云很可能是一個(gè)IT高管的夢(mèng)想成真——一個(gè)減小成本并為其他IT項(xiàng)目騰出資金的機(jī)會(huì)。

但是，穿過恐懼的雷區(qū)，來自不同季度的對(duì)于云安全的不確定和懷疑均可以通過創(chuàng)建一個(gè)應(yīng)急計(jì)劃并了解澳洲和海外的法律法規(guī)來緩解。

對(duì)于康斯律師事務(wù)所的高級(jí)合伙人Johanna O’Rourke（她專攻ICT法律方向）來說，擁有一個(gè)合適的計(jì)劃意味著能在一個(gè)組織的數(shù)據(jù)被盜或者管理者不得不訴諸法律保護(hù)公司之前，將安全和訴訟難題縮到最小。

O’Rourke在悉尼IDC云會(huì)議上發(fā)表講話告訴代表們，組織們被要求要保持大量電子信息，這對(duì)日常運(yùn)作是很重要的。

深度觀察：避免在線失職索賠

“當(dāng)首席信息官移動(dòng)數(shù)據(jù)到云，這意味著他們需要放棄控制數(shù)據(jù)，而且這就是法律問題會(huì)出現(xiàn)的地方，”她說。比如說，公司可能面對(duì)不適當(dāng)泄露的風(fēng)險(xiǎn)，聲譽(yù)損失，數(shù)據(jù)泄露事件牽涉的第三方的起訴以及監(jiān)管機(jī)構(gòu)的起訴，例如澳大利亞政府信息專員辦公室。

“澳大利亞隱私專員，Timothy Pilgrim，并不害怕調(diào)查數(shù)據(jù)泄露以及發(fā)表與之相關(guān)的陳述，”她警告道。

例如，專員調(diào)查了2011年4月7700萬用戶賬號(hào)被盜的索尼PlayStation網(wǎng)絡(luò)的數(shù)據(jù)數(shù)據(jù)泄露事件。

根據(jù)O’Rourke的說法，此次事件發(fā)生在2011年4月17和19號(hào)之間。但是，索尼知道4月26號(hào)才公布數(shù)據(jù)泄露。

“雖然政府專員發(fā)現(xiàn)已經(jīng)沒有違反隱私法的行為了，但他確實(shí)對(duì)索尼花了十天才告知用戶其賬號(hào)泄露表示擔(dān)憂，”她說。

隱私法

說道法律法規(guī)時(shí)，O’Rourke指出，澳大利亞的1988年隱私法沒有處理云計(jì)算，所以應(yīng)用現(xiàn)存的隱私法對(duì)科技行業(yè)來說是個(gè)重要問題。

“在云計(jì)算環(huán)境中，該法案適用于正在澳洲收集數(shù)據(jù)并在海內(nèi)外存儲(chǔ)數(shù)據(jù)的澳大利亞公司，”她說。

“它也適用于在澳洲做生意并在轉(zhuǎn)換數(shù)據(jù)到海外之前在此地存儲(chǔ)數(shù)據(jù)的外國(guó)公司。”

但是，該法案不適用于不在澳洲收集數(shù)據(jù)的海外企業(yè)。

“我辛苦的申明此點(diǎn)是因?yàn)樵S多云供應(yīng)商事實(shí)上并不為隱私法所約束，”她說。

根據(jù)O’Rourke的說法，許多云服務(wù)供應(yīng)商在澳大利亞都沒有一間辦公室。結(jié)果是，這里沒有服務(wù)器或數(shù)據(jù)駐扎在這兒。

但是，使用海外云服務(wù)供應(yīng)商的服務(wù)的澳大利亞公司仍然沒該法案約束。結(jié)果是，如果這些公司決定轉(zhuǎn)移私人數(shù)據(jù)至云中，需要將額外的保護(hù)寫入與這些供應(yīng)商的合同中。

“隱私法下所應(yīng)用的與云計(jì)算相關(guān)的條例是NPP4，它討論的是數(shù)據(jù)安全和維護(hù)數(shù)據(jù)的要求，”她說。

“另一項(xiàng)條例是NPP9，它涵蓋了運(yùn)輸者數(shù)據(jù)流。之所以說它相關(guān)，原因是在云環(huán)境中，你不能轉(zhuǎn)移數(shù)據(jù)，除非你已經(jīng)收到了私人信息主人的許可或它已經(jīng)被轉(zhuǎn)移至與隱私法相似的法律權(quán)限內(nèi)，”她說。

根據(jù)O’Rourke的說法，歐洲隱私法被認(rèn)為是相似的，但美國(guó)和新加坡隱私法并不被澳大利亞隱私專員所承認(rèn)。

再看2012隱私修正案，一個(gè)IT高管應(yīng)注意的主要的改變是關(guān)系到跨境披露。

“在新法律下，轉(zhuǎn)移數(shù)據(jù)的組織將保持在違反安全時(shí)間發(fā)生時(shí)負(fù)責(zé)，”她說。

這意味著嚴(yán)格的責(zé)任，所以如果公司的云供應(yīng)商有數(shù)據(jù)泄露情況，該公司管理者將要負(fù)責(zé)。

“你將會(huì)想在你的合同中要保護(hù)措施來確保你有能力在偶然事件發(fā)生時(shí)恢復(fù)元?dú)猓?rdquo;她說。

“這是最糟糕的情況，所以你想要對(duì)供應(yīng)商做盡職調(diào)查來確保他們已經(jīng)盡可能的來確保環(huán)境安全而你甚至根本不會(huì)到達(dá)數(shù)據(jù)安全泄露的那個(gè)地步。”

非盈利云體驗(yàn)

對(duì)于天主教教育辦公室首席技術(shù)官M(fèi)ilton Scott來說，在和谷歌簽合同前盡職調(diào)查是最重要的，他的70%的系統(tǒng)都建設(shè)在云中。

“我們已經(jīng)有兩個(gè)法律團(tuán)隊(duì)專門服務(wù)于查看藏在某人（如谷歌）后臺(tái)的隱私、條目和條件，”他說。這包括天主教教育辦公室主持的學(xué)生信息保健問題的責(zé)任。比如說，關(guān)于學(xué)生的健康和安全信息或Google Mail中沒有留存的雇員信息。

Scott補(bǔ)充道，云使用對(duì)一個(gè)非盈利組織的節(jié)約來說是理想的。“我們從微軟、谷歌獲得的云產(chǎn)品的種類在一個(gè)區(qū)別于商業(yè)冒險(xiǎn)的教育價(jià)位。”

另一個(gè)被該辦公室應(yīng)用的云安全創(chuàng)舉是一個(gè)Novell身份管理系統(tǒng)，它準(zhǔn)許所有員工身份，區(qū)別于一個(gè)雇員目錄。

“一旦一位雇員離開，他們的名字就從哪個(gè)身份管理系統(tǒng)中除去，而應(yīng)用程序就對(duì)他們限制使用，”Scott說。