万圣节时间意味着这是被我们的智慧吓到的时间——但是这不该应用于公司们。
今年的这个时候,有很多值得担心的事,不只是由你们“不招待就使坏”的孩子们在选择装备上所展现出来的创意缺失。仅仅是戴着怪物面具一遍又一遍地重复“我想要你的糖果”已经不足以吓到人了。
但是,许多企业却被戴着山姆大叔面具、要求“我想要你的数据”以避免全部的云存储或者避免消除可能更加经济的供应商选择的逼近的威胁吓得够呛。是的,我说的正是《爱国者法案》。
简单说,国际数据公司(IDC)说的是欧洲企业害怕《爱国者法案》,而它所提供的访问存储于云端数据的权利大大地被误导了。所谓“通过提供拦截和阻碍恐怖主义行动的合适的工具统一和加强美国”已经更普遍地作为《爱国者法案》为人们所知,简单地允许美国政府机构无保证地搜索美国公司存储的数据。
那些数据不需物理上存储于美国,而只要存储数据的公司是美国公司就可以。所以数据本身可以存在美国边界以外,但是如果存储它的母公司(相对于任何本地分公司)在美国注册并设立总部,那么爱国者法案就适用,数据就可以被搜索并获得。如果你使用Gmail,那么无论你住在哪里,你所在国家的法律是什么,你的信息都能够执行美国法律,因为谷歌是个美国公司。
到目前为止那么可怕。它还在变得更糟,大多数云供应商都是基于美国的企业。IDC说的是这种恐惧的面具需要脱下,以揭示一些并不稀奇的事情。
IDC的欧洲公有云服务调研经理David Bradshaw说《爱国者法案》的恐怖故事是靠不住的,他坚持“存储在美国的数据通常比在大多数欧洲国家的数据得到更好地保护,尤其在英国。”其理由是如果你是来检查反恐怖主义、国家安全、任何特定国家的立法,那么你会发现事实上任何地方的政府和法律都对存储于云端、存储该特定国家司法权范围内任何地方的数据都有合法追索权。这是已经被指出的。
数据主权当然是重要的,在1998年《数据保护法》的规定下,任何持有第三方数据的英国企业都对这些数据负有法律责任。如果这些云端数据,存储于英国之外的地方,那你的企业也仍然对它负有责任。
当数据的物理地点对决定谁对其有控制权时,这并不容易保证。管辖权问题不能被忽略,无论它们变得多么复杂。英国政府明白托管于公共部门的个人信息必须被托管于国家界限之内,而当它移向使用得越来越多的云服务时,对国内私营企业托管的需求的驱动也需要如此。
但是,我的确同意IDC的是,许多恐怖故事认为,客气地说,《爱国者法案》可能被误置。事实上,为了在竞争激烈的云服务供应商市场中获得竞争优势,许多人甚至可能故意误导。
而当涉及到美国,IDC争论说,所有对云数据的访问(《爱国者法案》或者其他)都需要法院命令。政府机构需要在访问任何数据之前寻求法院命令,而云供应商不能没有这样一个命令就不能放弃。唯一的例外,按我理解的,是不这样就会有迫在眉睫的生命损失的情况。IDC继续指出,大多数欧洲国家在他们的要求上并不严格,而在美国存储云数据能使它们得到更好的法律保障的保护,而存储在英国就只有较薄弱的法律控制。
我不确定我能走这么远,但是我的确同意IDC这一点,即对于《爱国者法案》和云,似乎每天都是万圣节。这显然是疯狂的,需要停止。我不是说忽略数据主权或者数据保护的问题,只是别太在意《爱国者法案》的困扰而牺牲其他的一切。