2.3 云计算面临的法律法规风险
为了保障云上的服务健康良好地发展,更好地助力企业理性上云、安全上云,建立良好的法律法规体系是重要的一环。但是,云计算作为一种新的服务模型,其本身的特性又决定了其法律制定与传统法律制定的差别与冲突。
2.3.1 数据跨境流动
数据跨境流动(Data Transborder Flow)首先出现在个人数据保护立法中,用于管理个人数据向第三国的转移。随着云计算的出现,其泛在的网络接入导致了数据流动性大的特征,大规模的政府数据、商业数据以及个人数据跨境更加频繁,因此各国开始重新审视数据跨境流动的制度规范,特别是政府部门和公共部门的数据跨境流动制度规范。
当前针对数据跨境流动,在国际上并没有统一的定义和明确的界定。联合国跨国公司中心指出了“跨越国界对存储在计算机中的机器可读的数据进行处理、存储和检索”属于数据跨境流动的范畴;经济合作与发展组织(Organization for Economic Co-operation and Development,OECD)对数据跨境流动的定义是个人数据跨越国界流动;澳大利亚在联邦个人隐私原则中对“数据的跨境流动”进行了规定,要求机构向海外组织或信息主体以外的某人传送信息应该受到一定的制约。由此可见,通常对于数据跨境的流动有两层含义:一方面是对数据跨越国界的存储、传输和处理;另一方面则是数据并没有跨越国界,但是能够被第三方国家的主体访问。
虽然就数据的跨境流动尚未形成统一的框架,但是从国外针对不同类型数据的管理模式来看,主要分为三个级别。
1.?禁止重要的数据跨境流动
对于一些威胁到国家安全的数据信息,禁止其跨境的流动具有相当的必要性,一些国家也逐渐意识到重要数据在本地存储的重要性。例如,美国虽然没有相关的法律规定禁止数据的跨境流动,但是在外资安全审查机制中,针对国外的网络运营商,会要求其与电信企业签订相关的协议,要求国内的通信基础设施应位于美国境内,并且通信数据、交易数据、用户信息等也只能在美国境内存储;印度的电信许可协议中明确禁止各类电信企业将用户的账户信息、个人信息转移至境外;意大利、匈牙利等国家也有相关法律法规禁止将政府数据交由国外的IaaS服务提供商存储。除此之外,印度尼西亚、澳大利亚、韩国等国家都有相关的法律法规明确指出禁止重要的数据跨境流动。
2.?有条件的限制数据跨境流动
对于政府部门和公共部门的一般数据、行业相关的技术数据等,部分国家针对这类型的数据实施了条件限制的管理模式来控制其跨境的流动。例如,在澳大利亚《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》中规定,把政府部门的信息进行分级,对于非保密的信息,要求必须通过安全风险评估之后才能实施外包。
3.?允许普通个人数据的跨境流动
对于普通用户的个人数据,国际上通用的观点是允许其自由跨境流动,但是必须满足安全的管理要求。出于对个人数据的安全考虑,一般采用问责制、合同干预等形式来进行管理。问责制一般是通过责任的界定,要求采集和处理数据的实体对数据进行安全管理,并要求其承担数据在跨境的整个过程中的审查和监督;合同干预则是由政府来规定跨境数据的安全管理相关内容。例如,在欧盟,根据数据保护法的原则,由数据保护主管部门来制定相关的合同条款,指明数据保护的要求。
针对国际范围内的数据流动,目前还处于发展中,部分国家出台了各自的法律法规来要求是否允许本国的数据跨境存储和传输。美国于1974年通过《隐私法》,由于美国在全球范围内有大量跨国公司,因而其倾向于信息的自由流通,对数据的跨境流动不做专门限制;英国在1984年通过《数据保护法》,其规定数据跨境流动时,需要向相关机构进行登记;德国在20世纪70年代通过《个人数据保护法》,规定数据跨境的流动要按照相关协定来进行管理;欧盟在《关于个人数据处理保护与自由流动指令》和《有关个人数据处理和电子通信领域隐私保护的指令》明确指出对数据跨境流动的相关规定;澳大利亚的《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》中对于安全分类数据的存储进行了相关规定;韩国的《信息通信网络的促进利用与信息保护法》规定,为了防止任何有关工业、经济、科学、技术等重要信息的跨境流动,信息通信提供商可采取必要手段;加拿大在《个人信息保护和电子文件法》中规定,传输、拥有或保管个人信息的机构应该对这些信息负责。
就目前国外针对跨境数据流动的管理趋势而言,可以从三个层面来分析:第一,从管理范围上,重点关注政府部分和公共部门的数据跨境流动管理。一些国家已经制定了专门的管理制度。例如,上文提到的澳大利亚《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》中对政府数据进行分级管理,并规定了政府数据的离岸存储和风险管理;加拿大在《关于解决美国爱国者法案和跨境数据流动问题的联邦战略》向联邦政府提出了160条关于数据安全管理的建议;第二,从管理对象上,加强对数据跨境流动的监管。数据的跨境流动主要依托于互联网,因此,各国在新签署自由贸易协定或双边投资协定时,对电信业务的跨境服务承诺开始变得极为谨慎;第三,从管理机制上,增强各国的跨境执法合作,加强各国用户对跨境数据流动的信任。由于各国不同的管理机制限制了数据跨境流动的发展,因此一些国际组织尝试从国际层面来建立协调机制。例如,APEC建立了跨境隐私执法协作机制(Cross-border Privacy Enforcement Arrangement,CPEA)来协调数据跨境流动。
在我国,随着国外公司陆续进入到我国的云服务市场,我国的数据跨境流动的相关管理机制的建立与完善日益受到重视。从国外的经验来看,一方面,可以在相关法律法规中明确数据跨境流动的相关概念和管理模式,另一方面,可以建立针对数据跨境流动的多元化管理手段,例如分级分类管理、合同管理、安全风险评估等都是可取的手段措施。
2.3.2 集体诉讼
集体诉讼起源于英国,但是却在美国开花结果,它指个人或部分成员为了全体成员的共同利益,代表整个团体成员提出的诉讼。在现实中,一些企业遭遇的集体诉讼的案例也对后来的公司或企业产生了深远的警示意义。
2.3.3 个人隐私保护不当
在云计算、大数据孕育的时代,社会的发展取得了巨大的进步,但与此同时,个人隐私的问题也浮现出来。近年来,侵犯个人隐私的案件时有发生,之前被曝光的用户信息泄露事件严重侵犯了用户的合法权益。因此,建立云环境下的个人隐私保护制度刻不容缓。
在云计算、大数据环境下,个人隐私的安全风险表现在以下几个方面:
1)数据存储过程中对个人隐私造成侵犯:在云服务商给用户提供云服务的时候,数据的存储对用户来说是透明的,用户无法得知数据确切的存储位置,更无法对其个人数据的采集、存储、使用的过程进行有效控制。
2)数据传输过程中对个人隐私造成侵犯:云环境下的数据传输具有开放性和多元化的特征,传统的物理区域的隔离方法和技术无法适应云环境下数据的远距离传输,更加无法保证数据传输过程中的安全性。
3)数据处理过程中对个人隐私造成侵犯:云服务的部署引入大量的虚拟化技术,基础设施的脆弱性或加密措施的失效引入了新的安全风险,大规模的数据处理需要完备的访问控制、身份认证管理,而云计算的资源动态性增加了管理的难度,账户劫持、攻击、认证失效等都将成为数据处理过程中的安全威胁。
4)数据销毁过程中对个人隐私造成侵犯:单纯对数据的删除并不能彻底的销毁数据,再加之云服务商可能对数据进行备份,进一步增加了数据销毁不彻底的可能性。
由此可见,在云计算的时代,我们需要切实加强个人隐私的保护,主要可以从如下几个方面着手:
(1)从国家的战略层面来保护个人信息
在云计算大数据时代,个人隐私构成了网络社会运行的基石。在我国,从网络系统、设备到操作系统、应用软件等核心技术依然面临巨大的安全风险,这不仅对国家的安全造成了威胁,同时对用户的个人隐私也造成了风险,因此需要从国家层面来建立针对个人隐私的保护战略和机制。
(2)加快完善个人隐私的立法保护
在云计算大数据的背景下,对于个人隐私,从技术层面保护远远不够,必须建立完善的法律法规,用法律的武器打击不法分子,保障用户权益。
(3)加强对个人隐私保护的行政监管
在信息网络的环境下,个人信息和个人隐私等具有了财产属性,部分不良的企业可能对其进行商业化利用以达到盈利的目的,因此,政府的有效监管、个人隐私方面的测评机制和标准就显得尤为必要。
(4)加强对个人隐私的技术保护
技术手段是法律措施的重要补充,应积极进行隐私保护技术的研发和创新,从技术层面来保障个人隐私的安全。