數(shù)據(jù)駐留需求的兩大問題已經有了答案,但是兩大方案都沒能完全解決云供應商關于國際數(shù)據(jù)傳輸揮之不去的疑慮。
歐洲委員會正式采用了歐美《Privacy Shield》,為橫渡大西洋的數(shù)據(jù)傳輸提供合法的支持。同時,聯(lián)邦法院推翻了要求Microsoft提供某個愛爾蘭客戶郵箱的判決。這兩個事件都給云供應商和依賴全球數(shù)據(jù)中心網絡在全世界開展業(yè)務的客戶提供了一定的指導意義,如何在全球開展業(yè)務,即使前方仍有很多挑戰(zhàn)。
Privacy Shield填補了去年十月Safe Harbor協(xié)議解除后所留出的空白,被認為是隱私和透明領域的改進,雖然一些倡導團體仍然認為它不夠完善。它代替了自匯報模型,這是4500家企業(yè)通過Safe Harbor協(xié)議所達成的模型,由美國商務部監(jiān)督,對參與者的實踐有較高的審批條件和合規(guī)審查。
Privacy Shield框架的最初協(xié)議于二月份達成,雖然到現(xiàn)在為止有一些調整,它包括了大量數(shù)據(jù)收集的限制和美國政府的監(jiān)管。
總部位于紐約的全球軟件公司CA Technologies,依賴于企業(yè)綁定規(guī)則,并且和客戶一起使用新條款來更新合約,回應Safe Harbor協(xié)議解除所導致的“法律真空”,Christoph Luykx說,他是該企業(yè)的EMEA政府關系總監(jiān)。
來自CA客戶的關于Safe Harbor協(xié)議的問題已經很少了,或者優(yōu)先級比較低,絕大多數(shù)問題出現(xiàn)在特定合約談判或者更新階段。CA并沒有在新協(xié)議里添加一系列條款,只要框架能夠反應歐洲法院的關注點,并且能夠保證商業(yè)的穩(wěn)定性和法律的確定性,Luykx說。
企業(yè)可以在8月1號開始簽約,CA應該會在其法律團隊審核完全部完整的內容后簽署Privacy Shield。“我們是安全的,但是并非已經高枕無憂,因為我們知道前面還會面臨更多的挑戰(zhàn),”Luykx說。
Safe Harbo協(xié)議在去年秋天被歐洲法院解除之前,已經存在快15年了。法院的裁決基于Max Schrems的訴求,他是來自澳大利亞的隱私激進主義者,他關注Facebook如何使用客戶數(shù)據(jù)。據(jù)報道,Schrems還準備起訴Privacy Shield——但是即使他沒有這么做,行業(yè)觀察家們也預計在接下來的幾個月里會突然出現(xiàn)某種形式的法律問題。
Privacy Shield是Safe Harbor的重要改進,但是仍然存在很多灰色空間,并且尚未解決的法律爭端只會給云服務供應商和客戶帶來不確定性,Duncan Brown說,他是IDC的歐洲安全實踐部門的研究總監(jiān)。
一些企業(yè)并不擔心數(shù)據(jù)傳輸?shù)男Ч菍τ谀切┨幚砻舾袛?shù)據(jù)的企業(yè)而言,要知道Privacy Shield并非是其唯一的選擇,他補充道。云服務供應商能夠使用捆綁企業(yè)規(guī)則或者將模型合同條款插入到歐洲客戶的合同里。
“我們推薦供應商和終端用戶客戶認真調研其中之一或者這兩種機制,作為Privacy Shield的備份,并且很可能會成為長期的選擇,”Brown說。
云數(shù)據(jù)中心的復制并非靈丹妙藥
Microsoft曾經說它會實現(xiàn)Privacy Shield,但是其他主流云供應商是否也會跟進還不太清楚。這里,Amazon、Google、IBM和Oracle,為其客戶提供了歐洲模型合同條款。
他們戰(zhàn)略的一部分是得到數(shù)據(jù)的控制權,隱私關注點是這幾年在歐洲構建數(shù)據(jù)中心,啟用一系列新設備,還有更多的在計劃中,或者已經在建設中。供應商已經構建了自己的網絡,允許用戶限制數(shù)據(jù)流,從而讓數(shù)據(jù)駐留在歐洲內部,或者甚至駐留在某個特定的數(shù)據(jù)中心里,防止該信息是受限不能離開某個國家的。
CA并不是云基礎架構供應商,但是它確實以托管在多個地點的服務的形式來提供軟件。大家都在研究基于一系列要素應該把數(shù)據(jù)中心放置在何處,這些要素包括運行成本以及靠近用戶,Luykx說。合法的分支很重要,但是這些保障措施對于服務歐洲客戶并且需要訪問處在歐洲的數(shù)據(jù)庫的歐洲外部企業(yè)而言,可能并不充分,他補充道。
“很多關注在于將數(shù)據(jù)保持在一個數(shù)據(jù)中心內,但是它并不是這么工作的,”Luykx說。“數(shù)據(jù)仍然需要流動。”
Microsoft的獲勝在云領域掀起波瀾
就在美國法院裁決發(fā)生的幾天之后,也引入了Privacy Shield方案。該裁決表明會持續(xù)推進保護數(shù)據(jù)主權,并且很可能會深刻地影響云供應商的運維方式。
Microsoft案件從屬于存儲通信保障法之下所簽署的2013年12月的委任狀,該保障法要求企業(yè)上交存儲在美國外的客戶郵件內容。聯(lián)邦檢察官堅信該賬戶被用于毒品非法交易,但是該委任狀上周被美國上訴法院在二審中駁回了。
在云計算的早期,你的數(shù)據(jù)駐留在哪里并不重要,但是現(xiàn)在大家開始意識到這是不對的,Brown說。該裁決很重要,因為它從本質上阻止了美國執(zhí)法機構進入總部在美國的企業(yè)在海外的數(shù)據(jù)中心來獲得信息,他補充道。
“他們獲勝的事實不僅僅對于他們來說是好消息,對我們所有人來說都是好消息,因為它重申了駐留地的重要性,”Brown說。
超過二十四家媒體和技術企業(yè)申請了非當事人意見陳述,來支持Microsoft,這些企業(yè)包括云供應商,比如Amazon, Salesforce 和 Rackspace。該裁決“為解決隱私和法律執(zhí)行所需提供了更好的解決方案,” Brad Smith在博客里說,他是Microsoft的董事長及首席法務專員。
Smith提倡用全新的國際傳播隱私法案代替已經數(shù)十年之久的管控數(shù)據(jù)保護法案,并且他贊揚了美國司法部門的工作,在該起特殊的案件里和英國達成了雙邊條約。
所有這些事件都會在2018年General Data Protection Regulation在歐洲生效的時候重新審查。歐洲在這一事件上起著領導作用,并且新的協(xié)議讓數(shù)據(jù)保護和隱私“更上一層樓”,其中不受管轄的條款覆蓋了歐洲公民的數(shù)據(jù),而不管數(shù)據(jù)的物理處理地點在何處,Brown說。
因此,除了國際數(shù)據(jù)傳輸領域揮之不去的不確定性,Microsoft案例和Privacy Shield至少已經喚醒了人們在該領域的意識。
“這些事件所起的作用是讓大家進一步意識到數(shù)據(jù)傳輸和數(shù)據(jù)駐留地這整個領域的重要性,”Brown說。“該事件有更好的理解,總部位于美國的云供應商對此的理解對于一些總部位于歐洲的企業(yè)而言的確是一個問題。”
京公網安備 11010502049343號