对于许多公司而言,有关云计算的主要问题不再是是否将其数据移至“云”,而是如何实现这种过渡。云(或基于Internet的按需)计算涉及从对公司自己的本地计算资源的依赖转变为对共享服务器和数据中心的更大依赖。云计算服务的著名示例包括Google Apps,Salesforce.com和Amazon Web Services。原则上,公司也可以在不使用第三方提供商的情况下维护自己的内部“私有云”。但是,由于许多公司选择使用第三方云提供商,因此本文将重点介绍该云计算模型。

云计算产品范围从仅提供IT基础架构(服务器,存储和带宽)到提供完整的软件解决方案。云计算可以在成本,效率和数据可访问性方面提供显着的优势。处理能力的集中和利用为公司提供了灵活且经济高效的IT系统。但是,与此同时,云计算安排往往会减少公司对数据的位置,传输和处理的直接控制。

表征云的数据的灵活性和便捷性会引发与云中数据保护相关的挑战性问题。无论数据涉及个人信息,商业秘密信息,客户数据还是其他竞争敏感信息,要移交给云的数据的性质都会决定公司的法律义务和风险。本文介绍了将个人信息移至云时适用的特殊法律注意事项。它还提供了一个框架来帮助公司解决这些问题,从而找到满足其自身法律和业务需求的解决方案。

确定要移至云端的个人信息类别

作为一般原则,个人信息包括标识特定个人或可以与特定个人相关联的任何信息。某些类型的个人信息比其他类型的个人信息涉及更大的法律和商业风险。例如,与包含潜在业务线索的名称和业务联系信息的数据库相比,包含健康信息的数据库所涉及的风险更大。此外,许多国家/地区的金融监管机构都要求针对金融信息的特定安全标准。因此,可能足以用于业务线索数据的云计算服务可能无法为健康,财务或其他敏感类型的信息提供法律要求的保护级别。

公司将希望制定一种策略,为要传输到云的最敏感的个人信息提供足够的保护。在某些情况下,公司可能会选择在内部维护某些类型的个人信息,以便对其敏感度较低的数据利用更具成本效益的云计算服务。

确定影响您的个人信息外包的适用法律

从本质上讲,云计算可能涉及各种法律,包括隐私法律,数据安全和违规通知法律,以及限制个人信息跨境传输的法律。

(a)隐私法

在美国运营的公司将需要考虑是否遵守特定行业的隐私法律或法规,例如《格拉姆-里奇-比利利法案》(GLBA)或《健康保险携带与责任法案》(HIPAA)。此类法律强加了详细的隐私和数据安全义务,并且可能需要更专业的基于云的产品。

位于欧洲的公司,以及与欧洲境内或与欧洲的基础设施提供商进行合作的公司,都需要考虑当地综合数据保护法对广泛的要求,这些法律保护所有个人信息,甚至包括基本的详细信息,例如业务联系信息。这些要求可以包括通知员工,客户或其他个人有关数据外包和处理的信息;在外包员工数据之前有义务与工会委员会协商;并向本地数据保护机构注册。根据许多其他国家(包括整个欧洲,亚洲,中东和美洲的国家)的数据保护法,也提出了类似的要求。

(b)数据安全要求

即使公司不受这些类型的隐私法的约束,它仍将希望确保数据安全和违规通知法律所涵盖的个人信息的安全措施。在美国,这些法律倾向于将重点放在个人信息上,例如社会安全号码,驾照号码以及信用卡或借记卡或金融帐号。关键保障措施之一是加密,因为许多(尽管不是全部)美国州违反通知法为加密数据提供了例外。

相反,许多其他国家/地区要求保护所有个人信息,并且不一定为加密数据提供例外。因此,在美国境外运营的公司可能有更广泛的义务来保护所有个人信息。虽然数据保护的义务因法律而异,但美国和国际隐私法通常都要求以下几种保护措施:

一世。对提供者进行适当的尽职调查;

ii。限制访问,使用和披露个人信息;

iii。建立技术,组织和行政保障措施;

iv。与供应商签订具有法律效力的合同;和

v。通知受影响的个人(和潜在的监管者)安全漏洞破坏了个人信息。

云中的数据安全性话题已受到业界的广泛关注。诸如云安全联盟之类的行业组织已经提出了自愿准则,以改善云中的数据安全性。例如,请参阅CSA针对云计算关键领域的安全指南,网址为: //cloudsecurityalliance.org/download/security-guidance-for-critical-areas-of-focus-in-cloud-computing-v3/。在欧洲,由欧盟委员会赞助的行业选择组织Cloud Select Industry Group(CSIG)最近发布了《 Cloud Service Level Agreement Standardization Guidelines》,该指南可从以下网站获得: http://ec.europa.eu/digital-agenda/en/news/cloud-service-level-agreement-standardisation-guidelines。该准则建议的合同规定包括:(1)业务连续性,灾难恢复和数据丢失预防控制; (2)身份验证/授权控制,包括访问提供/撤销和访问存储保护; (3)加密控件; (4)安全事件管理与报告控制和指标; (5)日志监控参数和日志保留期限; (六)审核与安全认证; (7)漏洞管理指标; (8)安全治理指标。提供商也可以选择根据ISO 27001等标准进行认证,尽管此类认证可能无法满足所有适用的法律要求。

(c)跨境数据传输的限制

许多国家,例如欧洲经济区(EEA)的所有成员国和某些邻国(包括阿尔巴尼亚,海峡群岛,克罗地亚,法罗群岛,马恩岛,马其顿,俄罗斯和瑞士)由于北非(例如摩洛哥),中东(例如以色列),拉丁美洲(例如阿根廷和乌拉圭)和亚洲(例如韩国)的国家/地区限制个人信息的传输或共享。这些限制对于寻求将数据移至云的跨国公司可能构成重大挑战。认识到这些挑战,一些提供商开始提供特定于地理的云,其中将数据保存在给定的国家或地区内。一些美国提供商还通过了美国-欧盟安全港计划的认证,以适应来自欧盟的客户。但是,由于安全港只允许从欧盟向美国转移,因此这不是全球解决方案。因此,公司应仔细评估提供商所提供的选择是否足以满足公司在其经营所在国家/地区的法律义务。

使问题复杂化的是,国际数据保护机构,特别是在EEA中,已经表达了对将云模型用于个人信息的担忧。第29工作组(WP29),EEA数据保护主管部门的大会以及许多其他地方EEA主管部门已经发布了有关云计算的指南,涵盖了目的和传输限制,通知要求,强制性安全要求以及要签订的合同内容。与云提供商总结。该指南包括关于云计算的WP29意见05/2012,下面将对此进行进一步讨论。 EEA成员国之间目前正在讨论的数据保护法规草案反映了此类指导,应在与云提供商合作之前加以考虑。

查看影响您外包个人信息的合同义务

如果您的公司正在寻求将涉及第三方数据的应用程序外包给云提供商,例如代表客户或业务合作伙伴维护的个人信息,那么考虑与这些第三方的合同所施加的任何限制就很重要。此类协议可能需要第三方同意数据处理活动的外包或分包,或者可能要求贵公司对新的提供商或分包商施加特定的合同义务。

选择合适的云计算解决方案

云服务通常以“采用或保留”的方式提供,几乎没有机会商讨其他合同保护或定制服务条款。结果,公司可能发现自己无法协商通常与其他服务提供商签订的合同中所包含的隐私和数据安全保护的类型。如上所述,公司将需要评估合同是否履行了适用的法律和合同义务。除此之外,公司将希望评估其数据的实际风险水平,以及他们将采取哪些措施来降低这些风险。

(a)公有云与私有云

广义上讲,私有云将数据保存在提供商拥有,租赁或以其他方式控制的设备上。可以将私有云模型与许多其他成熟的IT外包形式进行比较,并且不会引起与公共云模型相同程度的关注。

公共云模型将数据更广泛地分散在不相关第三方的计算机和网络之间,这些第三方可能包括业务竞争对手或个人消费者。在提供最大的灵活性和扩展功能的同时,公共云模型引起了人们越来越多的担忧,即无法知道谁拥有公司的数据,对这些各方的监督不足以及托管设备上缺乏标准化的数据安全实践。面对这些挑战,外包个人信息的公司将希望了解所提议的服务是涉及私有云还是公共云,以及评估提供商愿意就数据安全性做出哪些合同承诺。

(b)在传输到云端之前保护数据安全

公司还可以采取措施保护个人信息,然后再将其传输到云中。例如,一些提供商协议指示或要求客户在将数据上传到云之前对其数据进行加密。如果在传输给提供者之前对数据进行加密是可行的,这可以提供实质性的附加保护,只要加密密钥对提供者不可用即可。

考虑适用的安全要求也很重要。为此,欧洲几个国家/地区对安全措施有非常明确的法定要求,并且一些监管机构已为云计算提供商发布了详细的安全标准。根据WP29意见05/2012,所有合同应包括根据欧盟数据保护法律的安全措施,包括对云提供商的技术和组织安全措施,访问控制,向第三方披露数据,与云客户端合作的要求,有关数据的跨境传输,日志记录和审核处理的详细信息。 CSIG最近的指南建议在处理协议中包括以下条款:(1)云服务提供商遵循的标准或认证机制; (2)准确描述加工目的; (3)关于数据保留和删除的明确规定; (4)提及向执法机构披露个人数据的情况,并告知客户这种披露; (5)涉及处理和包含客户反对更改清单的权利的分包商的完整清单,特别注意处理特殊或敏感数据的要求; (6)描述云服务提供商实施的数据泄露策略,包括适合证明符合法律要求的相关文档; (7)清楚描述存储或处理个人数据的地理位置,以实现适当的跨境转移机制; (8)云服务提供商响应数据主体的访问,纠正,擦除,阻止或异议请求所需的时间段。

(c)合同问题

在大多数云计算服务中,客户端是数据控制器,云提供者是数据处理器。但是,在某些情况下(尤其是公共计算模型中的平台即服务(PaaS)和软件即服务(SaaS)),客户端和云提供商可能是联合控制器。在欧盟的指导下,必须在合同中明确规定联合控制人的责任,以避免法律责任的“摊薄”。

与云服务提供商的合同需要明确规定各方的角色和责任。与许多外包安排不同,云服务合同通常不区分个人信息和其他类型的数据。即使未明确标识这些合同,这些合同仍可能至少包括基本数据保护概念。至少,公司将希望寻找规定,以防止提供者将其信息用于其自身目的,限制提供者共享信息(除非在狭窄的情况下),并确认适当的数据安全性和违规通知措施。欧洲各种数据保护机构都强调指出,公共机构对云数据的访问必须遵守国家数据保护法,并且合同应要求通知任何此类请求,除非刑法禁止,并且应禁止任何非强制性共享。鉴于难以与云提供商协商特殊安排,因此选择适合于数据性质和相关法律义务的云产品非常重要。随着云计算的成熟,可能会为公司提供更多针对特定业务需求的量身定制的产品,包括遵守隐私和类似法律。

结论思想

尽管云计算可以显着提高IT解决方案的效率,尤其是对于中小型企业,但需要仔细检查特定的产品。对于云计算,没有“万能的”解决方案,特别是对于在受到严格监管的部门或在国际上运营的公司。通过了解其法律合规性义务,公司可以在选择最能满足其需求的云计算服务或服务套件时做出明智的决定。