凱歐天堂

標題: 公司和公共机构可以在国外租用数据中心 [打印本頁]

作者: orin700 時間: 2024-2-12 17:52
標題: 公司和公共机构可以在国外租用数据中心

号法案建立 Marco Civil da Internet 时，一个非常有争议的问题是巴西政府试图根据第 12 条的原始措辞阻止使用位于国外的数据中心：

第 12 条行政部门可以通过法令，要求第 12 条规定的互联网连接和应用程序提供商承担义务。 11 以有组织、专业的方式并出于经济目的开展活动，在国家领土上安装或使用数据存储、管理和传播结构，考虑到提供商的规模、在巴西的收入以及所提供服务的广度向公众巴西。

这样做的目的是保证网络上记录的可用性，因为任何公 求职人数数据 司都不能以数据将由外国公司存储在国家领土之外的数据中心为由来逃避遵守巴西法律的义务。以防止国际间谍活动，特别是考虑到美国正在监视巴西政府的网络数据的指控。

然而，对使用本地数据中心的限制在众议院遇到了很大阻力，在经过多次修改后，从第2,126/2011号法案的最终措辞中被删除。

相反，为了保证数据的可用性，所有收集和记录保存业务都有义务遵守巴西立法，包括外国公司向巴西人提供服务的情况。第2,126/2011号条例草案关于此问题的最终措辞如下：

第 11 条. 在连接提供商和互联网应用程序收集、存储、保管和处理记录、个人数据或通信的任何操作中，如果其中至少一种行为发生在国家领土内，则必须强制遵守以下规定。巴西立法隐私权、个人数据保护以及私人通信和记录的保密性。

§1° 上限规定适用于在国家领土内收集的数据和通信内容，前提是至少有一个终端位于巴西。

§2° 即使活动是由国外法人实体开展的，只要该实体向巴西公众提供服务或同一经济集团的至少一个成员在巴西设有机构，限额规定也适用。

§3 互联网连接和应用程序提供商必须根据规定提供信息，以验证是否遵守巴西有关数据收集、保管、存储或处理的法律，以及尊重通信隐私和保密性的规定。

§4 法令将规定调查违反本条规定的程序。（强调已添加）

并且，为了刺激国家境内的数据存储，插入了第24条第七项，根据该条款，公共权力必须优化网络基础设施，并鼓励在该国建立数据存储、管理和传播中心。 :

第 24 条. 以下是欧盟、各州、联邦区和市政府在巴西互联网发展方面的行动指南：
(...)
VII – 优化网络基础设施并鼓励实施存储，国家数据管理和传播中心，在不损害开放性、中立性和参与性的情况下，促进互联网应用的技术质量、创新和传播；

由此看来，巴西立法并未禁止使用国外数据中心存储巴西用户的数据。

然而，由于巴西政府鼓励建立国家数据中心，公共管理机构和实体仍然抵制这种类型的承包，因为他们认为存在法律障碍。

这是因为计划、预算和管理部发布了《承包云计算服务的良好实践、指南和禁令手册》。

该文件称，由于技术进步，云计算已经成为包括政府在内的组织可以使用的现实，并呈现出降低成本、弹性、减少资源闲置、新服务实施敏捷、专注于最终结果等优势。业务活动和更明智地利用信息技术 (IT) 团队。

关于公共行政部门承包云计算服务，该文件建议从公共或私人供应商处承包混合云[ 1 ]中不损害国家安全的信息和通信技术（ICT）服务：

3. 如果 ICT 服务不损害国家安全，包括其自己的 ICT 服务，建议机构最好从公共或私人供应商处雇用混合云作为实施模型。这样，就可以利用公共云模型（弹性和敏捷性）和私有云模型（由于专用资源而保证性能）的优势，同时最大限度地降低风险并优化每个模型产生的成本。

对于私有云服务提供商，该手册规定，机构必须要求合同服务环境符合 ABNT 标准，以减轻与信息安全相关的风险：

4. 各机构在与私人供应商签订云服务合同时，必须要求合同服务环境符合准，且不影响其他要求，旨在降低信息安全的相关风险。

然后，在第 9 至 12 项中，该文件规定了与立法相一致的云计算服务承包的一些要求，特别是关于巴西用户数据（甚至在国外）的国家法律的普遍性：

9. 各机构必须采用巴西论坛来解决与承包商和服务提供商之间签订的合同有关的任何法律问题。

10. 在与私营公司签订云服务合同时，机构必须要求托管服务的数据中心的可用性至少为 99.741%，并通过 TIA 942 TIER II 认证接受这一证明。

11. 各机构必须通过合同条款确保要签约的服务允许数据和应用程序的可移植性，并且签约机构的信息可在适当的时间内进行位置传输，且无需额外费用，以便确保业务连续性并实现合同过渡。

12. 在适用的情况下，各机构必须通过合同条款确保供应商保管的信息将被视为机密信息，并且在任何情况下，未经供应商的正式授权，该供应商都不得使用该信息或将其提供给第三方。承包商。

该手册的问题在于，在第 8 项中，该文件规定数据中心承包机构必须要求数据和信息仅驻留在国家领土内，包括复制和备份，以便承包商获得巴西立法的所有保证，根据以下条款：

8. 机构必须根据 NC 14/IN01/DSIC/GSIPR 的规定，通过合同条款要求承包商的数据和信息仅驻留在国家境内，包括复制和备份，以便承包商拥有所有巴西立法保证作为服务提供商并负责存储在云中的信息。

为此，本手册参考了共和国总统信息安全和通信部布的补充标准 14/IN01/DSIC/GSIPR，该标准制定了云计算的使用指南，在与信息和通信安全（SIC）相关的方面，在直接和间接联邦公共管理（APF）的机构和实体中。

事实证明，补充标准并不要求巴西用户数据仅存储在国家领土内。第 5.3.5 条仅确定联邦公共行政部门的机构或实体必须评估将托管的内容，并考虑信息物理存储的地理位置，如下所示：

5.3. APF 机构或实体必须评估哪些信息将托管在云中，考虑：
(…)
5.3.5。信息物理存储的地理位置。

此外，补充标准重申，根据互联网民权框架第 5.2.1 和 5.2 条的规定，巴西立法需要优先于存储在国外的巴西用户数据的任何其他立法。。二：

5.2 在签订或实施云计算服务时，APF 机构或实体必须保证：

5.2.1.云计算环境、其基础设施和通信渠道遵守 GSIPR 制定的 SIC 指南和标准以及现行立法；

5.2.2.巴西立法优先于任何其他立法，以便作为云中托管信息的服务提供商和所有者获得所有法律保障；

并且，为了保证托管信息的可用性、完整性、机密性和真实性，补充标准还规定，服务提供合同必须包含确保这些条款，具体如下：

5.2.3.服务提供合同（如适用）必须包含保证云中托管信息（尤其是由服务提供商保管和管理的信息）的可用性、完整性、机密性和真实性的条款；

换句话说，补充标准在任何时候都没有规定在巴西境内存储数据的义务，正如规划、预算和管理部的《承包云计算服务的良好实践、指南和禁令手册》所建议的那样。

歡迎光臨凱歐天堂 (http://kaiou.makebbs.com/)