雲端服務蔚為浪潮,企業在評選公有雲服務時,除了考量價格、可用性、安全性等因素,也要評估雲端服務提供者的背景,倘若是國外雲端廠商,須注意其註冊所在國的法律,是否會與個資法相違背,最常被提到的例子就是美國愛國者法案。
根據維基百科的解釋,愛國者法案以防止恐怖主義的目的,擴張美國警察機關的權限,使其有權搜索電話、E-mail、醫療、財務和其他種類的記錄,另外,法院也有權要求電子通訊或遠端運算業者提供用戶資料。例如美國網路代管業者Dynadote曾在2011年初收到法院命令,要求提供自2009年11月迄今Wikileaks的註冊會員資料、與Wikileaks創辦人Assange及網域名稱wikileaks.org有關的帳號及訂閱戶資料。
在2011年6月於倫敦舉辦的微軟Office 365發表會上,微軟首度鬆口坦承,無論雲端資料存放於哪裡(亦即雲端伺服器所在位置),都會因為愛國者法案的要求而無法受到保護,一旦美國政府強制要求搜查時,微軟就必須提交資料,也不確定一定能通知資料當事人,而且任何一間在美國具有實體公司的雲端服務供應商,都是如此。
也因此,荷蘭政府考慮禁止使用美國雲端供應商的服務,並計劃將其排除在政府供應契約之外,以防止敏感的公民資料遭到美國政府檢查。另外,澳洲金融管制機關(Australia Prudential Regulation Authority, APRA)也有類似要求,金融機構如果要將關鍵業務委外與境外IT服務提供者,須向APRA徵詢,並事先進行風險評估。
資策會法律研究員張乃文表示,倘若雲端伺服器所在地的國家,並不重視個人資料保護,將在無形中侵蝕個資當事人原本應享有的保障,企業在評估時應更加謹慎,以免有損個資當事人的權益。關於各國對個人資料保護法的規範,請見《個資境外傳輸關鍵:有沒有完善保護法規?》。