法規遵循 雲端運算

法律問題與電子證據蒐集

2012-04-23
上一次談到了雲端運算與組織的經營治理,也就是高階管理階層對於雲端安全問題應有的認知,以及因應雲端部署和第三方的管理建議,本期將探討和雲端運算有關的法律問題與證據蒐集,以及用戶和服務供應商如何因應安全事件的調查。
雲端運算的其中一項特徵是會將資源作動態的虛擬化分配,也就是說雲端資料的儲存位置將跨越國界,這對於許多雲端服務的用戶來說,可能會無法控制或是根本不清楚資料實際的存放地點。一旦企業選擇透過雲端運算,將商務或個人相關資料移轉到雲端之中,對於雲端服務可能面臨的法律議題,就必須要有所認知並了解所需的因應作法。

目前在各個國家,針對資料的存取和利用,特別是和隱私有關的個人資料,都有其法律規定與要求,例如在亞太地區,包括日本、澳洲、紐西蘭等國家,以及即將實施個人資料保護法的台灣,對於個人資料的保護與安全方面,都有需要遵守的規範,其中最值得作為參考的基礎,就是由經濟合作發展組織(OECD)針對個人資料的限制蒐集、正確完整性、具明確目的、限制利用、安全保護、公開、個人參與及責任義務等,所提出的個人資料保護八大原則,以及亞太經濟合作論壇(APEC)所提出的隱私保護綱領。

在歐洲,則有歐洲經濟區(European Economic Area)的會員國依照歐盟在1995年公佈的資料保護指導綱要(Data Protection Directive)和2002年公佈的ePrivacy Directive,這些法規都有提到針對資料的安全要求和必須遵守的責任義務。

至於在美國,則有特定產業的相關法規,像是要求相關金融產業必須保障個人金融資訊隱私,確保資料的機密性、完整性,避免資訊遭到未經授權的存取與誤用的Gramm Leach Bliley Act(GLBA)法案;針對醫療產業,要求相關單位必須確保個人醫療資訊,實施良好的存取控制措施,保護資訊在傳輸過程中不會被竊取或竄改的HIPPA(Healthcare Information Portability and Accountability Act)法案;以及對信用卡和支付卡行業,要求必須實行嚴謹的網路安全措施,以保護信用卡持卡人資料安全的標準PCIDSS(Payment Card Industry Data Security Standard)。

以上提到的這些法規,都會對於在雲端上蒐集、處理和利用資料,以及將個人資料傳輸到雲端儲存服務中,產生需要注意的法律議題。

雲端運算的法律問題

對採用雲端服務的組織而言,一旦將資料傳輸到雲端之中,就必須要對相關的資料保護、安全管理、法律問題的責任歸屬定義清楚。尤其採用的是由第三方所提供的服務,那麼在合約之中,除了要求所需達到的服務等級水準之外,對於在資料處理、傳輸、儲存中所引發的問題,造成違反法令法律的事件時,彼此雙方的角色所應擔負的責任,最好是透過書面協議的方式,作為共同遵守的依據參考。

換句話說,在採用雲端服務之前,組織必須評估本身對於採用雲端服務,在資料安全上面的需求、限制和期望,才能藉此來選擇所需的雲端服務型式與部署模式,特別是要事先了解本身行業相關法令的規定,像是對資料傳輸加密方式和儲存地點有所要求的話,就可以將它反映在與服務供應商所簽訂的服務合約之中。

關於合約的部份,許多服務供應商都會提供制式的合約給用戶進行審閱,但如果合約內容無法滿足用戶對於特定風險的要求,用戶就必須提出並考量是否需要實施額外的風險控制。

舉例來說,如果用戶採用的是雲端客戶關係管理(CRM)服務,為了因應個資法的要求,如果在制式合約中並未明確定義相關內部人員的保密責任,或許就需要定義額外的個人責任義務聲明來要求相關人員簽署,同時也註明供應商必須負起連帶的損害賠償責任。

要提醒用戶注意的是,採用雲端服務並非是一成不變的,為了因應業務環境的不同和新版法令法規的要求,用戶必須要負起對服務供應商的監督責任,應該找出適合自己行業的評估與監控方法,例如定期實施測試、稽核,甚至要求在特定期限屆滿之後,重新審查服務條款和合約內容,這些都是可以考量實施的作法。

因應法規的證據提供

如果你看過歐美的法律影集或電影,就會察覺,當發生法律訴訟時,光靠相關人等的證詞是不足的,必須配合在法庭上具有公信力的證據,對於訴訟成敗才能發揮關鍵性的影響。目前,除了在犯罪現場採集的實體證據之外,隨著資訊科技的發達,電子儲存資訊(Electronically Stored Information, ESI)或數位證據(Digital Evidence)用來作為呈堂證物,也成為因應資訊犯罪事件而受到矚目的焦點。

由於在雲端之上儲存了大量的電子或數位化資訊,如何因應法規要求加以採集(E-Discovery),對雲端服務供應商和用戶來說都是一項不可忽視的問題,在雲端運算關鍵領域安全指南中,針對這個部份提出了以下的考量重點,簡要說明如下:

資料擁有者、託管者的責任釐清

當發生法律訴訟時,利害關係人有責任因應法律要求提供所需要的資訊,或是可主動提出以證明自己的清白。在雲端服務之中,雖然用戶是資料本身的擁有者,但可能是委託交由服務供應商來進行資料的管理,而且在服務運作的過程之中,針對資料的處理還會衍生出其他的相關電子資訊,例如資料存取的登入記錄、資料儲存備份記錄、系統運作的日誌等,這些資訊可能是用戶本身無法控管的。因此,若發生資料外洩事件時需要進行調查,那麼相關證據的提供絕非只是單方的責任,所以事前對資料管理責任的釐清就是必要的工作。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!