應對資料當地語系化與合規性
資料保護法規如何塑造網際網路
《一般資料保護規定》(GDPR) 徹底改變了全球隱私保護的格局——整體而言是朝著更好的方向發展。然而,儘管歐洲這項具有里程碑意義的政策為線上消費者資訊的保護設立了標竿,它也引發了一連串的監管行動,而這些行動背後所謂「將資料儲存在本地就能使其更隱私、更安全」的邏輯,其實值得商榷。
在 GDPR 出台之前,一些司法管轄區就已經存在包含在地化條款的資料保護法,通常用於國家安全目的。但根據聯合國貿易和發展委員會的資料��,自 2018 年 GDPR 生效以來,至少有 30 個國家/地區通過了新的資料保護法或修訂了現有法律,其中許多國家/地區對將個人資料傳輸到某些其他國家/地區施加了限制。
資料隱私權是我熱衷的領域,而且它從未像現在這樣受到廣泛關注。我時時刻刻都在思考這個議題,也很欣慰看到越來越多的人(包括監管機構和企業在內)也開始重視這個問題。但資料當地語系化本身,並不會讓資料變得更隱私。事實上,隨著各國資料當地語系化規範日益嚴格,且這些規範往往不一致甚至彼此衝突,組織在遵循這些規定的同時,反而更難以有效保護其所處理資料的隱私。若未能遵守相關規定,組織將面臨高昂代價——Meta 就是一個明顯的例子:愛爾蘭監管機構因將其本地建立的資料傳輸到美國而對其處以 12 億歐元的罰款。
資料當地語系化的問題
GDPR 普遍被視為隱私權保護的黃金標準。它維護了資料主體的權利,並制定了資料處理的標準作業流程,這些規範已被其他國家/地區的立法機構廣泛參考與採納。此外,由於 GDPR 的全面要求,許多公司將 GDPR 標準應用於其處理的所有個人資料。因此,全球數十億人的個人資料都受到 GDPR 規定的保護,無論他們是否居住在歐洲。
然而,GDPR 的一個(或許是意料之外的)影響是將地理位置視為隱私的替代品。在 GDPR 之前,資料當地語系化的使用案例有限。有些政府會在合約中加入資料當地語系��化條款,以保護特定資料不被外國人士存取;而一些威權國家則強制實施資料當地語系化,以便政府能夠存取私人資料。但 GDPR 加強了對跨境資料傳輸監管的關注。2020 年,歐洲法院在「Schrems II」判決中宣布《歐盟-美國隱私護盾》(EU-US Privacy Shield) 無效,此舉促使許多監管機構認為,根據該法院所設定的標準,任何歐盟資料都不允許傳輸到美國。由於一些全球最大的雲端服務提供者總部位於美國,這項判決對全球企業都產生了深遠的影響。
資料當地語系化背後的想法非常簡單,即資料應在其產生的相同位置儲存和處理。這種想法認為,如果一個國家公民的資料保存在該國境內的伺服器上,那麼該國就能保障這些資料的安全,並確保這些資料按照當地法律進行處理。然而,在實際中,這會導致網際網路更加碎片化,更難實現真正的隱私和安全。資料當地語系化透過建立人為的地理孤島,實際上降低了我們識別漏洞並主動採取行動的能力。例如,如果印度境內的機器人活動資料無法與印第安納州的網路安全專家分享,那麼整個網際網路對所有人來說都將變得更加危險。此外,將資料侷限於境內儲存,也可能對一個國家的國家安全造成嚴重影響,正如烏克蘭在 2022 年俄羅斯入侵期間所親身經歷的那樣。
這是從宏觀層面來看所產生的影響。然而,對於那些在資料當地語系化要求不斷增加的情況下仍努力營運的個別企業而言,面對如此眾多國家級、區域級與地方級的法規,本身就是一個巨大的挑戰。要在不犧牲效能的前提下,拼湊出滿足所有要求的 IT 基礎架構,實在是令人望而生畏。
實現合規性和效能
這雖然令人望而生畏,但只要您在評估安全和資料保護解決方案時提出正確的問題,就並非不可能。選擇優先考慮主動合規性、韌性和可見性的產品與供應商,您就能同時滿足法規要求,以及客戶與使用者的期望。
在評估一種安全工具是否可以幫助您滿足資料當地語系化要求並提供使用者期望的結果時,請考慮以下 3 個關鍵問題:
它是否真正具備全球佈局與國際思維?
一個工具若無法依賴已在多個國家和地區運作並符合當地法規的軟硬體基礎架構,就無法讓您有效掌控資料的實際存放位置。因此,您應選擇一個已深入思考各個使用者所在司法管轄區資料保護細節差異的廠商。它是否能讓您清楚掌握資料儲存與處理的位置與方式?
如果您無法隨時瞭解資料所在位置,也無法清楚解釋資料在傳輸和靜止狀態下發生的情況,那麼您就無法確保自己遵守本地資料處理法規。廠商是否致力於保護隱私和安全?
支援該產品的公司應該擁有由標準組織和政府機構頒發的全套隱私權認�證。無論資料所在的當地政策如何,該公司都應該有維護使用者資料加密的記錄。並且它應具備應對與資料主體所在司法管轄區資料保護法相衝突的政府資料調取請求的實際經驗。
在 Cloudflare,我們相信保護資料的方式比保護資料的位置更重要。我們建立了一個全球雲端網路,將安全放在首位,從而將隱私放在首位。我們擁有多項國際認證來驗證我們的實踐方式,包括 ISO 27701 和 ISO 27018,並且已通過《歐盟-美國資料隱私框架》和《歐盟雲端行為準則》的驗證。
但是,我們意識到我們的一些客戶需要當地語系化工具,因此,我們將一套當地語系化工具整合至我們強大的全球網路中,並交到客戶的手中,讓客戶能夠集中查看其資料的狀態,並控制資料的使用和儲存位置。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
作者
Emily Hancock — @emilyhancock
Cloudflare 隱私長
重點
閱讀本文後,您將能夠瞭解:
地理位置如何成為資料隱私的代名詞
資料當地語系化的缺點
評估安全工具時的 3 個關鍵問題