云安全深度剖析：解读云安全法规

2023-11-18 理论教育版权反馈

【摘要】：保障云数据隐私的国际法律文件和国际公约是解决跨境法律争端的最佳选择。7）欧盟公民的个人数据只向欧盟15国之外采用这些法律或倾向于提供数据充分保护的国家传输。这一法律禁止一些消费者数据传向没有采用同样严格数据保护法律国家的企业。类似于美国的联邦或州的司法管辖区，欧盟成员国必须在本地执行这些法律。与欧盟指令不同，这些原则并非强制性的，因此他们可以被成员国采纳为本国法律的一部分。

保障云数据隐私的国际法律文件和国际公约是解决跨境法律争端的最佳选择。尽管众多的国际公约不能满足所有国家云数据隐私保护的全部需求，但是国家之间制订云数据隐私流转关系的双边协定是云数据隐私保护的国际法律文件体系中不可或缺的组成部分^[14]。

目前，国际环境下，对个人数据保护的法规大致可以分成两大体系：一个是欧盟指令，其主要是规范在欧盟管辖范围内流通及处理的个人数据，该规范为欧洲国家与加拿大所采用；另一个是亚太经济合作组织的隐私权保护原则，为APEC各会员国中有关个人数据保护的最高指导纲领。

这两大体系对于云计算环境及各国在制订个人数据保护的规范上有着不同的影响。

1.欧盟的数据保护指令

在欧洲，隐私被视为一项基本人权，与人身自由密不可分。二战结束后，许多欧洲国家都制订了严格的隐私法律。比如，德国联邦议院1997年通过的一项与隐私有关的法律是《信息和通信服务法》。这一法律包含《通信服务数据保护法》用来处理电信业所使用的个人数据保护。英国政府在1998年颁布了《数据保护法》。该法令赋予“数据保护委员会”以强大的权力监督法律的实施。该法律还禁止不经个人允许将个人数据用于直接销售。

1981年，欧盟理事会颁布的《个人数据自动化处理保护公约》，可作为欧洲国家在制订个人数据保护法令的参考。到20世纪90年代，由于欧洲各国在个人数据保护方面仍缺乏一致性，加上各国都有跨境传输个人数据的需求，但是在取得当事人的同意和接收国的保护措施方面，要求的程度都有所不同。因此促成了欧盟起草《欧盟数据保护指令》（简称“指令”）的契机。该指令在1998年正式生效，对欧盟的会员国而言，只要是遵守此指令的国家，也就等同于采纳了各国的个人数据保护法，可以获得跨境传输数据的允许和信任。随着信息技术的演进，2012年该指令已进行了更新与修改，希望对欧盟以外的国家也可提供重要的隐私保护数据与要求，该指令明确赋予个人参与数据处理的权利及隐私权受侵害时的损害赔偿请求权。

指令的主要内容包括一般条款、个人数据处理原则、数据当事人权利、数据控管人责任及监督机制。具体来讲，该指令的要求如下^[15]：

1）组织必须告知数据主体有关信息收集和利用的目的，告知如何联系组织以及批露信息的第三方类型。

2）组织必须允许数据主体选择个人信息是否可用于除初始收集目的之外的其他目的。对于敏感性信息，如医疗状况、种族起源和政治观点等信息在向第三方披露之前，消费者必须有特殊的选择权。

3）任何组织在处理个人数据时，必须采取合理的步骤来确保数据的安全和完整性。

4）数据主体有权获得他们的个人信息，并有权对其进行纠正。必须有确保遵守指令的机制，受不遵守行为影响的数据主体的求助以及不遵守指令的组织的后果。(www.chuimin.cn)

5）企业和政府不得在未经允许的情况下将个人记录用于初始目的之外的其他任何目的。

6）指令也要求建立政府数据保护机构，这些机构负责数据库的注册，有时在特定数据处理之前要先征得这些机构的同意。

7）欧盟公民的个人数据只向欧盟15国之外采用这些法律或倾向于提供数据充分保护的国家传输。这一法律禁止一些消费者数据传向没有采用同样严格数据保护法律国家的企业。这一指令尤其阻止欧盟公民的数据流向美国。

遵守如上所述的规定并不一定意味肯定符合欧盟隐私法。类似于美国的联邦或州的司法管辖区，欧盟成员国必须在本地执行这些法律。每个州起草了自己的立法，有的甚至比国家的法律更加严格。

总之，《欧盟数据保护指令》在隐私权保护方面无疑在全球都具有示范作用。

2.亚太经济合作组织隐私框架

亚太经济合作组织（APEC）是在1989年由澳大利亚前总理Robert Hawke所倡议成立的亚太区域主要经济咨商论坛，希望借由亚太地区各经济体政府相关部门官员的对话与协商，带动该区域经济成长与发展，成立时共有12个创始成员。

APEC参考经济合作暨发展组织（OECD）的隐私保护及个人数据的国际流动指导方针，于2004年制订APEC隐私保护框架（APEC Privacy Framework），以作为提升信息隐私保护的重要工具，并确保亚太地区各会员国间信息的自由流动。此框架旨在推广亚太地区的电子商务，与OECD的指导方针（即个人数据保护策略）相符，更加证实电子商务与个人数据保护密不可分。APEC《隐私权保护指导纲领》是以个人数据保护为重点，给出十大原则，分别为^[16]：①避免伤害原则；②告知当事人原则；③限制收集原则；④个人数据利用原则；⑤当事人同意原则；⑥数据完整原则；⑦安全维护原则；⑧当事人取得及更正信息原则；⑨责任原则；⑩效益最大化原则。与欧盟指令不同，这些原则并非强制性的，因此他们可以被成员国采纳为本国法律的一部分。

亚太经济合作组织隐私保护框架通过试点为首的区域内多个经济体实现。该试验涉及政府和私营部门组织，并应为区域内的数据传输提供了一致的方法。成功地实施该框架是云服务提供商跨越边界无缝运行的坚实基础。

APEC依循国际组织ISO/IEC JTC1 SC27计划，成立了5个工作小组研讨隐私权保护的相关技术及标准，其工作小组及研究重点说明如下：第1工作小组研究信息安全管理系统（Information Security Management Systems），第2工作小组研究信息安全机制（Security Mechanisms），第3工作小组研究信息安全评估标准（Security Evaluation Criteria），第4工作小组研究信息安全控制要项及服务（Security Controls And Services），第5工作小组研究识别管理及隐私权技术（Identity Management And Privacy Technologies），其中第5个工作小组主要针对隐私权的框架进行研讨，主要议题包括：①隐私权框架，个人信息定义、公开可利用信息、应用；②隐私权参考架构，指导方针和原理；③实体授权保证；④存取管理框架；⑤脆弱性回报；⑥签字加密。

云安全深度剖析：解读云安全法规

相关推荐