在云遷移的時(shí)候，我們最關(guān)注的問(wèn)題莫過(guò)于數(shù)據(jù)隱私問(wèn)題，據(jù)市場(chǎng)統(tǒng)計(jì)可知，向云轉(zhuǎn)移預(yù)計(jì)會(huì)在未來(lái)五年帶來(lái)1萬(wàn)億美元的直接或間接支出，就是說(shuō)，對(duì)于企業(yè)那就是一筆巨大的開(kāi)銷。用戶的隱私永遠(yuǎn)都是企業(yè)的首要問(wèn)題，說(shuō)到如何打消客戶的這些顧慮，以便擴(kuò)大業(yè)務(wù)，云服務(wù)提供商確實(shí)面臨挑戰(zhàn)。

　　　　數(shù)據(jù)隱私問(wèn)題在2016年的受關(guān)注度達(dá)到了空前的高度，這主要?dú)w因于這幾個(gè)因素：蘋(píng)果公司與FBI圍繞加密的iPhone展開(kāi)了曠日持久的爭(zhēng)論，歐洲出臺(tái)了新法規(guī)，以及人們一直擔(dān)憂美國(guó)國(guó)家安全局和政府訪問(wèn)愛(ài)德華·斯諾登披露的個(gè)人信息。

　　JD·謝里（JD Sherry）是總部位于丹佛的解決方案提供商O(píng)ptiv Security公司的副總裁，他說(shuō)：“毫無(wú)疑問(wèn)，數(shù)據(jù)隱私是向云端遷移時(shí)最關(guān)注的問(wèn)題。”

　　這個(gè)障礙對(duì)許多公司的收入來(lái)說(shuō)是個(gè)關(guān)鍵問(wèn)題，因?yàn)閾?jù)研究公司Gartner聲稱，向云轉(zhuǎn)移預(yù)計(jì)會(huì)在未來(lái)五年帶來(lái)1萬(wàn)億美元的直接或間接支出。同樣，研究公司IDC預(yù)測(cè)，到2020年，一半以上的IT基礎(chǔ)設(shè)施支出將投入到云。

　　艾倫·福爾肯（Allen Falcon）是總部位于馬薩諸塞州韋斯特伯勒的解決方案提供商Cumulus Global的首席執(zhí)行官，他表示，每當(dāng)他與客戶談?wù)撨w移到云端，總是會(huì)談到安全或隱私這個(gè)話題，這個(gè)話題有時(shí)由客戶自己提出，有時(shí)由Cumulus Global提出。

　　如果接受教育，客戶在隱私和安全方面的顧慮更容易打消，但是“不夠迅速”，他說(shuō)。查爾斯·拉迪（Charles Radi）是總部位于波士頓的云解決方案提供商Cloud Technology Partners的副總裁兼首席云架構(gòu)師，該公司服務(wù)于企業(yè)市場(chǎng)。據(jù)他聲稱，最大的企業(yè)客戶同樣存在那些顧慮。

　　拉迪說(shuō)：“我們?cè)谔幚韼缀趺恳粋€(gè)客戶的［隱私］問(wèn)題。這是個(gè)永遠(yuǎn)繞不開(kāi)的話題。”拉迪表示，Cloud Technology Partners的企業(yè)客戶尤其在政府訪問(wèn)、隱私法規(guī)以及將安全工具從內(nèi)部環(huán)境遷移到云環(huán)境等方面顧慮重重。

　　獨(dú)立安全顧問(wèn)兼《保護(hù)云安全》作者維克·溫克勒（Vic Winkler）表示，這種顧慮主要是由混淆和困惑引起的。

　　溫克勒在接受CRN的采訪時(shí)說(shuō)：“如今很難站在一個(gè)深思熟慮的角度來(lái)探討網(wǎng)絡(luò)安全的這些話題，原因是一大堆的虛假信息和不同觀點(diǎn)令人困惑。說(shuō)到如何打消客戶的這些顧慮，以便擴(kuò)大業(yè)務(wù)，云服務(wù)提供商確實(shí)面臨挑戰(zhàn)。如果它們想要擴(kuò)大業(yè)務(wù)，勢(shì)必要打消這些顧慮。”

　　但是，說(shuō)到公共云的數(shù)據(jù)隱私，這些顧慮的根據(jù)又有多充分？如果你問(wèn)一問(wèn)各大云服務(wù)提供商本身，它們說(shuō)：根據(jù)不是很充分。

　　微軟公司副總裁兼副法律總顧問(wèn)尼爾·薩格斯（Neal Suggs）說(shuō)：“這是你的數(shù)據(jù)。這不是我們的數(shù)據(jù)。通常來(lái)說(shuō)，我們?cè)O(shè)計(jì)的系統(tǒng)和流程確保將數(shù)據(jù)當(dāng)作是你的數(shù)據(jù)，而不是我們的數(shù)據(jù)。微軟的運(yùn)作有賴于信任。”

　　薩格斯表示，微軟制定的云戰(zhàn)略基于四大支柱，數(shù)據(jù)使用、控制和隱私共同構(gòu)成了一大支柱，另外三大支柱是安全、合規(guī)和透明。那些支柱并不僅僅局限于設(shè)計(jì)公司的系統(tǒng)、已到位的流程、加密技術(shù)、審計(jì)流程，以及這種文化：“尊重客戶生成的內(nèi)容是客戶的內(nèi)容，未經(jīng)客戶同意，我們無(wú)權(quán)使用。”

　　詹尼弗·林（Jennifer Lin）是谷歌云平臺(tái)主管云安全和網(wǎng)絡(luò)的產(chǎn)品管理主管，他贊同這種觀點(diǎn)，表示安全和數(shù)據(jù)隱私是客戶考慮向云遷移時(shí)提出的三大優(yōu)先事項(xiàng)之一。因而，她表示“安全和數(shù)據(jù)隱私日益成為谷歌考慮解決方案的一大差異化優(yōu)勢(shì)。”

　　林說(shuō)：“用戶數(shù)據(jù)是用戶數(shù)據(jù)，我們想要確保自己保護(hù)用戶的數(shù)據(jù)。。。。。。我們要贏得客戶的信任，我們要向客戶表明我們并不訪問(wèn)客戶數(shù)據(jù)。我認(rèn)為，我們?cè)诿嫦蚬姷墓俜骄W(wǎng)站上對(duì)這一點(diǎn)非常明確，還明確了我們?nèi)绾味x云遷移。”

　　亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）沒(méi)有安排一名高管接受本文的采訪。

　　服務(wù)條款：同意還是不同意？

　　馬克·古德曼（Marc Goodman）是全球安全顧問(wèn)、未來(lái)學(xué)家兼《未來(lái)的犯罪》一書(shū)作者，他表示，隱私問(wèn)題主要出現(xiàn)在隱私政策和客戶與云服務(wù)提供商簽訂的服務(wù)條款協(xié)議。他表示，那些服務(wù)條款大不一樣，因提供商而異;免費(fèi)服務(wù)與收費(fèi)服務(wù)的服務(wù)條款更是大相徑庭。

　　谷歌、微軟、亞馬遜網(wǎng)絡(luò)服務(wù)及其他大公司的云解決方案的收費(fèi)版本往往“非常明確地表示”：用戶擁有數(shù)據(jù)，而不是云提供商擁有數(shù)據(jù)。他表示，免費(fèi)的云服務(wù)就不是這樣，比如谷歌的Gmail和Google Drive。

　　古德曼說(shuō)：“如果你不掏錢(qián)，你就不是客戶，而是產(chǎn)品。大大小小的公司需要關(guān)注它們使用的所謂的免費(fèi)服務(wù)和服務(wù)條款。。。。。。‘我已閱讀并同意服務(wù)條款’可謂是網(wǎng)上最大的謊言。”

　　比如在谷歌的《數(shù)據(jù)處理修正案》中，該修正案概述了總部位于加州芒廷維尤的這家公司針對(duì)通過(guò)Google Apps服務(wù)存儲(chǔ)的數(shù)據(jù)制定的政策，包括解決方案提供商銷售的Google For Work解決方案，該公司明確表示不會(huì)將客戶數(shù)據(jù)用于客戶規(guī)定的范圍之外的任何用途，包括用于廣告目的。

　　微軟和總部位于西雅圖的亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）在各自的隱私政策和服務(wù)條款協(xié)議中也有類似條文，CRN審視了它們的政策和協(xié)議。

　　比如說(shuō)，這與谷歌針對(duì)消費(fèi)者谷歌帳戶的隱私政策形成了鮮明對(duì)比，谷歌在隱私政策中表示，由于眾多原因，包括改善服務(wù)、開(kāi)發(fā)新服務(wù)，并且為用戶提供“更精準(zhǔn)的搜索結(jié)果和廣告”，它收集關(guān)于服務(wù)使用的信息、針對(duì)特定設(shè)備的信息以及位置信息。

　　這是否意味著使用收費(fèi)服務(wù)的公司企業(yè)就沒(méi)有公共云隱私和安全方面的顧慮呢？完全不是。

　　雖然客戶可能已全面審核了云服務(wù)提供商，但實(shí)際上，“有些使用云的公司熟悉云，而有些使用云的公司不熟悉云。”古德曼如是說(shuō)。

　　古德曼表示，這方面的一個(gè)主要例子是員工規(guī)避公司批準(zhǔn)的解決方案，改而使用配置起來(lái)更容易的常常免費(fèi)的個(gè)人云服務(wù)。

　　據(jù)Gartner聲稱，到2020年，95%的云安全故障最終歸咎于客戶的錯(cuò)誤。許多人無(wú)法支持云安全的共同責(zé)任模式：客戶自己負(fù)責(zé)確保數(shù)據(jù)安全，云服務(wù)提供商負(fù)責(zé)確保基礎(chǔ)設(shè)施安全。

　　古德曼說(shuō)：“你的數(shù)據(jù)可能存儲(chǔ)在員工的云端，而你渾然不知。。。。。。即使你使用Box或AWS――這些優(yōu)秀公司有規(guī)范的服務(wù)條款，現(xiàn)在你的員工拿來(lái)機(jī)密的季度報(bào)告、客戶線索、即將投放市場(chǎng)的產(chǎn)品的知識(shí)產(chǎn)權(quán)，存儲(chǔ)在云服務(wù)提供商處;由于你的員工存儲(chǔ)這些信息，提供商被授予了各種各樣的權(quán)限和訪問(wèn)權(quán)。”

　　對(duì)解決方案提供商來(lái)說(shuō)，這是個(gè)現(xiàn)實(shí)的問(wèn)題。比如說(shuō)，Cumulus Global的福爾肯表示，他在自己的客戶那里看到過(guò)無(wú)數(shù)這種例子，包括公司數(shù)據(jù)丟失，或者事后認(rèn)識(shí)到自己違反了監(jiān)管法規(guī)。比如說(shuō)，一個(gè)客戶的員工使用文件共享服務(wù)的個(gè)人版本。福爾肯表示，員工離開(kāi)公司后，這個(gè)客戶卻無(wú)法訪問(wèn)該員工存儲(chǔ)在個(gè)人云帳戶上的企業(yè)數(shù)據(jù)。

　　另一個(gè)客戶的員工使用Dropbox的消費(fèi)者版本，而Dropbox最近曝出了數(shù)據(jù)泄密事件。該員工將同一個(gè)密碼用于其Dropbox帳戶和工作電子郵件。福爾肯表示，然后黑客使用該密碼登錄到企業(yè)電子郵件帳戶，向該員工的所有聯(lián)系人發(fā)送依附在電子郵件中的惡意軟件。

　　在另一個(gè)例子中，一個(gè)客戶的一名員工與家人使用同一個(gè)帳戶，她使用的個(gè)人文件共享服務(wù)也與家人共享。結(jié)果，該員工的孩子刪除了各種敏感的公司文檔。福爾肯表示，這些事件只是眾多例子中的幾個(gè)而已。

　　福爾肯說(shuō)：“我們對(duì)客戶的忠告是，如果有企業(yè)級(jí)服務(wù)，別使用免費(fèi)服務(wù);他們不該使用消費(fèi)者服務(wù)，無(wú)論是不是免費(fèi)。”

　　作為解決方案提供商，福爾肯表示他的任務(wù)就是為客戶提供最佳信息和建議，幫助客戶在數(shù)據(jù)隱私方面做出決定。他表示，這包括評(píng)估業(yè)務(wù)需求、信息訪問(wèn)、政策、法規(guī)要求、日常監(jiān)控和管理及更多環(huán)節(jié)。

　　據(jù)福爾肯聲稱，大多數(shù)公司選擇遵循Cumulus Global在數(shù)據(jù)隱私方面的建議。不過(guò)，他也遇到一些客戶使用免費(fèi)消費(fèi)級(jí)服務(wù)，而不是購(gòu)買(mǎi)企業(yè)級(jí)服務(wù)，寧愿在數(shù)據(jù)隱私方面冒險(xiǎn)。他表示，Cumulus Global對(duì)拒絕購(gòu)買(mǎi)使用可靠數(shù)據(jù)隱私標(biāo)準(zhǔn)的解決方案的客戶避而遠(yuǎn)之，如果涉及監(jiān)管方面的問(wèn)題更是如此。

　　福爾肯說(shuō)：“這會(huì)帶來(lái)責(zé)任。我們的觀點(diǎn)是，貴公司的價(jià)值足夠值得你購(gòu)買(mǎi)企業(yè)級(jí)工具。”

　　為私人信息而戰(zhàn)

　　今年，公共部門(mén)與私營(yíng)部門(mén)之間的隱私爭(zhēng)論顯得尤為突出，先是蘋(píng)果公司與FBI圍繞去年參與圣貝納迪諾槍殺案的恐怖分子使用的一部加密的iPhone的隱私展開(kāi)了一場(chǎng)非常公開(kāi)的較量。FBI最終破解了iPhone，而不是繼續(xù)尋求法律手段、迫使蘋(píng)果解鎖手機(jī)。

　　最近，微軟在6月份贏得了重大勝利，案子的焦點(diǎn)是政府是否有權(quán)訪問(wèn)存儲(chǔ)在美國(guó)境外的數(shù)據(jù)中心中的客戶電子郵件。在這起案子中――微軟在曼哈頓第二美國(guó)巡回上訴法院中贏得了3-0的裁決，微軟對(duì)要求訪問(wèn)存儲(chǔ)在該公司在愛(ài)爾蘭都柏林一臺(tái)服務(wù)器上的電子郵件的搜查令提出了質(zhì)疑，表示這將為執(zhí)法部門(mén)訪問(wèn)存儲(chǔ)在國(guó)外的美國(guó)電子郵件開(kāi)一個(gè)危險(xiǎn)的先例。

　　Optiv的謝里稱這一隱私裁決是“云計(jì)算行業(yè)的巨大勝利”，表示政府訪問(wèn)公共云信息是“一大挑戰(zhàn)”，對(duì)考慮轉(zhuǎn)移到云端的客戶來(lái)說(shuō)是個(gè)障礙。他表示，對(duì)全球性客戶來(lái)說(shuō)尤其如此。

　　尤其是微軟在云隱私問(wèn)題上采取了強(qiáng)硬立場(chǎng)。今年4月份，該公司對(duì)美國(guó)司法部提起了訴訟，主張政府想要訪問(wèn)客戶數(shù)據(jù)時(shí)，自己有權(quán)告知客戶。

　　那些問(wèn)題非常切實(shí)而又重大，微軟聲稱自己在過(guò)去18個(gè)月接到了5624份聯(lián)邦搜查令和2576份禁聲令。

　　谷歌在最近的《透明度報(bào)告》中表示，從2015年7月至12月，它在美國(guó)接到了12523次數(shù)據(jù)請(qǐng)求，在79%的情況下出示了數(shù)據(jù)。

　　亞馬遜表示，從2015年1月至5月31日，它收到了813張傳票、25份搜查令、13次法庭指令以及國(guó)家安全部門(mén)的249次數(shù)據(jù)請(qǐng)求。

　　微軟在4月份的訴訟中表示，它在這個(gè)問(wèn)題上采取強(qiáng)硬的立場(chǎng)，是由于政府暗自訪問(wèn)云端數(shù)據(jù)引發(fā)的隱私問(wèn)題“破壞了公眾對(duì)云隱私的信心，并削弱了微軟在客戶面前力求透明的權(quán)利。”微軟的薩格斯表示，問(wèn)題的核心是客戶信任：微軟仍將是數(shù)據(jù)的“管家”，而不是數(shù)據(jù)的所有者。他表示，微軟會(huì)繼續(xù)要求政府訪問(wèn)云端客戶數(shù)據(jù)方面做到透明，因?yàn)樾湃问瞧渖虡I(yè)模式的關(guān)鍵，這就好比客戶信任銀行：他們的錢(qián)很安全，需要時(shí)又能取出來(lái)。

　　薩格斯說(shuō)：“我們認(rèn)為，我們使命的核心是信任感，如果我們無(wú)法贏得這種信任，就無(wú)法拓展業(yè)務(wù)。信任是我們關(guān)注的焦點(diǎn)。”

　　三大云服務(wù)提供商在各自的隱私政策中對(duì)于政府訪問(wèn)都有具體的條文，聲稱只有在法律上必要時(shí)才允許訪問(wèn)，會(huì)努力盡快向客戶告知訪問(wèn)請(qǐng)求，除非法律禁止這么做。

　　Cloud Technology Partners的拉迪表示，要求訪問(wèn)公共云數(shù)據(jù)的隱蔽傳票這個(gè)問(wèn)題是企業(yè)客戶“最擔(dān)心的”。他表示，客戶的法律部門(mén)在努力把具體的條文寫(xiě)入到云提供商合同中，保護(hù)自己，避免要求訪問(wèn)數(shù)據(jù)的隱蔽傳票。他表示，解決方案提供商有助于落實(shí)某些控制措施，防止云服務(wù)提供商能夠訪問(wèn)數(shù)據(jù)。比如說(shuō)，Cloud Technology Partners建議加密所有的云端數(shù)據(jù)，并且在本地管理加密密鑰，而不是交由云服務(wù)提供商。

　　各國(guó)政府也在扮演更重要的角色，開(kāi)始監(jiān)管云端數(shù)據(jù)隱私。歐盟最近出臺(tái)了《通用數(shù)據(jù)保護(hù)條例》，更新了如何保護(hù)數(shù)據(jù)、國(guó)家之間如何共享數(shù)據(jù)方面的標(biāo)準(zhǔn)。條例規(guī)定，公司必須告知個(gè)人為何收集他們的數(shù)據(jù)，并提供訪問(wèn)其數(shù)據(jù)的方法。這還防止數(shù)據(jù)被永久保存，需要為大量數(shù)據(jù)設(shè)立數(shù)據(jù)保護(hù)官。云服務(wù)提供商同樣受制于這些條例，條例于2018年5月生效。

　　隱私挑戰(zhàn)給合作伙伴帶來(lái)了機(jī)會(huì)

　　企業(yè)戰(zhàn)略集團(tuán)（ESG）跟蹤分析云安全的高級(jí)分析師道格·卡希爾（Doug Cahill）表示，混亂帶來(lái)了機(jī)會(huì)，說(shuō)到駕馭云方面的數(shù)據(jù)隱私和監(jiān)管問(wèn)題方面更是如此。許多公司越來(lái)越意識(shí)到，它們?cè)跀?shù)據(jù)隱私方面存在問(wèn)題，卻不知道如何開(kāi)始解決，卡希爾稱這個(gè)因素為“云安全就緒缺口。”

　　“我認(rèn)為，許多公司很清楚地意識(shí)到存在問(wèn)題，這就是為什么對(duì)渠道商來(lái)說(shuō)是大好機(jī)會(huì)。有能力幫助客戶的合作伙伴能夠幫助客戶在向云遷移的過(guò)程中一開(kāi)始就整合安全。”

　　Cloud Technology Partners的拉迪表示，這很重要，因?yàn)樵S多公司已經(jīng)期望加快采用云。他表示，企業(yè)開(kāi)始把大量的客戶數(shù)據(jù)、機(jī)密數(shù)據(jù)和個(gè)人身份信息數(shù)據(jù)遷移到云端。解決方案提供商有責(zé)任幫助它們順利遷移，同時(shí)滿足安全和隱私要求。

　　作者古德曼表示，提供用戶教育和培訓(xùn)也是合作伙伴要扮演的重要角色。他表示，這對(duì)于將關(guān)注和認(rèn)識(shí)轉(zhuǎn)化為實(shí)際行動(dòng)來(lái)說(shuō)尤為重要。

　　他說(shuō)：“人們甚至不知道向外包的IT人員提出的問(wèn)題，所以人們?cè)谶@方面需要好好補(bǔ)補(bǔ)知識(shí)。。。。。。董事會(huì)層面的培訓(xùn)很關(guān)鍵，管理團(tuán)隊(duì)層面的培訓(xùn)很關(guān)鍵，培訓(xùn)對(duì)你的所有員工來(lái)說(shuō)很關(guān)鍵。”

　　謝里同意這一觀點(diǎn)，表示公司用戶在期望向云遷移時(shí)，Optiv等解決方案提供商扮演“可信賴的顧問(wèn)”這一重要角色，通過(guò)設(shè)計(jì)、咨詢、廠商合作和先進(jìn)的云安全功能，“與客戶肩并肩”。

　　謝里表示，站在可信賴的顧問(wèn)這個(gè)立場(chǎng)很重要，他預(yù)計(jì)，在今后6至18個(gè)月，云計(jì)算的發(fā)展會(huì)迎來(lái)“劇變”。她表示，許多公司在安全和數(shù)據(jù)隱私方面公司仍然滯后。

　　謝里說(shuō)：“最終，我們?cè)诮吡膭?lì)客戶信任我們，把我們當(dāng)作在向云遷移的過(guò)程中是其可信賴的安全顧問(wèn)。”