ISO27018法規(guī)提供了一個實用的基礎(chǔ)����,從中開始建立對云計算行業(yè)參與者正確處理個人數(shù)據(jù)的信心,為更加明確立法和監(jiān)管鋪平道路�。
在云計算技術(shù)的快速發(fā)展中,人們開始看到法律和監(jiān)管如何跟上變化��。該行業(yè)面臨的一個主要問題是缺乏標(biāo)準(zhǔn)化指導(dǎo)���。云計算不受特定的“云計算法律”的約束��,其服務(wù)也不受直接監(jiān)管���。相反,法律和監(jiān)管格局由一系列不同規(guī)則組成�����,范圍與技術(shù)本身一樣廣,跨越多個行業(yè)和地區(qū)���。
鑒于這種廣度,從立法解決方案逐漸轉(zhuǎn)向行業(yè)標(biāo)準(zhǔn)化��,作為縮小監(jiān)管與技術(shù)創(chuàng)新風(fēng)暴之間差距的手段�����。
監(jiān)管指導(dǎo)
雖然沒有直接立法�����,但近年來�����,一些英國監(jiān)管機構(gòu)(尤其是金融服務(wù)部門)發(fā)布了云技術(shù)使用指南���。本指南重點介紹了如何根據(jù)現(xiàn)有的監(jiān)管規(guī)則使用該技術(shù)�����,雖然該指南沒有規(guī)定按照監(jiān)管要求部署云技術(shù)的逐步過程���,但它表明�,監(jiān)管機構(gòu)認(rèn)為�����,企業(yè)不能在符合法規(guī)的方式�����。
然而����,阻礙在受到嚴(yán)格監(jiān)管的部門中大規(guī)模采用云計算解決方案的一個關(guān)鍵障礙仍然是:對于監(jiān)管機構(gòu)可能接受的確切標(biāo)準(zhǔn),缺乏確定性����。看起來���,關(guān)鍵是標(biāo)準(zhǔn)化����。
標(biāo)準(zhǔn)化
一個例子是國際標(biāo)準(zhǔn)化組織發(fā)布的ISO27018標(biāo)準(zhǔn)���,該標(biāo)準(zhǔn)涉及云中個人數(shù)據(jù)的處理�。該標(biāo)準(zhǔn)直接回應(yīng)了歐盟監(jiān)管機構(gòu)的一個主要目標(biāo):為云計算服務(wù)提供商引入可審計的合規(guī)框架,促進(jìn)信任�����,并在所有經(jīng)濟部門迅速采用云計算�����,以提高生產(chǎn)力(參見歐盟委員會2012年歐洲云計算戰(zhàn)略)���。
ISO27018是第一個針對云的隱私專用國際標(biāo)準(zhǔn),旨在創(chuàng)建一組通用的安全類別和控件��,可由作為數(shù)據(jù)處理器的公共云計算服務(wù)提供商實施����。其目的是幫助公共云服務(wù)提供商在充當(dāng)數(shù)據(jù)處理器時遵守其適用的義務(wù),并對其云計算服務(wù)客戶保持透明���。
雖然ISO27018的大部分內(nèi)容都是基于歐盟數(shù)據(jù)保護(hù)法�����,但標(biāo)準(zhǔn)稍微進(jìn)一步���,并通過確保云計算提供商實施向客戶返回��,傳輸和處理個人數(shù)據(jù)的政策來解決更多程序問題(例如����,在服務(wù)結(jié)束時���,并按照預(yù)定的時間間隔(或在發(fā)生重大處理變更的時刻)對其服務(wù)進(jìn)行獨立的信息安全審查���。
幫助客戶選擇
在選擇云計算服務(wù)提供商時,客戶必須找到符合其法律義務(wù)的服務(wù)提供商���。雖然每個云服務(wù)客戶必須確保遵守其所針對的特定法律��,但適用于大多數(shù)云客戶的一套法律將是隱私和數(shù)據(jù)保護(hù)法���。在這里,ISO27018可以幫助客戶:
接下來是什么?
ISO27018法規(guī)提供了一個實踐基礎(chǔ)�,從中可以開始建立起云計算行業(yè)參與者正確處理個人數(shù)據(jù)的信心,為更清晰地制定法規(guī)鋪平了道路��。目前,這是行業(yè)標(biāo)準(zhǔn)縮小法律框架與技術(shù)快速增長之間差距的一個例子����。如果這種標(biāo)準(zhǔn)化繼續(xù)下去,法律和法規(guī)就有可能跟上創(chuàng)新的步伐�����。
