2012年5月7日 星期一

[觀點] 雲端運算安全入門(四) - 法律問題與電子證據蒐集

上一次談到了雲端運算與組織的經營治理,也就是高階管理階層對於雲端安全問題應有的認知,以及因應雲端部署和第三方的管理建議,本文將探討和雲端運算有關的法律問題與證據蒐集,以及用戶和服務供應商如何因應安全事件的調查。 

雲端運算的其中一項特徵是會將資源作動態的虛擬化分配,也就是說雲端資料的儲存位置將跨越國界,這對於許多雲端服務的用戶來說,可能會無法控制或是根本不清楚資料實際的存放地點。一旦企業選擇透過雲端運算,將商務或個人相關資料移轉到雲端之中,對於雲端服務可能面臨的法律議題,就必須要有所認知並了解所需的因應作法。 

目前在各個國家,針對資料的存取和利用,特別是和隱私有關的個人資料,都有其法律規定與要求,例如在亞太地區,包括日本、澳洲、紐西蘭等國家,以及即將實施個人資料保護法的台灣,對於個人資料的保護與安全方面,都有需要遵守的規範,其中最值得作為參考的基礎,就是由經濟合作發展組織(OECD),針對個人資料的限制蒐集、正確完整性、具明確目的、限制利用、安全保護、公開、個人參與及責任義務等,所提出的個人資料保護八大原則,以及亞太經濟合作論壇(APEC)所提出的隱私保護綱領。