导读:ISO27018法规提供了一个实用的基础,从中开始建立对云计算行业参与者正确处理个人数据的信心,为更加明确立法和监管铺平道路。
ISO27018法规提供了一个实用的基础,从中开始建立对云计算行业参与者正确处理个人数据的信心,为更加明确立法和监管铺平道路。
在云计算技术的快速发展中,人们开始看到法律和监管如何跟上变化。该行业面临的一个主要问题是缺乏标准化指导。云计算不受特定的“云计算法律”的约束,其服务也不受直接监管。相反,法律和监管格局由一系列不同规则组成,范围与技术本身一样广,跨越多个行业和地区。
鉴于这种广度,从立法解决方案逐渐转向行业标准化,作为缩小监管与技术创新风暴之间差距的手段。
监管指导
虽然没有直接立法,但近年来,一些英国监管机构(尤其是金融服务部门)发布了云技术使用指南。本指南重点介绍了如何根据现有的监管规则使用该技术,虽然该指南没有规定按照监管要求部署云技术的逐步过程,但它表明,监管机构认为,企业不能在符合法规的方式。
然而,阻碍在受到严格监管的部门中大规模采用云计算解决方案的一个关键障碍仍然是:对于监管机构可能接受的确切标准,缺乏确定性。看起来,关键是标准化。
标准化
一个例子是国际标准化组织发布的ISO27018标准,该标准涉及云中个人数据的处理。该标准直接回应了欧盟监管机构的一个主要目标:为云计算服务提供商引入可审计的合规框架,促进信任,并在所有经济部门迅速采用云计算,以提高生产力(参见欧盟委员会2012年欧洲云计算战略)。
ISO27018是第一个针对云的隐私专用国际标准,旨在创建一组通用的安全类别和控件,可由作为数据处理器的公共云计算服务提供商实施。其目的是帮助公共云服务提供商在充当数据处理器时遵守其适用的义务,并对其云计算服务客户保持透明。
虽然ISO27018的大部分内容都是基于欧盟数据保护法,但标准稍微进一步,并通过确保云计算提供商实施向客户返回,传输和处理个人数据的政策来解决更多程序问题(例如,在服务结束时,并按照预定的时间间隔(或在发生重大处理变更的时刻)对其服务进行独立的信息安全审查。
帮助客户选择
在选择云计算服务提供商时,客户必须找到符合其法律义务的服务提供商。虽然每个云服务客户必须确保遵守其所针对的特定法律,但适用于大多数云客户的一套法律将是隐私和数据保护法。在这里,ISO27018可以帮助客户:
接下来是什么?
ISO27018法规提供了一个实践基础,从中可以开始建立起云计算行业参与者正确处理个人数据的信心,为更清晰地制定法规铺平了道路。目前,这是行业标准缩小法律框架与技术快速增长之间差距的一个例子。如果这种标准化继续下去,法律和法规就有可能跟上创新的步伐。