今年4月份,歐盟通過(guò)了一項(xiàng)新立法——通用數(shù)據(jù)保護(hù)條例(GDPR)。根據(jù)對(duì)超過(guò)20,000個(gè)云服務(wù)的調(diào)查分析,只有6%的云服務(wù)完全符合該法規(guī)。
這個(gè)新的標(biāo)準(zhǔn)化的數(shù)據(jù)保護(hù)法律最遲將于2018年春季在歐盟所有成員國(guó)內(nèi)實(shí)施。嚴(yán)格意義上講,也包括英國(guó)。盡管發(fā)生了英國(guó)退歐公投事件,但是在調(diào)用第五十條啟動(dòng)離開(kāi)過(guò)程的兩年時(shí)間內(nèi)英國(guó)仍將是歐盟的正式成員。并且,第五十條目前尚未被調(diào)用。
我們做一個(gè)簡(jiǎn)單的自動(dòng)假設(shè),如果將數(shù)據(jù)放在云端,就免除了對(duì)數(shù)據(jù)的責(zé)任,并將責(zé)任轉(zhuǎn)接給了云服務(wù)提供商。但是事實(shí)并非如此,GDPR對(duì)數(shù)據(jù)管理者和數(shù)據(jù)操作員做出了區(qū)分,管理者負(fù)有主要責(zé)任。如果一個(gè)公司在云中存儲(chǔ)或使用數(shù)據(jù),那么該公司就是數(shù)據(jù)的管理者, 在GDPR之下就要對(duì)數(shù)據(jù)負(fù)責(zé)。此外,GDPR即不受限于公司的國(guó)籍,也不受限于云服務(wù)的地理位置——所以只要涉及到一個(gè)歐洲公民的個(gè)人數(shù)據(jù),那么GDPR就適用。
這實(shí)際上意味著將歐洲公民的個(gè)人數(shù)據(jù)存儲(chǔ)到云中會(huì)降低公司符合GDPR規(guī)定的程度。根據(jù)Skyhigh的分析。這是一個(gè)令人擔(dān)憂(yōu)的問(wèn)題。“云服務(wù)仍然是所有企業(yè)的關(guān)鍵,但歐盟GDPR使得云服務(wù)的立即可用變得困難重重。” Skyhigh Networks的首席歐洲發(fā)言人Nigel Hawthorn說(shuō)到。“簡(jiǎn)單地說(shuō), GDPR中的標(biāo)準(zhǔn)條款和條件,使得幾乎所有和云服務(wù)相關(guān)的公司都不再適合在歐洲做生意。一旦歐盟開(kāi)始執(zhí)行GDPR,那么幾乎所有的公司都需要重新審核和談判,或者被直接駁回。”
舉例來(lái)說(shuō),84%的云服務(wù)不會(huì)在合同終止時(shí)立即刪除客戶(hù)數(shù)據(jù)。所以,一旦這些數(shù)據(jù)包含了歐洲公民的個(gè)人信息,那么馬上該項(xiàng)云服務(wù)就違反了GDPR。
Skyhigh還指出,只有1%的云服務(wù)會(huì)在24小時(shí)內(nèi)提供安全事件通知。GDPR要求數(shù)據(jù)管理者(記住,是指云服務(wù)的客戶(hù)而不是云服務(wù)提供商)在72小時(shí)內(nèi)通知相關(guān)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)。很明顯,這是幾乎是不可能的,因?yàn)榇罅康脑品?wù)用戶(hù)會(huì)違反GDPR的通知要求。
用戶(hù)IP則是另一個(gè)問(wèn)題。Skyhigh指出,58%的云服務(wù)不能提供IP所有權(quán)的保證。一些云服務(wù)可能會(huì)取得所有上傳IP的所有權(quán),而其他的云服務(wù)根本無(wú)法做出保證。在某種程度上,這只是一個(gè)簡(jiǎn)單的業(yè)務(wù)問(wèn)題;但是Skyhigh再一次聲明,如果它包含了歐洲公民的個(gè)人數(shù)據(jù),那么就會(huì)牽涉到GDPR。
此外,關(guān)于云服務(wù)和GDPR有兩個(gè)問(wèn)題需要仔細(xì)考慮。第一個(gè)問(wèn)題是:現(xiàn)在的制裁力度與早些時(shí)候相比,有了大幅度的提高,現(xiàn)在最高可以罰款2000萬(wàn)歐元,即全球前一財(cái)政年度的年?duì)I業(yè)額的4%。第二個(gè)問(wèn)題是:監(jiān)管機(jī)構(gòu)肯定會(huì)考慮公司做出的“努力”。如果一個(gè)公司可以表明它已經(jīng)做出了努力去符合GDPR的規(guī)定,那么監(jiān)管機(jī)構(gòu)可能不會(huì)對(duì)該公司開(kāi)出最大罰款。
“當(dāng)考慮歐盟GDPR時(shí),不只是‘服從或不服從’,‘安全或不安全’那么簡(jiǎn)單,” Skyhigh 說(shuō)到。“該規(guī)定超過(guò)100條,這是一個(gè)龐大并且復(fù)雜的問(wèn)題,需要每個(gè)公司在評(píng)估很多變量之后做出自己的判斷。”所有這一切都意味著,GDPR規(guī)定只是其中一個(gè)因素(盡管它是一個(gè)嚴(yán)重的因素),但是現(xiàn)有CISOs還存在一個(gè)主要問(wèn)題即對(duì)云供應(yīng)商的管理。對(duì)此,Skyhigh為其客戶(hù)提供了一項(xiàng)免費(fèi)服務(wù),可以對(duì)其云提供商是否合乎GDPR規(guī)定進(jìn)行評(píng)估。
那么,面對(duì)GDPR,企業(yè)到底該何去何從?這個(gè)問(wèn)題只有留待時(shí)間來(lái)解決了。
京公網(wǎng)安備 11010502049343號(hào)