在面对全球性的个人数据保护问题以及GDPR法规在欧洲的实施背景下,印度政府积极行动以制定出能保护个人信息的强大立法。近期,印度政府已采取了两项重大措施:
-
提交《个人数据保护法案》(Personal Data Protection Bill, 2018):此法案旨在提供数据隐私保护,涵盖了数据收集、处理、存储、质量、责任、可移植性、目的、同意以及“被遗忘权”等关键领域。
-
提出数据本地化政策:要求所有印度公民的个人关键用户数据以及在印度生成的数据均应在印度境内存储和处理。此举旨在便利调查机构在数据泄露或违法行为时获取数据。
这两项举措对组织及其IT部门,以及存储、处理和管理个人数据的公司(如云服务提供商、MSPs、第三方数据中心和托管服务提供商)产生了显著影响。企业需要建立全面的合规流程,并获得组织内各级别的支持。
多云策略的关键考虑
为遵守关于个人数据隐私和本地化的法规,多云策略应重点关注以下六个方面:
-
制定企业级云上个人数据政策:确保企业IT和安全团队(有时公司设有专门的合规、数据保护、信息风险管理团队)对上传、存储和处理任何防火墙外资源(如移动设备、应用程序、SaaS工具)上的数据有严格的规定。政策应包括访问控制机制和足够的检查平衡,防止无意的非遵从行为。
-
工作负载与基础设施类型匹配:明确区分公有云和私有云的工作负载。在多云环境中,IT团队应实施访问管理和安全协议,确保特定工作负载始终映射到分配的资源上。例如,关键的个人数据应始终位于印度境内的私有云基础设施上;非关键信息如使用分析、人口统计、报告、仪表板等可以存储在印度以外的云基础设施或托管服务提供商处。
-
指定并授权“数据管理员”:数据治理和隐私应成为组织内部的正式过程,需要整个组织的参与。设置数据管理员负责识别和应对数据泄露事件,并建立正式的数据核对和CAPA(纠正行动预防行动)机制,以确保未来的类似数据泄露事件不会发生。
-
了解地理信息:确保合规性,需要知道处理或存储客户数据的物理位置。云供应商和MSP的协议应提供关于所有设施的详细信息,无论是静态还是传输中的企业数据。
-
构建自动化机制管理“同意”:GDPR的实施表明,“同意”在数据隐私合规中扮演着核心角色。《个人数据保护法案》中“同意”的概念出现了36次,详细覆盖了意义、范围、自由、易用性和撤销能力。此外,还包括广泛的“被遗忘权”,即数据的所有者有权限制或阻止继续披露个人信息,前提是同意可以撤销。
-
与印度数据中心合作:随着数据本地化规范的实施,许多全球云服务提供商可能会发现以成本有效的方式服务于印度客户变得困难,因为他们需要在印度设立专用的云设施。然而,像Netmagic这样的云领导者已经在印度建立了巨大的运营规模,这使得将工作负载转移到印度数据中心既简单又成本效益高。作为NTT Communications的一部分,Netmagic能够提供符合要求、安全且高性能的云托管、网络和存储服务。
需要注意的是,存在一些未充分考虑的灰色地带,例如如何应用数据本地化法律于不在印度的SaaS企业软件供应商(门户、电子商务网站、移动应用),这些供应商与最终用户有各自的合同条款和数据隐私政策。数据输入到新加坡服务器的应用程序是否被视为“印度生成的数据”?随着法律的演变以解决当前和未来的问题,正在进行多云旅程的企业有时间建立适当的过程和政策,部署强大的云管理和数据治理工具,并朝着在整个企业内(包括本地、云、托管和第三方基础设施提供商)统一的数据隐私政策前进。
