《云安全原理与实践》——2.3 云计算面临的法律法规风险

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全基线管理CSPM免费试用,1000次1年
云安全中心漏洞修复资源包免费试用,100次1年
简介: 本节书摘来自华章计算机《云安全原理与实践》一书中的第2章,第2.3节,作者:陈兴蜀,葛龙著, 更多章节内容可以访问云栖社区“华章计算机”公众号查看。

2.3 云计算面临的法律法规风险

为了保障云上的服务健康良好地发展,更好地助力企业理性上云、安全上云,建立良好的法律法规体系是重要的一环。但是,云计算作为一种新的服务模型,其本身的特性又决定了其法律制定与传统法律制定的差别与冲突。
2.3.1 数据跨境流动
数据跨境流动(Data Transborder Flow)首先出现在个人数据保护立法中,用于管理个人数据向第三国的转移。随着云计算的出现,其泛在的网络接入导致了数据流动性大的特征,大规模的政府数据、商业数据以及个人数据跨境更加频繁,因此各国开始重新审视数据跨境流动的制度规范,特别是政府部门和公共部门的数据跨境流动制度规范。
当前针对数据跨境流动,在国际上并没有统一的定义和明确的界定。联合国跨国公司中心指出了“跨越国界对存储在计算机中的机器可读的数据进行处理、存储和检索”属于数据跨境流动的范畴;经济合作与发展组织(Organization for Economic Co-operation and Development,OECD)对数据跨境流动的定义是个人数据跨越国界流动;澳大利亚在联邦个人隐私原则中对“数据的跨境流动”进行了规定,要求机构向海外组织或信息主体以外的某人传送信息应该受到一定的制约。由此可见,通常对于数据跨境的流动有两层含义:一方面是对数据跨越国界的存储、传输和处理;另一方面则是数据并没有跨越国界,但是能够被第三方国家的主体访问。
虽然就数据的跨境流动尚未形成统一的框架,但是从国外针对不同类型数据的管理模式来看,主要分为三个级别。
1.?禁止重要的数据跨境流动
对于一些威胁到国家安全的数据信息,禁止其跨境的流动具有相当的必要性,一些国家也逐渐意识到重要数据在本地存储的重要性。例如,美国虽然没有相关的法律规定禁止数据的跨境流动,但是在外资安全审查机制中,针对国外的网络运营商,会要求其与电信企业签订相关的协议,要求国内的通信基础设施应位于美国境内,并且通信数据、交易数据、用户信息等也只能在美国境内存储;印度的电信许可协议中明确禁止各类电信企业将用户的账户信息、个人信息转移至境外;意大利、匈牙利等国家也有相关法律法规禁止将政府数据交由国外的IaaS服务提供商存储。除此之外,印度尼西亚、澳大利亚、韩国等国家都有相关的法律法规明确指出禁止重要的数据跨境流动。
2.?有条件的限制数据跨境流动
对于政府部门和公共部门的一般数据、行业相关的技术数据等,部分国家针对这类型的数据实施了条件限制的管理模式来控制其跨境的流动。例如,在澳大利亚《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》中规定,把政府部门的信息进行分级,对于非保密的信息,要求必须通过安全风险评估之后才能实施外包。
3.?允许普通个人数据的跨境流动
对于普通用户的个人数据,国际上通用的观点是允许其自由跨境流动,但是必须满足安全的管理要求。出于对个人数据的安全考虑,一般采用问责制、合同干预等形式来进行管理。问责制一般是通过责任的界定,要求采集和处理数据的实体对数据进行安全管理,并要求其承担数据在跨境的整个过程中的审查和监督;合同干预则是由政府来规定跨境数据的安全管理相关内容。例如,在欧盟,根据数据保护法的原则,由数据保护主管部门来制定相关的合同条款,指明数据保护的要求。
针对国际范围内的数据流动,目前还处于发展中,部分国家出台了各自的法律法规来要求是否允许本国的数据跨境存储和传输。美国于1974年通过《隐私法》,由于美国在全球范围内有大量跨国公司,因而其倾向于信息的自由流通,对数据的跨境流动不做专门限制;英国在1984年通过《数据保护法》,其规定数据跨境流动时,需要向相关机构进行登记;德国在20世纪70年代通过《个人数据保护法》,规定数据跨境的流动要按照相关协定来进行管理;欧盟在《关于个人数据处理保护与自由流动指令》和《有关个人数据处理和电子通信领域隐私保护的指令》明确指出对数据跨境流动的相关规定;澳大利亚的《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》中对于安全分类数据的存储进行了相关规定;韩国的《信息通信网络的促进利用与信息保护法》规定,为了防止任何有关工业、经济、科学、技术等重要信息的跨境流动,信息通信提供商可采取必要手段;加拿大在《个人信息保护和电子文件法》中规定,传输、拥有或保管个人信息的机构应该对这些信息负责。
就目前国外针对跨境数据流动的管理趋势而言,可以从三个层面来分析:第一,从管理范围上,重点关注政府部分和公共部门的数据跨境流动管理。一些国家已经制定了专门的管理制度。例如,上文提到的澳大利亚《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》中对政府数据进行分级管理,并规定了政府数据的离岸存储和风险管理;加拿大在《关于解决美国爱国者法案和跨境数据流动问题的联邦战略》向联邦政府提出了160条关于数据安全管理的建议;第二,从管理对象上,加强对数据跨境流动的监管。数据的跨境流动主要依托于互联网,因此,各国在新签署自由贸易协定或双边投资协定时,对电信业务的跨境服务承诺开始变得极为谨慎;第三,从管理机制上,增强各国的跨境执法合作,加强各国用户对跨境数据流动的信任。由于各国不同的管理机制限制了数据跨境流动的发展,因此一些国际组织尝试从国际层面来建立协调机制。例如,APEC建立了跨境隐私执法协作机制(Cross-border Privacy Enforcement Arrangement,CPEA)来协调数据跨境流动。
在我国,随着国外公司陆续进入到我国的云服务市场,我国的数据跨境流动的相关管理机制的建立与完善日益受到重视。从国外的经验来看,一方面,可以在相关法律法规中明确数据跨境流动的相关概念和管理模式,另一方面,可以建立针对数据跨境流动的多元化管理手段,例如分级分类管理、合同管理、安全风险评估等都是可取的手段措施。
2.3.2 集体诉讼
集体诉讼起源于英国,但是却在美国开花结果,它指个人或部分成员为了全体成员的共同利益,代表整个团体成员提出的诉讼。在现实中,一些企业遭遇的集体诉讼的案例也对后来的公司或企业产生了深远的警示意义。
2.3.3 个人隐私保护不当
在云计算、大数据孕育的时代,社会的发展取得了巨大的进步,但与此同时,个人隐私的问题也浮现出来。近年来,侵犯个人隐私的案件时有发生,之前被曝光的用户信息泄露事件严重侵犯了用户的合法权益。因此,建立云环境下的个人隐私保护制度刻不容缓。
在云计算、大数据环境下,个人隐私的安全风险表现在以下几个方面:
1)数据存储过程中对个人隐私造成侵犯:在云服务商给用户提供云服务的时候,数据的存储对用户来说是透明的,用户无法得知数据确切的存储位置,更无法对其个人数据的采集、存储、使用的过程进行有效控制。
2)数据传输过程中对个人隐私造成侵犯:云环境下的数据传输具有开放性和多元化的特征,传统的物理区域的隔离方法和技术无法适应云环境下数据的远距离传输,更加无法保证数据传输过程中的安全性。
3)数据处理过程中对个人隐私造成侵犯:云服务的部署引入大量的虚拟化技术,基础设施的脆弱性或加密措施的失效引入了新的安全风险,大规模的数据处理需要完备的访问控制、身份认证管理,而云计算的资源动态性增加了管理的难度,账户劫持、攻击、认证失效等都将成为数据处理过程中的安全威胁。
4)数据销毁过程中对个人隐私造成侵犯:单纯对数据的删除并不能彻底的销毁数据,再加之云服务商可能对数据进行备份,进一步增加了数据销毁不彻底的可能性。
由此可见,在云计算的时代,我们需要切实加强个人隐私的保护,主要可以从如下几个方面着手:
(1)从国家的战略层面来保护个人信息
在云计算大数据时代,个人隐私构成了网络社会运行的基石。在我国,从网络系统、设备到操作系统、应用软件等核心技术依然面临巨大的安全风险,这不仅对国家的安全造成了威胁,同时对用户的个人隐私也造成了风险,因此需要从国家层面来建立针对个人隐私的保护战略和机制。
(2)加快完善个人隐私的立法保护
在云计算大数据的背景下,对于个人隐私,从技术层面保护远远不够,必须建立完善的法律法规,用法律的武器打击不法分子,保障用户权益。
(3)加强对个人隐私保护的行政监管
在信息网络的环境下,个人信息和个人隐私等具有了财产属性,部分不良的企业可能对其进行商业化利用以达到盈利的目的,因此,政府的有效监管、个人隐私方面的测评机制和标准就显得尤为必要。
(4)加强对个人隐私的技术保护
技术手段是法律措施的重要补充,应积极进行隐私保护技术的研发和创新,从技术层面来保障个人隐私的安全。

相关文章
|
15天前
|
Kubernetes Cloud Native 持续交付
云计算的转型之路:云原生技术的崛起与实践####
【10月更文挑战第16天】 本文深入探讨了云原生技术在现代IT架构变革中的核心作用,不同于传统概述,本摘要将聚焦于云原生如何促进企业实现敏捷开发、弹性伸缩及高效运维,通过具体案例分析展现其在实际业务场景中的创新应用,揭示这一技术趋势对企业数字化转型的深远影响。 ####
37 2
|
5天前
|
云安全 存储 监控
云计算安全:AWS与Azure的安全策略与实践比较
【10月更文挑战第26天】本文详细比较了AWS和Azure在安全性方面的策略和实践,涵盖身份与访问管理、数据加密与保护以及安全监控与响应。通过代码示例展示了两家云服务提供商在实际应用中的具体操作,帮助企业在选择云服务时做出明智决策。
15 0
|
2月前
|
存储 安全 网络安全
云计算与网络安全:技术融合下的风险与对策
【9月更文挑战第16天】在数字化时代的浪潮中,云计算以其高效、便捷的特点成为企业信息化的首选。然而,云服务的普及也带来了新的网络安全挑战。本文将深入探讨云计算环境中的安全风险,分析云服务模型特有的安全需求,并提出相应的信息安全措施。我们将通过实际案例,了解如何在享受云计算便利的同时,保障数据的安全性和隐私性。
|
4天前
|
云安全 存储 监控
云计算安全:AWS与Azure的安全策略与实践比较
【10月更文挑战第27天】本文对比分析了AWS和Azure在云计算安全领域的策略与实践,涵盖技术、定价、混合云工具等方面。通过代码示例展示了如何在两个平台上实施安全措施,如监控告警、数据加密和身份管理。总结了两者的优缺点,帮助读者根据具体需求选择合适的云服务提供商。
13 4
|
9天前
|
云安全 安全 网络安全
云计算与网络安全:技术融合下的风险与对策
【10月更文挑战第22天】本文深入探讨了在云计算环境下,网络安全和信息安全领域的挑战与机遇。通过分析当前云服务的安全架构,识别潜在的安全威胁,并提出了相应的防范措施。文章旨在为读者提供一套全面的云计算安全解决方案,以保障数据的安全性和完整性。
|
15天前
|
监控 Linux 云计算
Linux操作系统在云计算环境中的实践与优化###
【10月更文挑战第16天】 本文探讨了Linux操作系统在云计算环境中的应用实践,重点分析了其在稳定性、安全性和高效性方面的优势。通过具体案例,阐述了Linux如何支持虚拟化技术、实现资源高效分配以及与其他开源技术的无缝集成。文章还提供了针对Linux系统在云计算中的优化建议,包括内核参数调整、文件系统选择和性能监控工具的应用,旨在帮助读者更好地理解和应用Linux于云计算场景。 ###
17 3
|
1月前
|
监控 安全 网络安全
云计算与网络安全:探索云服务中的信息安全实践
【9月更文挑战第36天】在数字化转型的浪潮中,云计算已成为企业IT架构的核心。然而,随着其应用的广泛性,网络安全问题也日益凸显。本文将深入探讨云计算环境中的网络安全挑战,并提出相应的安全策略和技术解决方案。我们将从云服务的基本原理出发,分析常见的网络威胁,并介绍如何通过加密、访问控制和安全监控等手段来保护云环境。文章旨在为读者提供一套实用的云安全指南,帮助他们在享受云计算带来的便利的同时,确保数据的安全和隐私。
56 16
|
26天前
|
云安全 安全 网络安全
云计算与网络安全:技术融合下的风险与对策
【10月更文挑战第5天】在数字化时代的浪潮中,云计算以其强大的数据处理和存储能力成为企业数字化转型的重要推手。然而,随之而来的网络安全问题也日益凸显。本文将从云计算服务的基本概念出发,深入探讨网络安全的重要性,并通过信息安全的关键技术,揭示云计算环境下的安全风险及应对策略。我们将通过具体案例分析,展现如何在享受云服务带来的便捷的同时,保障数据的安全性和完整性。文章旨在为读者提供一套实用的云计算安全指南,以期在快速发展的云计算时代中,为企业和个人打造一道坚固的安全防线。
28 1
|
27天前
|
存储 边缘计算 开发工具
云计算技术:从基础到实践
【10月更文挑战第4天】云计算技术:从基础到实践
|
5天前
|
存储 负载均衡 云计算
云计算的实践:如何在企业中实现云计算转型
本文介绍了云计算的基本概念、优势及其在企业中的应用。云计算通过互联网提供计算资源,具有高灵活性和扩展性,帮助企业降低成本、提高效率。文章详细讨论了云计算转型的核心概念、实践方法和挑战,包括数据中心迁移、应用程序迁移、数据迁移和系统集成。此外,还提供了负载均衡、数据存储和处理、安全性的代码实例,并展望了云计算的未来发展趋势和面临的挑战。
9 0