今年4月份,歐盟通過了一項新立法——通用數據保護條例(GDPR)。根據對超過20,000個云服務的調查分析,只有6%的云服務完全符合該法規。
這個新的標準化的數據保護法律最遲將于2018年春季在歐盟所有成員國內實施。嚴格意義上講,也包括英國。盡管發生了英國退歐公投事件,但是在調用第五十條啟動離開過程的兩年時間內英國仍將是歐盟的正式成員。并且,第五十條目前尚未被調用。
我們做一個簡單的自動假設,如果將數據放在云端,就免除了對數據的責任,并將責任轉接給了云服務提供商。但是事實并非如此,GDPR對數據管理者和數據操作員做出了區分,管理者負有主要責任。如果一個公司在云中存儲或使用數據,那么該公司就是數據的管理者, 在GDPR之下就要對數據負責。此外,GDPR即不受限于公司的國籍,也不受限于云服務的地理位置——所以只要涉及到一個歐洲公民的個人數據,那么GDPR就適用。
這實際上意味著將歐洲公民的個人數據存儲到云中會降低公司符合GDPR規定的程度。根據Skyhigh的分析。這是一個令人擔憂的問題。“云服務仍然是所有企業的關鍵,但歐盟GDPR使得云服務的立即可用變得困難重重。” Skyhigh Networks的首席歐洲發言人Nigel Hawthorn說到。“簡單地說, GDPR中的標準條款和條件,使得幾乎所有和云服務相關的公司都不再適合在歐洲做生意。一旦歐盟開始執行GDPR,那么幾乎所有的公司都需要重新審核和談判,或者被直接駁回。”
舉例來說,84%的云服務不會在合同終止時立即刪除客戶數據。所以,一旦這些數據包含了歐洲公民的個人信息,那么馬上該項云服務就違反了GDPR。
Skyhigh還指出,只有1%的云服務會在24小時內提供安全事件通知。GDPR要求數據管理者(記住,是指云服務的客戶而不是云服務提供商)在72小時內通知相關數據保護監管機構。很明顯,這是幾乎是不可能的,因為大量的云服務用戶會違反GDPR的通知要求。
用戶IP則是另一個問題。Skyhigh指出,58%的云服務不能提供IP所有權的保證。一些云服務可能會取得所有上傳IP的所有權,而其他的云服務根本無法做出保證。在某種程度上,這只是一個簡單的業務問題;但是Skyhigh再一次聲明,如果它包含了歐洲公民的個人數據,那么就會牽涉到GDPR。
此外,關于云服務和GDPR有兩個問題需要仔細考慮。第一個問題是:現在的制裁力度與早些時候相比,有了大幅度的提高,現在最高可以罰款2000萬歐元,即全球前一財政年度的年營業額的4%。第二個問題是:監管機構肯定會考慮公司做出的“努力”。如果一個公司可以表明它已經做出了努力去符合GDPR的規定,那么監管機構可能不會對該公司開出最大罰款。
“當考慮歐盟GDPR時,不只是‘服從或不服從’,‘安全或不安全’那么簡單,” Skyhigh 說到。“該規定超過100條,這是一個龐大并且復雜的問題,需要每個公司在評估很多變量之后做出自己的判斷。”所有這一切都意味著,GDPR規定只是其中一個因素(盡管它是一個嚴重的因素),但是現有CISOs還存在一個主要問題即對云供應商的管理。對此,Skyhigh為其客戶提供了一項免費服務,可以對其云提供商是否合乎GDPR規定進行評估。
那么,面對GDPR,企業到底該何去何從?這個問題只有留待時間來解決了。
京公網安備 11010502049343號