今年4月份,欧盟通过了一项新立法——通用数据保护条例(GDPR)。根据对超过20,000个云服务的调查分析,只有6%的云服务完全符合该法规。
这个新的标准化的数据保护法律最迟将于2018年春季在欧盟所有成员国内实施。严格意义上讲,也包括英国。尽管发生了英国退欧公投事件,但是在调用第五十条启动离开过程的两年时间内英国仍将是欧盟的正式成员。并且,第五十条目前尚未被调用。
我们做一个简单的自动假设,如果将数据放在云端,就免除了对数据的责任,并将责任转接给了云服务提供商。但是事实并非如此,GDPR对数据管理者和数据操作员做出了区分,管理者负有主要责任。如果一个公司在云中存储或使用数据,那么该公司就是数据的管理者, 在GDPR之下就要对数据负责。此外,GDPR即不受限于公司的国籍,也不受限于云服务的地理位置——所以只要涉及到一个欧洲公民的个人数据,那么GDPR就适用。
这实际上意味着将欧洲公民的个人数据存储到云中会降低公司符合GDPR规定的程度。根据Skyhigh的分析。这是一个令人担忧的问题。“云服务仍然是所有企业的关键,但欧盟GDPR使得云服务的立即可用变得困难重重。” Skyhigh Networks的首席欧洲发言人Nigel Hawthorn说到。“简单地说, GDPR中的标准条款和条件,使得几乎所有和云服务相关的公司都不再适合在欧洲做生意。一旦欧盟开始执行GDPR,那么几乎所有的公司都需要重新审核和谈判,或者被直接驳回。”
举例来说,84%的云服务不会在合同终止时立即删除客户数据。所以,一旦这些数据包含了欧洲公民的个人信息,那么马上该项云服务就违反了GDPR。
Skyhigh还指出,只有1%的云服务会在24小时内提供安全事件通知。GDPR要求数据管理者(记住,是指云服务的客户而不是云服务提供商)在72小时内通知相关数据保护监管机构。很明显,这是几乎是不可能的,因为大量的云服务用户会违反GDPR的通知要求。
用户IP则是另一个问题。Skyhigh指出,58%的云服务不能提供IP所有权的保证。一些云服务可能会取得所有上传IP的所有权,而其他的云服务根本无法做出保证。在某种程度上,这只是一个简单的业务问题;但是Skyhigh再一次声明,如果它包含了欧洲公民的个人数据,那么就会牵涉到GDPR。
此外,关于云服务和GDPR有两个问题需要仔细考虑。第一个问题是:现在的制裁力度与早些时候相比,有了大幅度的提高,现在最高可以罚款2000万欧元,即全球前一财政年度的年营业额的4%。第二个问题是:监管机构肯定会考虑公司做出的“努力”。如果一个公司可以表明它已经做出了努力去符合GDPR的规定,那么监管机构可能不会对该公司开出最大罚款。
“当考虑欧盟GDPR时,不只是‘服从或不服从’,‘安全或不安全’那么简单,” Skyhigh 说到。“该规定超过100条,这是一个庞大并且复杂的问题,需要每个公司在评估很多变量之后做出自己的判断。”所有这一切都意味着,GDPR规定只是其中一个因素(尽管它是一个严重的因素),但是现有CISOs还存在一个主要问题即对云供应商的管理。对此,Skyhigh为其客户提供了一项免费服务,可以对其云提供商是否合乎GDPR规定进行评估。
那么,面对GDPR,企业到底该何去何从?这个问题只有留待时间来解决了。
本文转自d1net(转载)