當前，云計算服務面臨的風險日趨復雜多樣，數據安全問題日益凸顯，云服務商如何有效保護個人數據安全已成為政府、企業、個人和社會各界廣泛關注的熱點問題。

近期Facebook因劍橋分析（Cambridge Analytica）泄露用戶數據而面臨巨額罰款的事件，在全球范圍內引發了國際調查、政策調整以及企業反思的風暴。 

目前在個人隱私保護問題非常尖銳的情況下，中國、新加坡、日本、歐盟等國均出臺了與個人數據保護相關的法律法規。如何滿足各國監管要求，是云服務商出海面臨的共同問題。 

基于對云服務市場的深刻理解，針對云服務商在個人數據保護上的“痛點”，在8月份即將召開的2018可信云大會上，中國信息通信研究院將發布《云服務商個人數據保護指南》，本《指南》編寫過程中得到多家企業支持，包括華為、京東、騰訊、百度、阿里、中國電信、微軟、世紀互聯、上海藍云、UCloud、中聯易云、迅達云等。該《指南》梳理了各國在個人數據保護方面的法律法規以及國內外的相關標準，為云服務商應對各國法律、保證合規性提出了有效建議。

各國立法有差異          云服務商需遵循九大共性要求

據了解，《云服務商個人數據保護指南》梳理了中國、歐盟、新加坡、美國、加拿大、日本、韓國等全球多國在個人數據保護方面的法律監管要求和相關標準，充分分析了各國在個人數據保護方面的特點和差異。

目前，我國在個人數據方面的立法仍處于發展階段，《中華人民共和國網絡安全法》、《個人信息安全規范》等法律法規，主要是從數據處理合法、用戶權利、數據安全、事故披露、跨境傳輸等方面對數據保護提出了要求。

被外界譽為史上最嚴格的歐盟《一般數據保護條例》（GDPR），則明確對數據處理者責任進行要求，加強了對歐盟數據主體的權利保護，在數據向第三國傳輸、違規處罰、監管等方面都進行了較為嚴格的規范。

相比之下，美國采取以行業自律和市場調節機制為主的松散立法，對數據保護采取“長臂管轄”原則，擴大了執法部門對境外數據的權限，同時對于兒童信息數據、電子通訊數據等特殊數據進行了立法保護。

《云服務商個人數據保護指南》指出，雖然各國對個人數據保護的態度不同，監管內容也有差異，但無論嚴苛或寬松，大致可歸納為如下九項要求：

l 個人數據的定義范圍不斷擴大；

l 設立數據保護官；

l 數據主體的權利，包括知情權、刪除權、糾正權等；

l 數據保護義務，包括數據完整性、數據安全性等；

l 對個人敏感信息進行特殊保護；

l 跨境傳輸要求，何種情況下可以進行跨境傳輸；

l 數據泄露披露，包括報告監管機構，通知數據主體；

l 對特殊類型數據的處理，如兒童數據等；

l 成立獨立的監管機構。

此外，《云服務商個人數據保護指南》還列舉了國內外數據保護方面的相關標準，如：中國國家標準化管理委員會發布的《個人信息安全規范》，公有云個人隱私數據保護方面的首個國際標準ISO/IEC 27018，歐洲云計算服務供應商聯盟 (CISPE )發布的《個人數據保護行為準則》等。

在云計算數據安全領域，中國信息通信研究院在“2017可信云大會”上發布了《云服務用戶數據保護能力參考框架》。該標準從用戶視角出發，規定了云計算數據保護能力的十六大類指標，全面覆蓋數據安全事前防范、事中保護和事后追溯三個階段，使企業在達到“可信”的基礎之上，實現對“安全”的全面保障。

在數據處理層面，云服務商作為數據處理過程中的關鍵角色，與云用戶、第三方服務提供商的合作中均涉及數據處理規范性的問題。中國信息通信研究院已啟動云服務商數據處理協議相關標準的制定工作。《云服務商數據處理協議參考框架》將針對云服務過程中面臨的安全問題，規范云服務商與各方簽訂數據處理協議應包含的內容，幫助云服務商建立規范完備的數據處理體系。

五大措施助力云服務商           提升個人數據保護能力