- **贵方的数据保留和数据泄露通知承诺是什么？** 您需要明确的数据保留期限和可用于规划的通知时间表。

### 第 4 组：运营与支持

安全团队在签约后会关注的问题。

- **贵方的事件响应流程是什么？发生事件时我们如何联系到真人？** 对企业买家而言，直接支持渠道优于工单排队机制。
- **贵方如何确保网络健康并进行监控？** 积极维护其网络资源池的供应商，才是在守护您赖以生存的基础。

## 优质回答的范例：Massive 如何逐一作答

这些问题的核心在于获取具体细节。为了使之更具体，以下以我们自身为例，展示一家优秀的网络服务商如何回答这些问题。请将此视为优质回答的框架，而非需要逐字照搬的脚本。

| 您的问题 | 有力且具体的回答 | Massive 的回答 |
|----------------|---------------------------|---------------------|
| IP 如何选择加入？ | 指明已公开的 SDK 及实际价值交换 | 每个 IP 均通过 Massive SDK 选择加入，用户以闲置带宽换取高级应用权益 |
| 能否追溯请求至已同意的来源？ | 是，描述了审计轨迹 | 从来源到请求的完整审计轨迹 |
| SOC 2？ | II 类，指明时间段和标准，在保密协议下共享 | 已通过 SOC 2 I 类审计（安全），2025 年 12 月；报告通过信任中心在保密协议下提供 |
| 撤回同意？ | 具体流程，与加入流程同样简便 | 可撤销的参与权，符合《通用数据保护条例》（GDPR）第7条第3款 |
| 次级处理者与数据处理协议（DPA）？ | 列明名单，数据处理协议已准备就绪可签署 | 符合GDPR要求，数据处理协议已备妥 |
| 注册认证？ | AppEsteem 或同等认证 | 已通过 AppEsteem 认证；受保密协议约束的同意界面示例可供查阅 |
| 覆盖范围与实际部署？ | 真实设备，具体地理区域 | 覆盖 195 多个国家的真实消费者设备 |

需要关注的重点在于具体性：一家基础扎实的供应商会提供具体的机制和文件作为答复。 这正是尽职调查能快速完成的原因，因为答案早已准备就绪。

## 一份可重复使用的供应商问卷

在您下次审查网络数据合作伙伴时，可直接采用这十个问题。这些问题对任何人（包括我们）都公平合理：

1. 请详细说明 IP 地址是如何成为贵方网络一部分的。
2. 设备所有者参与后能获得什么，以及如何向其披露参与信息？
3. 用户如何退出，退出会产生什么影响？
4. 能否将特定的出站请求追溯到已同意的源设备？ 请描述审计追踪记录。
5. 请提供您的 SOC 2 报告。说明报告类型、报告周期及涵盖的标准。
6. 应用注册时的同意和披露流程由何种认证覆盖？
7. 请说明您获取数据的 GDPR 合法依据，并确认您将签署数据处理协议（DPA）。
8. 列出您的次级处理者及变更通知流程。
9. 说明您的数据保留期限和数据泄露通知时限。
10. 描述您的事件响应流程以及事件发生期间可用的支持渠道。

能够针对以上十个问题给出具体答复的合作伙伴，才是您可以放心采用的。 关于[符合伦理的住宅代理网络](https://www.joinmassive.com/blog/ethically-sourced-web-access-network)如何实现合乎伦理的数据来源这一核心原则，为您提供了每个问题的理论框架。

## 常见问题

### 仅凭供应商的声明，住宅代理就符合GDPR要求了吗？

这一声明很容易核实，这也是提出该问题的原因。代理网络的 GDPR 合规性意味着：符合第 6 条规定的合法依据；符合第 4(11) 条标准的设备参与同意；可签署的数据处理协议；以及已披露的次级处理者。 能够提供数据处理协议（DPA）并明确其合法依据的供应商，其合规性是您可以验证的；而一家可信的供应商会随时准备好这些证明文件。

### 对于代理服务供应商而言，SOC 2 I类和II类有什么区别？

I类描述供应商在某个特定时间点的控制措施；II类则测试这些控制措施在一定时期内（通常为3至12个月）是否有效运行。 II 类报告在审查中最具分量，因为它反映了持续的运营状况。请询问具体属于哪一类、报告周期以及五项“信任服务标准”中哪些在评估范围内。

### 合规的住宅代理服务提供商应具备哪些认证？

应关注运营控制方面的 SOC 2 II 型认证、符合 GDPR 要求的合规状态（包括可签署的 DPA 以确保合法依据和同意），以及涵盖应用注册环节的认证（例如用于确认同意时刻的 AppEsteem）。 ISO/IEC 27001 是一项强有力的补充指标。这一组合至关重要，因为每项认证都涵盖不同的环节：注册、合法依据和运营。它们共同构成了一个基础扎实的网络。

### 审计追踪记录如何帮助我作为买家？

它为您提供了可验证的透明度。 能够将请求追溯至已同意的源设备的供应商，能够通过实际展示（而非单纯声明）证明其供应来源已主动选择加入。这是采购声明背后的实际证据，也是让安全审查变得直截了当的答案。当供应商能带您逐一追溯这一链条时，您便可以放心地采用该网络。

## 结论

对代理供应商的良好审查，实质上是要确认其基础是否稳固，而这一切始于一个问题：您的 IP 地址是如何“自愿加入”的。认证、数据处理协议（DPA）和问卷调查的存在，都是为了为这一答案提供证据，而信誉良好的网络会随时准备好这些证据。 请询问具体的获取机制、认证范围以及审计追踪记录，并留意其中的具体细节。

值得信赖的供应商会乐于回答这些问题，因为一个通过公开“主动加入”机制构建的网络——具备 SOC 2 Type I 审计、GDPR 合规性、AppEsteem 认证以及从源头到请求的完整审计轨迹——其构建初衷正是为了回应这些疑问。 关于该模式背后的运作机制，请阅读[“基于主动选择加入的代理网络如何实际运作”](https://www.joinmassive.com/blog/rendering-web-through-consent)，您还可以通过[Massive](https://joinmassive.com)了解该网络如何记录其合规状况。
