ACM通信

法律和技术

超越位置:21世纪的数据安全^圣世纪

德赛的德文
ACM通讯，2013年1月，Vol. 56 No. 1, 34-36页
10.1145/2398356.2398368
评论

对数据保护的持续关注和云计算的增长凸显了数据保护监管机构、企业和计算机科学界之间的紧张关系。随着新的数据保护法的提出，这些团体有机会分享见解并实现各自的目标;但现在，在数据安全方面，他们可能会互相忽略。

数据保护法寻求保护用户的权利，并在一定程度上依赖于数据位置和相关安全实践的特定观点，以确保这些权利得到维护。简而言之，数据保护法律往往侧重于数据不属于特定数据保护制度的一部分而离开某个国家或地区。企业应用云技术的目的是多方面的。一些目的是内部的，如改进网络操作;有些是外部的，比如向其他企业出售存储和服务。无论哪种情况，云计算的进步和未来都依赖于几乎连续不断地移动数据。因此，政治和商业利益似乎注定会发生冲突。然而，这种碰撞并非不可避免。数据保护是否需要将数据保存在一个地方?这种方法是增强了还是损害了数据安全性? Does jurisdiction have to turn on data location? By parsing what is at stake for location and jurisdiction and what cloud computing may offer for security, we should be able to fashion laws that respect the political interests in data protection and that draw on the best insights of computer science to achieve heightened data security.

回到顶部

可能相互竞争的利益

政府和企业在数据管理方面拥有合法的、相互竞争的利益。例如，他们不同意如何使用云计算。有时，辩论演变成指责对方“不明白”。然而，如果我们一开始就说明这些利益是什么，我们应该能够看到这些利益的交集或分歧在哪里。一旦做到这一点，我们就能看到是否有办法弥合剩余的差距。

尽管有许多不同的数据保护法，但欧盟的做法提供了一种理解政府利益和可能出现的错误的方法。不幸的是，强制数据位置服务于两个相互冲突的目的。一方面，它允许根据存储在特定司法管辖区的数据受该地区法律约束的思想行使管辖权。对管辖权的需求是真实存在的。政府希望能够接触到我们的数据。他们还希望执行法律保护他们的公民和他们的数据。另一方面，欧盟之前的数据保护指令(DPD)和目前提出的通用数据保护条例(GDPR)都试图防止未经授权的数据访问和使用。例如，《GDPR》第30条要求负责数据处理的人员采取“适当的技术和组织措施，以确保与处理所代表的风险和要保护的个人数据的性质相适应的安全级别”。它还要求那些负责数据的人“保护个人数据不受意外或非法破坏或意外损失，并防止任何非法形式的处理，特别是任何未经授权的披露、传播或访问或更改个人数据。”

位置问题的出现是因为目前和提出的方法采用了复杂的规则关于数据的位置，存储和移动，以实现保护的目标。此外，第30条值得称赞的目标无意中撞上了云计算最新安全进展的现实。例如，在欧盟最近的一项决定中，数据位置要求干扰了城市使用现代云计算服务的能力。^一个

云计算是什么，它与数据安全有什么关系?首先，可以将安全问题视为某人可能获得未经授权访问数据的方式。这一观点符合第30条。一个可能有些误解的问题是，未授权访问的威胁来自何处。鉴于最近一些关于安全漏洞的报道，一些人可能认为，未经授权访问的最大威胁是数据中心，就像银行一样，这些数据中心可能成为攻击目标，然后被攻破。然而，丢失电脑和u盘是数据丢失的主要方式，可能比通过数据中心丢失的情况更严重。^b移动数据的事实，即便携式设备上的数据，导致云计算在安全实践中向前迈出了一步。云服务解决了许多数据安全问题，特别是通过减少个人设备丢失的威胁。但并不是所有的云服务都是一样的。对于任何数据保护法律来说，一个大问题是，云服务的类型和数据管理的方式很大程度上取决于提供商如何管理后端而且客户正在做什么。

有些云计算是分布式计算。数据可以跨多个服务器分片;文档副本由文档组成，然后在多个服务器上分割。与所有数据都在服务器上的单点故障不同，您的数据分散在许多服务器上。该模型可应用于内部数据管理或向他人提供服务时。用最简单的话说，提供商可以内部管理所有服务，也可以使用其他方，但是要确切地确定使用哪种数据管理组合，需要知道给定服务的配置。

新的优化工作意味着最好的云服务可能会出现即使不是一直移动数据，也要经常移动，以解决诸如过热威胁服务器、带宽、包丢失、电源、资源和其他“故障模式”等问题，并在计算周期波动时提高网络的效率。因此，移动数据是确保数据不丢失的一部分，这是第30条的另一个目标。此外，客户可能会持续或临时使用云服务，但其他人会运行该服务。例如，在亚马逊的E2C产品中，云是一种商品服务，允许公司在短期内购买服务来完成一项大型任务。当纽约时报它将1100万篇文章转换为。pdf，使用租用的云一天完成这项工作，成本比拥有自己的数据中心要低得多。所有这些变量都挑战了任何强制执行基于位置的安全协议的尝试，因为公司、客户甚至政府都不会提前知道他们想要采取什么选择，或者他们将被迫选择更旧、更慢、更昂贵的数据处理方法，以符合法规。

全球云服务带来了其他问题。由于涉及多个司法管辖区，任何提供或使用云服务的人都可能面临运营所在国的地理位置要求。值得赞扬的是，欧盟正试图解决这种批评，因为它适用于当前的DPD。拟议中的GDPR将对所有成员具有约束力。在DPD下，当前各州的方法将被废除，取而代之的是统一的数据处理方法，即使没有一个成员国采取行动将该规则纳入国家法律，该规则也将全面实施并生效。

---

政府希望能够接触到我们的数据。他们还希望执行法律保护他们的公民和他们的数据。

---

然而，即使欧盟统一了其数据法律，重点仍然是位于一个地方或一个地区的数据。欧盟足够大，人们可能会认为地理位置问题不是个问题。人们可以在欧盟各地建立数据中心，并在系统内移动数据。只要有一条法律来管理，一切都会解决的。这种观点忽略了一个事实，即数据网络像电网一样具有需求周期，并对需求进行动态管理。如果某个地区有空闲容量，那么该地区以外的服务可能会有空闲容量。如果该地区出现需求激增，可能会利用该地区以外的产能来满足需求。基于位置的数据规则与这些现实相冲突。此外，许多国家正在复制欧盟的数据保护方法。欧盟是一个大地区和大市场; Singapore is not. Nor is Vietnam, Costa Rica, Egypt, Peru, Ghana, or most single countries. From a security perspective, location-based rules falter in a large area such as the EU; they fail in smaller markets. Nonetheless, governments have a real need to protect their citizens' data and to have a legal process to obtain data. Location models, however, do not achieve these goals well.

回到顶部

可能的方式前进

无论是政府强制要求的地点合规，还是企业无法遵守法律的声明，都没有提供令人满意的结果;但也有一些选择。一种可能的解决方案是放弃数据安全法律中基于位置的方面。事实上，强迫公司限制数据移动忽视了数据管理的现实，可能会增加而不是减少安全威胁。解开管辖权问题则更为困难。正如杰克·戈德史密斯(Jack Goldsmith)和蒂姆·吴(Tim Wu)所指出的那样，政府总是会找到一种方式，以他们认为合适的方式发挥影响力，塑造世界，所以地方和边界仍然很重要。¹这一点在美国和欧洲的现行法律中已经得到了体现，这些法律允许政府在调查国家安全或恐怖主义犯罪时获取数据。因此，国家或地区可能制定新的数据法律，超越地点，以确定管辖权，并要求国家安全和恐怖主义以外的领域的数据。如果是这样，企业将不得不设法遵守。由于政府需求、全球计算服务以及数据安全和网络的进步，一家公司可以将自己的数据脑袋埋在一个国家的沙子里，拒绝接受其他国家法律的时代可能已经结束。如果公司希望能够灵活地采用不同的数据管理方法，尤其是那些涉及持续移动数据的方法，他们就不能同时辩称，没有法律或方法涵盖政府如何以及何时可以获取数据。然而，正是这种遵守的需要，可能会破坏一个国家对另一个国家的信任。例如，X国可能愿意将数据转移到Y国，但Z国不愿意，因为Z国有强迫公司泄露数据的历史。所有这些都提供了一个机会。

---

从安全角度来看，基于地理位置的规则在欧盟这样的大地区不太可行;他们在较小的市场上失败了。

---

随着数据安全法律的演变，政府、公司和计算机科学家将不得不共同努力，为21世纪创建一个数据安全系统^圣世纪。一个关键的障碍是确定什么时候政府可能会要求数据。透明的政策(可能还有条约)有助于更好地识别和管理一国在何种情况下可能要求另一国提供数据。各国可以与当地行业合作，制定切实有效的数据安全和数据泄露法律，以此表明数据安全性差会带来后果。各国还应为企业提供更多的空间，让它们可以挑战和披露要求，以便全球市场更好地了解正在寻求什么，哪些国家尊重数据保护法，哪些国家不尊重数据保护法。这些变化将允许公司不仅基于他们的安全系统，而且基于他们捍卫客户利益的意愿来竞争。作为回报，公司和计算机科学家在设计系统时很可能不得不着眼于在政府的要求适当时对其做出回应的能力。这类解决方案可能涉及到将数据标记为来自特定国家的公民的方法。在这里，隐私和自由的问题出现了，因为人们越能标记和追踪数据，就越能将其用于监视。这种可能性说明了为什么提高透明度是必要的，因为它至少可以让公民反对政府和公司之间侵犯个人权利的协议。 Nonetheless, distributed computing techniques and encryption even with some type of tracing system may be better protection than relying on data residing in one place. After all, if data is stored in one place and a government knows where the data is, a government can simply walk off with the server. So far, however, the one group that could explain whether these ideas or others are viablecomputer scientistsis missing from this interplay.

我们选择如何管理数据的细微差别和可能性为计算机科学提供了一个机会，让决策者知道如何最好地满足他们的利益，同时满足企业和个人的需求。更好地理解云计算的各种表现形式，只会改善政府塑造数据策略的方式。政府也应该向计算机科学家解释他们的需求。通过将问题描述为需要解决的工程问题，政府可能会激发迎接挑战的愿望。政府、企业和计算机科学家应该能够共同利用技术进步，使所有人都能受益。消除对数据位置的关注以提高数据安全性，希望只是朝着这个方向迈出的一步。

回到顶部

回到顶部

回到顶部

数字图书馆是由计算机协会出版的。版权所有©2013 ACM有限公司

---

没有发现记录