雲時代須瞭解不斷變化的風險與責任

雲服務行業的穩步發展印證了企業正在快速將其所有或部分計算、應用程式和資料存儲需求遷移到這一新興目標。 據 Gartner 稱，該行業有望在 2015 年之前一直保持強勁增長態勢，預計屆時全球雲服務收入將達到 1488 億美元。

這種對於雲計算迅速高漲的熱情並不是無端燃起的，而是因為其收益的確極具吸引力。 其中，主要的動因包括顯著降低 IT 成本以及提高運營效率、企業合作能力及業務敏捷性。 此外，新興服務選項提供了眾多選擇：Amazon Web 服務、Rackspace、Nirvanix 和其他供應商的「基礎設施即服務 (IaaS)」; Microsoft Azure 和 Google Apps的「平臺即服務 (PaaS)」;以及 Salesforce.com 和 CaseCentral 等供應商的軟體即服務 (SaaS)

雲技術的早期採用者將這種遷移視為業務發展的必要條件，儘管其中暗藏著服務中斷以及安全與隱私洩露風險。 然而，雲服務供應商顯然完全理解企業最初將關鍵資訊資產交給其管理時的猶豫心情，因此他們再接再厲，以期減輕企業對嚴格的服務水準協定(SLA，涉及正常執行時間、隱私和安全要求)的擔憂。

Intuit 和 Google 最近發生的超長服務中斷事件登上了各大媒體的頭版頭條，而這只不過進一步證實了雲技術不僅現在會中斷而且未來也會中斷，這意味著服務品質和資料可用性問題仍是重中之重。 雖然加密仍是在遷移到雲環境時保護資料的基準方法，但在與任何雲服務供應商建立合作關係之前，還應該瞭解有關如何遷移資料並分清責任的問題以及必須應對的額外風險。

在討論雲風險時，有一些同等重要的問題浮出水面。 雖然這些問題尚未成為令人高度關注的頭條新聞，但仍具有深遠的影響，需要給予持續探討和關注。 Savvy IT 領導者開始意識到，在權衡雲計算風險時必須攻克「三道」難關：中斷、隱私和安全。 與以往相比，謹慎評估、並與其他利益相關組織建立合作夥伴關係，對於瞭解和減輕檔案管理、電子發現 (eDiscovery)、司法問題和退出策略帶來的風險來說，變得更加必要。

檔案管理：資料保留及清除

將資訊遷移到雲的重要優勢之一是可以極大地簡化資料管理。 迄今為止，企業一直在強調確保資料的完整性和可用性，卻不太考慮資訊保留和清除要求。

這方面的問題需要企業 IT 部門和法律部門之間協同解決，以瞭解並明確具體的資料保留和處理需要，之所以如此，是因為許多雲服務供應商提供的合同都是千篇一律的標準協定。 另外請切記，雲供應商的工作性質是收集資料，而不是清除資料。 他們能令企業非常輕鬆地擴容，鼓勵企業保留全部資料。 資料的清除通常不是他們討論的主題，但卻值得探討。

遷移到雲環境被認為會使資料管理變得更容易，然而對於資料保留來說，與在企業內部處理相比，在這種新環境下處理會更加複雜、困難。 因此，企業需要確定其選項有哪些以及服務供應商如何處理檔案管理。 舉例來說，瞭解服務供應商如何應用多個保留原則至關重要，因為他們就是利用這個方法，根據雙方的協定來清除某些資料集。

在某些情況下(如涉及 SaaS 雲服務模式)，資料保留和清除可能被納入服務方案中。 許多基於 SaaS 的電子郵件供應商設定了刪除保留時間超過一年的郵件的策略。 另外，也可以通過企業的備份軟體管理資料保留。 無論採用何種方法，客戶都需要在制定資料保留和清除策略方面發揮積極作用，並與供應商緊密合作，以瞭解違反(甚至是無意間違反)這些策略時將帶來的法律後果和風險。

電子發現(eDiscovery)：資料保留、採集和生產

與在企業內部處理流程相比，雲計算還會使搜索、訪問、收集和保存電子存儲資訊 (ESI) 變得更費力、更複雜、風險更高。 在解決這方面問題時，企業 IT 部門需要與相關法律部門合作，以獲取關於雲發現與異地存儲之間差異的指導和建議。

與檔案管理一樣，雲服務類型也會影響功能級別。 例如，如果企業只是將雲作為一種存儲庫使用，那麼能夠搜索資料的可能性會大大降低。 然而，如果企業使用 SaaS 雲服務，就會增加執行搜索和內容索引的可能性，從而支援電子發現(eDiscovery)需求。 在評估這些功能時，瞭解雲服務供應商提供的工具非常重要。 在某些情況下，企業能夠組合使用內外部工具，以加強搜索和識別資料。

另一個重要問題是需要瞭解基於雲的資料的真實性和容許性。 例如，將資料移轉至雲環境時，資料擁有權是否發生改變?企業訪問雲中資料的許可權是否與訪問本機存放區資料的許可權不同? 此外，如何評估和監控資料的真實性? 以原始格式維護資料至關重要，但有時遷移到雲會改變中繼資料和檔案名。 這會使情況變得相當複雜，特別是當企業不再能夠訪問曾存儲在本地的中繼資料時。 如果在遷移至雲時資訊發生更改，企業應該明確是否可以通過資料審核來證明這些資料在原始格式時仍然有效。

從法律角度講，應用「依法保留」政策的能力對於將資料作為證據管理原則的一部分進行保留十分必要。 當處理基於雲的資料時，這個程式會變得更加複雜，因此需要在與雲服務供應商簽署協定之前執行額外的審慎調查。 最重要的是，企業需要瞭解資料是否必須恢復到客戶的位置以滿足依法保留政策要求，或是否可以應用依法保留政策(雖然資料仍駐留在雲中)。 尤其是，確保雲供應商沒有任何會導致破壞資料的行動，否則很可能招致處罰或其他代價高昂的法律後果。

如果雲服務供應商無法在任何訴訟程式執行過程中按照法院規定的方式和時間恢復資料，則會產生包括商業處罰、負面推論和制裁在內的嚴重後果，從而將使雲中的電子發現(eDiscovery)問題呈愈演愈烈之勢。 避免這些可怕後果的最佳方法是在該流程的早期與法律專家和利益相關方合作，以便精確找到任何潛在的電子發現隱患。

司法問題：資料的存儲位置至關重要

司法問題常常被人們忽略，解決這一問題需要著眼于兩個層次。 首先，企業必須確保其雲服務供應商能夠嚴格按照有關法律規定的資料需要被存儲的特定位置進行運營。 其次，請務必考慮資料性質，尤其是美國雲供應商，其保留的資料或電子郵件屬於外國公民，原因在於歐洲的隱私法要嚴格很多。

全美各所大學是最早採用雲計算技術的機構之一，它們中有許多都將數以千計的學生電子郵件遷移到雲中，以節省 IT 運營成本和資源。 有關電子郵件外包使機構滿足不斷提高的校園通信和協作需求的成功案例不勝枚舉，但在一些學校仍存在一個不太為人知的事實，那就是歐洲師生的電子郵件面臨著郵件外包帶來的附加風險。 歐盟 (EU) 的隱私法比美國嚴格很多，前者要求將電子郵件交由協力廠商處理前必須得到各方授權。

跨界問題不再僅僅困擾資料擁有者，目前已經開始向雲供應商檔案伺服器的物理位置蔓延。 由於許多供應商都在全球多個資料中心存放資料，因此，為了有效應對各地不同的隱私法，確認每個資料中心的位置所在是非常明智的做法。 要重申的是，最根本的目標是隱私暴露最小化，同時必須記住，司法是一個會出發法律、法規及合規風險的領域。

退出策略：重新獲得資料

或許最容易被忽略的方面就是，當企業想中止雲服務或更換雲服務供應商時會遇到問題。 企業必須提前制定退出策略的原因有很多，例如，避免在雲服務供應商破產時資料洩露，並確保所有雲資料都能夠被重新獲得或遷移至新的供應商。

迄今，這一方面尚未引起雲服務供應商的足夠重視，這裡有必要剖析他們回避這一問題的原因，但瞭解如何讓客戶找回資料的流程則更加關鍵。 有些情況下，可以直接將資料從 A 廠商遷移至 B 廠商。 無論怎樣，都必須考慮成本和時間因素，同時潛在的風險也要引起特別關注並尋求法律建議。

不同的雲服務供應商提供的服務也千差萬別，有些供應商更願意就上述客戶關心的方面進行協商。 切忌簽訂那些不支援客戶定制或修改的固定式合同。 顯然，客戶實力越強，就越有協商的資本。 但對於小規模的組織來說，在將任務關鍵型資料移轉至雲時更須謹慎，因為它們同樣會受到嚴重影響。

降低雲的相關風險的深入分析

由於存在潛在的有損聲譽的資料洩露風險，因此建議服務供應商首要關注如何最大限度減少普遍的服務中斷情況，同時採用適當策略和程式來降低隱私與安全風險。 有時，個別雲服務供應商會因客戶無法檢索其資料而且被迫接受額度高達數十萬美元的罰款，這樣的實例雖不太可能登上媒體頭版頭條，但卻真實存在。

出於該原因及上述其他所有原因，IT 企業必須開始審視將資料移轉至雲時所產生的洩露程度較小但卻具有同等影響力的風險。 同時，大型企業和小型企業需共同確保所有重點領域都得到完美解決，從而保證向雲遷移能夠增加業務收入，而不會帶來債務。

眾所周知，最好的防守就是進攻，因此那些希望降低雲相關風險的公司需要在遷移前瞭解相關法律事宜。 首先要讓企業內的 IT 和法務人員集思廣益。 這個跨職能團隊能夠在制定詳細策略前全盤掌握公司的資料情況，從而確保任何資料移轉到雲都會改進企業效率和流程，而不會產生瓶頸或風險。

(責任編輯：杜慶先)