隨如今,云計算已經發展了10余個年頭,并逐漸形成龐大的產業規模,企業“上”云也并非難事。但不斷出現的信息數據泄露事件給火爆的云計算界敲響了警鐘,企業開始逐漸意識到云計算的風險性,明白部署哪一種云都有可能受到黑客攻擊。雖然云計算可帶來顯著的優勢,但潛在風險也不容忽視。"2018可信云大會"邀請了行業內多位大咖與權重人物共同探索可信云與云計算的創新發展新路徑。
以下為中國信息通信研究院云大所云計算部風險管理主管郭雪:《云服務商個人數據保護指南》演講全文:
下面由我為大家對云服務商個人數據保護指南做介紹,首先在此非常感謝這個白皮書是由中國信通院牽頭聯合了騰訊、華為、京東、中東電信在內十家云服務商聯合定制的指南,為什么要做這個指南?其實是跟全球的市場環境有非常大的關系,全球的環境可以看到,現在有90多個地區已經出臺了相關的個人數據保護的法律法規,新加坡的13年的個人信息保護法,我國去年的網絡安全法關注度非常高,里面有非常多個人數據的要求,像今年關注度非常高的GDPR對大家造成了非常大的影響。各國出臺了數據保護個人信息保護的相關法律之后,對我國云服務商是有影響的,對云服務商來說如何開展個人業務和數據都是非常重要的工作。這里舉了一個例子,就是關注度非常高的GDPR,為什么關注度這么高?一方面可能是它上面的要求非常嚴苛,同時它也有兩千萬的巨額罰單。除此之外它的影響范圍非常廣,這是它的重要原因,也就是說它能影響國內非常多的云服務商,我列了4個場景,如果過云服務在歐盟有分支機構,面向歐盟提供服務有一些注冊信息,有些用戶購買資源的信息都要遵循GDPR的要求,除此之外云上用戶涉及到個人信息也要滿足GDPR的要求。
它的涉及面非常廣,所以關注度非常高,這相當于一方面原因,各國都有一些個人數據保護的法律法規的要求。
另一方面云上的數據安全確實得到了大家的關注,而且這兩年數據安全比較多,去年亞馬遜的事件,今年facebook的事件都是關注度非常高的,如何保護云數據安全都是大家關注的點。
在這個背景之下由中國信通院牽頭做云服務商個人數據保護指南,這個指南第一是梳理各個國家的保護要求,同時梳理保護原則,通過這個指南一方面提供云服務商個人數據保護能力,同時也是幫助云服務商順利開展業務。
這個指南最開始解決的問題是云上數據有哪些是最關鍵的,哪些是重點要保護的數據,云上數據分了四大類:
1、云用戶自己存儲的數據。
2、注冊信息。
3、衍生數據,登陸日志,這三大類在我們認為是上的個人數據。
4、云服務商的信息,配置日志等等。也就是說前三大類是重點研究的云服務商的個人數據。
各國的法律法規我們做了大概的梳理,各國的法律法規有哪些要求,我們列了中國、歐盟、新加坡、美國、加拿大、日本和韓國的,發現各國的法律法規要求有些共性的地方都會強調數據主體的權利,特別強調知情權、刪除權、糾正權都會提多數據保護的義務,包括保護數據的完整性安全性,都提出了對數據跨境流動的要求,同時對數據泄露、披露做了要求,如何做泄露之后的披露。初次致用我們分析了各國法律的特殊要求,這個應該是大家關注度比較高的,每個國家的法律在數據保護方面有些特定的要求,對于我國來說比較熟,我國一方面很強調關鍵信息基礎設施,強調重點行業數據如何保護。另一方面有幾個具體的要求,包括網絡日志要存儲不少于6個月這樣一個硬性的要求,同時有些場景要做真實信息的驗證,這我國《網絡安全法。
GDPR為什么關注度這么高?由于覆蓋面比較高同時要求嚴格,還有一些特殊要求包括泄露之后72小時要向監管機構報告,同時巨額罰單是這個事情可高達兩千萬。同時新加坡、日本和韓國它的法律監管要求也有一些特殊的要求,新加坡要求30天內做出響應,韓國也有500萬韓元的罰款,為什么列了一些東南亞的法律的監管要求,可能也是跟國內云服務商出海,東南亞是重點的領域我們也比較關注東南亞的法律要求。
全球的法律監管的要求,在國際和國內數據保護的標準上面,國內今年5月份出的個人信息安全規范關注度比較高,從個人數據周期的角度,數據收集、保存、使用、共享、轉讓、公開披露幾個關鍵的環節做了規范的要求。中國信通院在去年也做了云服務商個人數據保護參考框架標準,梳理云服務商如何從技術角度保護云上的用戶數據。國際上有27018和CISPIE也是關注度比較高的標準。
在各國監管法律的要求之下,相關標準要求之下,云上的數據保護應該遵循哪些原則我們梳理了六大原則:
1、合法性原則,在哪個國開展業務,滿足當地的要求。
2、目的限制的原則,如果涉及到數據的處理要滿足數據限制。
3、質量,要保證準確完整性。
4、公開和知情原則要做數故披露。
5、安全性原則。
6、原則劃分,要有安全劃分。
數據分了三大類,對于云服務商來說要分兩種場景,第一種場景針對云上的云用戶存儲的業務數據,云服務商來說更多是以處理者的身份存在,它不涉及數據的收集,所以云服務商應該采用右邊部分的保護措施,如果針對的個人數據是一些賬戶信息以及衍生數據,云服務商可能涉及到數據收集和處理,用左邊的數據保護的措施。把整個數據保護措施做一個完整的介紹。
第一種場景是云服務商會涉及到數據收集、存儲、處理、銷毀。也就是說云服務商作為數據庫存存在應該怎么做?
首先應該跨部門合作,安全尤其數據的保護問題不光涉及安全部門,包括法律部門、相關管理部門都應該組建完整的團隊。
第二要有標準化的隱私協議,個人信息安全規范里面也提到了隱私聲明的范本,由云服務商和用戶簽訂一個標準化的隱私聲明,向用戶聲明要收集你的哪些信息做哪些處理,如果出現泄露應該什么時候通知,通知誰。
第三要有個人數據的保護措施,包括適用采用制度+人員+制度的三大方面提升數據隱私能力,貫穿產品設計,提升數據安全的管理制度,建議設立專業數據保護人員,提升數據保護意識,在整個周期做數據保護工作,從收集開始要明確得到用戶授權、包括傳輸、存儲過程中保護整個數據的安全。
第四塊需要規范第三方合作,要簽訂一些規范的數據處理協議。第五方面是要開展相關的評估,通過第三方評估事前梳理一些數據的安全風險,這是整個云服務商作為數據控制者來說可以采取的措施。
第二種場景是剛才在右邊的架構圖里,云服務商不涉及到整個數據生命周期的收集、采集、存儲、云服務商僅僅著重數據處理者存在,僅做數據處理的話,云服務商應該如何做?
1、在我們看來應該是簽訂標準化的數據處理協議,數據處理協議應該由云服務商和用戶或與其他的數據處理者簽署的數據處理協議,簽訂標準化的數據處理協議,包括內容有基礎信息的披露、存儲的保密性安全性,明確用戶的權利,安全事件發生之后應該如何通知、監控和審計的要求、賠償和保險的要求。
2、數據處理的安全措施,安全措施綠色標記的是軟的措施包括管理制度,設置專門的人、要有些保密義務。右邊是硬的措施,物理安全、網絡安全和傳輸安全。
3、規范第三方合作,第三方合作涉及到其他的數據處理者,要保證整個數據處理供應鏈的安全,要簽訂涉及標準化的數據處理協議,與用戶、與供應商與其他的數據處理者簽訂標準化的數據處理協議。4、可以為用戶提供一些數據安全服務,幫助用戶保障業務數據的安全,包括匿名、加密、備份、定期測試的服務;
5、可以開展第三方評估。
6,通過借助保險這種經濟手段保障云上的數據安全,云上數據如果發生泄露丟失的案件,由保險公司直接給予經濟賠償也是云服務商可以選擇的直接保護的措施。
中國信通院可以說在數據保護方面有些積累,去年推出了云服務商個人數據保護能力參考框架,這個標準比較偏硬的技術方面的測試,有涉及近百條指標項目對云服務商進行標準化的測試,驗證云服務商的能力。我們也開展云服務商數據處理協議參考框架,從一些文本的規范性、協議規范性、完整性上對云服務商做規范性的要求。這是中國信通院工作的積累。
如果大家感興趣二維碼是電子版大家可以下載,在此特別感謝華為、京東、騰訊、阿里云、百度等企業對白皮書的大力支持。我的大概介紹就到這兒,剛才栗總介紹的云計算的白皮書大家關注度比較高,還有白皮書的二維碼大家感興趣的可以掃一下,今天說話白皮書和指南的電子版也會發出來,大家可以關注一下,我的介紹就是這樣,謝謝大家!
京公網安備 11010502049343號