企业涉云须三思：风险控制与责任归因

云服务行业的稳步发展印证了企业正在快速将其所有或部分计算、应用程序和数据存储需求迁移到这一新兴目标。据 Gartner 称，该行业有望在 2015 年之前一直保持强劲增长态势，预计届时全球云服务收入将达到 1488 亿美元。

这种对于云计算迅速高涨的热情并不是无端燃起的，而是因为其收益的确极具吸引力。其中，主要的动因包括显著降低 IT 成本以及提高运营效率、企业合作能力及业务敏捷性。此外，新兴服务选项提供了众多选择：Amazon Web 服务、Rackspace、Nirvanix 和其他供应商的“基础设施即服务 （IaaS）”；Microsoft Azure 和 Google Apps的“平台即服务 （PaaS）”；以及 Salesforce.com 和 CaseCentral 等供应商的软件即服务 （SaaS）

云技术的早期采用者将这种迁移视为业务发展的必要条件，尽管其中暗藏着服务中断以及安全与隐私泄露风险。然而，云服务供应商显然完全理解企业最初将关键信息资产交给其管理时的犹豫心情，因此他们再接再厉，以期减轻企业对严格的服务水平协议（SLA，涉及正常运行时间、隐私和安全要求）的担忧。

Intuit 和 Google 最近发生的超长服务中断事件登上了各大媒体的头版头条，而这只不过进一步证实了云技术不仅现在会中断而且未来也会中断，这意味着服务质量和数据可用性问题仍是重中之重。虽然加密仍是在迁移到云环境时保护数据的基准方法，但在与任何云服务供应商建立合作关系之前，还应该了解有关如何迁移数据并分清责任的问题以及必须应对的额外风险。

在讨论云风险时，有一些同等重要的问题浮出水面。虽然这些问题尚未成为令人高度关注的头条新闻，但仍具有深远的影响，需要给予持续探讨和关注。Savvy IT 领导者开始意识到，在权衡云计算风险时必须攻克“三道”难关：中断、隐私和安全。与以往相比，谨慎评估、并与其他利益相关组织建立合作伙伴关系，对于了解和减轻档案管理、电子发现 （eDiscovery）、司法问题和退出策略带来的风险来说，变得更加必要。

档案管理：数据保留及清除

将信息迁移到云的重要优势之一是可以极大地简化数据管理。迄今为止，企业一直在强调确保数据的完整性和可用性，却不太考虑信息保留和清除要求。

这方面的问题需要企业 IT 部门和法律部门之间协同解决，以了解并明确具体的数据保留和处理需要，之所以如此，是因为许多云服务供应商提供的合同都是千篇一律的标准协议。另外请切记，云供应商的工作性质是收集数据，而不是清除数据。他们能令企业非常轻松地扩容，鼓励企业保留全部数据。数据的清除通常不是他们讨论的主题，但却值得探讨。

迁移到云环境被认为会使数据管理变得更容易，然而对于数据保留来说，与在企业内部处理相比，在这种新环境下处理会更加复杂、困难。因此，企业需要确定其选项有哪些以及服务供应商如何处理档案管理。举例来说，了解服务供应商如何应用多个保留策略至关重要，因为他们就是利用这个方法，根据双方的协定来清除某些数据集。

在某些情况下（如涉及 SaaS 云服务模式），数据保留和清除可能被纳入服务方案中。许多基于 SaaS 的电子邮件供应商设定了删除保留时间超过一年的邮件的策略。另外，也可以通过企业的备份软件管理数据保留。无论采用何种方法，客户都需要在制定数据保留和清除策略方面发挥积极作用，并与供应商紧密合作，以了解违反（甚至是无意间违反）这些策略时将带来的法律后果和风险。

电子发现（eDiscovery）：数据保留、采集和生产

与在企业内部处理流程相比，云计算还会使搜索、访问、收集和保存电子存储信息 （ESI） 变得更费力、更复杂、风险更高。在解决这方面问题时，企业 IT 部门需要与相关法律部门合作，以获取关于云发现与异地存储之间差异的指导和建议。

与档案管理一样，云服务类型也会影响功能级别。例如，如果企业只是将云作为一种存储库使用，那么能够搜索数据的可能性会大大降低。然而，如果企业使用 SaaS 云服务，就会增加执行搜索和内容索引的可能性，从而支持电子发现（eDiscovery）需求。在评估这些功能时，了解云服务供应商提供的工具非常重要。在某些情况下，企业能够组合使用内外部工具，以加强搜索和识别数据。

另一个重要问题是需要了解基于云的数据的真实性和容许性。例如，将数据迁移至云环境时，数据所有权是否发生改变？企业访问云中数据的权限是否与访问本地存储数据的权限不同？ 此外，如何评估和监控数据的真实性？ 以原始格式维护数据至关重要，但有时迁移到云会改变元数据和文件名。这会使情况变得相当复杂，特别是当企业不再能够访问曾存储在本地的元数据时。如果在迁移至云时信息发生更改，企业应该明确是否可以通过数据审核来证明这些数据在原始格式时仍然有效。

从法律角度讲，应用“依法保留”政策的能力对于将数据作为证据管理策略的一部分进行保留十分必要。当处理基于云的数据时，这个程序会变得更加复杂，因此需要在与云服务供应商签署协议之前执行额外的审慎调查。最重要的是，企业需要了解数据是否必须恢复到客户的位置以满足依法保留政策要求，或是否可以应用依法保留政策（虽然数据仍驻留在云中）。尤其是，确保云供应商没有任何会导致破坏数据的行动，否则很可能招致处罚或其他代价高昂的法律后果。

如果云服务供应商无法在任何诉讼程序执行过程中按照法院规定的方式和时间恢复数据，则会产生包括商业处罚、负面推论和制裁在内的严重后果，从而将使云中的电子发现（eDiscovery）问题呈愈演愈烈之势。避免这些可怕后果的最佳方法是在该流程的早期与法律专家和利益相关方合作，以便精确找到任何潜在的电子发现隐患。