在欧盟框架下的数据保护,为区别数据控制者及数据处理者,有两个主要原则决定数据保护所适用的法律:
决定数据保护所适用法律的原则
( 1 )属国原则( State of Residence) :欧盟数据保护法采属国原则。该法明确了欧盟数据保护法适用于居住在欧盟各会员国的云服务买家。属国原则对居住地的定义乃指办事处或法律上独立的子公司在欧盟或欧洲经济特区注册登记。上述规定乃针对买家而不适用于云提供商。
( 2 )属地原则( Territorality Principle) :属国原则在使用上会有一些限制。有一些国家的宪法规定数据保护法须采属地原则,而非属国原 则 。数据 的处理地即属地原则的法律管辖范畴,欧盟以外的法人适用属地原则 。因 此,哪一国处理数据就适用 那 一国的数据保护法。 例如,某企业的注册地在欧盟或欧洲经济特区以外的国家,但在德国部署资源,提供 SaaS 服务,此时应适用德国数据保护法。
上述的这些规定或例外的属国或属地法律关系,也适用于个人间的权利主张。欧盟外的相关规则,如在瑞士,就可能采用不同的观点。理论上,法律判决结果会随诠释问题的角度而有所不同。 无论如何,目前已有相关法律条款以解决个案中的矛盾。就法律争议而言,管辖权的主张若有争议,则以优先主张管辖权的一方为准。而这些陈述的规定 / 例外的法律关系并不适用于公法下的联结因素(Connecting Factors )。
数据保护法乃属公法,任何一方都不可将数据保护排除于合同之外,或采用较松的法律规定。
委托数据处理
云服务商受用户的委托,代为处理云数据。对于处理个人身份识别的数据,国家数据保护法会特别针对此类型的数据外包服务制定特殊规定。
如果云服务用户在云中并非仅只存取与自己有关的数据,这些委托数据处理的规定就更显得重要。根据这些特殊规定,云服务的买家仍是数据的主人,就欧盟的术语来说,就是数据主控者,应对资料负全责。意即云服务的用户须遵守数据保护法相关的法律规定,也就是说,用户必须实施适当的合规措施,例如,获得数据保护委员会的同意或取得客户默许等,才能处置资料。
额外合规性规定
除数据保护法之外,还有一些额外的合规性规定会影响转移云数据的决定。 这些额外规定通常是行政管理上的规定,例如数据泄露责任或依产业特性所做的特殊规定。有时候,国外的规定也会影响云服务的相关运作。例如,尽管服务器位于欧盟或瑞士,或服务的对象并非美国居民,美国的云服务商仍须遵守美国的法律规定(如爱国者法)。
