隨著雲端服務已廣泛地受到個人和企業所使用,隱私維護與個人資料保護,更是用戶和雲端服務供應商雙方必須要重視的課題。對服務供應商來說,透過自我的安全評估並展現保護個人資料的決心,將有助於提升用戶的信心,也能強化市場的競爭力。
目前,許多人對於雲端服務仍裹足不前的原因,有很大的一部份是來自於信任的問題,一旦個人或企業將自己擁有的資料上傳至雲端服務之後,就會擔心資料內容是否可能會被竊取或外洩,進而造成企業重大的損失。
尤其是如果資料內容包含了個人資料的話,萬一遭到不當的揭露與使用,更可能會違反法令法規的要求,除了會造成企業的聲譽受損,很可能還要面對法律的懲處與求償。
為了強化雲端服務用戶的信心,並且讓業者能夠主動的自我要求與評估,由雲端安全聯盟(CSA)所發佈的PLA隱私等級協議綱要(Privacy Level Agreement Outline),雖然其主要目的是為了滿足歐盟(EU)對於隱私保護的要求,其實也非常適合作為雲端服務供應商在保護個人資料方面的參考。
基本上,PLA綱要對於個人資料的揭露、隱私維護、資料保護政策、個人資料的處理與儲存方式等,提供了一個良好的文件化架構,一旦服務供應商完成了這項協議,對於現有的用戶和未來的客戶,就可以根據其所展現的實務做法,評估是否可以滿足個資保護的要求,並且作為在評選服務供應商的重要依據。
建立隱私等級協議的目的
企業若採用了雲端服務,與業者的服務等級協議(SLA)往往是不可或缺的,而PLA即可作為雲端服務協議的一部分,更是服務供應商用來評估現有安全措施的一項工具,除了能夠自行檢測是否遵循了個資法規的要求,所展現的結果也能夠充分展現業者對於資料處理的透明性,以及對客戶資料保護所肩負的責任。
PLA的目標有兩個,首先是提供了雲端服務用戶一項工具,可以用來評估雲端服務供應商是否信守承諾去保護個人資料;其次則是針對個資外洩可能造成的經濟損失和違反法規時所造成的影響,提供文件化的合約要求與約束。
在雲端安全聯盟所提出的綱要之中,主要宣示了以下幾個重點:
- 雲端用戶內部與外部的盡職調查評估(due
diligence)
- 可上傳至雲端服務的個人資料類別
- 雲端資料處理的方式
- 資料所在位置、傳輸、保存、監控及安全措施
- 個人資料外洩時的通報
- 資料可移動性、移轉和傳輸的後端協助
- 可歸責性(Accountability)
- 依法實施的存取行動
- 補救與賠償
PLA的架構與綱要內容
在PLA隱私等級協議綱要之中,一共包括了16項要點,雲端服務供應商可在此陳述其所採取的實務做法,透過自我揭露的方式,讓用戶可以得知有關隱私維護與個資保護的現況,確保得以遵守來自內部與外部法規的要求,以下為各項要點的簡要說明。
1. 識別雲端服務供應商的角色和資安隱私相關人員的聯絡方式
在此可說明雲端服務供應商的公司寶號、代表人和營業地點,以及在資料存取與處理過程中所扮演的角色,還有當用戶有資料安全和隱私相關問題時,提供能夠直接聯絡的管道與窗口,以顯示業者相當重視客戶有關安全的疑慮。
2. 客戶禁止在雲端上傳送和處理的個人資料類別
雲端服務供應商可在此說明用戶要求不能在雲端服務中處理的資料類型,常見的像是醫療資料、犯罪前科等特種個資,可能不太適合以公有雲方式來處理。
3. 在雲端上處理資料的方式
雲端服務供應商在其所提供的雲端服務中,隨著所扮演的角色不同,處理資料的方式也會不同,如果服務供應商是屬於資料處理者(Processor),就必須說明因應資料控管者(Controller)所要求的資料處理做法有哪些,其中最重要的就是資料處理者不可任意變更資料處理的目的,同時也包括資料儲存的地點、類型、監控方式等。
另外,還需要說明有關資料中心對於個人資料的處理方式、存放地點和備份還原機制,如果雲端服務供應商本身採取了外包商的其他服務(例如Dropbox的儲存空間採用的是Amazon S3儲存服務),也就需要說明外包商在資料處理過程中涉入的程度、應負的安全責任及確保資料安全的做法。
如果雲端服務還需要在用戶的電腦中,安裝附加程式如瀏覽器的Plug-in等,也需要一併說明其目的和可能的影響。