英国的独立机构设立了公共利益的持久信息权利,通过公共机构和个人的数据隐私促进开放性。

乍看上去

  • 如果您提供在线搜索引擎,在线市场或云计算服务(单独或组合),那么您是数字服务提供商(DSP)。
  • 您的数字服务必须提供给外部客户 - 即对个人或组织。如果您只在内部维护这些服务,则您不是DSP。
  • 如果您提供其中一项或多项数字服务,且不是小型或微型企业,且您在英国有总部或已提名英国代表,那么您就是NIS的“相关数字服务提供商”(RDSP)。
  • 在线搜索引擎是一种数字服务,它使个人能够根据特定的查询或搜索词对所有网站进行搜索。如果您运行的网站使用搜索引擎提供商提供的嵌入式搜索,那么您的网站不被NIS覆盖,您也不被视为DSP——覆盖的是底层搜索引擎。
  • 在线市场是数字服务,允许个人或交易者在自己的网站上与交易者结束销售或服务合同,或者通过向交易商的网站提供服务。在线零售商代表自己直接销售给个人。
  • 云服务是“启用访问”的数字服务,可扩展至可共享计算资源的可扩展和弹性池。这可以包括像“平台作为服务”(PAAS)和'基础架构作为服务'(IAAS)等常见云模型。如果您提供“作为服务的软件”(SaaS),您也涵盖了您的服务可扩展和弹性的程度。
  • 小型和微型企业普遍豁免。如果您的工作人员少于50人,年营业额和/或资产负债表低于1000万欧元,则不适用于您,您不是RDSP。但是,如果您的服务是较大组的一部分,则需要在评估小型企业豁免时包括本集团的员工和营业额大小。
  • RDSPS需要注册ICO。

简单来说

涵盖了哪些类型的数字服务?

如果您提供一个或多个:

  • 在线搜索引擎;
  • 在线市场;或者
  • 云计算服务

如果您的总部位于英国,而且您既不是微型或小企业,那么您就是“相关数字服务提供商”,NIS适用于您。

重要的是,你需要提供你的数字服务外部的顾客。例如,您可以为您的员工提供自己的公司网络中的搜索引擎。然而,虽然这可能是NIS所定义的“数字服务”,但它不会使您成为“数字服务提供商”,因为搜索引擎是您的系统内部。

什么是在线搜索引擎?

NIS的第1条定义在线搜索引擎:

一种数字服务,允许用户在关键字,短语或其他输入形式的任何主题上以特定语言的查询以特定语言执行搜索,并返回相关信息的链接可以找到所请求的内容。

这描述了一个Web搜索操作员,例如Google或Bing。但是,NIS在英国没有覆盖的最着名的搜索引擎,因为它们不是在这里。在这些情况下,他们由成员国的主管当局监管。

为用户提供由另一个搜索引擎(例如嵌入搜索引擎提供商的网站)供电的搜索功能的网站也不包括在该定义中,尽管可以覆盖底层搜索引擎,但是它符合作为RDSP的定义。

在线搜索引擎的定义不包括组织可能运行的内部搜索引擎。您必须向公众提供搜索引擎,以便申请此定义。

什么是在线市场?

NIS的第1条定义在线市场,如:

“一种数字服务,允许消费者和/或交易商[…]在网上市场的网站上或在使用网上市场提供的计算服务的交易商的网站上与交易商订立网上销售或服务合同”

出于NIS的目的,在线市场是使买家(消费者和交易者)和卖家结束销售商品和服务的平台。并非所有允许个人购买商品和服务的平台都被覆盖;例如,以下内容不是“在线市场”下的“在线市场”:

  • 将用户重定向到其他服务以进行最终合同的站点,例如价格比较网站;
  • 分类广告;和
  • 在线零售商只代表自己直接销售给消费者。

在在线市场使用第三方支付提供商完成购买的情况下,市场仍然被NIS所覆盖。这是因为那些结束销售的人与市场业务进行业务,而不是支付提供商。

什么是云计算服务?

NIS的第1条定义云计算服务,如:

'一种数字服务,可以访问可扩展和可共同计算资源的可扩展和弹性池。

该定义与NIST特别出版物800-145的定义一致:

‘Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.’

主要是但不是排除的术语包括以下类型的云计算服务:

  • 软件 - AS-AS-Service(SAAS)提供商:仅在某种程度上为客户提供可扩展和弹性的资源池;
  • 平台即服务(PaaS)供应商;和
  • 基础架构 - AS-AS-SERVICE(IAAS)提供商。

这些是云计算服务的三个主要类别。然而,还有混合模型,以及“[某事物]作为服务的其他例子。如果这些模型或概念符合“云计算服务”的定义,那么NIS也将适用于它们。

关键是您的服务是否“已访问”可扩展和弹性池的可共同计算资源。

如在云计算参考架构上的NIST SP 500-292中,以下实体可能会根据具体情况'启用访问'对这些资源:

  • “云提供商”——负责向云客户提供服务的实体,即他们构建和管理云基础设施;和
  • '云代理' - 一个实体管理云服务的使用,性能和交付,谈判云提供商和云客户之间的关系。

云代理可以提供多种服务,实质上可以作为一个单一的“服务点”,云客户可以在这里管理多个云服务。他们可以提供业务和关系支持服务,以及技术支持。

根据NIST参考架构,云经纪人可以置于三个不同的类别:

  • “服务中介” - 云代理提供增值服务或底层云条件的附加功能,以至于它为客户提供的底层云提供,例如身份管理或安全措施;
  • “服务聚合” - 云代理基本上通过将多个其他服务组合成单个产品来创建新的云服务。在这种情况下,代理可以提供服务集成,并且还可以负责确保以安全的方式在客户和多个提供商之间移动;和
  • “服务套利”——类似于聚合,只是云代理提供的服务不是固定的,可以从多个提供商中选择。

如果您是云代理,您可能会受到NIS规则的保护,这取决于您所提供的环境和服务类型。NIS指出,要使服务符合“云计算服务”的定义,它必须“允许访问”可伸缩的、弹性的可共享计算资源池。这个资源池并不一定要由允许使用它的组织拥有和运营。

For example, if a cloud broker enables access to underlying cloud services by means of an identity management platform, if that platform suffers an incident that disrupts or reduces its functionality, the broker’s customers may be unable to access the cloud computing resources the broker offers to them.

什么是“计算资源”?

Comital 17指令提供了在云计算服务的上下文中“计算资源”的非详尽列表:

这些计算资源包括网络、服务器或其他基础设施、存储、应用程序和服务等资源。

这与NIST对云计算的定义基本相同,云计算指的是“网络、服务器、存储、应用和服务”。

'可扩展和弹性'是什么意思?

协商17指令描述了这些术语。它说:

“可扩展”一词指的是由云服务提供商灵活分配的计算资源,而不考虑资源的地理位置,以应对需求的波动。”

“术语”弹性池“用于描述根据需求提供和释放的计算资源,以便迅速增加和减少根据工作量可用的资源

这意味着,如果您的云计算服务展示了这些属性,那么它就会被认为是“可伸缩和弹性的”。这可能不一定包括你的服务的所有方面——实际上,这取决于你的具体情况,你提供的服务的性质,以及你和你的客户之间的任何合同安排的细节。关键是服务是否能够响应需求的增加或工作负载的变化。

“可分享的”是什么意思?

重组17定义了“可共享”:

“提供给共享服务的通用访问的多个用户的计算资源,但是在每个用户单独执行处理的情况下,尽管服务是从相同的电子设备提供的。

除了计算池可扩展和弹性外,还需要与NIS覆盖,它也需要可共享。这基本上将NIS定义与云计算的标准描述对齐。

进一步的阅读

有关SaaS,Paas和IaaS之间区分的更多信息,请看看我们的云计算指导(PDF)。本指南是根据1998年的数据保护法编写的,并将在2021年更新以反映英国GDPR,但它可能会为您提供有用的术语信息。

其他资源

美国国家标准与技术研究所(NIST)发表了许多云计算指导材料,包括:

  • 特刊(SP)800-145- NIST对云计算的定义
  • SP500-291- NIST云计算标准路线图
  • SP500-292- NIST云计算参考架构(PDF)

我们是一个小企业 - NIS适用于吗?

NIS有一般的小型企业豁免。如果您的数字服务少于50名员工,年营业额低于1000万欧元,则不会被归类为RDSP。这还包括唯一的交易员。

第1(3)(f)(ii)表示:NIS不适用于DSP,如果:

'提供商不是委员会建议2003/361 / EC中定义的微型或小型企业。

委员会建议2003/631 / EC涉及欧盟内部中小型企业的定义。欧盟委员会发表了一个建议摘要该报告指出,中小企业分为三类:

  • “微型企业”:员工少于10人,年营业额(某一特定时期的资金数额)或资产负债表(一家公司的资产和负债报表)低于200万欧元。
  • “小型企业”:员工少于50人,年营业额或资产负债表低于1000万欧元。
  • “中型企业”:较少于250名员工,年营业额低于5000万欧元或低于4300万欧元的资产负债表。

豁免只涵盖了这些类别中的前两个,所以NIS适用于中型企业和大型企业。

Additionally, if your digital service is part of a larger organisation, or is controlled by one or more such organisations, you need to assess whether the total staffing numbers and annual turnover or balance sheet of the group exceeds the ‘micro’ and/or ‘small’ thresholds. If this is the case, then NIS applies to you.

进一步的阅读

有关中小企业定义的更多信息,您可以阅读:

我们必须在英国吗?

要被归类为RDSP,您必须在英国拥有您的总部,或提名英国代表。

总部处于另一个欧盟国家的DSP,但在英国内部有网络和信息系统,由该国主管当局监管。在这些情况下,这位主管当局和ico将根据需要共同运营和协助,包括信息交流和承接监督措施的要求。

我们需要登记吗?

是的。如果您是RDSP,NIS的第14条规定要求您注册ICO。与数据保护法下的注册不同,NIS不需要收费。您应该通过电子邮件注册ICOdataprotectionfee@www.khmer-tv.com标题栏“RDSP注册详情”,并在您的电子邮件中包含以下内容:

  • 你的机构名称;
  • 您服务的名称;
  • 您的总部办事处或您提名代表的地址;和
  • 如果我们需要,电子邮件地址及其电话号码,我们可以联系有关NIS相关事项的提名个人的名称,包括提名的个人的姓名。

您也可以通过我们的热线0303 123 1113提供这些信息。

您还需要尽快向我们通知我们对这些细节的任何改变,而未在发生变更后三个月后。

如果您的组织发展到满足RDSP的定义——例如,如果您不能再依赖于中小企业豁免——那么您必须最迟在满足定义后3个月注册。

还需要注意的是,尽管在NIS下注册是不收费的,但它是根据数据保护法建立的一个单独的注册程序。如果您也是数据控制人,您需要单独向我们注册以支付数据保护费用。

进一步的阅读

数据保护费