云很可能是一個IT高管的夢想成真——一個減小成本并為其他IT項目騰出資金的機會。

但是，穿過恐懼的雷區(qū)，來自不同季度的對于云安全的不確定和懷疑均可以通過創(chuàng)建一個應(yīng)急計劃并了解澳洲和海外的法律法規(guī)來緩解。

對于康斯律師事務(wù)所的高級合伙人Johanna O’Rourke（她專攻ICT法律方向）來說，擁有一個合適的計劃意味著能在一個組織的數(shù)據(jù)被盜或者管理者不得不訴諸法律保護公司之前，將安全和訴訟難題縮到最小。

O’Rourke在悉尼IDC云會議上發(fā)表講話告訴代表們，組織們被要求要保持大量電子信息，這對日常運作是很重要的。

深度觀察：避免在線失職索賠

“當(dāng)首席信息官移動數(shù)據(jù)到云，這意味著他們需要放棄控制數(shù)據(jù)，而且這就是法律問題會出現(xiàn)的地方，”她說。比如說，公司可能面對不適當(dāng)泄露的風(fēng)險，聲譽損失，數(shù)據(jù)泄露事件牽涉的第三方的起訴以及監(jiān)管機構(gòu)的起訴，例如澳大利亞政府信息專員辦公室。

“澳大利亞隱私專員，Timothy Pilgrim，并不害怕調(diào)查數(shù)據(jù)泄露以及發(fā)表與之相關(guān)的陳述，”她警告道。

例如，專員調(diào)查了2011年4月7700萬用戶賬號被盜的索尼PlayStation網(wǎng)絡(luò)的數(shù)據(jù)數(shù)據(jù)泄露事件。

根據(jù)O’Rourke的說法，此次事件發(fā)生在2011年4月17和19號之間。但是，索尼知道4月26號才公布數(shù)據(jù)泄露。

“雖然政府專員發(fā)現(xiàn)已經(jīng)沒有違反隱私法的行為了，但他確實對索尼花了十天才告知用戶其賬號泄露表示擔(dān)憂，”她說。

隱私法

說道法律法規(guī)時，O’Rourke指出，澳大利亞的1988年隱私法沒有處理云計算，所以應(yīng)用現(xiàn)存的隱私法對科技行業(yè)來說是個重要問題。

“在云計算環(huán)境中，該法案適用于正在澳洲收集數(shù)據(jù)并在海內(nèi)外存儲數(shù)據(jù)的澳大利亞公司，”她說。

“它也適用于在澳洲做生意并在轉(zhuǎn)換數(shù)據(jù)到海外之前在此地存儲數(shù)據(jù)的外國公司。”

但是，該法案不適用于不在澳洲收集數(shù)據(jù)的海外企業(yè)。

“我辛苦的申明此點是因為許多云供應(yīng)商事實上并不為隱私法所約束，”她說。

根據(jù)O’Rourke的說法，許多云服務(wù)供應(yīng)商在澳大利亞都沒有一間辦公室。結(jié)果是，這里沒有服務(wù)器或數(shù)據(jù)駐扎在這兒。

但是，使用海外云服務(wù)供應(yīng)商的服務(wù)的澳大利亞公司仍然沒該法案約束。結(jié)果是，如果這些公司決定轉(zhuǎn)移私人數(shù)據(jù)至云中，需要將額外的保護寫入與這些供應(yīng)商的合同中。

“隱私法下所應(yīng)用的與云計算相關(guān)的條例是NPP4，它討論的是數(shù)據(jù)安全和維護數(shù)據(jù)的要求，”她說。

“另一項條例是NPP9，它涵蓋了運輸者數(shù)據(jù)流。之所以說它相關(guān)，原因是在云環(huán)境中，你不能轉(zhuǎn)移數(shù)據(jù)，除非你已經(jīng)收到了私人信息主人的許可或它已經(jīng)被轉(zhuǎn)移至與隱私法相似的法律權(quán)限內(nèi)，”她說。

根據(jù)O’Rourke的說法，歐洲隱私法被認為是相似的，但美國和新加坡隱私法并不被澳大利亞隱私專員所承認。

再看2012隱私修正案，一個IT高管應(yīng)注意的主要的改變是關(guān)系到跨境披露。

“在新法律下，轉(zhuǎn)移數(shù)據(jù)的組織將保持在違反安全時間發(fā)生時負責(zé)，”她說。

這意味著嚴格的責(zé)任，所以如果公司的云供應(yīng)商有數(shù)據(jù)泄露情況，該公司管理者將要負責(zé)。

“你將會想在你的合同中要保護措施來確保你有能力在偶然事件發(fā)生時恢復(fù)元氣，”她說。

“這是最糟糕的情況，所以你想要對供應(yīng)商做盡職調(diào)查來確保他們已經(jīng)盡可能的來確保環(huán)境安全而你甚至根本不會到達數(shù)據(jù)安全泄露的那個地步。”

非盈利云體驗

對于天主教教育辦公室首席技術(shù)官Milton Scott來說，在和谷歌簽合同前盡職調(diào)查是最重要的，他的70%的系統(tǒng)都建設(shè)在云中。

“我們已經(jīng)有兩個法律團隊專門服務(wù)于查看藏在某人（如谷歌）后臺的隱私、條目和條件，”他說。這包括天主教教育辦公室主持的學(xué)生信息保健問題的責(zé)任。比如說，關(guān)于學(xué)生的健康和安全信息或Google Mail中沒有留存的雇員信息。

Scott補充道，云使用對一個非盈利組織的節(jié)約來說是理想的。“我們從微軟、谷歌獲得的云產(chǎn)品的種類在一個區(qū)別于商業(yè)冒險的教育價位。”

另一個被該辦公室應(yīng)用的云安全創(chuàng)舉是一個Novell身份管理系統(tǒng)，它準(zhǔn)許所有員工身份，區(qū)別于一個雇員目錄。

“一旦一位雇員離開，他們的名字就從哪個身份管理系統(tǒng)中除去，而應(yīng)用程序就對他們限制使用，”Scott說。