在云计算时代,数据的存储和计算都在云端,而不是在传统意义上的本地进行,因此云服务商也承担了负责数据隐私安全的角色,本文将从数据的存储、传输和访问这三个场景来阐述云服务器的挑战,并结合海外各个国家和地区的法律法规,列举Amazon Web Services,Microsoft Azure,Google Cloud Platform三家云服务提供商,着重阐述海外服务器数据隐私的法律合规问题,以及相应的解决方案。
数据隐私保护的挑战
数据存储
云服务通常是一种共享服务,云平台的虚拟化技术使得多个用户可能共享同一个基础设施,这就需要确保合适的隔离和安全措施,以防止恶意用户通过共享资源来访问其他用户的数据,因此云平台通常是多租户环境,通过租户隔离和权限控制保证数据存储的安全性。同时,如果用户的业务数据中涉及敏感数据,云服务将加密存储这些数据,用户可以根据自身需求选择是否加密,以及使用何种加密方法。
数据传输
数据加密是保护云计算中数据安全的重要手段。用户可以在上传数据之前对其进行加密,确保数据在存储和传输过程中都是处于加密状态的。这样即使云服务提供商的服务器被攻击,攻击者也无法获得明文数据,以保证数据在传输过程中的安全性。
数据访问
云平台应提供强大的访问控制和身份验证机制,通过多级别的权限设置,确保只有经过授权的用户可以访问该权限级别所能访问的特定数据。使用多因素身份验证等方式可以增加访问的安全性。
主流云服务商数据隐私保护策略
Amazon Web Services
AWS 允许用户选择数据的存储位置、保护方式以及谁有权访问数据。 用户可以使用 AWS Identity and Access Management (IAM) 等服务来管理对 AWS 资源的访问,使用 AWS Control Tower 来实施数据驻留策略,以及使用 AWS CloudTrail 和 Amazon Macie 来监控和审核数据活动。
AWS 使用户能够使用由 AWS 管理或完全由用户管理的密钥来加密传输中和静态的数据。 用户还可以携带在 AWS 外部生成和管理的自己的密钥。 AWS 提供 AWS Key Management Service (KMS) 和 AWS CloudHSM 等服务来安全地生成和管理加密密钥。
AWS 尊重用户的隐私,并且仅根据其书面说明处理他们的数据。 未经用户同意,AWS 不会访问、使用或共享用户数据,除非法律要求或为了防止欺诈和滥用。 AWS 还实施一致且可扩展的流程来管理数据的收集、使用、访问、存储和删除方式。 AWS 遵守各种国际标准和法规,例如 GDPR、PCI 和 HIPAA,并且不会将用户数据用于营销或广告目的
Microsoft Azure
Azure 用于保护数据的方法之一是加密,它使用各种协议和算法(包括双重加密)对静态和传输中的用户数据进行加密。 用户还可以使用 Azure Key Vault 或其他安全位置管理和存储自己的加密密钥。此外,用户拥有并控制他们在 Azure 服务中存储和处理的数据,选择数据所在位置以及如何从 Azure 系统中删除数据,用户还可以使用 Azure 工具和日志来监视和审核数据访问请求和活动。 除了提供用户选择的服务之外,Azure 不会出于任何目的共享或使用用户数据。
Google Cloud Platform
GCP 在云数据处理附录 (CDPA) 中向用户做出了明确而强有力的合同承诺。GCP 允许用户选择静态数据的地理位置,并默认为传输中和静态数据提供加密,为用户提供管理数据的工具和功能,例如访问控制、审核日志、删除选项和数据可移植性 。同时GCP承诺遵守各种全球和地区隐私法规和框架,不会使用用户数据或服务数据进行广告定位,也不会将用户数据或服务数据出售给第三方,定期接受独立审核和认证,以验证其隐私和安全实践。
法规合规性问题及解决方案
全球数据隐私保护相关法律
以上描述中,CSP(Cloud Service Provider)云服务提供商通过各种手段对用户的数据安全进行保护,以防止外来用户的非法窃取、修改等。那如何解决用户对来自云服务商本身的隐私窃取的担忧呢,这也是目前全世界关注的问题。通过法律法规及第三方的审核监督是可行的解决方案。目前,最重要和最全面的数据保护法规之一是通用数据保护法规 (GDPR),它适用于处理欧洲经济区 (EEA) 公民个人数据的任何组织,无论该组织或数据位于何处。 GDPR 对数据控制者和处理者提出了严格的要求,例如数据驻留、数据最小化、存储限制、访问权、删除权和数据安全性 。
除了欧洲,美国针对数据隐私保护也颁布了许多法律,包括联邦法律以及各州级的法律。
- **《加州消费者隐私法》(CCPA)**是美国加利福尼亚州颁布的州级隐私法,旨在增强消费者数据隐私权。它使加州居民能够更好地控制企业持有的个人信息。CCPA 赋予消费者了解收集哪些个人数据的权利、选择不出售其数据的选项以及请求删除其数据的能力。它还规定了企业有义务提供透明的隐私政策和合理的安全措施。
- **健康保险流通与责任法案 (HIPAA)**是一项美国联邦法律。它适用于医疗保健提供者、健康计划和医疗保健行业涉及的其他实体。HIPAA 制定了 PHI 的存储、传输和处理标准,以确保其机密性和完整性。所涉及的实体必须实施保障措施,包括行政、物理和技术措施,以保护患者数据。
全球还有许多其他法规来解决云数据隐私问题。这些法规因地区和行业而异,可能包括数据保护法、特定行业指南和标准。例如,加拿大的《个人信息保护和电子文档法》(PIPEDA)、英国的《2018 年数据保护法》以及支付卡行业的支付卡行业数据安全标准 ( PCI DSS )。
解决方案
AWS、Azure 和 GCP 是世界上最受欢迎和使用最广泛的三个 CSP。 它们都提供各种工具和功能来帮助用户遵守数据隐私法规和最佳实践,例如加密、访问控制、审计和报告。 然而,它们在范围、认证和责任方面处理数据隐私合规性的方式也存在一些差异。
范围:AWS、Azure 和 GCP 均在全球运营,这意味着它们必须遵守不同地区和国家的不同数据隐私法律法规。 例如,欧盟的《通用数据保护条例》(GDPR) 对欧盟和欧洲经济区 (EEA) 内的个人数据保护和隐私制定了严格的规则和要求。 无论数据位于何处,CSP 必须确保在处理或存储欧盟或欧洲经济区居民的个人数据时遵守 GDPR。
认证:AWS、Azure 和 GCP 均接受独立第三方组织的定期审核和评估,以验证其是否符合各种数据隐私标准和框架,例如 ISO 27001、SOC 2 和 PCI DSS。 但是,不同 CSP 的合规认证数量和类型可能有所不同, 例如,AWS 拥有超过 90 项合规性认证和证明,而 Azure 拥有超过 100 项,GCP 拥有超过 60 项。 用户可以在各自的网站上比较每个 CSP 的合规性产品或使用云合规性矩阵等在线工具。
责任:AWS、Azure和GCP都遵循共享责任模型,CSP对云基础设施和服务的安全和隐私负责,而用户对其在云上的数据和应用程序的安全和隐私负责。
综上所述,AWS、Azure和GCP都以类似的方式解决数据隐私方面的法律合规问题,但是它们在隐私政策、安全功能等方面可能存在一些差异。
参考文献
-
美国各州隐私立法实时追踪:US State Privacy Legislation Tracker
-
欧盟《通用数据保护条例》(GDPR)实务指引(全文版) 中国电子政务网--电子政务--图书推荐--欧盟《通用数据保护条例》(GDPR)实务指引(全文版)
140
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
