查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《科技创新与知识产权》
云计算中隐私保护的责任制度
【作者】 Siani Pearson Andrew Charlesworth【分类】 知识产权法
【期刊年份】 2010年【期号】 4
【页码】 16
【摘要】

如何提供云计算中的恰当的隐私保护是一个重要的,却尚未得以解决的问题。在本文中,我们从程序和技术两方面阐述了解决此问题的未来之路—责任制度,希望可以化解云计算中法律上的隐私权和安全风险问题。

【全文】法宝引证码CLI.A.1155094    
  1.导言
  云计算是一种可以根据用户需求而便捷地使用互联网上大规模、技术支持服务器的计算方法。云计算具有便捷和高效的特点,但同时也带来了隐私和安全的风险。用户使用云服务器的一个重大障碍便是他们对数据泄漏和隐私曝光的担忧。此外,“云”的跨司法管辖的性质也提出了对目前立法上所要求的数据保护,包括跨国数据传输限制的挑战。
  尽管对隐私权这个术语的分析非常复杂,但是就其最宽泛的意义而言,隐私权是人所享有的权利中最基本的一种权利,包括独处的权利。在商业中,对于消费者来说,隐私权意味着要保护和合理利用他们的个人信息,并且要满足消费者对其个人信息的合理利用的要求。对于各种组织来说,隐私权意味在遵守法律、政策、标准和程序的基础上管理私人的个人识别信息(PII)。
  我们在本文中将着重分析以下内容:根据欧盟欧盟95/46/EC指令的定义(而不是比较狭隘的美国法意义上的数据安全)对论在数据保护意义上的隐私权;个人识别信息中的数据(可以追溯到特定个体的信息,比如电话号码或社会安全号码);可能在云计算中签订服务协议的公司-一不论是为了自己利用还是提供给它的客户,此类实体最有可能有资源来使用我们上文所建议的技术和程序的问题解决路径。然而我们的方法不是专门针对欧洲的,而是与美国和业太地区法律规定的隐私保护原则也相互符合。
  本文将综合法律规定、程序措施和技术措施,在一个灵活的可操作的框架内来阐述责任制度,用以解决云计算中的隐私保护问题。
  2.云计算中的隐私问题
  隐私是一个重大的商业风险和履约问题,因为它处在社会常识、人格权和法律授权问题的交叉点。
  变化的环境中分享服务—但这同样可能成为在维护隐私担保级别上的缺陷,这样的缺陷将削弱潜在用户的信心。例如:
  外包。数据处理的外包总是引发管理和责任的问题。由哪方来承担是否遵守个人识别信息或者数据处理标准法律要求的负责?他们能够有效地对第三方是否遵守上述法律规定作出审查么?数据处理可以在多大的程度上进行分包?分包的认定和诚信问题如何被确认?数据处理者和他们的外包方们将荻得数据中的哪些权利,这些权利在破产、收购或兼并时能够被转移到其他第三方么?“按需付款”和“按使用数量付款模式”可能因为建立在脆弱的信托关系之上,而出现与仅拥有较差数据安全实践能力的第三方发生联系、数据被广泛公以及被删除数据的操作很难被验证等问题。
  离岸。离岸数据处理引发危险因素和法律难题包括,司法管辖权问题(在哪国的法院立案?)、法律适用问题(遵从哪国的法律?)和执行问题(一项法律救济能被有效的实施吗?)这些都需要我们进行考虑。结合了外包和离岸的云计算服务可能会引发更加复杂的问题。
  虚拟化。共享设备中也会有安全风险,例如丧失对数据存储和可能取得数据的人的控制。相互作如果要与法律上的隐私保护要求一致,并满足用户关于个人识别信息的隐私保护期望,就要求企业在其处理数据的所有阶段—从搜集到销毁—都在一个合理层面上进行控制。云计算的优点—规模大,速度快,可远距离储存数据,并且在一个不断用的数据是产权不明的副产品,很难预测究竟该保护哪一方的数据,甚至看起来安全的数据也可能成为商业秘密。
  自主技术。如果技术进程被赋予自主决定的功能,例如自动适应服务来满足用户和服务提供者不断变化的需求,将挑战企业维持持续的安全标准和提供适宜的商业连续性及其备份的能力,特别是在云中数据处理将发生在何地都有可能无法确定的情况下。
  由于云计算表现出上述各方面的问题,而要想解决隐私问题就必须解决一系列问题,这就需要新的,甚至独特的机制,而不是综合已有的技术来仅仅解决某些方面问题。举例来说,在一些企业进行跨国个人识别信息数据中的隐私问题可以结合企业规则来解决,但这种方法在企业采用云计算方式,由第三方云服务提供者来处理个人识别信息数据时便不适用了。
  总之,对供应方发出的要约中速度和灵活性的可调控性将刺激云计算商业发展的进程,但同时也带来了数据隐私和安全的高风险。这是用户最关注的问题,特别是对于有关金融和健康方面的数据而言。
  2. 1法律和法规解决途径蓝图
  有效的公司治理遵守区域化管理模式而言是至关重要的,而这可以加强欧盟的(企业联合规则(Binding Corporate Rules)和亚太经济合作组织国家的跨国隐私规则(Cross Border PrivacyRules)。区域性组织在处理个人识别信息数据时必须提供切实的保障(包括限制其使用和公开),否则将面对法律上的、经济上的和名誉上损失。一旦在云中出现信息管理能力不足的问题,就应该严厉限制使用以“云”为基础的服务市场外购关键商业程序。
  企业和政府组织已经越来越意识到把隐私保护整合在技术设计过程中的需求,然而隐私责任不同,隐私保护实践不同,各种组织情况的不同使得以单独的程序和技术控制无法完全解决云计算中的隐私问题。云服务供应商和市场供应商需要设计好的程序来确保各种义务和措施被组织起来经受住技术和程序相结合的考验,这种技术与程序的结合将一同为保护云中的个人识别信息数据而提供广泛的保证。环境是满足这一要求的关键,由不同的实休从不同的背景中收集的不同信息也许会涉及到完全不同的数据保护标准。
  描绘法律和制度的途径需要对个人识别信息保护的理由、目标、以及这些如何转化到云计算环境中的理解。如果云计算能够充分发挥它的潜力,消费者会愿意将个人信息托付给满足下列条件的市场:
  1.在一特定的相互影响的情况下,如考虑法律基础、政策和社会环境,确定风险和需求;
  2.基于这些信息,确定何种保护方法更为合适(包括程序和/或技术);
  3.根据环境确定的适当保护方式,确定保护潜在伙伴个人识别信息的有效的担保和审核方式;
  4.确定一定程度的透明度,使得潜在供应商的数据保护义务和程序具有可观察性。
  遵守隐私权法律所提出的要求已纳入考虑,关键是尊重跨国传输义务的需求。考虑到这在云计算中难以保证,我们建议法律应逐步改变,以便其能够在不断变化的、全球性的环境中被遵守。责任制的概念也许会提供解决这一问题的思路。
  3.责任制:前进的方向
  在本节中我们将考察责任制的定义和我们何如肯定个人识别信息使用上的责任制和共同责任在云计算中是可用的。为此,我们将展示责任制是如何解决上文中所提到的问题的。最后,我们将说明需要何种程序措施,和实施责任制的技术方法的基本原理。
  3. 1什么是责任制?
  对“责任制”这样一个在准则中具有多种涵义的术语,下一个清晰的定义是很重要的。例如,该术语已经在计算机科学中被使用了很多年,用来描述通过报告和审核机制来满足的内在需求。本文中使用的“责任制”是指公司数据管理,并涉及到一个特定的目标的程序—防止个人识别信息的主体损害—可以通过公法(法律、法规)、私法(合同),自我约束规则和隐私保护技术(系统结构、访问控制、机读政策)的相互结合而实现。
  就数据来说,国内和国际的隐私保护途径已经被公法和以“掌握和控制”为前提的调整战略所深刻影响。然而当技术的发展使基础管理技术过时以后,这样的法律和调整机制就变得效率低下了。在一些商业环境中对个人识别信息的有效私法保护途径因此而大打折扣,而组织有效衡量、控制和提供补偿的能力也被忽视,由此其商业风险的也大大增大了。
  特别是欧盟的数据保护体制,对关键的、发展中的技术缺乏有效监管措施,比如移动电子商务和云计算。同样的,孤立来看,自我调节也缺乏有效的隐私保护的能力,同时还有风险评估的脆弱性和一致性检查的有限性。
  我们所主张的责任制将综合公共的和私人的责任制来实现。公共的责任制源于个人识别信息的主体和监管机构(例如信息主管、数据控制者)之间的互动。这是以高度透明的程序为前提的。相反,私人责人制源于数据控制人和数据处理人之间的互动,以合同法,技术过程和实际的内在遵循要求为前提。这样的责任制的目标不是满足一系列的程序要求,而是减少对个人识别信息主体损害的风险,从而减少或允许数据控制者改正负面问题。它意味着在分散的环境—比如云服务中,完全避免对个人识别信息主全的损害是不可能的,但是灵活而有效的对损害做出反应的能力将提供一种更有效的形式来保护隐私。
  3.2责任制在云计算中如何来保护隐私权
  在云中消除隐私风险的方法涉及到重新引进一种控制因素。对于企业用户来说,云计算中的隐私风险可以通过隐私权政策和在契约中设立责任制来减少。具体来说,负有责任的组织将确保其保护数据的义务会被所有的数据处理者观察到,无论这种处理是在哪里发生的。
  通过协议,所有牵涉到云供应的组织都将负有责任。当企业用户,作为云供应中第一个企业实体,而负有法律责任时,其还会因为合同协议而负有首次服务提供者(SPl)的责任,这要求最初服务提供者也有服务提供者的合同责任。这与一些外包环境中现有的例子相类似,在这些例子中,让与人通过规制而负有责任,即便受让人的行为与合同不符。
  下面所列的因素是云中责任制的关键:
  透明性。人们应当被充分通知到关于他们的数据在云中是如何处理的,并且应该清楚确定涉及到个人识别信息处理的个人和组织的责任。正如其他分散的数据环境,云计算中的透明性不只涉及法律和监管,还会涉及避免违反公序良俗。在本文中,透明性意味着在一个实体处理处理个人识别信息数据的公开程度,以有效确保其责任制。
  保证。企业用户通过其隐私保护政策提供担保和透明性给消费者,同时从服务提供者那里凭借契约措施和审核要求相似的担保。
  用户信赖。责任制可以帮助培养用户的信赖,当人们不清楚为什么要求提供他们的个人信息,或被难,如何处理他们的个人信息时,将导致怀疑和最终的失去信任。同时人们还关注在云中的数据是否被充分保护。
  责任。大部分的数据保护制度都要求一个明确的对个人识别信息处理的责任分配,因为现有的监管机制非常依赖用户和监管机构介入到责任群体中来。分散化的数据环境,例如移动电子商务和云计算,会妨碍责任的确定。优于信息在云中被分享和处理,我们可以通过契约预先确定责任,这样可以预先避免造成监管失败的印象(印象会侵蚀用户的信赖)。它还允许公司评估他们的交易风险,即潜在经济损失和侵犯数据隐私。这些信息可以被用来建立组织的和群体隐私和安全标准,还能实施符合监管规范的履约措施。
  服从政策。责任制可以确保云服务遵从法律,还能使本文中建议的机制服从云供应商组织政策、用户偏好和审核。
  使用法律和监管途径,首先要确定定位。定位要么由于数据将按照描述的那样被处理,无视法律而变得和顾客不是很相关,要么通过在契约中对数据将在哪里处理具体化而变得透明。在责任制模式中,企业用户与法律和监管机构一起在司法管辖区和公司内部协议之间传输数据。对于企业用户而言,在司法管辖区之间移动顾客数据的灵活性会极大影响其成本。
  利用责任制,监管机构对违法链条上中任何人的违法行为在第一链条上实施法律。然而是否任何规章制度都生效将取决于一些特殊情况,包括监管机构的背景等。这种方式在可以对一个在监管机构管辖内的组织采取行动时会更加有效。
  责任制被包含在不同的隐私
小词儿都挺能整
  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1155094      关注法宝动态: