124
云服务买主须承担责任,确保转移至云的数据仍符合数据保护法的规
定。即使买主已将责任转移至云提供商,买主仍须承担云数据保护的最终
责任。处理跨境数据时的首要任务,就是先决定适用哪一个国家的数据保
护法。资料保护乃受该国的数据保护法所管辖,但在欧盟各国的数据保护
法已经相互调和互通。现今的欧盟数据保护法(
European Data Protection
Directive
)
提供了让各国遵循的核心规定,欧盟各会员国的数据保护法以
此为标准。
2012
年
1
月,欧盟委员会建议以单一数据保护条例取代各会员
国的国内法规。
在欧盟框架下的数据保护,为区别数据控制者及数据处理者,有两个
主要原则决定数据保护所适用的法律:
决定数据保护所适用法律的原则
(
1
)
属国原则(
State of Residence
):
欧盟数据保护法采属
国原则。该法明确了欧盟数据保护法适用于居住在欧盟各会员国
的云服务买家。属国原则对居住地的定义乃指办事处或法律上独
立的子公司在欧盟或欧洲经济特区注册登记。上述规定乃针对买
家而不适用于云提供商。
(
2
)
属地原则(
Territorality Principle
):
属国原则在使用上
会有一些限制。有一些国家的宪法规定数据保护法须采属地原则,
Cloud
migration
A Revolution That Will Transform
How We Live, Work,and Think
