云计算仍然不能回避数据保护规则

随着云计算慢慢地变成趋势,越来越多的个人数据移出公司自己的数据中心并转移到云计算,这意味着数据可能驻留在地球上任何地方的服务器。

但是英国对可以处理的数据有严格的规定,而且数据保护监管机构英国信息专员办公室(ICO)担心,许多企业都没有意识到他们继续管理数据的责任,甚至递交给云提供商进行管理。

ICO的技术政策顾问博士西蒙·赖斯表示,业务外包数据上的法律是非常明确的。“作为一名商人,你负责保护你的数据安全。你可以将一些处理的数据外包,如云计算,但是如何使用和保护这些数据仍然是你的责任。”

赖斯警告英国隐私监管机构要行动起来反对不满足数据保护的法律组织。例如,ICO抨击苏格兰边境委员会在未能妥善管理一个公司后,使用?250000将养老金记录数字化。

将数据移动到云计算的指导方针

为了强调这个消息,ICO已经为企业发布了一系列的指导方针,用于将数据移动到云计算。它说公司首先需要回顾一下个人处理的数据并确定是否有不应该转入云计算的任何数据——例如,因为当个人数据被收集时,给出了具体的保证。

“作为一名商人,你负责保护你的数据安全。你可以将一些处理数据外包……但是,如何保护数据仍然是你的责任”。 ——ICO Simon Rice博士

企业可能还需要向最终用户通知云服务已经到位的处理安排。此外,他们必须确保他们的云服务提供商有足够的技术和组织的安全措施。

尽管评估安全措施的最好方式是检查供应商的经营场址,然而ICO却说“一个云提供商愿意允许它的每个潜在和现有的客户进入其经营场址进行审计是不太可能的”,所以另外的选择是一个独立的第三方审计。

这个监管机构还说传输中数据的加密和潜在的“休息”是一个重要的考虑因素,尤其是处理敏感的个人数据时。

数据将要去哪里?

英国的数据保护法案要求个人信息不能转移到欧洲经济区域意外的地方,除非目的地国家确保充分的数据保护。鉴于此,打算使用云服务的公司应该问问一系列国家数据处理的提供者以及与保障措施有关的信息提供者。

ICO表示,“当数据将被转移到这些位置时,云提供者应该能够解释,”

对于使用云服务且数据保存在英国以外的企业来说,还有另外一个提醒:应该记住,一个外国的执法机构可能有权获得个人数据或破坏个人数据到云客户和用户的可用性。