從政府電郵外判事件了解雲端服務
從政府電郵外判事件了解雲端服務
作者:雲上快樂筆記 - Cavour Poon
香港政府於5月9日公布政府電郵系統將會由來自深圳的彩訊科技股份有限公司中標,旋即惹來本地社會各界疑問,當中包括投標過程是合規及電郵資料會否妥善保存等的提問。香港政府新聞網也發出了新聞稿澄清有關疑問(詳見政府電郵受多重防禦措施保護)。我們也可以用這個事件解釋社會對雲端服務的疑問。
一. 在香港營運的機構或企業是否無限制地使用雲端?
個人資料私隱專員公署曾經在2015年7月發出修訂的《雲端運算》資料單張及立法會在2017年5月公佈立法會 CB(2)1368/16-17(03)號文件-《個人資料(私隱)條例》第 33 條。向雲端使用者提供須作保障私隱的建議,要求其採用雲端服務時須徹底評估其利益、風險及對保障個人資料的影響。當中提及尚未生效的私隱條例第33條會在立法完成後要求機構或企業若要將個人資料存放在香港司法管轄區外的數據中心,該數據中心所在的司法管轄區必須有與《私隱條例》大體上相似或達致相同目的之法律正在生效。由於該條例尚未完成立法,企業普遍無法估計何處的法例能夠「與《私隱條例》大體上相似或達致相同目的」,因此暫時傾向在香港司法管轄區內的數據中心。即使現時未有正式的法例規管雲端服務,企業也要考慮將來立法後做成的遷移成本而現在需要謹慎選擇服務供應商。
二.雲端服務供應商總公司註冊地對使用者資料保障有否影響?
大型雲端服務供態商普遍在不同國家地區設立數據中心為客戶提供服務,它們的數據中心需要遵守在當地營運的法規,因此雲端服務供應商總公司註冊地跟資料保障並非有直接關係。國內最大型的阿里雲及騰訊雲在香港境內設有數據中心,它們都需要遵守香港的法例,也可以參與需要把數據保存在香港境內的項目。相反,倘若在香港未有數據中心或未能提供伺服器設備(可以透過與本地數據中心以合約安排借用),來自普通法國家的英資或澳資公司也不可能參與需要把數據保存在香港境內要求的項目投標。
三.雲端服務供應商總公司註冊地是否反映其軟件服務水平?
政府的新聞稿提及「彩訊是微軟夥伴網絡計劃(Microsoft Partner Network)成員。作為系統集成承辦商,彩訊使用微軟的Microsoft Exchange電郵系統,而非外間訛傳由彩訊開發的Richmail系統。」其意思是彩訊參與管理後,電郵的後台系統(back-end system)還是使用Microsoft Exchange。一般而言,雲端服務供應商都提供Linux及Window Server給客戶選擇;客戶可以自行使用Windows Server配搭Exchange來作為電郵伺服器,也可以選擇Linux配合Postfix,或是採用個別供態商獨有的作業系統及服務。即使Microsoft Azure是微軟旗下的品牌,其客戶也可以選用Centos或Ubuntu等Linux系統。因此,我們不能因為內地科企未有自行出產如Windows Server的作業系統,而認為內地雲端服務供應商不能提供與外地水平相若的雲端服務。
假如,香港政府希望推動商界善用雲端服務來提升競爭力,就應該對其資訊科技項目招標結果作出更多披露,逐步釋除社會對雲端服務的疑慮。