首頁>>>行業(yè)應(yīng)用>>>電信     [相關(guān)廠商信息]

有效監(jiān)管讓“云”計算飛得更高

李海英 2011/05/17

  4月29日,歐盟數(shù)字議程專員Neelie Kroes表示:“要想讓云計算繼續(xù)發(fā)展并對歐洲的經(jīng)濟前景作出貢獻,就應(yīng)該對其進行更好的監(jiān)管!

  Kroes表示,云計算在ICT戰(zhàn)略和投資中的重要性正日益增強,它對“歐洲的增長至關(guān)重要”。她表示,對云計算的有效監(jiān)管能保證互聯(lián)網(wǎng)繼續(xù)成為創(chuàng)新和增長的重要源泉。如果不采取措施,歐洲的IT基礎(chǔ)設(shè)施將不能滿足云計算對數(shù)據(jù)接入的需求,將會給歐洲的數(shù)字經(jīng)濟帶來消極影響。

  Kroes認(rèn)為,在云計算監(jiān)管方面有三項工作要做:制定法律框架、確定技術(shù)和商業(yè)的基本原則與打開云計算市場。

  在制定法律框架方面,關(guān)于數(shù)據(jù)保護和隱私問題跨越國界已經(jīng)阻礙了一些組織采用云計算技術(shù)。Kroes希望確保有一個清晰的法律框架,明確數(shù)據(jù)可存儲在何地以及什么組織可以為數(shù)據(jù)安全負(fù)責(zé)。

  在確定技術(shù)和商業(yè)的基本原則方面,Kroes認(rèn)為,歐盟在API及云相關(guān)的數(shù)據(jù)格式的標(biāo)準(zhǔn)化中將發(fā)揮更大作用。這方面的工作將提高云技術(shù)的互操作性,促進云計算相關(guān)設(shè)備供應(yīng)商之間更好地競爭。

  在打開云計算市場方面,Kroes認(rèn)為在這方面采取的措施可以包括擴大試點項目,并鼓勵公共部門進軍云計算。

  云計算從誕生之日起就伴隨著法律爭議,很多國家已經(jīng)開始討論在法律上對其加以規(guī)范,適用原有的數(shù)據(jù)保護法、隱私法或者有針對性地制定相關(guān)法律。

  但云計算產(chǎn)生的法律問題又是全球性的,各國在各自管轄權(quán)范圍內(nèi)的法律規(guī)制并不足以對云計算形成有效監(jiān)管。

  跨境提供挑戰(zhàn)各國法律

  云計算與傳統(tǒng)的外包服務(wù)不同,其主要區(qū)別在于借助云計算,數(shù)據(jù)通過互聯(lián)網(wǎng)進行存儲和交付,數(shù)據(jù)的擁有者不能控制,甚至不知道數(shù)據(jù)的存儲位置,數(shù)據(jù)的流動是全球性的,跨越了國界、穿越了不同的時區(qū)。產(chǎn)生法律問題的關(guān)鍵是任何人很難知道數(shù)據(jù)在哪里共享和傳送,數(shù)據(jù)跨境傳送、即時性地在全球傳播,而每個國家都擁有自己的法律以及管理要求,云計算服務(wù)的提供者顯然無法做到與所涉及的所有國家的法律相符合,因此對各國管轄權(quán)之下的法律義務(wù)帶來挑戰(zhàn)。

  歐盟1995年通過了《數(shù)據(jù)保護指令》(即歐洲議會和理事會1995年10月24日關(guān)于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的95/46/EC指令),通常稱為“一般指令”,對于云計算,最主要的規(guī)定是,在缺乏特定承諾機制的情況下,歐盟禁止居民的個人信息轉(zhuǎn)移出歐盟到美國和世界上大部分國家。這對云計算意味著如果用戶想將包含歐盟居民個人信息的數(shù)據(jù)放到云上(這些個人信息可能是簡單如一個郵件地址或雇用信息),將這些數(shù)據(jù)從歐盟傳送到世界上的幾乎任何地方,需要至少符合以下條件之一:

  國際安全港認(rèn)證,允許數(shù)據(jù)從歐盟傳送到美國,但不包括到其他國家。

  格式合同,允許數(shù)據(jù)從歐盟傳送到非美國的其他國家,但是由于云計算涉及多層次的供應(yīng)商關(guān)系,格式合同并不總是有效。

  有約束力的公司規(guī)則(即根據(jù)歐盟數(shù)據(jù)保護法制定的跨國公司、國際組織跨境傳送個人信息的規(guī)則),該規(guī)則專門針對跨國公司設(shè)計,因此對于云服務(wù)提供商也不一定起作用。

  為了執(zhí)行歐盟指令,每個成員國也制定了相應(yīng)的法律。如德國的數(shù)據(jù)保護法,規(guī)定無論云計算服務(wù)提供商是否位于歐盟,使用云計算的公司必須采取必要的措施保護個人數(shù)據(jù)的完整性和安全。例如,公司必須與云計算服務(wù)提供商簽訂合同,以符合數(shù)據(jù)保護法的相關(guān)條款,如果不遵守這些法律,將面臨罰款和民事訴訟。

  數(shù)據(jù)安全缺乏保護

  云服務(wù)與各國數(shù)據(jù)保護法、隱私法的關(guān)系是目前備受關(guān)注的話題。在美國,涉及愛國者法、薩班斯法以及保護各類敏感信息的相關(guān)法律。愛國者法案授權(quán)美國的執(zhí)法者為反恐之目的,經(jīng)法庭批準(zhǔn)后,可以不經(jīng)允許地接觸到任何人的個人記錄。這意味著,如果用戶使用位于美國的服務(wù)器,或位于美國的云計算服務(wù)提供商,美國執(zhí)法者為了反恐調(diào)查的目的,都可以通過取得一個法庭命令的方式,不經(jīng)用戶允許而檢查其個人的數(shù)據(jù)。加拿大也有類似的規(guī)定,它的反恐法案和國防法賦予國防部長檢查數(shù)據(jù)保存的權(quán)力。美國愛國者法的第326章還要求所有的金融機構(gòu)(包括信用卡公司)獲取、證明和記錄每一個賬戶中開戶、變更和付費人的信息。薩班斯法案的頒布也為數(shù)據(jù)保護提供了法律依據(jù),適用薩班斯法案的企業(yè)在使用云計算服務(wù)的時候必須確保他們的供應(yīng)商符合薩班斯法案的要求。此外,這一問題也涉及不同部門如金融、健康等方面的法律和不同類型的敏感信息,如兒童的數(shù)據(jù)。美國的聯(lián)邦法律如金融服務(wù)法,適用于金融機構(gòu)的數(shù)據(jù)保護;健康保險便利及責(zé)任法案,適用于健康服務(wù)提供者和其他與健康信息相關(guān)的實體;兒童在線隱私保護法,適用于收集小于13歲的兒童的數(shù)據(jù),等等。

  合同規(guī)范存在困難

  通常,服務(wù)提供者與客戶之間通過合同來規(guī)范各自的權(quán)利義務(wù)。但是,在云計算建立起標(biāo)準(zhǔn)和可信的程序之前,云服務(wù)的使用者希望通過合同得到保護是非常困難和不可能的事情。靈活、易于使用的服務(wù)和易于共享的基礎(chǔ)設(shè)施是云計算的優(yōu)勢,但是云計算使用方式會產(chǎn)生很多安全問題。提供云計算的公司在與客戶的合同中,不可能對安全問題作出合同上的承諾,因為他們無法控制,他們甚至不能告訴客戶這些數(shù)據(jù)位于什么位置。如果要求云計算的服務(wù)商在合同中作出承諾,并且承擔(dān)額外的義務(wù),這很可能會破壞云計算的價格模式,使其優(yōu)勢不再。

  云計算所產(chǎn)生的這些法律問題,給世界各國都帶來了挑戰(zhàn),在一些國家關(guān)于黑莓的限制被重新提起。例如,法國規(guī)定政府不能使用黑莓手機,因為所有的郵件路由將通過美國,易被美國國土安全部看到。在印度,為了阻止政府關(guān)于使用黑莓設(shè)備的禁令,RIM公司與政府合作,以解決國家安全和用戶隱私的問題。云計算的提供者也在為此努力。據(jù)《紐約時報》報道,惠普、微軟、Google和Oracle等都在尋找解決問題的辦法,例如,在惠普英國的實驗室中,研究者正在試圖將數(shù)據(jù)發(fā)送到云計算中心之前進行加密,并在它離開云之后再解密。另外的解決辦法是,賦予個人對數(shù)據(jù)進行數(shù)字標(biāo)簽的能力,以控制云中每一部分的個人信息。這些公司也在游說各國的立法者放松限制,以確保公司能夠在管制者確定的邊界內(nèi),發(fā)展云計算。

中國信息產(chǎn)業(yè)網(wǎng)


相關(guān)閱讀:
時刻警惕云計算服務(wù)的安全性 2011-05-16
用刀片服務(wù)器打造桌面云IT基礎(chǔ)架構(gòu) 2011-05-16
云計算的三大潛在殺手 2011-05-16
SAP首席技術(shù)官:創(chuàng)新服務(wù)模式 提供完整云服務(wù) 2011-05-16
中國電信展開“IT支撐云”建設(shè) 2011-05-16

熱點專題:  云計算
分類信息:  云計算_與_電信