中国的数据本地化法律损害了云安全：报告

3分钟阅读 （图片来源：BigStock / BackyardProductions）

亚洲云计算协会（ACCA）于5月发布了一份关于公共采购指南的报告，该报告认为数据本地化是中国云运营商的法律要求，“总体上会削弱数据安全性”。

ACCA是一个代表亚洲云产业的贸易组织。该报告的作者是在亚洲云市场的主要参与者工作的高管和公共政策专家，包括亚马逊网络服务（AWS），谷歌，微软，Equinix和Salesforce。

但是，这些公司在中国的云运营规模相对较小。据美国市场情报公司国际数据公司称，微软在2018年占据了软件即服务市场5％和Salesforce 4％的份额; AWS持有6％的基础架构即服务市场。

“中国和其他经济体已经制定了数据本地化政策，理由各种各样，”ACCA执行董事Lim May-Ann告诉TechNode。她说，他们“使用诸如保护数据和云安全等理由作为理由”。 Lim补充说，数据本地化并不是解决这些问题的最佳方法。

多级保护计划（MLPS）是一项概述不同类型数据安全要求的法规，要求所有希望在中国提供云服务的网络运营商将数据存储在该国境内的基础设施中。他们并非绝对禁止将数据移至海外。为了跨越国际边界传递“重要”数据，中国法律要求进行安全评估。法律将“重要”数据定义为对国家安全至关重要的数据或可识别中国公民的个人数据。

ACCA建议“政策制定者不应该出于安全原因要求进行数据本地化”，他们认为数据的物理位置不会对网络攻击的安全性产生影响。该报告认为，在本地存储重要数据可能会削弱安全性。

作者说，本地存储创建了可以成为黑客攻击目标的金矿数据中心。更灵活的存储机制允许公司实施移动目标安全方法，例如墨尔本洗牌，其目的是通过在不同位置的数据中心重新安排数据来隐藏使用云中数据而产生的模式。

该报告还指出，全球IT公司之间竞争的减少将“减少激励措施”，以确保基础设施安全，并使最佳的网络安全解决方案更少。

该报告称，存储数据的方式并不像存储数据那样重要，而且对数据位置施加限制的政策可能会从建立更有效的黑客防御措施中获取资源。

国际研究和咨询公司Gartner的高级研究主管Kevin Ji表示，中国的目标不是本地化，而是数据主权。中国政府寻求对其境内产生的数据的绝对控制;本地化将这些数据保存在中国的管辖范围内，但不是绝对的衡量

他说，许多公司都担心中国有关个人数据传输的规定。但是，只要不是可以与中国公民身份相关联的原始数据，转移关于个人的元数据是合法的。 “如果你想对个人信息进行数据分析并在中国境外移动（元数据），那就没关系，”吉说。

仅中国的实体规模证明在国内持有数据是合理的，Ji说：“如果公司利用全球网站，延迟将是不可接受的。”中国如此之大，以至于在国外存储数据会导致主机服务器和云租户之间信号传输的严重延迟。

“挑战不再是技术问题，而是关于合规问题，”Ji说，指的是世界各地出现的各种本地化和主权法，例如欧盟的一般数据保护法规。云提供商现在必须了解他们的数据如何根据当地法律进行分类，并根据不同的法律框架要求保护它们，其中许多需要本地化。因此，“数据主权对全球化产生了负面影响，”吉说。