在这个由两部分组成的系列文章中，法律专家Robert McHale是“数据安全和身份盗窃：影响您的业务的新隐私法规”的作者，它提供了与云计算相关的法律安全和隐私风险的全面概述。 第1部分讨论了管理云活动的主要联邦和州法律。 第2部分提供了公司在签订云服务协议之前应该咨询的实际尽职调查清单。

虽然在远程服务器上存储用户数据几乎不是最近出现的现象，但目前云计算的爆炸式增长需要仔细研究相关的隐私和安全隐患。

云计算带来了自身在商业信息的隐私，机密性和安全性方面的独特风险，企业在迁移到云之前必须对其进行全面评估。通过适当的法律合规性和风险管理策略以及强有力的，完全协商的合同保护，公司应该能够安全地将其数据和应用程序转移到云端。

本文的第一部分讨论了规范云活动的主要联邦和州法律，以及与云计算相关的法律安全和隐私风险。

本文的第二部分提供了一份全面的尽职调查清单，其中包括对许多标准云服务协议中的关键术语进行严格审查，适用于任何考虑使用基于云的服务提供商的公司。

美国有关数据安全和隐私的法律法规

美国有许多联邦和州数据安全和隐私法律，对云计算有影响。遗憾的是，没有单一，全面的法律框架，其中云提供商和云用户的权利，责任和义务受到监管或定义。相反，美国的云用户和提供商必须依靠真正的（通常是）特定行业法律的大杂烩来评估他们的法律风险和义务，以及他们之间的合同条款。

这里将介绍最值得注意的数据安全和隐私法律。

HIPAA

联邦健康保险流通与责任法案（HIPAA）建立了一个全面的监管框架，控制“覆盖实体”（主要是医疗保健提供者和健康计划）对个人可识别健康信息的使用和披露。

根据HIPAA的隐私规则，被保险的实体不得使用或披露受保护的健康信息（PHI），除非该规则允许或要求，或受影响个人书面授权。

同样，HIPAA的安全规则旨在保护电子保护健康信息（EPHI）的机密性，完整性和可用性。 “安全规则”规定了详细的行政，物理和技术标准，以确保只有那些有权访问EPHI的人才能访问。

关于向云服务提供商的公开，被覆盖的实体可能不存在与没有协议的提供商（“业务伙伴合同”）的PHI，其中提供商同意受与被覆盖的实体本身相同的HIPAA隐私和安全要求的约束。

业务伙伴合同必须进一步指定，如果云服务提供商收到其代表受保实体存储的患者记录的传票，则会触发特殊报告义务。根据HIPAA，被保险实体必须通知患者，并让患者有机会反对任何要求披露患者PHI的传票。

练习点

在某些情况下，HIPAA的实质性要求可能与云提供商的服务条款发生冲突，并且被保险实体可能会通过使用此类提供商而违反HIPAA。例如，如果服务条款允许提供者发布其存储的任何信息，则医院不能将患者的医疗记录存储在云提供者处，因为这会违反HIPAA。用户必须采取适当的谨慎措施，以确保HIPAA的实质性要求不会与云提供商的服务条款相矛盾。

HITECH法案

作为2009年美国复苏和再投资法案的一部分颁布的“经济和临床健康健康信息技术法案”（HITECH法案）规定了新的违反通知要求，适用于HIPAA涵盖的实体及其访问，维护，保留的业务伙伴，修改，记录，存储，销毁或以其他方式持有，使用或披露不受保护的受保护健康信息（PHI）。

特别是，HITECH法案要求受HIPAA保护的实体通知受影响的个人，并要求业务伙伴在发现违反无担保PHI后通知所涵盖的实体。只有在违规行为对受影响的个人造成财务，声誉或其他伤害的重大风险时，才会触发通知要求。

在向云提供商披露PHI之前，组织应确保（作为合同的一部分）提供商将遵守HITECH法案中的违规通知要求。

练习点

HITECH法案授权每个州的司法部长代表其居民提起诉讼，以强制执行HIPAA的隐私和安全保护，并对安全漏洞施加更多的民事罚款。鉴于这种更加严格的监管环境，受保护的实体需要在保护PHI时保持警惕，并在发生违规时立即提供通知。

Gramm-Leach-Bliley法案

Gramm-Leach-Bliley法案（GLBA）有两个关键条款，对存储云中数据的“金融机构”具有重大的隐私影响：财务隐私规则和保障规则。

练习点

“金融机构”不仅包括银行，证券公司和保险公司，还包括向消费者提供许多其他类型的金融产品和服务的公司，如贷款，经纪或服务消费贷款，准备个人纳税申报表，提供财务建议或信用咨询，收集消费者债务。

财务隐私规则管辖金融机构和任何公司收集和披露客户的个人信息，无论他们是否是金融机构，谁接收此类信息。根据财务隐私规则，在向服务提供商（包括云提供商）披露消费者个人信息之前，金融机构必须与服务提供商签订合同，禁止服务提供商以任何方式披露或使用该信息。实现信息披露的目的。

财务隐私规则还要求金融机构在其关系开始时向其客户提供隐私通知，并在此后每年解释如何收集，共享，使用和保护其个人财务信息。通知还必须声明客户有权选择不与非附属第三方共享其个人财务信息。

练习点

对于GLBA的财务隐私规则而言，云服务提供商是否将被视为“非附属方”尚未确定。使用云作为其服务平台的金融机构可能会发现自己处于一种站不住脚的Scylla和Charybdis状态，如果云提供商被视为非附属第三方，并且客户应选择“选择退出”获取其信息如此共享。

“保障规则”要求所有金融机构制定，实施和维护“综合信息安全计划”，以保护非公开客户信息。 “保障规则”要求金融机构定期监控和测试其安全计划，并根据需要更新信息的收集，存储和使用方式。此外，在允许服务提供商访问客户个人信息之前，金融机构必须：

• 采取合理的步骤选择和保留能够为相关客户信息维护适当保护的服务提供商。
• 按合同要求服务提供商实施和维护此类安全措施。

鉴于GLBA强加的复杂的管理，技术和物理信息安全保护要求，管理存储在云中的非公开信息相关的风险可能特别具有挑战性。

美国爱国者法案

美国爱国者法案授权执法机构强制披露几乎任何文件，包括云提供商持有的电子文件。

该法第215条允许发布单方法官法官法院命令：

“联邦调查局局长或署长的指定人员（其级别不得低于助理特别代理人）可以申请命令，要求制作任何有形物品（包括书籍，记录，文件）用于调查以防止国际恐怖主义或秘密情报活动的调查，文件和其他项目，条件是对美国人的此类调查不仅仅是基于受宪法第一修正案保护的活动。“

此外，那些收到第215条法院命令的人在向他人透露他们收到此类命令的能力方面受到严格限制，或者向接受该命令的主体发出警告。问题是，使用云提供商存储或处理其数据的人可能甚至不知道政府获得了他们的记录。

同样，根据该法案第505节，FBI可以通过使用国家安全信函（NSL），要求金融机构和有线或电子通信的个人客户记录（包括电子邮件，财务记录和消费者报告）服务提供者未经法院事先批准。

由于存储在美国的任何电子数据都可能受到单方面的政府披露，一些外国政府（最着名的是加拿大不列颠哥伦比亚省和新斯科舍省）对跨境转移实施了各种限制和/或禁令。与美国云提供商的信息。

练习点

“爱国者法案”第215条将于2011年2月28日到期。但是，在该日期之前输入的订单仍然有效，关于单方面获取信息的要点仍然令人担忧。政府，组织和企业可能会继续选择不向位于美国的云提供商存储或处理数据，因为担心这些信息可能会暴露。

电子通信隐私法

“电子通信隐私法”（ECPA）规定了电子通信的访问，使用，披露，拦截和隐私保护规定。

一般而言，ECPA禁止未经授权访问电子通信服务设施以及存储中的任何电子通信。 ECPA还禁止“电子通信服务提供商”在电子存储中泄露此类通信的内容。

此外，该法律禁止政府实体在没有适当程序的情况下要求提供商披露电子通信（如电子邮件）（例如，通过试用传票或手令）。

尽管严格要求披露，但使用云服务提供商存在一些风险，因为在许多情况下服务提供商被迫在收到法院命令后披露信息。

尚未确定云中针对政府的披露要求提供的信息保护是否大于第三方所持记录的保护。鉴于这种不确定性，衡量云计算与政府信息需求相关的风险是很困难的。

练习点

提供任何给定云活动的保护级别可以是云活动本身的函数。例如，在ECPA框架内，“电子通信服务”在“电子存储”中保存的某些电子邮件只能由执法人员凭权证（需要可能的原因）访问，而单独传票（不是传票）如果“远程计算服务”“存储”，则需要事先得到司法批准才能访问同一封电子邮件。

电子发现和联邦民事诉讼规则

根据“联邦民事诉讼规则”第26条，联邦诉讼的所有当事方都必须披露（无需等待发现请求）披露方拥有，保管或控制的所有电子存储信息（ESI）的副本。它可能用来支持其索赔或抗辩。

（一些州在州一级的诉讼中采用了类似的电子发现规则。）

一方必须以通常维护的形式或以合理可用的形式或以生产请求中指定的形式生产ESI。

企业必须采取措施，不仅在诉讼开始时保留ESI，而且还要在合理预期的情况下进行诉讼。在这方面，当事人必须提起诉讼并停止进一步销毁可能与诉讼相关的公司文件。

练习点

考虑到可以创建，存储，重新编译，分散，重新组装和重用数据的多个副本，确定用于发现目的的“记录”或“文档”的构成可能难以在云中实现。

因此，联邦民事诉讼规则对在云中存储信息的诉讼当事人施加的法律要求可能存在很大问题，因为其他方面的云服务提供商可能无法轻易获取相关数据，可能无法妥善保存，或者可能与他人的数据密不可分地交织在一起，以免在不损害他人隐私的情况下制作。为了避免这个问题，公司应该熟悉他们的云服务提供商的保留政策，并确信如果需要启动诉讼保留，他们的数据将被适当地隔离和保留。

练习点

对于某些生产ESI的失败，存在严重的处罚。由于电子系统的常规，善意操作，是否会损失ESI？如果不是，可能会对未能生成ESI（包括解雇您的案件）或对您的对手有利的默认判决施加重大制裁。必须充分记录公司的保留政策及其常规销毁周期，以避免可能的推断，即任何ESI损失都是恶意造成的。在这方面，每当“合理预期”诉讼时，应立即停止销毁公司的ESI以避免负面推断。

麻省数据安全法规

2007年，马萨诸塞州要求采用详细的信息安全法规，以减少数据安全漏洞的数量。

由此产生的法规，201CMR§17.00et seq。 （自2010年3月1日起生效），对拥有，许可，存储或维护马萨诸塞州居民“个人信息”的任何人（例如，姓名和社会安全号码，金融帐号或信用卡号码）规定了详细的行政和技术义务。 。该法规还对涉及维护或传输个人信息的任何计算机，系统或网络施加了重要的技术要求。

受马萨诸塞州法规约束的公司必须采取合理措施，确保能够访问个人信息的第三方服务提供商（包括云提供商）有能力保护符合马萨诸塞州法规和适用联邦法规的此类信息。

公司还必须要求其第三方服务提供商在合同中同意他们对个人信息采取适当的安全措施。

值得注意的是，马萨诸塞州的规定适用于任何企业，无论是否在马萨诸塞州经营，处理马萨诸塞州居民的个人信息。在云环境中，公司需要确保其云提供商保持适当的安全措施，以保护涉及马萨诸塞州居民个人信息的存储数据。

练习点

许多州已制定数据泄露通知法，要求公司公开报告未经授权的获取或使用受损数据。在云环境中，数据所有者在逻辑上可能无法确认可能涉及其数据存储的每个服务器位置的安全条件。此外，如果没有对云提供商的报告义务进行充分控制，云用户可能无法在基于云的数据泄露的情况下满足其通知要求。

欧盟数据保护指令

存储在云中的信息的位置可以对提供有关信息的隐私和机密性保护水平以及云提供商的隐私义务产生深远的影响。

例如，欧盟的数据保护指令，规定在欧盟内处理个人数据，作为保护个人公民隐私的手段，具有特别重要的意义。

根据欧盟数据保护指令，只有当该国家提供“充分”的保护水平时，个人数据才可能转移到第三国（非欧盟成员国）。最值得注意的是，美国不在符合欧盟隐私保护“充分性”标准的国家名单上。因此，如果数据通过欧盟以外的服务器发送到禁止的国家（例如美国），则在云中进行处理的组织可能违反欧盟法律。

为了给美国公司提供遵守指令的手段（从而确保持续的跨大西洋交易），美国商务部与欧盟委员会协商，制定了旨在保护意外信息的“安全港计划”披露或损失。

只要符合以下七项安全港原则，美国公司可以选择加入该计划并自我认证，即拥有“充分”的隐私保护：

1. 注意：组织必须通知个人他们收集和使用其信息的目的。还必须通知个人组织披露信息的第三方类型，以及组织为限制此类披露所提供的选择和方式。
2. 选择：组织必须允许个人选择退出收集并将其数据转发给第三方。
3. 向前转移：如果第三方订购安全港原则或受到指令约束，组织只能将信息传输给第三方。或者，组织可以与第三方签订书面协议，要求第三方提供至少与相关安全港原则所要求的相同级别的隐私保护。
4. 访问：个人必须能够访问有关他们的信息，并在不准确时更正或删除它。
5. 安全性：组织必须采取合理的预防措施，以保护个人信息免遭丢失，滥用和未经授权的访问，披露，更改和破坏。
6. 数据完整性：数据必须与其使用目的相关且可靠。
7. 执法：必须有有效的方法来执行这些规则，核实组织遵守安全港原则的承诺，以及纠正因未遵守原则而产生的问题的义务。

练习点

根据联邦和州法律禁止不公平和欺骗行为，公司未能遵守其实施安全港原则的承诺可能是可行的。即使一个遵守安全港原则的组织完全依靠自我监管来提供安全港执法原则所要求的执法，情况也是如此。联邦贸易委员会有权通过寻求行政命令以及每天最高12,000美元的违法行为的民事处罚来纠正这种虚假陈述。

继续阅读第二部分中的这篇文章。

最后的说明

此处包含的信息无意构成对任何特定事项的法律建议或法律意见。这些内容仅供一般参考之用，建议您咨询律师，了解您自己的情况以及您可能遇到的任何具体问题。