专业应对数据本地化与合规
数据保护法规如何塑造互联网
《通用数据保护条例》(GDPR) 彻底改变了数据隐私格局,主要是为了变得更好。不过,虽然欧洲这项具有里程碑意义的政策为保护在线消费者信息树立了标杆,但也引发了一系列监管行动,这些行动的依据是一种可疑的理念:数据本地化可以提高数据的私密性和安全性。
在 GDPR 出台之前,一些司法管辖区已经存在包含本地化条款的数据保护法,通常是出于维护国家安全的目的。但联合国贸易和发展委员会的数据显示,自从 2018 年 GDPR 生效以来,至少 30 个国家/地区采�用了全新的数据保护法或修订了现有法律,其中许多国家/地区限制将个人数据传输到某些其他国家/地区。
我热衷于研究数据隐私问题,但它从未受到如此多的关注。我一直在思考这个问题,而且很高兴看到许多其他方(包括监管机构和企业)也在思考这个问题。不过,数据本地化不会提高数据的私密性。事实上,遵守有时不一致且不兼容的数据本地化规则的压力越来越大,这可能会让企业更难保护其处理的数据的隐私。不合规的代价非常高昂,这正是 Meta 吸取的教训,该公司因将本地创建的数据传输到美国,遭到爱尔兰监管机构 12 亿欧元的罚款。
数据本地化的问题
人们普遍认为,GDPR 是隐私保护的黄金标准。它正式载入了数据主体神圣不可侵犯的权利并要求遵守处理数据的做法,这些做法已被其他国家/地区的立法者纷纷效仿。此外,由于 GDPR 的要求全面,许多公司将 GDPR 标准应用于其处理的所有个人数据。因此,全球数十亿人的个人数据都受到 GDPR 规定的保护,无论这些人是否居住在欧洲。
然而,GDPR 的影响之一(或许是意料之外)是地理位置成为隐私的决定因素。在 GDPR 出台之前,数据本地化的用例有限。各国政府将本地化要求写入合同,以保护某些数据不被外国人获取,或者威权国家强制要求允许政府访问私有数据。但是,GDPR 加强了对跨境数据传输监管的关注。2020 年,欧盟法院在 Schrems II 案中裁定“欧盟-美国隐私护盾”无效,这促使许多监管机构认为,根据该法院制定的标准,不允许将欧盟数据传输到美国。而且,由于一些最大的云提供商都位于美国,这项裁定对全球各地的企业产生了重大影响。
数据本地化背后的理念(即:应在生成数据的地方进行数据存储和处理)看似简单,却极具吸引力。人们普遍认为,如果一个国家公民的数据保存在该国境内的服务器中,则该国可以保障这些数据的安全并确保按照当地法律处理这些数据。但实际上,这会导致互联网更加碎片化,更加难以实现真正的隐私和安全。数据本地化通过人为制造地理孤岛,实际上削弱了企业识别漏洞并主动采取措施的能力。例如,如果无法与印第安纳州的网络安全专家共享印度机器人趋势的相关数据,则互联网对每个用户来说都会变得更加危险。将数据保存在本地也会对一个国家/地区的国土安全产生危险影响,正如乌克兰在 2022 年遭到俄罗斯入侵之后所发现的那样。
这就是全局效应。对于尝试在本地化要求激增情况下维持运营的各个企业来说,面对如此多国家、地区和地方法规确实是一大难题。如何拼凑一套适当的 IT 基础设施,既满足所有法规要求又保持性能毫发无损,这是一项艰巨的任务。
实现合规和确保性能
这看上去似乎是令人生畏的目标,但如果在评估安全和数据保护解决方案时提出适当的问题,并非不可能实现。您可以选用那些优先考虑主动合规、韧性和可见性的产品和供应商,来履行监管义务并满足客户和用户的需求。
在评估安全工具是否有助于企业满足数据本地化要求并提供用户期望的结果时,请考虑以下 3 个关键问题:
公司是否拥有真正的全球影响力和积极思维方式?
如果没有已经在多个国家和地区运行且合规的底层软件和硬件,则无法使用工具来控制数据位置。您需要选择一家这样的供应商:供应商已仔细考虑其用户所在司法管辖区在数据保护合规要求方面的细微差别。它是否让您了解数据的处理地点(以及处理方式)?
如果您无法清晰地了解数据所在位置,也无法清楚地阐述传输中的数据和静止数据的处理方式,则无法确保遵守本地数据处理法规。供应商是否致力于保护隐私和安全?支持产品的公司应该拥有一整套以隐私为中心的认证,这些认证均由标准组织和政府机构颁发。还应该拥有维护用户数据加密的记录,无论本地政策如何,无论数据位于何处。此外,公司还应该拥有在面对与数据主体所在司法管辖区的数据保护法相冲突的情况时,应对政府数据请求的经验。
Cloudflare 认为,如何保护数据比在哪里保护数据更重要。我们秉持安全之上的理念,构建了一个全球云网络;而且我们拥有多项认证来验证我们方法,包括 ISO 27701 和 ISO 27018,以及欧盟-美国数据隐私框架和《欧盟云行为准则》下的验证。
但是,由于 Cloudflare 意识到某些客户需要本地化工具,因此,我们通过一套本地化工具将全球网络的强大功能交付到客户手中,让客户可以使用这些工具集中查看数据状态,并控制数据的使用和存储位置。
本文来自有关影响当今技术决策者的最新趋势和主题的系列文章。
作者
Emily Hancock - @emilyhancock
Cloudflare 首席隐私官
关键要点
阅读本文后,您将能够了解:
地理位置如何成为数据隐私的决定性因素
数据本地化的缺点
评估安全工具时需要考虑的 3 个关键问题