云安全 数据隐私法案在美国和欧盟的区别

云计算中的个人身份信息的相关数据保护司法管辖权

根据所涉及的司法管辖权区域的不同，数据保护在存储和访问、数据销毁技术的法规要 求方面可能存在很大差异，当然也包括可收集和存储的数据类型，以及需要给予何种程度的 通知或是否需要最终用户的同意。虽然许多类型的资料附有特定的法规要求，但未能妥善保 护的个人身份信息将产生最严格和明确定义的后果；从保护隐私的角度看，唯一会导致严重 后果的数据类别是受保护健康信息。

数据隐私法案

许多国家和国家联盟都制定了自己的处理PIl的规则和司法政策。组织需要理解的一个 重要概念是司法管辖权。在云环境中，数据可以容易地移动并存储于不同的地理位置，组织 有必要了解在任何时间和任何用途下与数据相关的适用法律政策。
美国

与欧盟等其他主体不同，美国并没有一部全面的数据隐私法；相反，美国有各种监管合 规机构以及司法政策，美国的数据安全和隐私保护相关法律法规和司法政策共同穷实了隐私 保护基石。美国的大多数法律都是基于特定类型的个人信息，而不是从整体上处理全面隐私 问题。例如，在医疗健康数据和财务数据方面，HIPAA等法律提出严格的要求，控制信息的 使用方式、谁拥有数据、用户对数据的权利以及数据留存要求。就财务信息而言，制定并不 断完善的法律法规和司法政策要求在某些参数范围内（如信用历史记录）向用户提供数据的透 明度，并要求及时通知用户其财务信息的任何潜在暴露或泄露风险。除了这些类型的案件外， 关于隐私权的未来以及可能的其他法律法规的争论仍在继续，但最广为人知和最新的法律法 规往往是在特定行业领域提出的，而不是以全面管辖的方式提出的。

欧盟
欧盟(EU)颁布一系列指令和政策，形成了强大的用户隐私基础，世界上许多其他地区的 隐私要求都是基于欧盟要求之上。影响最大的司法政策是第95/46/EC号指令，95/46/EC指令 题为 “关于个人数据处理以及此类数据自由流动的个体保护”。95/46/EC指令比美国的任何 隐私法的覆盖面都要宽泛得多，因为95/46/EC涵盖了经济活动的所有部门和数据的所有用 户，而不仅是医疗健康和金融数据等特定子集。随后，根据2002/58/EC号指令，扩展和完善 了关于数据泄露和Cookie在用户跟踪中的使用。2002/58/EC指令的标题是“关于电子通信部 门个人数据的处理和隐私保护”。 2018年5月25日，欧盟正式实施GDPR。GDPR的目的是通过实施商业法规，让用户 完全控制其数据和数据的使用。GDPR取代95/46/EC指令，并适用于在其司法管辖权范围内 建立的所有组织，无论数据实际存放或处理的地方。GDPR要求所有系统的设计都将数据隐 私和用户控制措施作为重中之重，包括默认情况下使用最严格的数据保护设置，除非用户选 择让其数据在更大范围内使用。
其他司法管辖权
除了美国和欧盟，另一个有影响力的隐私保护和法规的制定机构是亚太经合组织 （APEC)。APEC提出了APEC隐私框架(APECPrivacy Framework), APEC隐私框架侧重于保护个人隐私，但同时认识到商业和信息流动的需要， 并试图推动能够满足两者需求的政策。

隐私角色和责任

在云环境中，云服务提供商和云客户在数据隐私方面有不同的角色和责任，角色的差异 取决于采用IaaS、PaaS或SaaS托管模型的地点。

• 物理环境 云服务提供商对所有云模型全权负责。

• 基础架构 由云服务提供商全权负责PaaS和SaaS模型，云服务提供商和云客户共 同负责IaaS模型。

• 平台 云服务提供商负有SaaS模型的唯一责任、PaaS 模型的共同责任，负有IaaS 模型的云客户的责任。

• 应用程序 分担SaaS模型的责任，云客户对IaaS和PaaS模型都负有唯一责任。

• 数据对所有云模型的云客户全权负责。 ·治理云客户对所有云模型全权负责。

实施数据探查

数据探查是应用程序或系统所有方展示并确保遵守数据隐私法规的主要方法。由于应用 程序所有方负责遵守监管合规要求和隐私法案，因此，在监管合规方面，制定一套强大的数 据探查流程作为适度勤勉（DueDiligence)的指标，将有助于向审计师或监督审查提供 帮助。从云服务提供商的角度看，支待和协助云客户实施数据探查流程也有助于显示云服务 提供商在遵守数据隐私法规和法律方面的适度勤勉。

数据隐私法的一项要求是将任何数据泄露或违反行为通报给可能已遭到数据泄露的个 人，并及时报告。对于某些类型的数据，也可能需要向监管机构发出通知。随着数据探查的 实施，结合DLP策略和部署，可以近乎实时地检测和探查潜在的泄露，并且可在泄露之前通 知或停止正在发生的泄露。云环境中的数据探查流程也非常重要，因为数据探查流程公开了 整个环境中的数据物理位置。这有助于确保隐私要求的司法管辖权范围。

对隐私敏感数据执行分类

前面讨论过数据探查和数据分类的适用性，因为这与组织的安全控制策略有关。在数据 隐私法案的范围内，可扩展同样的流程，以确保遵守来自法律领域的监管控制。

考虑到隐私法案对数据保护的要求，受保护和敏感信息的额外级别或类别可扩展到已经 属于分类方案的部分。尽管许多监管合规要求可能侧重于特定类型的数据，如医疗和财务数 据，但隐私法案可能会增加额外的关注点和要求。例如某些人口统计数据可作为关于用户 的应用程序的一部分收集，如种族、宗教、性取向、政治倾向或任何其他类似类型的信息。 尽管这些数据点可能与PCIDSS等法规要求无关，但这些数据可能是隐私法案的核心和重要 部分，该法案仅关注个人数据的保护。随着隐私法案要求与分类系统的整合，这些重要的个 人数据点可得到更有效的保护、监测和报告。

云安全专家必须能充分理解隐私法案是否对数据留存和安全销毁具有特殊要求。

控制措施的映射和定义

基于隐私法案中列出的各种要求，云安全专家的一个核心角色是将法规要求映射到由云 服务提供商负责的应用程序和云环境中的可实施的安全控制措施和流程上。对于可能跨越多 个司法管辖权区域和隐私法案的大型应用程序，这一点尤为重要。云客户和云服务提供商需 要通过适当的合同或SLA要求开展合作，以确保双方遵守监管机构或适用隐私法案的要求。

使用已定义的控制措施

由于大型云环境的复杂性，有时很难确保云客户和云服务提供商都能符合且正在满足所 有适用的隐私法案要求。从一开始，合同和SLA都必须明确定义云服务提供商和云客户的角 色，并解决隐私法案各个方面的要求和责任。对于跨多个司法管辖权区域的大型云环境，可 能需要实施多个协议和框架，以确保符合所有适用的监管合规要求。

云安全联盟的云控制矩阵(CloudControls Matrix, CCM)在云环境中提供了一套强大的框 架和适用的安全控制域，CCM封装了隐私法案以及各种行业认证和监管机构的各项要求。 云安全专家可以使用这些领域作为实现总体控制定义的基础，以确保解决和覆盖所有领域。 以下是CSA CCM提供和概述的安全知识域

• 应用程序和接口安全

• 审计保证和合规

• 业务持续管理和运营韧性

• 变更控制和配置管理

• 数据安全和信息生命周期管理

• 数据中心安全

• 加密技术和密钥管理

• 治理和风险管理

• 人力资源

• 身份和访问管理

• 基础架构和虚拟化安全

• 互操作性和可移植性

• 移动安全

• 安全事故管理、电子取证和云计算

• 供应链管理、透明度和可问责性

• 威胁和脆弱性管理所有的控制措施都适用于所有的法规或隐私法案要求，但全面的CCM作为一 种整体的控制方法，具有更广泛的用途。尽管如此，隐私法案的要求将在其框架内 的适当位置调整。

参考文献
CSA GDPR合规行为准则4.0版 2020
CSA SASE安全访问边缘白皮书-2022年
CSA 云安全的新技术、新趋势、新研究 2022
CSA 云应用安全技术规范
CSA 云计算的顶级威胁：深度分析