新西蘭政府的"云計算保護"
來源:中國經濟網 更新時間:2012-04-13

2009年,“云計算”橫空出世并成為熱門趨勢,至今已有3年。其間,世界許多國家對跨境云計算服務進行了深入研究,如:新西蘭政府很早就以提示用戶風險管理的形式采取了行動。跨境云計算是一個新潮流,可以帶動信息產業的新發展,但同時需要采取有效的信息安全措施,才能讓用戶安全使用云計算服務。

一、新西蘭政府制定的云計算風險管理守則

如果政府機構率先使用云計算服務,就可以實際體驗跨境云計算服務,規劃風險管理,為建立支持云計算服務跨境化的法律制度環境打下基礎。

(一)新西蘭政府制定的風險管理守則

新西蘭政府2009年4月公布了《政府機構風險管理守則》,將“利用設置于海外的服務器處理政府信息”或“將政府信息存儲于海外數據中心”作為管理對象。這一面向政府機構的風險管理守則在以下幾方面有較深的含義,與針對個人信息保護的美國安全港規則、EU的《個人信息發送至第三國的標準守則》等同樣值得研究。

從更廣泛的數據來源,匯集或分類使用跨境云計算服務,有可能存在致使政府信息泄露的風險;

并非一律禁止使用,而應按照不同信息資產,進行風險管理評價。對于潛在風險與應用所帶來的效果,用戶應該綜合考慮,自己判斷是否使用跨境云計算服務;

由于新西蘭法律與其他國家法律存在的差別,所以存在新西蘭國內法律所保護的個人信息等有可能不被在他國境內運營的云計算服務供應商所保護的風險。

(二)政府機構風險管理守則中的“必須考慮的風險”

表1是新西蘭政府機構風險管理守則中規定使用跨境云計算服務時,政府機構必須要考慮的10大風險。

表1:使用跨境云計算服務帶給政府信息泄露的風險

新西蘭政府的“云計算保護”

(三)施加給相關政府機構的法律制度及守則

1.適用法令

在跨境化的云計算服務中保存政府信息或用海外數據中心的服務器處理政府信息等工作委托給海外企業時,應該遵守如下三項相關法律。

(1)個人信息保護法(PrivacyAct1993)

個人信息保護相關事項是政府信息中一個在重要方面。

(2)信息公開法(PublicRecordsAct2005)

由政府機構服務所生成的數字信息要符合信息公開法,該法中要求確保對這些數字信息內容、訪問方法、利用方法的綜合管理。

(3)財政法(PublicFinanceAct1989s.65ZC)

關于政府機構與跨國企業(假設是海外云計算服務提供商)之間的合同中的免責事項等條款,需要根據財政法接受財務部的監督。

2.相關政府守則

除了上述法令之外,新西蘭政府要求制定行政服務的完整性、可持續性、政府機構采購規則、政府網站外部委托規則、信息安全守則、ICT相關合同中的知識產權規則、個人信息保護守則等,并要求在政府機構使用這些跨境云計算服務時遵守這些守則(表2)。

表2:政府機構的云計算服務使用相關守則新西蘭政府的“云計算保護”

二、政府機構使用云計算服務的風險管理要點

關于將政府信息保存于云計算服務或者通過云計算服務處理政府信息等方面,不管云計算服務提供商是否在國內,都會存在潛在的風險。但是,參照“政府機構風險管理守則”,尤其是從海外接受服務時,因該特別考慮的如下的風險管理點。

(一)國際形勢與國際關系之中的國家利益

(1)國際形勢

針對海外法律制度不成熟的地區或國家,充分考慮到最壞情形。針對這些地區或國家的具體情況,最高可作為“無法接受的風險”,不與其建立任何云計算服務往來。某個地區或國家是否滿足條件,可以參考如下信息。

各國政府的公開性及透明度報告

新西蘭通信安全局的官方建議

新西蘭安全信息局的“外國硬件、軟件、服務相關的安全危險”建議

(2)國際關系與國家利益

從新西蘭政府官方認定的不友好國家采購服務有可能損害國家利益,所以被認為是“無法接受的風險”。

同時,考慮到國家利益,影響國家間經濟平衡的規模大、范圍廣的海外委托等不被認可或不被社會接受。此外,長遠來看,從國家利益出發,未來10多年,會導致新西蘭國內的一些技術經驗、服務經驗逐漸失去,國家競爭力降低等類別的云計算服務,作為國家戰略也不允許海外委托。

(二)法律風險與爭議仲裁的國際機制

新西蘭國內法律與其他國家法律之間,除了法律內容不同之外,還存在法律解釋的差異。同時,法律制度性的穩定性、法律服務的質量對法律制度的運用構成較大影響。這樣的條件下,法律本身、法律解釋發生差異、法律解釋不固定時,容易發生國際糾紛。另一方面,發生爭議時的國際調停與仲裁機制尚未成熟等問題也顯現出來。具體而言,從政府機構的風險管理角度來看,以下3點應該是重點:

國內政府很難要求某個海外服務商強制執行合同。同時,如果與當地的律師交涉,還存在不得不長期支付巨額費用的風險。

新西蘭國內規定的個人信息保護、安全性、服務可持續性等涉及他國法律相關要求時,從該國接受云計算服務之際,政府機構的應對也將變得困難。例如,美國的愛國者法,法律在一定條件下,賦予該國政府對用戶數據的無限制訪問權限等。

在海外,由于云計算服務供應商的倒閉,無法繼續使用服務時,索賠處理也很難。

因此,使用跨境云計算服務時的法律風險存在各種無法控制的事項。為此,要非常慎重地選擇海外委托國家,合同條款盡可能考慮到風險并使其遵照新西蘭的法律制度,慎重核對合同,確保不含有違反新西蘭財政法條款;要咨詢國內與海外雙方面律師,要充分理解海外委托國家的訴訟過程、進度、費用和對策;要通過國際合作積極建立可解決爭議的調停或仲裁機制。

(三)個人信息處理

個人信息保護領域目前正在推進建立國際性爭議解決機制,以下是正在開展的行動。

新西蘭與澳大利亞間個人信息保護相關索賠調查的跨境合作的共識(締結諒解備忘錄)

參與APEC的數據保護探索者計劃

參與APPA的跨塔斯曼海協定計劃

與OECD之間的合作

(四)時差、語言、地理距離、社會制度等差異所產生的風險

與跨境云計算服務提供商所在國之間的時差、語言差異、地理距離、社會成熟度差異等,對政府信息處理流程的管理與遵守會造成很大影響,必須要解決24小時持續提供服務的服務臺的響應遲緩等降低運營質量的問題。因為安全事件發生后響應遲緩會帶來不夠好的第一時間應對、不準確的報告等,以及缺乏對正確情況的把握等問題。同時,因位于不同國家,受距離的影響,難以具備全局視野,管理會變得復雜,治理風險變得更高,尤其是語言差異有助長這些問題的傾向,這一點需要充分注意。

三、啟示

新西蘭的政府機構風險管理守則也表示,判斷政府機構是否應該使用海外云計算服務最終還要“基于綜合評估,積極應用”。所以,該守則定位為各政府部門判斷應用云計算服務的建議。國際形勢、最新技術、與他國相關法律制度之間的差異、各國通信基礎設施成熟度的差異、國內外的經濟摩擦等,這些都是超過一國政府可控制范疇的風險因素,在應用跨境云計算服務之際,涉及用戶權利與義務的最終還是用戶本身。因此,未來社會中,就要求用戶正確理解跨境云計算的潛在威脅與風險,能夠明智地使用云計算服務。為此,政府部門至少需要制定云計算服務的示范合同條款、云計算服務使用守則等兩項綱領性文件。

只有使社會整體能夠正確進行風險管理,持續提升意識,才能實現可保障公共安全的成熟的社會。同時,政府與公共機構需要率先制定試點,帶動企業應用。本文介紹的新西蘭跨境云計算服務的保護措施,作為一個前瞻性的法律法規管理范例,值得我國參考。

編譯:中國貿促會電子信息行業分會王喜文



铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios