跳转到主要内容

Global Data Protection Framework

Data Protection and Cloud Computing Framework

这个框架基于我在全球范围内研究数据保护的几年工作。该框架的要点是提供一个结构,以绘制国家和行业特定法规,并提供一个简单的清单。在考虑云计算时,隐私和数据保护问题至关重要,因为在许多情况下,它涉及个人数据的处理,这会带来与适用法律、角色确定、所需合同以及数据的国际转移相关的反复问题。

这是一个活文档,我(偶尔)在扩展它,但它的主要目的是在考虑云和个人数据时,共享需求和其他监管方面的结构。目前,我正在补充新的《欧盟通用数据保护条例》(GDPR)的细节,这是一个根本性的变化,希望这有助于理解欧盟的新法律框架。我一开始就注意到了主要的变化(用GDPR标记),而不是重新审视一切——但我承认需要重新编写!

 

概述

在全球范围内,各国政府都将更多的注意力集中在云计算上,以满足自身的计算需求,并将其作为经济增长部门,例如美国、澳大利亚和欧洲。欧盟在其数字议程框架内对云计算表现出了特别的兴趣,包括“在欧洲释放云计算的潜力”战略

在考虑云计算时,隐私和数据保护问题至关重要,因为在许多情况下,它涉及个人数据的处理,这会带来与适用法律、角色确定、所需合同以及数据的国际转移相关的反复问题。

Data

可识别和不可识别数据

个人数据通常指与可识别的在世个人相关的数据。对于披露非识别信息,包括发布一般数据和汇总数据,通常也有限制。

需要注意的是,识别个人的能力可能包括需要其他信息/参与者来识别个人的场景,因此这通常会使“匿名”数据可识别。例如,一个数据集中的年龄和地址可以与选民登记相结合,以匹配个人——在这种情况下,两个数据集都是可识别数据。出于同样的原因,在全球范围内,假名甚至匿名数据都被认为是可识别的个人数据

敏感/特殊数据

敏感数据通常指以下数据:种族出身、政治观点、宗教、工会成员、健康、性生活、犯罪或刑事诉讼。此数据通常具有与其相关的更严格的规则。

例如,财务数据也在安全方面得到了特殊处理

非个人数据

并非所有数据法规都涉及个人数据-非个人数据的移动也存在障碍,包括数据本地化限制、跨境数据处理的法律不确定性、出于监管目的的数据可用性担忧以及服务提供商的锁定。因此,例如,欧盟委员会正在提议一项旨在消除非个人数据自由流动障碍的法规。

Regulations

法律依据

一般来说,关键原则是,如果处理个人数据没有合法依据,那么处理是非法的——新的《欧盟通用数据保护条例》(GDPR)也许是对这一一般原则的最明确的编纂。法律依据通常包括:同意、履行与数据主体的合同、法律义务、重大利益或公共利益。

监管机构和指南

欧盟指南

欧盟“第29条工作组”(工作组)发布了许多与云计算相关的意见,包括:

  • 2014年5月关于匿名技术的意见
  • 2014年3月关于个人数据泄露通知的意见
  • 关于目的限制的意见03/2013
  • 关于同意的意见15/2011
  • 关于适用法律的意见8/2010
  • 关于个人数据概念的第4/2007号意见

工作组发表了一份专门针对云计算的意见,即2012年5月5日的意见,该意见分析了在欧洲经济区运营的云计算服务提供商(“CSP”)及其客户的所有相关问题,详细说明了欧盟数据保护和电子隐私指令中的所有适用原则。

国家指南

大多数地方数据保护机构(“DPA”)都发布了专门针对云计算的数据保护指南。

  • 一些国家还没有包括比利时、丹麦(但丹麦政治部有云计算的具体决定)、芬兰和波兰。
  • 已发布云计算通用指南的国家均涵盖数据保护方面(例如比利时和丹麦)

没有关于云环境中数据保护的专门指南并不意味着本地DPA发布的关于更一般主题的其他指南不适用。一般而言,国家指导意见不会提供与欧盟指导意见不同的意见。

立法和判例法

立法是国家和超国家政府制定的正式法律,判例法是法官根据对案件的判决制定的。

欧盟法院(CJEU)的几项裁决值得考虑。欧盟法院的判决适用于整个欧盟。

  • 在互联网页面上提及个人构成对个人数据的处理。
  • 互联网搜索引擎运营商负责处理个人信息。
  • 出于统计目的或为了打击犯罪而处理和存储与欧盟公民有关的数据违反了共同体法律。

美国判例法

关键关注的领域之一是欧盟数据保护规则与其他国家法律之间的相互作用,这些国家的法律似乎存在冲突。鉴于许多最大的云供应商都来自美国,美国市场的规模以及美国国家安全局监控和信息收集的披露,美国的情况继续受到密切关注。

在微软认股权证案中,发现微软必须遵守披露特定MSN电子邮件帐户记录的认股权证,并且数据的位置(在都柏林)与此无关,因为微软仍然“控制着它”。微软决定不遵守该命令,主动藐视法庭,并继续寻求对该决定提出上诉的途径。苹果、思科、Verizon和AT&T都提交了Amicus简报,以支持微软的上诉,理由是有利于美国政府的裁决将与欧盟数据保护法律直接冲突。案件仍将继续,但可以肯定的是,缺乏明确性和潜在的法律冲突给美国云供应商及其客户带来了真正的挑战。更新-本案目前正在美国最高法院审理。

许可

某些国家的国家法律对托管某些数据的外包进行了专门规定。健康数据示例如下:

  • 法国托管服务提供商必须获得共享医疗保健信息系统机构的批准。
  • 芬兰提供医疗服务的实体即使决定将处理外包,也要对合规性负责。处理者需要注意最近关于个人健康数据电子处理的规定;它们需要满足互操作性、数据安全、数据保护和其他功能的特定要求
  • 波兰个人数据保护监察长认为,医疗部门的信息技术外包是不允许的,因为在披露医疗保密方面缺乏明确的法律规定。卫生部正在就这一问题进行公众咨询。

Location

关键关注的领域之一是欧盟数据保护规则与其他国家法律之间的相互作用,这些国家的法律似乎存在冲突。鉴于许多最大的云供应商都来自美国,美国市场的规模以及美国国家安全局监控和信息收集的披露,美国的情况继续受到密切关注。

在微软认股权证案中,发现微软必须遵守美国在都柏林披露数据的认股权证,因为微软仍然“控制着它”。微软决定不遵守,并主动藐视自己。案件将继续,但可以肯定的是,缺乏明确性和潜在的法律冲突给美国云供应商带来了真正的挑战。

GDPR对欧盟以外的个人数据传输施加了限制——第五章规定了传输条件。

Organisation

控制器和处理器

简而言之,控制者说明如何以及为什么处理个人数据,处理者代表控制者行事。

GDPR对处理者(processors)规定了具体的新法律义务;例如,要求保存个人数据和处理活动的记录,并增加了严重的违约法律责任。在涉及处理者(controller )的情况下,控制者并不免除义务——GDPR规定了进一步的义务,以确保与处理者的合同符合GDPR。

云计算-IaaS、IaaS和外包

国际ISO标准

标准对于云客户来说是一个越来越重要的工具,用于确定云计算解决方案是否安全可靠。

直到最近,认证服务提供商只能依靠一般认证方案。然而,随着ISO/IEC 27018的发布,云特定的自愿认证计划于2014年7月正式发布。该实践准则基于2012年欧洲云计算战略和工作组关于云计算的意见05/2012。其目标是充当数据保护义务的合规工具,提供更透明的云服务,协助合同谈判,并提供审计机制。

最近,通过了ISO/IEC 17788和17789,提供了通用术语和架构框架。

欧盟指南

欧洲网络和信息安全局(European Network and Information Security Agency)发布了有关云计算环境安全的报告。特别涉及以下领域:

  • 云计算的信息安全优势和关键安全风险以及实用建议。
  • 旨在评估采用云服务的风险并比较CSP产品的保证标准。
  • 一种决策模型,用于确定运营、法律和信息安全需求如何推动确定最适合需求的体系结构解决方案。
  • 安全监控。
  • 确定政府云基础设施的成员国。
  • 事件报告方案。
  • 关键信息基础架构保护(包括许多相关场景和威胁)。
  • 工作组关于云的第05/2012号意见强调了一个事实,即“除了可用性、保密性和完整性等核心安全目标外,还必须注意透明度、隔离性、可干预性、问责制和可移植性等补充数据保护目标”。这份意见更深入地分析了这些问题。

国家指南

在德国,德国数据保护机构的指导文件“Orientierungshilfe云计算”(2014年10月9日更新版本2.0)包含了关于云计算的全面建议,包括与2012年5月工作组意见中的安全规则相似的安全规则。

德国联邦信息技术安全局题为“云计算提供商的安全建议”的指南涉及IT安全相关主题,如安全管理;建筑学权利管理;用户选项;监控和安全事件管理;业务连续性;可移植性和互操作性;安全测试和审计;人员要求;协议;数据保护。该文件包括不同级别的(安全)要求,这取决于存储在云中的数据的敏感性:B类(基本要求)、C+类(额外的高机密性要求)和A+类(其他高可用性要求)。

在西班牙,没有关于云安全的明确指南,但DPA的云相关指南和工业部发布的“公司指南:云计算的安全和隐私”涵盖了这一点,该指南审查了安全和隐私方面的主要影响,特别是云安全。

Process

安全

安全性目前是数据保护领域最受监管的主题之一,对安全性的重视程度不断提高

欧盟要求控制者保证个人数据的安全并保护其完整性。为了做到这一点,控制器(或其处理器)必须实施“适当的”技术和组织措施,“特别是在处理涉及通过网络传输数据的情况下”。

欧盟条款是以一般条款制定的。会员国在实施这些措施时具有相对较高的自由裁量权,并采取了不同的做法。其中一些国家忠实地改变了欧盟的规定(例如英国),其他国家则更具规范性(例如波兰、德国和西班牙)。欧洲网络和信息安全局(European Network and Information Security Agency)已经发布了关于如何实施这些经常模糊的法律条款的实用指南,比利时、德国、波兰和西班牙也发布了国家指南。

直到最近,CSPs只能依靠通用标准认证方案。然而,2014年发布了云专用自愿认证(ISO/IEC 27018)。该实践准则基于2012年欧洲云计算战略和工作组关于云计算的意见。

工作组关于云的意见强调了一个事实,即“除了可用性、保密性和完整性等核心安全目标外,还必须注意透明度、隔离性、可干预性、问责制和可移植性等补充数据保护目标”

匿名

需要考虑与隐私和个人数据处理相关的问题,这使得人们对能够消除或至少减轻与处理此类数据相关的风险的技术越来越感兴趣。

数据保护适用于与可识别人有关的任何信息,但不适用于无法识别人的数据。

工作组认为,将假名等同于匿名是许多数据控制者的误解之一。这是因为假名数据仍然允许单独的数据主体在不同的数据集之间被单独选择和链接,因此在大多数情况下,假名数据仍然受数据保护规则的约束。

根据工作组的说法,一旦数据真正匿名,个人不再可识别,欧盟数据保护规则将不再适用。

需要考虑的一个因素是,是否有任何其他数据可用于识别个人。例如,如果数据控制者保留原始(可识别)数据,并通过将可识别数据删除给另一方来移交该数据集的一部分;所得数据集仍将构成个人数据。

总体而言,工作组似乎暗示,在“开放”数据集的世界中,真正的匿名化可能无法实现;这表明,考虑到当前的技术状态以及计算能力和可用工具的增加,识别是很容易实现的。这种方法将显著影响云服务的广泛使用

在意大利和西班牙,DPA已经做出了数据匿名化的决定。

在英国,《行为守则》解释了如何平衡个人隐私权,同时提供丰富的数据来源。它的观点与工作组不同,英国的观点是,如果信息在接收者手中是匿名的,则不会被认为是接收者手中的个人数据,即使原始控制者保留重新识别该数据的能力。

GDPR更新。使用匿名和假名来生成不可识别或非个人数据取决于其保护数据主体免受重新识别的能力,在我看来,必须假设在大多数情况下重新识别是完全可行的。

数据泄露通知

尽管没有适用于所有组织的通用欧盟规则,但违约通知正逐渐成为欧盟的规范。《一般数据保护条例》很可能会引入一般数据泄露通知义务。此外,网络安全指令草案还规定了网络和信息框架内的违规通知。

工作组提出了应通知数据主体的情景列表。德国、比利时、联合王国和意大利都有国家通知制度。

GDPR更新-必须在组织意识到的72小时内(可能分阶段)向相关监管机构报告应通知的违规行为。如果违规行为严重到需要向公众通报的程度,负责组织必须毫不拖延地予以通报。

同意

对于敏感数据(如健康信息),为了使同意有效,必须明确;自由给予;具体的并被告知。例如,如果患者拒绝使用电子健康系统,必须支付大量额外费用,或者文件处理严重延迟,则不会自由给予同意。敏感数据的同意必须明确;工作组认为,选择退出解决方案是不够的。

工作组认为,这种明确的同意不需要书面形式,但成员国之间存在一些差异。

  • 在芬兰,通常应以书面形式表示同意。
  • 在波兰,敏感数据处理的同意书应是明确的书面(硬拷贝)形式,以便有效
  • 在法国,法院认为,为了有效,必须以书面形式明确表示同意。但是,法国政治部可以采取灵活的立场;例如,在医疗保健领域,通过在数字表格底部勾选一个框,法国DPA认为同意书有效。

GDPR下的同意必须是个人意愿的自由、具体、知情和明确表示。必须有某种形式的明确肯定行动。

GDPR加强了对儿童个人数据的保护。

  • 你必须确保你的隐私声明以一种清晰、平实的方式书写,让孩子能够理解
  • 您可能需要获得家长或监护人的同意才能处理孩子的数据。

注意:如果处理与直接向儿童提供的预防或咨询服务有关,则无需父母/监护人同意

权利

GDPR加强并为个人创造了一些新的权利

  1. 知情权-“公平处理信息”,通常通过隐私通知-透明度
  2. 访问权-确认他们的数据正在处理和访问他们的个人数据
  3. 纠正权-纠正不准确或不完整的数据,如果已与第三方共享,则会产生影响
  4. 删除权-“被遗忘的权利”,如果没有令人信服的理由继续处理
  5. 限制处理的权利-“阻止”或禁止处理个人数据
  6. 数据可移植性的权利-在不同的服务中获取和重复使用其个人数据以实现其自身目的
  7. 反对权-反对处理的权利(以及与您可能遵守或可能不遵守的规则)
  8. 与自动决策和分析相关的权利-如果自动处理具有法律或重大影响,个人必须能够获得人为干预;表达他们的观点;并获得对该决定的解释并对其提出质疑。

合规

根据GDPR,您必须

  1. 实施适当的技术和组织措施,确保并证明您遵守了。这可能包括内部数据保护政策,如员工培训、处理活动的内部审计和内部人力资源政策审查。
  2. 维护处理活动的相关文件。
  3. 在适当情况下,任命一名数据保护官员。
  4. 实施符合设计数据保护和默认数据保护原则的措施,如数据最小化;假名;透明度;允许个人监控处理;不断创建和改进安全特性。
  5. 酌情使用数据保护影响评估。

 

Poster

对于那些喜欢在一页上全部内容的人。

Data Protection and Cloud Computing Framework

Data Protection and Cloud Computing Framework