• 保存到桌面加入收藏設為首頁
云計算話題

史上最嚴數據保護條例 美國云服務商的日子難了

時間:2018-05-28 14:23:18   作者:tanym   來源:IDCSPED   閱讀:36659   評論:0
內容摘要:根據指令規定:"只有當第三方國家通過相關國內法或者國際承諾,對個人數據提供充分保護時,才允許歐盟公民個人信息的轉移、存儲到該第三方國家進行處理。那么這樣的國家都有誰呢?瑞士、新西蘭、加拿大、阿根廷等。這里既沒有美國,也沒有中國。
  《歐盟數據保護通用條例》(General Data Protection Regulation,簡稱GDPR)已于5月25日正式實施。從2016年發布至今,兩年的過渡期轉瞬間就過去了,數字化企業大佬們有沒有做好準備,在GDPR的槍口下,全球性的企業能在歐盟合法地做生意嗎?

  GDPR對數據隱私的部分保護條款有悖我們的"常理",所以這就更需要企業領導以及產品業務的設計者學習了解,哪些行為違規,哪些動作存在風險。雖說法律工作者提供了非常詳細專業的解讀和分析,也給出了不少應對的策略和路徑,但是對于絕大部分中國企業來說,對于GDPR的重視和理解程度仍不充分。

  尤其是準備積極投身全球市場的互聯網企業,國內對野蠻生長的寬容以及企業自身的快速發展掩蓋了很多問題,年輕的他們還不太理解"合規經營"的分量,以及違規的風險。而GDPR里很多的規則涉及到了互聯網數字化企業經營的核心,GDPR生效后,個人以為:大數據和云服務這兩類企業被GDPR擊中的概率比較高。

  上周談的主要是大數據,今天說說和云計算有關的事情。

  此前對數據跨境流動的限制

  曾幾何時,我對歐盟數據保護要求的理解就是六個字:數據不能出境。之所以有這么深的印象,主要原因就是1995年歐盟發布過非常嚴格的《數據保護指令》。

  根據指令規定:"只有當第三方國家通過相關國內法或者國際承諾,對個人數據提供充分保護時,才允許歐盟公民個人信息的轉移、存儲到該第三方國家進行處理。那么這樣的國家都有誰呢?瑞士、新西蘭、加拿大、阿根廷等。這里既沒有美國,也沒有中國。

  歐盟這樣嚴格地進行數據保護,根本原因是注重公民的個人隱私和權益;而大洋彼岸的美國則不然,更從科技和商業的視角看數據處理的規則定義。尤其當互聯網第一波快速發展是由美國企業推動的,主要采取"行業分散保護機制",無法滿足歐盟的成分保護要求。于是在2000年,美國和歐盟達成了一個"安全港協定",明確只要美國企業加入安全港,并公開承諾遵守安全港的要求,就可以將歐盟的個人數據轉移到美國進行處理了。

  這就像給嚴苛的《數據保護指令》開了一個后門,允許不符合要求的美國人轉移數據,能開這個后門當然是出于對美國的信任。然而美國卻辜負了這份信任,2013年斯諾登提供的文件顯示,美國情報機構可以利用這個"后門"進行監聽監控。

  丑聞曝光后,歐盟成員國們紛紛質疑安全港協定對個人數據的保護能力,最終2015年10月,歐盟法院否決安全港協定,美國企業轉移數據就成了"違法行為"。于是,2016年2月歐盟和美國又宣布達成了"歐盟-美國隱私盾"協定,對相關企業施以更加嚴苛的管理方式;而到4月份,GDPR就發布了。

  諾大的世界,只有歐盟認可的少數國家以及和歐盟達成特殊協定的美國可以把歐盟的數據拿走,可以說歐盟對于數據保護是最保守的。實際上不止歐盟,其他國家和地區也都有類似的法規和規則,雖然在具體條款上有不同,但核心都是對數據出境進行限制。

  比如中國的《網絡安全法》和《數據出境辦法》中規定,原則上,通常情況下個人信息和重要數據應當存放在中國境內,只有因業務需要必須向境外提供,且通過安全評估的,才能傳輸至境外。而評估的規則和流程也是非常繁復,相信如果不是真的特別必須,也沒有多少人去申請評估。

  GDPR適度放松了數據跨境流動的限制

  雖然號稱是史上最嚴格的數據保護條例,其實GDPR對數據出境是有利的。

  為什么這么說呢?

  首先是條款設計和描述更加清晰準確,企業能明確知道什么可以做,什么不能做,需要得到哪些許可。比如明確只要符合GDPR規定的合法條件,數據就能出境,歐盟各成員國不能再以許可證方式管理數據跨境流動問題。

  其次是擴展了標準合同條款。除了保留已經生效的3個標準合同范本之外,還允許成員國數據監管機構指定其他標準合同條款。這個變化既擴展了商業合作空間,也給企業帶來商業模式創新的可能。

  第三是認定了"有約束力的公司規則"(BCR)的合法性。這意味著,如果企業集團獲得了BCR的認可,那么個人數據就可以合法地從集團內的一個成員傳輸到另一個成員那里,這對于跨國企業來說,可謂是一勞永逸的解決之道。

  從這些解讀中可以看出,相對于此前的《數據保護指令》,GDPR定義了明確的數據跨境流動的方式和通道,這主要是為了適應互聯網的發展。

  互聯網企業不會像傳統行業那樣四處建實體,大都通過一個點提供覆蓋全球的服務,這就不可避免地涉及到數據的跨境流動和境外處理。換句話說,如果讓互聯網企業在每個國家(或者區域)建立一套系統,那么就會大大增加他的建設和運營成本,業務也就很可能玩不動了。所以歐盟還恪守此前的僵化規則,就可能迫使互聯網企業遠離歐洲。但如今互聯網逐漸成為趨勢,如果互聯網企業不把業務覆蓋到歐洲,他們就難以體會到科技帶來的紅利和價值,長此以往,后果可想而知。

  在保護公民的隱私權和跟上時代發展這兩難選擇中,歐盟最終選擇了后者,我覺得這是明智的。

  云服務企業會被GDPR擊中嗎?

  從前面的分析看來,由于在數據跨境流動的規則更加清晰、細化、可操作,云服務企業進入歐洲市場似乎比以前更容易了。比如提供SaaS服務的企業,只要經過合規認定,即便將服務器和存儲設備放在歐洲之外,也可以為歐盟客戶提供服務。然而數據跨境流動規則的改善只是解決了云服務提供商的部分問題,更大的風險在于:歐盟數據保護規則的設定與云計算商業模式之間,還可能存在沖突。

  為了更全面地進行數據的安全保障,GDPR對數據的控制者(如云計算的客戶)和數據的處理者(如云服務提供商)提出了同樣的要求,這一政策的本意是讓接觸數據的各個企業都承擔起數據安全保護的責任,但是云計算是由多層次組成的,強調開放性和企業之間的自由組合與協作。這二者放在一起,就產生了矛盾沖突。

  比如,GDPR要求,如果沒有數據控制者授權,數據處理者不應聘用另一個處理者;如果數據控制者反對,那么數據處理者就不能將數據提供給第三方。那這是不是意味著:PaaS平臺發展任何一個用戶、開發任何一個應用,都必須事先征得IaaS廠商的同意?

  再比如,GDPR要求,數據處理者必須在收到數據控制者書面通知后才可以處理數據。這條規定在云服務場景中幾乎是不可能實現的:得不到上層應用的書面通知,底層的基礎設施和平臺就不能對數據進行處理?

  云計算服務提供商與其客戶簽署的合作協議或合同本來是你情我愿的市場行為,雙方根據自己的訴求協商最終確定任務分工和利益分配,根據客戶的實際情況,云服務企業可以提供不同檔次的服務和能力。由于云服務在全球只是剛剛起步,因此這種合作往往是由云服務企業提供一個模板,然后與客戶通過談判最終商定。

  然而GDPR對于數據安全保護的要求必須落實到雙方的合同里,而這些細則又和云服務的基本規則有沖突,這很可能會導致云服務商面對GDPR時無所適從。

  Gartner剛剛發布了全球IaaS魔力象限圖,AWS和Azure依然遙遙領先,Google第一次進入了領導者區域。更讓吃瓜群眾們吃驚的是:這次發布的魔力象限中只剩下六個玩家,除了三個領導者之外,還有阿里云、Oracle和IBM。

  除了阿里云,都是美國公司。

  這些非歐盟企業能在歐洲做生意么,怎么做才算是符合GDPR規則的?相對于其他企業,云服務提供商面臨的問題更復雜,往往不是不想合規,而是一不小心就違規,GDPR的子彈真可能會打在云服務企業身上。


IDCsped 提供最新的IT互聯網資訊,本著分享、傳播的宗旨,我們希望能幫助更多人了解需要的信息!

部分文章轉載自互聯網、部分是IDCsped原創文章,如果轉載,請注明出處:www.aadmxx.cn !
微信號:13430280788  歡迎加微信交流!

標簽:數據保護  數據保護指令  云計算話題  
相關評論

銷售電話:13430280788

Copyright © 2012-2017 | www.aadmxx.cn 版權所有

  粵公網安備 44010502001126號  粵ICP備12006439號-1
狠狠爱俺也去去就色|俄罗斯女人与动z0z0|妺妺窝人体色www|特大巨黑吊av在线播放