作者:斯科特·蒂尔,爱德华·查特顿和路易丝·克劳福德

香港个人资料私隐专员(“盈大地产)最近出版的资料单张概述《个人资料(私隐)条例》的应用(“PDPO),用于寻找云提供商的数据用户。资料单张概述了保障资料原则("公诉主任),并强调了云计算的特殊特征,从隐私的角度来看,这些特征会带来风险。

什么是云计算?

虽然没有普遍接受云计算的定义,公署是指它作为“按需池,共享,可以迅速提供给客户以最小的管理工作或服务提供商交互配置计算资源”。从本质上说,它涉及在多个位置,这是通过互联网访问计算机上的数据的存储和处理。这从不同的外包通常涉及到客户的基础架构由第三方管理,并且也为“本地”硬件的传统的软件授权或购买的背离。

云计算的主要好处是,客户可以避免在IT基础设施上进行大量投资,否则,托管大量数据就需要这些基础设施。他们所需要的只是一个互联网连接,这允许他们从世界任何地方访问他们的数据。云计算还可能使组织能够利用其他技术,比如大数据分析,从而获得竞争优势,否则,考虑到涉及的数据的规模和多样性,大数据分析将难以管理。

为什么云计算涉及数据隐私法?

云解决方案可以处理各种数据,但如果数据是“个人数据”(即可以用来确定个人身份),则应用PDPO,涉及到以下各方利益:

  • 数据用户:控制个人数据收集和使用的实体或组织,并选择采用云服务作为其数据管理策略的一部分。
  • 数据主体:任何个人的个人数据正在通过云服务处理,例如一个组织的客户或雇员。
  • 数据处理器:提供云服务的实体。

根据香港法例(事实上许多其他法律制度亦是如此),无论资料处理者采取什么行动或不采取任何行动,资料使用者均有责任遵守私隐法。因此,在聘请云服务提供商时,数据用户应注意,任何违反PDPO的行为都应由数据用户负责,即使是由云服务提供商造成的。

因此,数据用户应谨慎选择云服务提供商,在处理个人数据方面对自己施加严格的义务,并就任何违规行为获得合同赔偿。采取这些措施,不仅从风险管理的角度来看很重要,而且符合《个人资料(私隐)条例》下的法定义务:在聘用资料处理员时,资料使用者须使用“合约或其他方式”,以确保:

  1. 个人资料不会由资料处理器保留超过所需的时间(有时称为“保留规定”)。该规定要求资料处理人遵守资料使用者的保留政策,并在服务终止时归还(或销毁)其管有的个人资料;和
  2. 个人数据被保护,以防止未经授权或意外的访问,处理,删除,损失或使用(有时被称为“安全要求”)。既要满足安全要求的安全措施没有规定,但是措施,如加密,防病毒软件,防火墙和人身安全的措施被认为是最好的做法。公署参考了实践的ISO 27018规范中充当PII处理器,为云服务提供商提供了具体的指导公共云的个人身份信息(PII)的保护,并可以帮助数据用户在选择自己的云服务提供商。然而,由于公署明确,符合本标准既不是由法律规定,也不保证实现符合法律规定。

个人资料私隐问题及如何处理

除了在处理数据和个人数据的存储控制的损失,也有这使得云服务从隐私的角度“高风险”等因素的影响。这并不意味着不应该使用云服务(而事实上,一些云服务可以提供与否则将在内部使用的措施相比,组织增强的保护),但它确实意味着适当步骤,应采取措施解决这些风险。公署突出了以下独特的“云”的特性,其中数据用户应该知道:

1.快速跨界数据流

云服务通常由位于多个司法管辖区的数据中心提供。这使得云提供商能够优化存储容量和服务速度。然而,物理和技术安全级别可能因国而异,在一些国家,法律可能会规定加密级别,并可能允许政府或监管机构强制访问数据。因此,资料使用者应要求云计算供应商披露其数据中心的位置,而云计算供应商只有在能证明在海外数据中心处理的数据与在香港处理的数据会受到类似保护的情况下,才可被聘用。

Section 33 of the PDPO is not in force yet, however when this provision becomes effective (expected in the near future), data users will be restricted from transferring personal data outside Hong Kong unless a specific exception applies (e.g. where the data subject has consented in writing). Data users should carefully review their cloud arrangements to prepare for this section coming into force.

2.宽松的外包安排

云服务经常被分包,有时还会进一步分包。其结果是,资料使用者实际上几乎不知道个人资料是在何处处理、由谁处理,以及采取了什么措施来保护这些资料。

云服务协议应确保对分包的控制。这意味着需要云提供商:

  • 发出分判通知书(在某些情况下,须得到资料使用者的批准);
  • 监督并适当监督分包商;
  • 允许在相对于其中这是通过数据用户需要的分包商审计;和
  • 承担分包商的任何违约责任。

3.标准服务及合约

云服务通常是根据标准格式合同提供的,在某些情况下,这些合同是“不可协商的”。其结果是,尽管云服务合同缺乏确保充分保护个人数据的关键义务,但仍经常得到执行。

作为最低要求,数据用户必须确保事业是为了满足保留要求和安全要求上文给出。此外,该协议应限制分包和包含事业,使数据使用者遵守他们的监管要求,例如,授予符合数据用户在任何监管部门立案调查的义务审计权。

除了审查合同之外,还应对选定的云服务提供商进行尽职调查,以确保该服务提供商在信誉和技术安全方面有良好的记录。此外,一些受监管机构(如银行和保险公司)将受到行业法规的约束,在云服务安排方面将采取额外的风险管理措施。

4.服务和部署模型

根据服务类型和部署模型的不同,某些云服务比其他云服务风险更高。一般来说,云有四种类型:

  • 公共云:基础设施、平台和软件通过在线使用条款访问的服务提供,并根据实际使用情况付费。
  • 私有云:通过协商的服务协议,向客户提供专用的云计算资源。由于资源是专用的,资本投资可能会更多。
  • 混合云:这种模式可以通过谁想要的易用性公共云的客户使用,但也希望通过私有云提供专用资源的某一水平。
  • 托管云:该模型类似于外包,但客户并没有拥有基础设施并将其管理外包给第三方,而是拥有云计算能力并将管理外包给第三方。

每一种方法都可以包含三种基本的云计算业务模型,包括基础设施即服务(IaaS)——在这里,客户可以访问通常与他人共享的IT基础设施;平台即服务(PaaS)——客户可以通过访问计算平台来开发和操作应用程序;以及软件即服务(SaaS)——在SaaS中,客户可以远程按需访问一套软件应用程序。

在软件由云服务提供商(SaaS)提供的地方,隐私风险往往更高,特别是在软件由云服务提供商运营的地方(因为软件提供了方便数据处理需求的工具)。使用公共云的地方也存在风险,因为数据用户减少了对服务的控制。数据用户应考虑部署模型,以确保所提供的服务适合他们的业务,并确保隐私风险得到管理。

采购云服务时需要考虑的其他问题

在使用云服务时,隐私是一个关键的考虑因素,但还有其他一些问题需要考虑。此服务能满足业务需求吗?该服务供应商是否有足够的能力?如果存在服务中断,业务后果有多严重?客户从云提供商接收到的服务水平要么包含在云服务协议中,要么包含在通过引用合并的单独服务水平协议中。在制订服务水平协议时,须考虑的事项包括:

水平的努力:客户应考虑是否需要性能下的协议是绝对的或者受不到绝对的标准,如“商业上合理的努力。”努力所提供的水平会有所不同,从供应商提供。

义务的性质:大多数服务级别协议侧重于服务的可用性,但服务提供商也应准备回应有关性能的具体承诺,如响应时间和带宽的要求。

正常运行时间的定义服务水平协议应该清楚地定义变量,比如如何度量正常运行时间;什么是停机时间;允许停机的性质;和不构成停工的环境。

暂停服务的能力:云服务提供商有时可能需要暂停服务,例如,如果客户使用服务造成安全风险。虽然供应商保留这一权利是合理的,但对客户来说,确保给予充分的通知是重要的。

服务信用:服务级别协议应详细说明提供给客户的服务信用的金额,不论是客户自动获得学分和是否有下这是需要供应商提供一个实际的退款情况。

推荐的步骤

  • 检查您与云服务提供商的现有合同,并考虑这些安排是否符合法律(以及当第33条生效时,它们是否将继续遵守法律)。
  • 编制并定期更新云服务提供商及其分包商的名称、提供云服务的地点以及作为服务一部分提供的应用程序。这将帮助您进行有效的监控。
  • 为选择和吸引云服务提供商建立谈判策略。根据组织的性质,有些云服务可能不合适。
  • 检讨私隐政策和个人资料收集声明,以确保就云服务供应商的参与事宜向资料当事人发出适当通知。
  • 在第33条生效前,考虑是否需要就海外转移采取以同意为基础的办法。如你对香港或其他地方的资料私隐法律有任何查询或顾虑,我们的资料私隐团队(由全球130名资料保护律师组成)将非常乐意听取你的意见。

斯科特·泰尔
合伙人,香港
师:+852 2103 0519
scott.thiel@dlapiper.com

爱德华·查特顿
合伙人,香港
师:+852 2103 0504
edward.chatterton@dlapiper.com

露易丝·克劳福德
法律干事,香港
师:+852 2103 0752
louise.crawford@dlapiper.com