在雲計算公告①和歐洲議會雲計算調研②的征集公眾意見和背景調查的準備期，大家認為雲計算有助於推動改革，其目標是打造一個穩定連貫的歐盟管理體製，確保有效的數據保護，為雲服務供應商建立信任③。

此外，2011年的報告《從雲的角度來理解安全、隱私和信任危機》指出了當前歐洲雲計算相關政策的缺陷。在數據保護指令方麵，它指出了以下法律缺陷：

（1） 數據控製者/處理者的定義以及這些定義在雲模式中的適用性；

（2） 對個人數據的控製；

（3） 所處位置作為法律執行的標準以及各國的法律區別；

（4） 關於權責的規定可能不是最優的④。

《關於歐洲雲計算戰略方向的行業建議》⑤中寫道，在雲計算環境中，數據控製者和處理者之間的分界線變得更加複雜。控製者、處理者、下一級處理者以及功能分布等都讓數據保護法令中現有的一些定義變得不適用。該行業建議中還強調“對相關法律問題缺少澄清，特別是跨國的情況下，數據、控製者、處理者和處理程序都在不同的國家進行。”雲計算供應商的屬地可能很難界定，如一個非歐盟用戶使用一個非歐盟供應商設在歐洲的數據中心。歐盟委員會最近建議出台一個歐盟層麵的數據保護法規，在和雲關係最緊密的領域實行“一站式執行程序”⑥。這一法規為雲的未來發展提供了基礎。歐盟委員會將和歐洲議會一起努力推動該法規在2013年的出台。在現行的數據保護法令95/46/CE中，歐盟委員會將出台特殊措施，確保數據保護的相關條款也能在雲環境中有效執行。同時，第29號工作組最近也強調“大規模部署雲計算有可能導致數據保護風險，主要是缺少對個人數據的管理，以及關於數據是如何，在哪裏和被誰處理的信息不充分。”這一意見涉及“和其他方共享資源，多方處理商和分包商的外包鏈條缺乏透明，全球共同數據便攜框架的缺失以及對歐洲經濟區以外的雲服務供應商傳輸個人數據進行批準的不確定性”等問題。

雲用戶和供應商的主要顧慮是歐盟數據保護指令的適用範圍，特別是設備的標準問題。雲計算利益相關者關注的主要問題是在當前的框架下，雲供應商可能需要同時遵守多國法律。這一方麵會給雲供應商造成極大的負擔，另一方麵，假如某些地區的數據保護條例嚴於其他地區，還會導致挑選法院的情況發生。

3.2 《數據保護規定》的建議

在給歐盟提《數據保護規定》建議時，他們充分考慮了雲運營商和用戶的顧慮。

在此基礎上，《規定》在歐盟層麵出台了一係列條款以及 “一站式執行”的流程⑦。這就意味著，無論雲服務供應商身處何處，整個歐盟範圍內隻有這一個規定適用。該規定為未來雲計算的發展打下了堅實的基礎。

關於數據控製者和處理者的責任分配問題，《規定》把它留給了運營商，讓他們自行決定相互關係和責任分配。雲計算複雜的服務供應鏈條中不僅包括雲供應商，還包括基礎設施和通信的供應商，在規定框架下，用量身定做的解決方案把這一鏈條變為一個穩定的係統，確保全歐盟執行一個綜合的法律。

該《規定》能確保個人數據在歐盟以及歐洲經濟區以外地區傳輸時的安全，歐盟委員會有權承認第三國提供的數據保護。這一新的法律框架為雲行為準則和標準的采納創造了必要的條件，而利益相關者則認為還有必要出台認證體係，以確保雲供應商實施了適當的IT安全標準和數據保護措施。

（未完待續……）