当前,云计算服务面临的风险日趋复杂多样,数据安全问题日益凸显,云服务商如何有效保护个人数据安全已成为政府、企业、个人和社会各界广泛关注的热点问题。
近期Facebook因剑桥分析(Cambridge Analytica)泄露用户数据而面临巨额罚款的事件,在全球范围内引发了国际调查、政策调整以及企业反思的风暴。
目前在个人隐私保护问题非常尖锐的情况下,中国、新加坡、日本、欧盟等国均出台了与个人数据保护相关的法律法规。如何满足各国监管要求,是云服务商出海面临的共同问题。
基于对云服务市场的深刻理解,针对云服务商在个人数据保护上的“痛点”,在8月份即将召开的2018可信云大会上,中国信息通信研究院将发布《云服务商个人数据保护指南》,本《指南》编写过程中得到多家企业支持,包括华为、京东、腾讯、百度、阿里、中国电信、微软、世纪互联、上海蓝云、UCloud、中联易云、迅达云等。该《指南》梳理了各国在个人数据保护方面的法律法规以及国内外的相关标准,为云服务商应对各国法律、保证合规性提出了有效建议。
各国立法有差异 云服务商需遵循九大共性要求
据了解,《云服务商个人数据保护指南》梳理了中国、欧盟、新加坡、美国、加拿大、日本、韩国等全球多国在个人数据保护方面的法律监管要求和相关标准,充分分析了各国在个人数据保护方面的特点和差异。
目前,我国在个人数据方面的立法仍处于发展阶段,《中华人民共和国网络安全法》、《个人信息安全规范》等法律法规,主要是从数据处理合法、用户权利、数据安全、事故披露、跨境传输等方面对数据保护提出了要求。
被外界誉为史上最严格的欧盟《一般数据保护条例》(GDPR),则明确对数据处理者责任进行要求,加强了对欧盟数据主体的权利保护,在数据向第三国传输、违规处罚、监管等方面都进行了较为严格的规范。
相比之下,美国采取以行业自律和市场调节机制为主的松散立法,对数据保护采取“长臂管辖”原则,扩大了执法部门对境外数据的权限,同时对于儿童信息数据、电子通讯数据等特殊数据进行了立法保护。
《云服务商个人数据保护指南》指出,虽然各国对个人数据保护的态度不同,监管内容也有差异,但无论严苛或宽松,大致可归纳为如下九项要求:
l 个人数据的定义范围不断扩大;
l 设立数据保护官;
l 数据主体的权利,包括知情权、删除权、纠正权等;
l 数据保护义务,包括数据完整性、数据安全性等;
l 对个人敏感信息进行特殊保护;
l 跨境传输要求,何种情况下可以进行跨境传输;
l 数据泄露披露,包括报告监管机构,通知数据主体;
l 对特殊类型数据的处理,如儿童数据等;
l 成立独立的监管机构。
此外,《云服务商个人数据保护指南》还列举了国内外数据保护方面的相关标准,如:中国国家标准化管理委员会发布的《个人信息安全规范》,公有云个人隐私数据保护方面的首个国际标准ISO/IEC 27018,欧洲云计算服务供应商联盟 (CISPE )发布的《个人数据保护行为准则》等。
在云计算数据安全领域,中国信息通信研究院在“2017可信云大会”上发布了《云服务用户数据保护能力参考框架》。该标准从用户视角出发,规定了云计算数据保护能力的十六大类指标,全面覆盖数据安全事前防范、事中保护和事后追溯三个阶段,使企业在达到“可信”的基础之上,实现对“安全”的全面保障。
在数据处理层面,云服务商作为数据处理过程中的关键角色,与云用户、第三方服务提供商的合作中均涉及数据处理规范性的问题。中国信息通信研究院已启动云服务商数据处理协议相关标准的制定工作。《云服务商数据处理协议参考框架》将针对云服务过程中面临的安全问题,规范云服务商与各方签订数据处理协议应包含的内容,帮助云服务商建立规范完备的数据处理体系。
五大措施助力云服务商 提升个人数据保护能力
面对各国个人数据保护的法律监管要求,《云服务商个人数据保护指南》建议云服务商针对不同场景、分别采取五大措施,提升企业在个人数据保护方面的能力。
《云服务商个人数据保护指南》提出,应明确不同场景下的数据主体。当数据主体为云用户,数据由云服务商控制时,云服务商可以采取以下措施规范自身行为:
建立跨部门合作。个人数据保护合规至少需要安全、法务、管理部门、开发部门、运维部门、财税部门等相关部门共同组建合规团队,在协作下完成个人数据保护合规工作。
标准化的隐私协议。企业应根据相关法律法规,以易于访问的方式公开隐私协议,协议内容应清晰易懂。
个人数据保护措施。企业可以从几个方面着手,如:设置专职的数据保护人员、升级数据安全管理制度、提高工作人员数据保护意识、提高数据全生命周期的安全保护能力等。
规范第三方合作。企业在委托第三方处理个人信息时,不得超出个人信息主体授权同意的范围,并依据相关法律法规要求第三方实施适当的技术和组织机制,并对第三方进行约束和监督。
第三方评估。云服务商可定期参加第三方关于个人信息或隐私保护的认证评估,如 ISO/IEC 27018:公有云个人隐私保护认证、CISPE个人数据保护行为准则认证等,通过第三方视角挖掘企业在个人数据保护领域的盲点,以规范企业行为,提高企业个人信息保护能力。
当数据由云用户控制,云服务商仅负责处理数据时(如:电商企业将自己的网站部署于云上,用户在网站上的登陆信息、购买信息等数据存在云上),云服务商可以采取以下措施规范自身行为:
标准化的数据处理协议。云服务商应与云用户签订数据处理协议,规范云上数据的存储和管理,保障云用户的数据安全。
数据处理安全措施。例如:规定企业、第三方及相关人员的保密义务;安全漏洞的处置和通知;保证数据的网络安全和物理安全;定期测试、评估等。
规范第三方合作。对于云服务商来说,企业在数据保护问题中涉及与云用户、其他分包商等的协同合作。企业可以通过签订数据处理协议明确权责划分,避免合作中因一方行为不当导致的连带责任。
为用户提供数据安全服务。云服务商与云用户在数据保护中责任共担,云服务商可以为云用户提供数据安全产品或服务,为云用户在数据生命周期内的合规提供保障。
第三方评估。企业可定期参与第三方关于数据处理安全及数据处理协议的认证评估,如:中国信息通信研究院《云服务用户数据保护能力评估》等。行业第三方权威认证为云服务商保障用户数据安全提供指导,帮助其规避相关风险。
达到个人数据保护的合规标准,涉及的内部流程和技术手段很多,对于很多云服务商来说,都不是短期之内能够完成的事情。可信云《云服务商个人数据保护指南》对云服务商应具备的个人数据保护能力做出了全面的论述,也将推动云服务商将保护个人数据的行动切实纳入日程。