中国信息界 2012年第10月 总第228期
云计算中的隐私保护
国际电联电信标准化局(ITU-T)技术观察报告法国电信 斯特凡 吉约休 ITU-T 文卡特森 摩尔
2012年3月张进京 译
在网络世界中,隐私问题的重要性日益凸显。人们普遍认为,云计算有可能对隐私构成威胁。在云中安全地处理个人信息是一个巨大的挑战。只有在国际层面和技术标准上采用统一的个人数据处理方法,才能在云计算中推行隐私保护技术,并使之符合法规。
识到,保护隐私能增强用户的信心,促进经济发展。但是,云中的安全保障,个人信息的管理和控制,对各方都是重大挑战,也会给法律界和企业界带来巨大压力。
本报告分析了云计算面临的诸多挑战和各标准制定组织(SDO)正在做的标准化工作,以期降解云中的隐私风险。另外本报告还分析了一些隐私保护技术(PET)作用。
1 介绍
不过几年前,人们还习惯于向磁盘中传送文件。稍后,很多人改用记忆棒存储文件。云计算则让人们通过任何因特网平台,包括智能手机来访问和处理存储在远程服务器中的信息。计算设施和应用程序越来越多地以提供服务的方式通过因特网来传递。例如,我们在使用谷歌邮件(Gmail)、云中托管联机软件Microsoft Office 365或谷歌文档时,实际上就是在使用云计算。将来,政府部门,企业和个人将会越来越多地使用云计算。
云计算改变了信息管理的方法,特别是个人数据处理的地点。终端用户无需了解任何隐含在云中的专业技术就能获取云服务。这是云计算的主要特点,云计算通过计算资源和存储资源共享以及按使用量付费的商业模式降低成本。虽然云计算可以直接影响IT预算,降低拥有成本,但也会带来传统的安全、信任和隐私方面的问题。
在本报告中,隐私指的是自决权,也就是个人了解自己的信息被别人知道多少、存储在哪里、如何被管理和交流、如何防止被滥用的权利。也就是说,隐私不仅仅指信息的保密。个人信息保护(或数据保护)衍生自与自决权相关的隐私权。每个个体,无论是个人、公共团体还是专业人员都有权利控制自己的数据。
终端用户无需知道服务器的位置,也不必了解个人数据是如何配置处理的,就能享受云服务。云中的数据更易于操控但也更易于失控。例如,在网络空间某处的服务器存储个人数据,可能对个人隐私构成巨大威胁。所以云计算有可能带来若干隐私和安全方面的问题:如可以信任云供应商吗?云服务器可靠吗?数据丢失了怎么办?如何保护隐私?切换到其他云服务供应商那里困难吗?等等。
在网络世界中,隐私问题越来越重要了。人们普遍认
2 云计算和隐私
对于云计算,目前还没有一个统一的、大家都认可的定义。美国国家标准和技术研究所(NIST)的定义是:
“云计算是一种方便的、可按需使用可配置计算资源的模式。网络、服务器、存储、应用和服务等都属于计算资源,它们能通过最少的管理工作和与服务供应商最少的交流被快速使用。”
根据这个定义,云计算由5个基本特点、3个传递模式和4个推广模式组成,可以被广泛采用。
云计算的5个主要特点是按需自我服务、无处不在的网络连接、位置与资源无关、快速伸缩和服务可计量。所以说云应用是无缝的、透明的。快速伸缩可以让计算资源按比例增加(或减少)。可计量的服务是从商业模式中衍生出来的,采用这种服务计量方式,云服务供应商就能通过自动的资源配置,负载平衡和测量工具控制和优化计算资源的使用。
3个云服务传递模式(见图1)是:应用/软件即服务(SaaS),平台即服务(PaaS)和基础设施即服务(IaaS)。2009年3月国际电联发表了关于云计算的技术观察报告。三种云服务模式对个人数据保护的途径不同。每个模式的风险和效益也不同,要根据个案和所使用的云服务性质确定。
SaaS可以让客户使用供应商在云基础设施上运行的应用程序。这些应用程序可以通过一个网页浏览器那样的客户界面,如Gmail这样的基于网页的电子邮件或软件销售团队的客户关系管理软件(CRM from Salesforce)获取。采用SaaS模式,客户很少或几乎不受输入数据处理的影响,所以客户对云供应商有信心或者说客户能控制向SaaS输入
74中国信息界 2012年第10月 总第228期
海外论文
数据。首先,客户可以避免向SaaS输入敏感数据。第二,客户在把敏感数据输入SaaS之前可采取措施保证这些敏感数据的安全(例如客户浏览器的输出插件支持现场加密,这样就能通过Gmail发送加密的邮件。
PaaS提供云供应商支持的工具,使开发商能使用应用程序(例如Salesforce的force.com,Google App Engine,Mozilla Bespin Zoho Creator)。一方面开发商有责任采用最好的案例和有助于隐私保护的工具,另一方面,开发商也要依靠PaaS和相关的基础设施。故而有些开发商开发了一种云应用程序,让数据在PaaS提供的云存储中存储之前,就把所有数据加密。在这种情况下,开发商必须信任平台/基础设施,否则攻击者就可能接近明文(例如加密之前),因为攻击者有可能控制执行环境(如虚拟机监测器,硬件等)。
IaaS向客户提供运行软件的计算资源。Amazon EC2是IaaS的一个例子。IaaS供应商一般要负责数据中心、网络和系统的安全,采取措施保证员工和运行程序符合相关的法律和法规。但是,IaaS供应商可能不具备应用层面的知识,所以很难保证数字层面达标,例如数据转移受地理局限。在这种情况下,保证达标控制的责任就在云用户身上了。IaaS是保证更直接控制的模式,但也会让客户自己来负责技术和程序安全及恢复措施。IaaS云环境中的客户应该有一些标准化的方法来表达他们在隐私和安全方面的需求。例如,如果IaaS是虚拟化的,客户可能就会希望根据数据保护法规,不让IaaS供应商把基于欧盟数据中心的虚拟机转移到基于美国的数据中心中去。
全世界所有的地方保护隐私,所以要共同制定隐私和数据保护方面的国际标准,确定一系列国际通用的有效保护隐私的原则和权利,促进个人数据在全球化世界中的流动。
控制个人数据使用的基本原则包括合法与公平、均衡、目标说明、数据质量、开放性和责任承担。
基本的隐私保护原则必须适合各国的地理、经济和法律环境,被各国法律认可。另外,马德里决议还鼓励各国采取措施贯彻个人数据处理的隐私保护法,这些措施包括拟定防范和检测侵权行为程序等办法。特别是在制定技术规范,进行技术开发和实施时,要采用个人数据处理技术和信息系统。
至于隐私保护技术(PET),目前还没有大家都能接受的定义。一般来说,PET应该是这样一种技术:
(1)降低侵犯隐私和触犯相关法律的风险;(2)让个人数据的使用量最少;
(3)让个人在任何时候都能保持对自己的信息的控制。采用PET保护个人数据,防范不必要和不希望的个人数据处理,可以保护数据的隐私和个人的隐私权。PET包括“阻断工具与技术”,也就是使数据量缩小的技术,例如加密、假名、匿名等,以及使用户了解隐私政策,让用户能在网上访问自己的个人信息的透明增强技术(TET)。
隐私保护的原则:
(1)合法与公平原则:必须公平处理个人数据,尊重所在国法律,尊重个人的权利和自由,遵从世界人权宣言和公民权利与政治权利国际公约规定的原则。
(2)均衡原则:个人数据的处理应适应、恰当、不过分,与所要达到的目的相匹配。
(3)目标规范原则:个人数据的处理和采集要有具体、明晰和合理的目标。
(4)数据质量原则:个人数据应精确、新鲜,数据的保留不能超过个人希望的期限。
(5)开放原则:数据掌控者应制定个人数据处理的透明政策。
(6)承担责任原则:数据掌控者应采取一切必要的措施遵从马德里决议提出的原则和规定的义务,遵守所在国法律,建立内部机制进行验证。
3 云计算带给隐私保护的挑战
大批客户,包括中小企业(SME)、政府部门和终端用户都要以IT为服务手段。行业分析员认为,ICT行业的云服务将会急剧增长。国际数据公司(IDC)预计,“数字世界”,也就是信息与内容生成和存储的数字量,将从
由云服务客户造成的失控对数据完整性、保密性和隐私权构成严重威胁。马德里决议是人们普遍认可的个人数据保护与隐私保护的原则。2009年,第31届数据保护和隐私国际会议在马德里召开,50个国家的数据管理部门参加了会议并通过了马德里决议。会议指出,现在迫切需要在
2011年的1.8泽字节(ZB)达到2015年的7泽字节(ZB)。(1ZB=10亿TB)。
个人数据量的激增推动了人们对云服务的需求。云计算对客户承诺的低成本和云供应商新的业务模式的涌现则进一步促进了人们对云服务的需求。云计算带来隐私方面
75
海外论文中国信息界 2012年第10月 总第228期
的挑战主要有:
(1)云环境中风险评估的复杂;
(2)新业务模式的出现及其对客户隐私的影响;(3)遵守法规。3.1风险评估的复杂性
云服务涉及诸多未知因素,所以相当复杂。服务供应商和客户都要小心谨慎地对待即将提供的服务和已采用的服务。服务供应商通常采用简单的方法促进个人数据跨国流动,所以从检查数据处理生命周期和数据合法性方面来说,这是一个实实在在的挑战。
在一项云服务中,要解决以下一些问题才能确定信息隐私与安全的风险:
(1)运行涉及哪些单位和个人;(2)他们的作用和责任是什么;(3)数据保存在哪里;(4)数据是如何复制的;
(5)有哪些与数据处理有关的法规;
(6)服务供应商如何满足客户在安全与隐私方面的不同需求。
为解决这些问题,马德里决议明确指出,每个负责任的个人都应采取透明的方式处理自己的个人数据,明确指出自己在云计算中对安全和隐私的不同要求。在欧洲,欧洲网络与信息安全署(ENISA)建议,要保持主要功能如对数据和IT运营的掌控及遵守法规方面责任与责任承担之间的平衡。
3.2新的商务模式及其对消费者隐私的影响
联邦贸易委员会(FTC)在一份题为《在迅速变化的时代保护消费者隐私》的报告中分析了IT领域技术进步对消费者隐私的影响。FTC认为,用户付出极小的成本就能采集、存储、操控和共享大量的消费者数据。技术导致新商务模式的急剧增加。新的商务模式能随时在特定的个人层面采集消费者数据,如个人资料信息、在线行为广告、社会媒体服务和基于位置的移动服务。
FTC指出,公共圆桌会议的许多参加者都认为要研究隐私问题,就要应对21世纪的技术和商务实践带来的挑战。“他们对不适当关注消费者隐私的数据采集和使用行为的增长甚为关心。他们认为消费者通常是察觉不到这些行为,所以无法去控制。”
FTC认为,低成本数据存储能力的增长将使企业能保存各种各样的数据,这样就有机会使这些数据得到新的应用。有关消费者的数据将来才会被使用,现在不会被披露,甚至在采集时都不会被分析。不过在欧洲,对个人数据的保存期限有法律规定。
2008年9月,皮尤因特网数据备忘录指出,69%的美国人至少有一次在网上或使用基于网络的软件存储数据。许多人实际上已经是在云环境中工作了。云工作方式包括使用Hotmail或Gmail账户发送电子邮件,存储火狐(Firefox)或谷歌浏览器在线书签,在社会网站如脸书上虚拟交友,在WordPress上保存博客,在YouTube和Flickr上
存储个人视频和照片等。
把多种SaaS服务整合为“单一”服务的云服务整合器面临许多挑战。旅行社使用的多重云SaaS旅行预订平台就是一个云服务整合器的例子。这个平台上有客户关系管理、旅行与食宿预约和预订、刷卡、财会和电子商务,用户可以在这一单一平台上处理所有这些事。如果这些事都由相对应的SaaS供应商来做,可靠性和安全性就会有差异。将来这种模式可能会更广泛地推广。人们应清楚地理解这类模式的法律、安全和隐私意义。3.3遵守法规
人们普遍认为,数据保护和遵守法规是首席信息官(CIO)最重要的安全任务。
皮尤因特网和美国生活项目的调查表明,云计算服务的绝大多数用户对服务供应商把他们的数据泄露给别人的可能性都极为关心。90%的云应用用户说,他们非常关注存储公司是否把他们的数据出售给他人。80%的用户指出,他们非常关心存储公司是否把他们的照片和其他数据用于市场营销。至少在六分之一的云应用中,有68%的用户非常担心公司提供的服务是在分析了他们的信息之后专门制作,并根据他们的行为进行宣传的。
IDC在2008年进行的一项研究表明,被调查的IT经理和CIO中,有74.6%的人认为,安全是云计算模式面临的最大挑战。所以各方都越来越迫切地感到要防范数据侵权。侵犯个人数据的灾难性后果是显而易见的。最近几个月,许多报纸载文揭露了一些敏感领域,如金融界、政府部门和网络社区中的数据泄露事件。一些数字事故,如索尼公司遭受的数据侵权和维基解密泄露的美国外交专线都使人们对数据安全问题颇为担忧。云计算环境中的这类数字侵权可能会对人们的数据处理安全信心产生负面影响。另外,这类数据侵权还会导致犯罪、法律诉讼、商业损失和社会伤害。
政府部门不采取适当的隐私保护措施就使用个人数据的行为称为“大哥”现象,防止这种现象的出现是数据保护部门的任务之一。政府在云计算环境中滥用个人数据将使终端用户认为云计算不过是当局走向极权监督体制的手段。
云服务中数据处理量的不断增长使之成为外部和内部企图进行政治与商业欺诈的黑客的攻击目标。所以说云计算对数据保护的要求更高。例如,云供应商要提供密码保护存储的个人数据,防范未经授权的访问、复制、泄露和处理。
另外,在云计算环境中,企业的数据是委托给作为第三方的服务供应商管理的,企业本身无法掌握自己的数据,数据可能会停留在世界的任何地方。企业不可能知道在某一给定的时间自己的数据在哪个国家。云计算的这一特点与欧盟(EU)的要求是相互冲突的。欧盟要求企业在任何时候都要知道自己管理的个人数据被转移到何方。所以说,对欧盟的顾客来说,云计算存在着特殊的跨国问题。
76中国信息界 2012年第10月 总第228期
海外论文
4 通过设计保护隐私
不受干扰的自由是一种重要的人权,是世界人权宣言和政治权利与公民权利国际公约的座右铭。世界人权宣言第12条规定:“任何人的私生活、家庭、住宅和通信不得任意干涉,他的荣誉和名誉不得加以攻击。人人有权享受法律保护,以免受这种干涉和攻击”。在欧洲,欧盟基本权利宪章已成为里斯本条约中的内容(2009年12月付诸实施)。欧盟法令95/46/EC、电子隐私与电子通信法令2002/58/EC也涵盖数据保留问题,是欧洲涉及隐私和个人数据处理的主要法规。
最近的马德里决议给出了保护隐私的国际标准,但尚未被世界各国普遍认定为隐私法规。在云计算环境中,隐私问题更为复杂,数据位置和各方责任都不清晰,机制也不协调,所以建立法律框架不容易。欧洲的27个成员国对1995年的欧盟法令贯彻力度不同,所以结果也不同。欧盟委员会认为,制定统一的欧盟法令可以消除目前的分裂状态,降低管理成本,使企业每年节约大约23亿欧元。
欧洲网络与信息安全署(ENISA)最近在一份报告中总结了在云计算环境下与95/46/EC法规相关的一些问题和规定。报告指出:“在云计算环境下,数据管理者和处理者的作用还要根据云服务的性质逐例确定”。
美国不像欧洲那样有综合性的政府法规,但有包括自律在内的大量针对隐私和数据保护的地区法规。美欧之外的其他一些国家和组织,也有一些隐私保护方面的规则。美欧之外的其他一些国家在隐私方面的立法同样也是重要的。一些发展中国家,例如非洲大陆、印度和中国,现在正打算拟定隐私和数据保护方面的法律。全球在隐私立法方面的差异会导致贸易和创新障碍。
商业软件联盟在2012年2月的一份报告中指出,很明显,发达国家和发展中国家在个人数据保护立法方面存在着巨大差距。报告还指出,发达国家的数据保护法规也不统一,相互冲突,这种状况妨碍了个人数据的跨境转移。例如,一些发达国家正在考虑只允许国内公司提供云服务。所以现在有必要在国际上采取措施统一多种数据保护机制,协调供应商的商务法规和公民的保护法规。不在国际层面大规模地协调各国政策,云计算的数据和软件跨境免费流动的优点和效率就无法发挥出来。
参考资料1:欧登塞市的案例
丹麦数据保护署(DDPA)最近做出的一项裁决可以说是一个重要范例。2011年2月,DDPA宣布了一项有关云计算的裁定。这是欧洲数据保护署公布的第一次裁定,所以引起了各方注意。
这一案例是一个丹麦的市政府打算在学校里采用Google App处理敏感的学生个人数据,包括课程规划、评定和学生教育发展等信息。
根据上述裁定,学校当局在处理个人数据时,必须遵守法律并采取必要的措施让被处理的数据在任何时候都受到保护。DDPA不同意欧登塞市采用云计算存储某些敏
感信息,主要是出于安全方面的考虑。欧登塞市认为,学生和家长的保密和敏感数据可以交由Google App处理,DDPA反对这种观点。由于欧登塞市并不知道数据实际上存储在哪里,所以无法达到丹麦数据保护法有关数据处理器安全措施的要求。现在尚不清楚丹麦数据保护法的以下要求是否能得到满足:
(1)被删除的数据不能被创新恢复。
(2)传输与注册:市政府没有搞清楚数据在各数据中心之间传递是否需要加密。
(3)不得有关于数据记录和记录保留多久的信息。如果欧登塞市继续进行这项工作并且找出了针对以上问题的解决方案,DDPA愿意重新考虑这件事,并重新做出决定。
欧登塞市的例子表明,在转向云服务之前,必须进行认真的风险评估,在遵守法规和促进云服务方面,标准应发挥重要作用。
2011年,欧洲委员会(EC)在审查数据保护条例时建议制定一系列统一的、技术中性的和经得起未来考验的法规。特别重要的是要强调数据管理者的责任,包括告知数据侵犯和提出“通过设计保护隐私”的原则。根据数据保护工作条例第29款和个人数据保护基本权利法律框架,“通过设计保护隐私”的原则强调要推广隐私保护技术(PET),承认“默认隐私”,采用必要的手段更好地保护用户的个人数据。所以“通过设计保护隐私”的原则不仅适用于数据管理者,也适用于技术设计者、生产者和业务合作伙伴。
参考资料2:欧盟数据保护条例审查
欧洲委员会在审查欧盟数据保护条例之后宣布的一些主要修改如下:
(1)制定一套适用于全欧盟的数据保护规则简化管理程序(取消不必要的管理要求,例如通知公司)。
(2)制定法规有针对性地增大处理个人数据的公司的责任,不需要像现在这样让所有的公司都向数据保护监管者报告所有的数据保护措施。强调“隐私默认”原则和“通过设计保护隐私”的原则,保证个人可以通过很便利的方式获知自己的数据是如何被处理的。
(3)欧盟各国要有统一的国家数据保护机构,各组织都必须同这个机构在自己国家的分支机构打交道,即便他们的数据是被一个地点在国外的公司处理。如果数据处理需要批准,则指令必须清晰。
(4)每个人都能更方便地获取自己的数据,更方便地把个人数据从一个服务供应商那里转移到另一个服务供应商那里去(数据便携权)。
(5)“忽略权”有助于人们在网上更好地控制数据保护风险,如果没有合法的理由继续保留,人们就可以删除自己的数据。
(6)对那些在欧盟市场中运营并向欧盟公民提供服务的外国公司,欧盟的个人数据法规也同样要适用。
(7)强化独立的国家数据保护机构,使它们能更好地
77
海外论文
中国信息界 2012年第10月 总第228期
在国内贯彻欧盟法规。它们有权惩罚违反欧盟数据保护法规的公司。罚款可高达一百万欧元或该公司全球年营业额的2%。
(8)新的条例规定,数据保护原则和规则也适用于刑事犯罪方面的警务与司法合作。
——欧盟委员会2012年1月25日新闻发布会
所以,个人数据处理需要开发和采用标准化的、技术性的隐私保护措施,实现“通过设计保护隐私”。现在许多报告都提到了这种隐私保护概念,它始见于系统建设的初期,贯穿于系统的整个生命周期。
为行之有效,“通过设计保护隐私”需要凭借现代化的全球方法制定运行解决方案,同时解决法律和技术方面的问题。合理可靠的隐私保护要有通用的、内置式的、能保证遵从隐私原则的隐私保护元件。
2010年国际电联(ITU)在西班牙的瓜达拉哈拉市召开了全体代表大会,做出了130号决议,强调ITU在信息与通信技术方面树立信心和保障安全的作用。会议提出,ITU和其他一些国际组织应通过各种各种方法树立人们使用ICT的信心,包括采取措施应对垃圾和恶意软件,保护个人数据和隐私。制定标准对增强云解决方案的通用性是非常重要的。2011年,全球标准合作组织(GSC)重申了其关于个人识别信息(PII)保护的GSC-15/25决议,该决议指出,遍布全球的各个机构,包括已经略见成效的标准化组织,在这方面已经做了大量的工作,积累了许多经验。
GSC认为,只有采用标准化的术语、定义、框架和程序,才能保证在国家、地区和全球层面统一解决这些问题,才能进行有意义的对话。对标准化必须进行分类研究才能保证其持续有效,才能在个人识别信息(PII)方面推进分类的标准化工作。
参考资料3:通过设计保护隐私
个人数据保护基本权利的法律框架是在数据保护工作组条例第29款和警务与司法工作组(WPPJ)咨询报告的基础上拟定的。“通过设计保护隐私”的原则是从这个法律框架中衍生出来的。
实际上,要贯彻“通过设计保护隐私”的原则,首先就要在若干方面进行评估。特别是在决定处理系统的设计和运行的时候,在以下方面应予特别注意:
(1)数据量最小化:数据处理系统的设计和选择不用或尽量少用个人数据,包括个人数据的采集、处理和使用。
(2)可控:IT系统应通过控制个人数据的有效手段提供数据。赞同意见和反对意见都应有技术手段支持。
(3)透明:IT系统的开发者和运行者都必须保持数据拥有者(即客户)对运行系统有足够的了解。让客户能以电子方式访问,获取信息。
(4)用户友好的系统:与隐私相关的功能和设施应该是客户友好的,也就是说系统应提供足够的帮助和简单的界面,让缺少经验的客户也能使用。
(5)数据保密:必须通过设计保证IT系统只允许获得授权的机构访问个人数据。
(6)数据质量:数据管理者必须采用技术手段保证数据质量。如果法律要求,重要数据可以访问。
(7)使用限制:IT系统可用于不同的目的,在多个用户环境中运行,包括数据库、云计算和数字身份识别等,所以IT系统要以安全的方式把数据和处理不同任务的程序相互分开。
2012年2月,GSM协会(GSMA)在吸收了产业界、立法机构和民众的反馈后公布了一套适用于移动应用开发的隐私设计指南。欧洲的一些大型移动公司,如橘子公司、沃达丰和德国电信已同意采用这些指南。GSMA认为,这些指南有助于开发符合“通过设计保护隐私”原则的移动应用。根据这些指南,用户可以知道,哪些个人信息可以访问、采集和使用,哪些信息可以与谁共享,用于什么样的目的。指南还简述了社会网络应如何处理个人信息,包括用户何时想获取或终止服务。特别重要的是,指南声明必须让用户能“删除自己的账户,传递消除贴在网上的所有个人信息和内容”。
ITU-T SG17小组,即“电信安全研究小组”的任务是开发和维护大范围原始数据的安全,协调与安全相关的工作,明确要求,指派任务,确定工作优先序,鼓励及时提出电信安全建议。ITU-T SG17把云计算安全列为8/17号问题。SG17研究的其他问题包括信息安全管理和身份管理等。SG17把隐私问题归类于个人识别信息(PII)保护和开发机制研究,目的是保证只有经过适当授权的人才能获取PII。
5 利用隐私保护技术(PET)贯彻“通过设计保护隐私”的原则
马德里决议提出的预防措施是在处理个人数据时采用技术手段进行有效的隐私保护。主要目标是鼓励公司自我规范,更好地贯彻隐私原则。技术手段是法律措施的重要补充。PET不仅保护个人数据,防止个人数据被不必要和不希望的处理,而且让用户知道他们的数据存储在哪里,是如何被处理的,流向何方。PET就是这样一种隐私保护技术。为实现这一目标,采用标准化的隐私解决方案将会很有帮助。5.1数据处理流描述
根据马德里决议提出的开放性原则,每个有责任能力的人都应以透明的方式处理个人数据。描述数据处理流可以说是第一步。对风险评估来说,这一步至关重要,可以确定保护层级。隐私控制的基础是审计、风险评估和认证,对负责隐私控制的管理者来说,数据流表是一个非常有用的工具。这个表按数据生命周期的发展步骤排列:PII的采集、传输、使用、存储、共享和废弃。这个表中应包括个人数据的类型、处理数据的人、运行平台、处理应用程序、处理目的、保护模式、存储生命时长、个人数据传输给谁以及数据存储位置等信息。
78中国信息界 2012年第10月 总第228期
海外论文
表1 数据流表范例
数据类型有资格
处理个人数据的人
运行平台
处理应用程序
数据处理目的
保护模式
存储生命时长与废弃手段
数据接收者
如果数据传输到国外,指明传输到哪个国家
利),存储空间或数字内容,例如以云为基础的按需提供的视频。
表2 数字生命周期中的隐私保护技术
数字生命周期
采集存储共享与处理删除
隐私原则均衡与目的说明责任承担,安全措施,敏感数据合法与公正准许,访问权利开放性,删除权
隐私保护措施数据最少化保密性数据访问控制保密性
PET范例与ICT标准
匿名通信,匿名资信,组签与盲签
ISO/IEC JTC1/SG27WG2 与 WG5
加密
AESNIST(FIPS197)
隐私数据汇总OASIS XACML,ITU-T X. 1142
删除,匿名协议,哈希函数ISO/IEC JTCI/SC27 WG2
在各种保护模式中,PET是应用广泛、在各个层次上都成熟的个人技术。在云计算中,PET标准化面临的一个挑战是缓解与云服务性质相关的、在各种应用中产生的具体问题。从定义上讲,云计算应该易于为顾客所使用。对云供应商和云开发商来说,情况就复杂多了。标准应增强隐私解决方案在分布式架构中的通用性。
相关法律规定,隐私基本原则中要包括数据生命周期安全措施,例如数据访问控制、数据被侵权使用时或数据在传输时和在数据中心泄露时的数据保密与数据完整。
参考资料4:数据生命周期安全措施
数据完整、可用对提供云计算服务至关重要。95/46/EC条例第17款规定,数据管理者和处理者必须采取技术措施和组织措施防止个人数据遭受偶然的和非法的破坏或意外的丢失、改变和未经授权的泄露,即便不能保证技术的先进性,不能承受实施的成本,也要采取措施保证有对应于风险的适宜的安全等级,这种风险等级是由数据处理和被保护数据的性质决定的。
现在的问题是,对“适宜”这个概念欧盟各成员国有不同的理解。所以,尽管云服务供应商(CSP)通常愿意采用广为认可的技术标准(例如ISO27001),但却不能与国家要求的适宜措施相匹配。现在欧盟各国需要在这一问题上进一步协调,以取得一致。5.2使用PET
制定ICT标准的目的之一是在云计算中贯彻隐私原则时确定适宜的和有效的技术措施。目前的ICT标准列于表2中,下面用数字生命周期不同阶段的PET应用例子进行说明。
表2中的第一个PET警示是贯彻数据均衡原则。根据这一原则,数据管理者必须以合理的方式把个人数据的使用量限制到最小。设计的系统应仅为给定的目标采集最少量的数据。适用于这一原则的一种PET技术是匿名。这种系统可以让一个用户从一个组织那里获得资质信誉,以后无须披露更多的信息就能向另一组织证明该用户拥有这种资质信誉。匿名资信系统还能有选择性地披露用户信息,证明对用户的某些条件满意(例如年龄﹤25岁),同时隐藏所有其他的信息(传统的资信数据系统与此不同,只能把用户所有的特点都传递过去)。目前有两种资质认定系统,第一种是IBM开发的Idemix系统,这种系统基于小组签名。第二种是最近由微软提出的U-Prove系统,这种系统基于盲签,详见斯蒂芬 布朗兹的著作。
客户可以匿名获取各种云服务,无须向服务供应商披露更多自己的信息来验证自己的权利。为减少用户交易的痕迹,尊重用户的隐私,在应用时披露的数据应该最少。这种PET可以让用户在云服务供应商那里注册并获得服务。用户资信包括享受云服务的合法证明(例如访问的权
第二个警示是保密责任。数据管理者和在任何阶段参与数据处理的人都有责任对个人数据保密。即便同数据对象或相应人员的关系终止了,这种义务仍然要履行。云存储数据应该是高度安全的,所以要在云中进行数据加密处理。加密是安全专家认可的,保证数据安全的一种基本手段。只要运用得当,再加上有相关的安全密钥和数据管理政策,加密就能把数据和与数据相关的政策同用户和企业隔离开来,特别是在共享的,像云存储这样的多用户环境中。不过这些方法从计算能力的角度看可能非常昂贵,可能导致云计算带来的好处被数据加密的费用支出所抵消,以至于在大多数情况下都无法采用数据加密。如何让加密和云计算以合理的方式融合在一起,是一个很大的问题。
个人数据是敏感的,所以保密至关重要。特别是对那些涉及种族、政治观点、宗教、哲学信仰和健康与性取向的数据,保密尤为重要。
制定未来的ICT标准,要考虑加密数据处理的最新进展,如“搜索加密法”。研究人员可以设计这样的机制,就是为加密数据颁发凭证,让第三方藉此凭证搜索加密的数据。采用搜索加密方法,客户就可以把自己的数据存储在他不太放心的云供应商那里,不会丢失数据。微软把这种技术成功地用于电子保健证明这种方法是可行的。鉴于保健数据的重要性和敏感性,对病人和保健服务供应商来说,任何保健记录的存储平台都必须保密和完整。
第三个警示涉及数据对象的权利。控制个人数据是用户的基本权利。为使用户能更透明地掌握自己的数据,要汇总所使用的数据并与个人环境控制联系起来。谷歌建议设立谷歌数据账户。谷歌系统可以让数据所有人控制自己的数据。谷歌的每种产品,包括Gmail、日志、文件等都能汇总数据并同个人环境控制联系。不过,欧洲的数据保护部门对谷歌的做法表示担忧。法国国家计算与自由委员会(CNIL)已向欧洲数据保护部门证明,谷歌建议的新的隐私保护方法并不违背欧洲数据保护法。
描述信息系统安全语言的一个重要标准是结构化信息标准推动组织(OASIS)的可扩展访问控制标识语言(XACML)标准。ITU-T X.1142号建议也提出了一个访问控制的标准化解决方案。由于汇总解决方案使用的是XACML语言,所以用户可以按自己的意愿控制哪一个实体(例如服务供应商)访问哪些数据。
数据对象和云服务供应商之间的合同关系终止后,数
79
海外论文
中国信息界 2012年第10月 总第228期
据对象有权要求责任人删除不再需要的个人数据。采用技术手段和技术方法的解决方案,可以安全地删除个人数据或将个人数据匿名。制定标准对明确需求、避免个人数据的泄露很有帮助。2006年,美国在线(AOL)由于匿名失误,把成千上万的用户数据贴到了网上,造成了侵权,如果有标准,这种情况就可以避免。
WG5还负责制定其他一些隐私标准,最前卫的是ISO/IEC29101隐私架构框架:
隐私框架是技术参考框架、具体隐私技术和全面隐私管理的实施与应用、外协数据处理隐私控制、隐私风险评估以及具体工程规范的基础。
隐私架构框架指导与隐私框架相关的控制措施的实施,保证在信息与通信技术环境中,恰当地处理PII。
ISO/IEC 1/SC27决定在一段时间内研究云计算安全与隐私,调查云计算的安全需求,建立可行的计划制定标准满足需求。SG27小组将研究信息安全管理、风险管理、应用程序与网络安全、网络空间安全、业务持续性。隐私与身份管理等课题。研究时限取决于ITU-T SG38小组和其他一些涉及云计算安全研究的小组进展。
ISO/IEC JTC1/SG38,即分布式应用平台与服务课题成立了一个云计算研究小组,小组的任务是研究云计算标准,为JTC1的云计算工作提出新的建议。JTC1/SC 38/SGCC课题中的安全问题目前正在考虑中。6.3结构化信息标准推动组织(OASIS)
OASIS是一个推动全球信息化社会开放标准制定、推广和应用的社团组织。OASIS IDCloud TC(云中身份技术委员会)的工作是应对云计算身份管理中安全方面的严重挑战。IDCloud TC明确指出了目前身份管理标准的不足,调查了按目前的标准实现个人信息交换的需求。IDCloud TC根据收集的应用案例做了风险与威胁分析,制定了弥补不足和缺陷的指南。TC的目标是统一云计算环境中涉及身份的定义、术语和词汇,举出应用案例,找到目前在云中使用的身份管理标准的差距和不足。6.4云计算安全联盟(CSA)
CSA的任务是推广保证云计算安全的最佳案例,通过云计算应用培训增强其他计算形式的安全。
CSA的9个工作小组都在观察云中安全方面最佳案例的进展:
第1组:架构与框架
负责技术架构与相关的架构定义。
第2组:管理、风险、合法(GRC)、审计、实体安全、业务持续性管理(BCM)、灾难恢复(DR)
负责管理、风险控制、合法、审计、传统的和实体的安全、业务持续性管理和灾难恢复。
第3组:法律问题:合同与电子发现
负责法律指导、合同、全球法律、电子发现和其他相关问题。
第4组:便携、通用和使用安全
负责应用层的安全、为推动便携和促进供应商之间的通用制定指南。
第5组:信息管理与数据安全
负责识别和访问管理、加密和密钥管理、解决企业整合问题,找出解决方案。
第6组:数据中心运行与事故反应
负责事故反应讨论,找出与基于云的数据中心运行相
6 标准化活动
虽然人们对云计算中隐私安全的担忧不断增长,但到目前还没有制定出标准。要尽快采用云服务,就要制定评估和选择解决方案的标准,确定安全和隐私保护所需的层级。
标准的制定现在正在进行中。过去几年,一些一直努力制定信息隐私保护标准的组织现在开始研究云计算了。本节总结了标准在云中保护隐私的最佳案例。6.1国际电信联盟(ITU)
自2010年4月以来,ITU-T SG17研究小组一直在从事云安全方面的工作。目前正在进行以下5个课题的研究:
(1)电信领域中的云计算安全指南;(2)电信服务环境下的云安全需求与框架;(3)云计算中的因特网下载管理(IdM)需求;(4)虚拟网络的安全服务平台架构;
(5)软件即服务(SaaS)应用环境中的安全功能需求。另外,还有一些课题涉及云计算环境中的PII保护技术措施:
(1)电信机构个人识别信息管理指南;(2)电子商务服务匿名认证指南;
(3)可扩展访问控制标识语言(XACML)3.0版;(4)涉及物理学、化学、生物学、文化学和心理学的远程生物统计学;
(5)电子保健远程生物统计数据保护与全球远程医疗整体框架;
(6)在身份管理中评价个人识别信息保护层级的标准;(7)开放的身份信任框架。
成立于2010年6月的云计算专题小组明确指出,云数据安全是ITU-T的重要研究课题。这个研究小组认为,电信供应商可以在这一领域发挥重要作用,因为企业和终端客户都认为电信供应商是可靠的。2011年12月,云计算专题小组从用户和服务商的角度对自己的云安全威胁与需求工作做了总结,并向ITU-T SG17小组提出了云安全研究课题建议。
6.2国际标准化组织(ISO)
国际标准化组织和国际电工委员会(ISO/IEC)中研究隐私与IT安全标准的技术委员会主要是JTC1/SG27。其工作内容包括制定隐私保护技术的标准和可靠的解决方案。匿名认证机制课题是与两个SG27工作小组,又叫WG2正在做的标准化工作交叉进行的,WG2根据算法,如盲签和组签制定标准,而WG5的工作是需求和指南。
80中国信息界 2012年第10月 总第228期
海外论文
关的新的问题。
第7组:信息生命周期管理与存储负责云中与数据相关的问题。第8组:虚拟化与技术分割化
负责了解如何分割用于多用户的技术,包括但不局限于虚拟化。
第9组:安全即服务
负责了解如何通过云模式传递安全解决方案。CSA的其他工作包括编辑如何在云中保证安全的最佳案例文集(其实就是安全指南)。云控制矩阵是适用于云供应商和云客户的安全控制框架,而云信任协议是一种云服务客户向云供应商要求和接收信息的机制,目的是满足隐私安全与合法的需求。
隐私挑战,促进云服务采用方面起到重要作用。数据保护部门推广PET技术是个好办法,采用PET可以保护数据对象的权利,实现隐私保护的目标。
在云服务中,PET的采用与否取决于是不是有评定隐私风险和保证数据安全的标准。PET可以防止数据保护法规遭到破坏,避免个人权利受侵犯,不仅能贯彻法令,而且能形成技术威慑。做技术设计时,“通过设计保护隐私”的嵌入特点越来越受到管理者的关注和支持。欧盟数据保护条例修订时,“通过设计保护隐私”的内容会被增添进去。
网络犯罪破坏云计算环境,例如,欺诈和恶意破坏可能会损害用户对云计算的信心。云计算供应商现在面临诸多问题,包括信息披露法规不一致造成的潜在冲突。更好地了解司法管辖权问题非常重要,应通过高层对话予以解决。
ITU可以在制定技术标准和指南方面发挥作用,可以开发贯彻“通过设计保护隐私”原则的方法,包括在云计算环境中减少个人信息泄露的风险。服务供应商应按ITU的要求去做,保证采取的个人信息保护措施不超出法规框架。
ITU正在考虑就此议题组织一次活动,推动这方面正在进行的标准化工作。ITU-T SG17小组已经开始对涉及云安全的若干具体课题进行研究。但在云计算隐私方面还有许多工作要做。云计算安全是SG17小组未来工作的主要任务,与其他标准组织和产业集团的大力合作,有助于工作的进展,避免重复。
译者简介:
张进京,国家信息中心,高级工程师。
7 结论
云计算还处于初期发展阶段。云计算是一种新兴技术,能带来业务模式和应用方面的创新。智能电话的广泛普及是推动云计算应用的重要因素。但是云计算在隐私和安全方面还面临诸多挑战。
只有采用标准化的方法,找到各方面都能评估隐私风险并采取适当保护措施的技术解决方案才能使云计算在全球推广。从企业的角度看,隐私给云服务供应商树立品牌形象,提供差别化服务带来了机会。但是,应对隐私挑战需要有各方面的人参与,需要采用多学科的手段让社会的各方面都受益。可靠的隐私保护需要有通用的、嵌入式的隐私保护元件,而且要遵从复杂架构中数据最小化等原则。制定隐私保护标准能增强人们的社会责任感,在应对
81
因篇幅问题不能全部显示,请点此查看更多更全内容