为什么即将出台的欧盟数据法规对云提供商来说是一个重大
数据以及如何存储、管理和保护数据从来都不是一个热门话题。在过去18个月里,大量引人注目的安全漏洞,加上人们普遍担忧大型企业如何使用消费者信息,使得数据成为许多组织的首要议程。
新的欧洲一般数据保护法规(GDPR)将改变消费者数据的存储方式和组织在数据泄露发生时必须做出的反应,这进一步加剧了这种情况。如果他们不遵守,将面临高达1亿欧元(7900万英镑)的罚款。GDPR是一项意义重大的立法,它将改变许多组织访问和存储数据的方式,也为云提供商提供了重大机遇。
欧盟(EU)各地的数据保护法律和法规对数据的存储和处理进行管理,以确保个人信息得到识别。它们旨在解决围绕隐私和数据丢失的风险,并为良好的信息治理提供框架。
1980年,经济合作与发展组织(经合发组织)发表了《理事会关于保护个人隐私和个人数据跨境流动准则的建议》。其目标是在整个经合组织国家(主要是欧洲和美国)建立一个全面的个人数据保护系统。
一年后,在欧洲理事会内谈判通过了《关于个人资料自动处理的保护个人公约》,责成签署国颁布有关自动处理个人资料的立法。
这包括七个关键原则:
•通知-在收集数据时,应通知数据主体
•用途-数据只能用于声明的用途,不能用于任何其他目的
•同意-未经资料当事人同意,不得披露资料
•安全-收集的数据应保持安全,避免任何潜在的滥用
•披露-应告知数据当事人谁在收集他们的数据
•查阅-应允许资料当事人查阅其资料,并对任何不准确的资料作出更正
•问责性——数据主体应该有一个可用的方法来让数据收集者对以上原则负责
这导致了第一个欧盟数据保护指令在1984年至1986年在当时的欧盟国家实施。该指令于1995年修订,涵盖了个人数据的保护和处理,以及此类数据在欧盟的自由流动。
该指令是欧盟隐私和人权法的组成部分。原则上,指令对欧盟国家没有法律约束力,所以尽管它已经被纳入了28个国家各自的国家法律,但执行的方式不同。
这种缺乏一致性的做法让那些希望存储和处理数据的人感到困惑,这与欧盟在所有国家建立统一开放市场的理想背道而驰。随着公共、私有、政府和混合云计算服务的发展,情况变得更加复杂。这对本地的数据存储和处理造成了挑战,从而对相关组织在数据保护和数据隐私方面的责任造成了不确定性。
因此,欧盟(eu)很快将实施《通用数据保护条例》(General Data Protection Regulation,简称GDPR),该条例将把所有28个国家纳入一个统一的规则体系,并对违规行为予以处罚。这可能是云提供商所能看到的最大的机会——一个在单一运营模式下提供欧盟范围内服务的机会。
GDPR的目的是为数据保护提供一个覆盖整个欧盟的单一法律。作为一项规定,而不是一项指令,将会有一套关于数据保护的单一规则,个别国家将没有作出选择的自由。一旦该法规通过,它的每一项规定都将成为每个欧盟成员国国家法律体系的一部分。