云计算个人信息保护研究
石月 工业和信息化部电信研究院政策与经济研究所
1.数据控制者(云客户)缺乏对个人信息的控制。
(1) 收集个人信息并且决定个人信息收集、处理目的的数据控制者,在使用云服务时,缺乏对个人信息的控制权,自身无法采取技术和组织措施,确保个人信息的安全。
(2) 云计算的数据在云提供商的网络中的位臵不是稳定的。云客户不能实时的知道数据放在什么位臵,在哪儿存储或者转移。
(3) 个人信息在通过云服务进行处理时,缺乏可用性。如果云服务提供商依赖的是专有技术,那么他很难向云客户提供在基于不同的云系统之间的数据和文件转移,或者是在使用不同服务提供者云服务的实体之间进行信息交换。
(4) 采用云服务进行个人信息处理可能会产生的风险。云是由共享的系统和基础设施组成的。云提供商处理的个人数据是来源于广泛的个人和组织,因此云提供商在处理个人信息时,可能产生相互冲突的利益或者不同的目标,可能产生滥用数据的风险。
(5) 缺乏机密性。使用云服务,可能会遭遇法律执行机构的检查,而披露个人信息。
(6) 缺乏可干预性。由于云服务产业链比较复杂,云服务提供商提供的服务可能还会包含其他服务提供者提供的服务,并且这个过程是动态增加的。对于数据主体来说,云服务提供商不能提供必要的措施和工具,帮助数据控制者管理数据,包括访问、删除和修改数据。
(7) 难以实现数据隔离。云服务提供者对来自不同云客户的数据使用物理控制的方式实行链接。数据管理者如果有足够多的访问数据的权限,他们就可以连接到不同的客户之间的信息。
2.信息处理缺乏透明度
(1) 云服务处理个人信息的产业链包含多个处理者和分包商;
(2) 个人信息可能被转移到其他国家,这些国家可能不能提供足够的个人信息保护。
目前的个人信息保护立法要求数据控制者要告知数据主体关于数据处理者的身份、处理目的等相关事宜,而前述云服务中个人信息处理的特殊情况可能会要求云服务提供商向数据主体提供更多的信息,否则就会缺乏透明度。
3.产生法律适用的问题。个人数据处理可能发生在不同的物理位臵,由此产生关于数据保护争议的法律适用问题。
(二) 各国的应对思路
1.欧盟
欧盟第29 条工作组发布报告⑥对云服务中的个人信息保护提出以下观点:
(1)关于法律的适用问题:欧盟2012 年1 月的提出95 年个人数据保护法改革建议将法律适用的范围扩大为:
数据控制者或数据处理者是在欧盟成立的组织机构;
数据主体在欧盟境内;
数据控制者不在欧盟,但是根据国际公法或成员国法律应适用;
如果数据控制者在欧盟内的一个或多个成员国成立的,适用的法律应该是云服务合同的签订地,而不是云服务提供商设立的地址所在地。如果控制者是在各个成员国都有建立,并且在这些国家处理数据,那么这些国家的立法可分别适用。如果云客户(数据控制者)不在欧盟的情况,但是使用在欧盟境内的设备,那么欧盟的立法也适用于该服务,除非该设备纯粹用于传输。
(2)关于不同主体的责任:
在云服务中涉及到多个主体,主要包括云客户(数据控制者)、云服务提供商、云服务分包商、数据主体(个人)。
云客户作为数据控制者的责任:
遵守基本原则。目的明确和目的限制原则是必须要遵守的,如果保留数据已经没有必要,则需要将数据删除。
风险评估。由于云服务中会有大量的分包商,所以个人信息被用于与云客户不兼容的处理目的的风险很大,因此云客户要评估风险。数据控制者和处理者应当在风险评估之后,采取具备相适应安全风险级别的措施,保护个人数据的安全。
与处理者签订责任明确,全面、细致的合同。委托云提供者任务,选择合适的方法和技术或者组织措施,以达到数据处理的目的。(合同中应当包含的内容见下)
在数据主体所在地任命代表,管理数据处理事宜。如果数据主体在欧盟境内,但是数据控制者不在欧盟境内,数据控制者应当在欧盟境内,数据控制者应当在欧盟境内委托一个代表。
确保透明度:云客户必须向用户提供足够多的信息,包括:信息收集人、收集目的,信息接收者、信息处理者和分包商。在云客户和云服务提供商之间也应该保持透明度。
删除数据。云客户作为数据控制者应该在个人信息不需要保留的时候删除或者实质性的匿名化数据。如果基于数据留存法律的规定,这些个人信息不能被删除,那么就应该不让个人信息被访问。个人信息无论是存储在硬盘还是存储在媒体上(备份磁带)都应当删除,而且应当彻底删除(例如:先前的数据版本、临时文件、文件碎片)。云客户和云服务提供商之间的合同应当约定关于数据删除的事宜。
云服务提供商的责任:
支持和协助数据控制者维护和实现数据主体的权利。
对数据控制者采取符合欧盟数据保护法的的安全措施。
注意其提供的云服务的类型,根据不同的服务类型,采取不同的措施确保安全。
如果处理者把服务分包出去,事前应当告知云客户,并确保这些分包商能够遵守欧盟95 年数据保护法。
云服务提供商与分包商之间签订的合同应当包含云服务提供商与云客户之间签订的合同中,对云服务提供商义务的所有规定。
如果分包商没有履行义务,将由云服务提供商依据合同对云客户(数据控制者)负责。
确保透明度。告知所有参与云服务服务提供的分包商,以及所有处理数据的数据中心的位臵。
确保删除数据。在与分包商签订的合同中,要约定数据删除的相关事宜。
为了降低风险,云服务提供者和云客户之间签订的合同中必须包含技术和组织上的措施,确保数据操作和编辑日志是由云服务提供商或者分包商的员工进行,还需要在合同中约定相关的处罚。
(3)云服务提供商和云客户之间的合同内容:
云客户和云服务提供商之间签订的合同应当包含以下内容:
云客户向云服务提供商给出的指示,关于SLA 和相关的罚则。
云提供商应当遵循的具体的安全措施。
云服务的主要内容和期限,处理个人信息的范围、方式和目的。
服务结束后归还个人信息或者销毁个人信息的具体条件;必须确保个人信息被安全的删除。
保密条款,约束云服务提供商和其雇员,只有授权的人才能访问数据。
云服务提供商支持云客户为数据主体行使访问权、更正权、删除权的义务。
合同中明确云服务提供商不得将个人信息传递给第三方,除非是合同明确的分包商。分包商只能在获得云客户(数据控制者)同意的前提下才能委托,并且控制者有权随时终止该合同。云服务提供商应当提供所有分包商的名称。云服务提供商和分包商之间的合同应当体现云客户和云提供商之间约定。所有的云服务提供商和分包商应当在云客户的指示下做出行为。
云服务提供商在遇到任何数据违法行为可能影响云客户时,应当履行通知义务。
云服务提供商提供数据处理位臵的清单。
数据控制者的监控权利和云服务提供商的配合义务。
云服务提供商必须通知云客户关于实施云服务的附加功能相关的变化。
合同应当规定登记和审计云提供商和分包商对个人数据处理操作的日志。
通知云客户关于执法机构要求披露个人信息的事情,除非依据法律禁止通知,例如刑法中规定关于法律执行的保密规定。
云服务提供者的一般义务,确保其内部组织和数据处理安排遵循适用的国内和国际法律要求和标准,如果有分包商的话,也包含在内。
如果云服务提供商作为数据处理者将数据用于其它目的,或者违反合同适用数据,他们将被认为是控制者,承担责任。
(4)云客户和云服务提供商应当采取的数据保护和数据安全的技术和组织措施
可用性。云服务比较严重的威胁包括意外丢失云客户和云提供商之间的网络连接,或者是遭遇DOS 攻击。云客户应当检查云服务提供商是否采取了合理的措施来处理中断的风险,例如备份网络连接,冗余存储以及有效的数据备份机制。
完整性。采用密码认证可以用来检测个人数据的更改。对IT系统完整性的干扰,可以通过入侵检测系统(IPS)和预防系统(IDS)来防止。
机密性。加密可以用来保护数据的机密性。云提供商和云客户之间以及数据中心之间的通信应当是加密的。远程云平台管理只能是通过一个安全的通信频道进行。更进一步的确保机密性的措施包括授权机制和认证机制。合同中应当向云客户、云提供商和分包商的雇员施加保密义务。
隔离性。云的基础设施中,存储、记忆和网络资源都是在租户中共享的。这可能带来风险,即个人信息可能被非法披露和处理。数据隔离(独立)要求定期检查对数据访问的管理权。避免一个角色拥有过多的特权(例如用户或者管理者不能访问整个云)。用户和管理者只能基于合法目的访问必需的信息(最小特权原则)。隔离还依赖于技术措施,例如加强管理程序,适当的管理共享资源。
可携带。目前,大多数云提供商没有使用在不同的云提供商之间的标准数据格式和促进可互操作和可携带的接口。由此云客户很难从一个云服务提供商转移到另外一个云提供商。云客户应当在采用云服务之前,检查提供商是否和如何保证数据和服务的可移植性。
可问责。云客户、云服务提供者、分包商应该各自负责,提供可靠的监测、广泛的记录机制。云服务提供者应当提供书面证明,表明其执行了有效的安全措施。他们还应当提供能够确保所有的数据处理操作都是可识别,回应用户的访问请求,委托数据保护主管,独立的认证程序。另外,数据控制者应当确保他们准备依据数据主管部门的要求采取必要的措施。
(5)跨境数据流动
云环境下,在没有严格执法的情况下仅仅是安全港的自我认证难以证明能够提供足够的保护。个人数据出口公司不应当仅仅基于进口商有安全港认证即可,还要获得相关的证据,并且要求提供证据,证明安全港规定的原则被执行。云服务提供商在安全港中的承诺如果缺乏国内法中要求提供的担保,同样不能同意转移。在这种情况下,数据出口商应该适用其他法律工具,例如标准合同条款或者BCR(有约束力的公司规则)。
云计算带来很多安全风险,例如缺乏管理,数据删除不彻底、不充足的审计线索(audit trails),隔离故障等。这些都难以在目前的安全港原则中得到较好的保护。因此需要采取额外的安全保护措施。例如,引入第三方机构,对云提供商的能力进行评估。
欧盟2012 年提出的个人数据保护立法改革建议中提出,数据控制者或者处理者认为数据处理程序存在风险,应当进行评估。评估应当至少包含处理操作的描述、对数据主体的权利和自由的风险评估、解决风险可能的措施、保护安全措施和机制以确保个人信息安全,证明遵守了个人数据保护法。数据控制者可以寻求数据主体或者他们代表的意见,在不损害保护的商业利益或者公共利益以及处理操作的安全前提下。如果数据控制者是公共机构或者数据控制者是依据法定义务进行处理的,不需要进行评估。
2.美国
2012 年1 月,美国国家标准与技术研究院(NIST)发布《云计算安全管理和隐私指南》,对政府部门和机构的云计算安全和隐私保护提出建议。
强调了OECD《1980 年隐私保护和个人数据跨国流动指导方针》中明确的隐私保护的核心原则和FTC《公平信息实践规范》中的基本原则:
通知告知;
选择同意;
进入参与;
完整性、安全性;
谁控制谁负责;
建议政府在云计算安全管理中应当承担的责任;
筹划云计算的安全和隐私解决方案;
理解云服务提供商所建立的云计算环境;
确保云计算解决方案满足组织的隐私和安全需要;
确保用户端的计算环境满足云计算的隐私和安全需要;
对于云计算环境下实施和部署的数据和应用的隐私和安全承担维护义务
3.韩国
2012 年7 月KCC 出台《云计算发展与用户保护法》(提案),2013 年韩国设立“未来创造科学部”(MSIP)代替KCC 作为云计算主管部门。
《云计算发展与用户保护法》(提案)的主要内容:
云计算服务利用的促进:
申报机制:规定云计算服务提供商的申报、变更的申报、暂停与终止的申报,及收购与合并的申报等。
申报部门:MSIP ,根据《电信事业法》,云计算应被视为增值电信服务。
认证:以MSIP 为主导用来认证云计算服务,并且规定相应的方法和措施,来加强云服务的质量和可依赖性。
云计算服务可信度的增强:
意外事件告知:对于侵入事件、严重服务失败、信息泄露应当向用户告知,并向MSIP 报告。
公开原则:用户使用云计算服务来处理他人信息时,应当遵从透明度的基本原则;如果云计算服务提供者在其他国家存储用户信息的话,他们应当透露所在国家的具体信息。
补充条款:
信息损毁:即使用户信息被损毁或者丢失,储存的信息仍然能够持续地为用户提供服务。
告知原则:如果云服务到期,云服务提供者应当提前30 天告知用户。
暂时代理机制:要求云服务提供商应为服务意外中止购买担保保险,并建立暂时代理机制。
总体来看,欧美韩等发达国家依托现有的个人信息保护法律框架,针对云计算业务的个人信息保护,都给予了更为具体的政策回应。欧盟依然贯彻严格保护的政策精神,对云计算业务也同样提出了高标准要求,而美国更倾向于适用传统隐私保护法的基本原则,但更为具体的保护问题则交由市场机制来解决,例如更多通过认证体系来实现。而韩国则是综合了两者,同时为保障与云计算业务的安全性,也适当引入了相关行政管理措施。
更多精彩内容
欢迎搜索关注微信公众号
腾讯研究院
