关于数据存储位置:需要考虑的四大要点
2014-07-14 机房360 编辑:litao984lt
跨国企业决定将数据托管在哪里,需要对多个国家的相关法律有充分的理解,以及深入的风险分析。企业可能会在一个司法管辖区具有数据保护的法律或道德义务,同时却面临着需要在另一个国家公布相关信息的法律要求。此外,将数据存储和处理迁移到云计算带来了更多关于管辖权问题的关注。
企业在选择数据库的物理位置时,应审查如下四个重要的因素:
1、你企业数据的题材。数据的实际内容可能会使其受到某些政府机构的管辖,无论其存储位置在何处。例如,根据马萨诸塞州的法律,关于联邦居民个人信息数据的存储是违反法律的,无论是信息的状态如何或数据的实际存储位置在何处。
2、你企业数据的目标存储地点的法律互助条约(MLAT)。这些国家之间达成具有约束力的协议,当他们没有直接的物理或合法的访问权限时,一个国家的代理可以请求另一个国家的援助来获取信息。
3、数据资料的传输模式。通过互联网传递的信息往往涉及到要通过许多国家传输,因此要尽量选择最少的路径,以避免流量拥塞。您企业数据所通过的任何国家均可以主张对您数据的管辖权,包括传输通过某些国家时你的传输路径可能被黑客劫持。
4、存储的数据信息与公司总部的关系。您企业所在地的政府机构可能拥有对企业任何数据存储位置的数据的访问权限。因此,企业总部所在地的法律可能需要对企业所有数据有权“监管和获取”。
企业在选择潜在的数据库物理位置时应该参考上述四个标准进行评估,通过风险分析来探讨可能对整个范围所带来的威胁。政府机构的数据监控/拦截管辖权是一个重要的考虑因素。因此,在考虑对其他威胁因素的权衡时,法律环境因素也必须考虑。
要开始这一过程,企业对于选址所在地相关法律的充分了解是非常重要的,了解政府如何根据这些法律办事,而不是被流行的谣言所误导。此外,在传输过程中数据的加密是必须的,不分地点。当数据被存储,就应采取安全保护措施,企业应进行多因素的加密密钥。
选择在何处建立数据库以存储数据的决策绝对不能在真空中进行。云计算和远程存储可减轻许多企业对于相关技术缺乏学术性了解的负担,但这并不能减轻企业了解国家的法律在云中操作负担。
全球数据存储地理位置评级
下面是根据其当前MLAT状态和对企业数据保护的法律立场对相关的国家和地区进行的评级排名。而如果将全球全部国家对于数据保护立法的充分详细介绍无疑需要大量的篇幅,因此这是只是一个简短的,有选择性的概述。许多国家都有对于一般信息披露方面的相关管理与执法规范的法律。
如下国家以其强大的情报信息立法和强有力的执法,以及强大的数据保护执法获得“A”级的评级:
加拿大
瑞士
西班牙
巴西
日本
以下国家获得“B”等级。这些国家在立法管理方面的权重高于其情报执法方面,同时也具备一些数据保护执法。
美国
欧盟
澳大利亚
德国
墨西哥
评级为“C”的国家在情报和执法管理方面的立法规则最少,同时在数据保护的执法力度方面也十分有限:
印度
泰国
苏门答腊
南非
下列国家和地区的评级为“D”或“F”,由于其对情报立法和执法活动不强,或没有针对数据保护方面的立法,或执法力度微不足道:
俄罗斯
中国
巴基斯坦
沙特阿拉伯
埃及
利比亚
香港
然而,重点需要注意的是,较之其他国家和地区,美国对于原数据访问方面相对处于较独特的地位。世界上大多数的电信流量都是通过美国的交换机或位于美国的服务器。这就解释了为什么美国公司在对比欧盟地区的企业有关数据信息方面的处理时会得到特殊待遇的原因了。
而尽管有相关强有力的法治司法管辖保障,但有时却会被缺乏明确的法外程序对于数据的收集数据而搅浑。例如,德国的反恐怖主义法规定了安全架构可以直接访问个人数据。想想看:根据联邦法院命令,德国当局可以合法地发布一个“联邦木马”,为了调查渗透到计算机系统并获取信息,而无需通知系统的拥有者。