CIO要時常關注與企業雲計算密不可分的五個法律問題

位於紐約的Proskauer Rose LLP律師事務所的專利部門的高級合作人和訴訟部門HTTP://www.aliyun.com/zixun/aggregation/30485.html"> 電子證據任務組的成員Nolan Goldberg說，作為一個律師，他擔心的雲計算服務問題是雲計算經常把電子資料從內部IT基礎設施轉移到由協力廠商廠商管理的系統。 這種資料監護權和潛在的控制權的轉變產生了遵守法規的問題。

從法律的角度看，這些問題應該出現在基於雲計算的專案的規劃階段。

1.雲計算服務對電子證據義務有何影響?


　　


訴訟證據義務涉及到訴訟當事人監管或者控制的檔。 因此，雲計算服務的消費者也許需要保留、搜索和搜集放到雲計算中的資料，如果那個資料檔案仍在這個消費者的控制之下的話。 但是，你如何知道這種資料是否仍在那個消費者的控制之下呢?法院在類似的情況下指出，服務協定是確定協力廠商監管的資料是否在建立者的控制之下的起點。 因此，在確定一個指定的雲計算服務的適應性的時候，服務協定是非常重要的。


　　


在最常用的雲計算服務中，消費者保留對自己的資料的控制。 因此，電子證據義務的範圍沒有受到影響。 然而，雲計算服務的應用能夠影響到消費者以節省成本和準確的方式滿足證據義務要求的能力。 例如，消費者不會像瞭解自己的網路一樣擁有雲計算服務工作原理的知識，從而有可能降低查找證據的速度和提高這項工作的成本，並且有更高的出現錯誤的風險。 另一個例子，缺乏直接存取雲計算硬體的能力以及大多數雲計算都缺少透明度可能會使保留和搜集證據資訊更加困難。


　　


如果一個機構已經在訴訟之中，或者預計未來可能會有訴訟案件，這個機構應該特別謹慎，不要降低對與訴訟有關的ESI(電子化存儲的資訊)的控制水準。 即使預計不會出現具體的訴訟案件，一個雲計算服務消費者也應該在選擇雲計算服務提供者的過程中確定保留、搜索和搜集這種資料的策略。 如果有必要，這個廠商在這些證據任務中的合作可以按照服務協定以合同的方式確定義務，並且核實相關的成本。





最後，已經通過制定檔保留計畫採取步驟減少其證據負擔的任何機構都應該保證這個雲計算服務能夠支援這些努力。 如果不應該存在的資訊仍在雲計算服務中，這個機構減少成本的計畫就會受到破壞。


　　


2.訴訟當事人能夠輕鬆地在雲計算中找到我們的資料嗎?


　　


當一個機構使用一個雲計算服務的時候，它可能創建一個額外的訪問其資料的來源。 在某種情況下，一個訴訟對手可能會要求雲計算供應商直接提供這個機構的資料(或者與記錄檔有關資料等資訊)作為證據。 這種要求在大多數情況下會被拒絕，因為雲計算服務的消費者會得到更合適的待遇。 然而，向雲計算廠商提出的直接證據要求或者發出的傳票是獲得某些資訊的唯一途徑。 這些資訊是不可能通過雲計算服務的消費者獲得的。 例如，根據服務協定的條款，某些與消費者的檔有關的中繼資料也許是在廠商的控制之下而不是在消費者的控制之下。


　　


消費者能夠以合同方式委託廠商在收到要求獲得消費者的資料的請求或者傳票的時候通知它。 另一個好主意是授權廠商直接拒絕要求獲得這個資料的請求，給消費者一個機會拒絕這個請求，或者至少以保密限制的方式提交那個資料以便保護那個資料。


　　


3.如何保護放在雲計算中的資訊的價值?


　　


如果缺少適當的技術和合同的控制，某些放在雲計算中的資料的價值會降低，從而導致資料非法洩露給協力廠商。 這種資料的例子包括商業機密和特許的通訊等。 把任何資料提供給雲計算廠商的許可權必須是有限制的。 某些最低水準的存取權限是必要的，這樣，廠商就能夠操作雲計算服務。 但是，超過這個範圍，風險就增加了。 允許廠商為了自己的目的(如發佈有針對性的廣告)訪問消費者的資料對於包含敏感性資料的應用程式來說是不合適的。


　　


內部網路中使用的一些控制措施也應該用於雲計算服務中。 這些控制措施包括加密和存取控制。 但是，要記住，雲計算中的安全比內部網路更複雜。 內部網路只需要防禦外部對網路的攻擊。 雲計算服務必須保護資料安全，既要防止外部人員訪問，也要防止這個服務的其他人員和服務提供者自己訪問這個資料。


　　


4.考慮使用一個雲計算服務會違反隱私法嗎?


　　


在把資料放在雲計算服務中的一個限制問題是這個服務是否遵守處理、保留或者傳送資料的規定，如《歐洲資料保護指令》的規定。 這個規定適用于可能發送的資料。


　　


而且，如果這個資料經過採用這種規則的國家，雲計算服務的運營可能會無意中使沒有處理限制的資料陷入混亂。 廠商應該準備好找到它的服務中的資料在什麼地方，並且制定一些合同限制條件，防止這個服務以任何不合乎要求的方式傳送資料。


　　


5.在選擇一個服務之後能夠採取什麼步驟進一步控制風險?


　　


實施一個雲計算專案是開始一個訴訟準備計畫的充分理由，如果你的機構以前沒有這個計畫的話。 放在雲計算中的資料應該包括在一個ESI目錄中(如一個資料地圖)。 這樣，既可以防止在激烈的訴訟中忽略這個資料庫，又可以提供一個方便的流程説明更有效的和更經濟地搜索資料。 例如，除了標出雲計算庫及其記憶體的存在之外，這個資料地圖還應該包含如何收集和保存在那個服務中的資料的具體措施。 Goldberg說，如果你按照我的忠告去做，並且在選擇一個服務之前搞清楚這個問題，這個步驟應該是很容易的。 這個資料地圖還應該包含這個服務協定的副本。 這個協定將是確定有訴訟有關的義務的核心。 如果在搜集證據過程中出現意想不到的錯誤，消費者可以使用這個資料地圖作為其搜集證據的努力的一個合理的證據，從而可以避免最嚴重的證據處罰。

有許多不同類型的雲計算服務，低價格的雲計算服務一般對於如何存儲和處理資料以及在什麼地方存儲和處理器僅向消費者提供很少的控制能力，高價的服務向消費者提供許多控制能力。 控制機構風險的最佳方法是選擇一個適合自己特點需求的雲計算服務，以便發現遵守法規的風險，並且提供警示說明指出某些資訊完全不屬於雲計算供應商。

(責任編輯：蒙遺善)