今年4月,歐盟委員會(huì )副主席莉•克羅斯表示,云計算對歐洲的發(fā)展至關(guān)重要,現在我們需要做一些工作,最首要的就是法律框架,“它顯然是國際層面的事情,包括數據保護和隱私保護,包括管轄權的分配、法律責任和消費者保護等。”
云計算從誕生之日起就伴隨著(zhù)法律爭議,很多國家已經(jīng)開(kāi)始討論在法律上對其加以規范,適用原有的數據保護法、隱私法或者有針對性地制定相關(guān)法律。
首先是跨境提供的問(wèn)題。云計算與傳統的外包服務(wù)不同,其主要區別在于借助云計算,數據通過(guò)互聯(lián)網(wǎng)進(jìn)行存儲和交付,數據的擁有者不能控制,甚至不知道數據的存儲位置,數據的流動(dòng)是全球性的,跨越了國界、穿越了不同的時(shí)區。產(chǎn)生法律問(wèn)題的關(guān)鍵是任何人很難知道數據在哪里共享和傳送,數據跨境傳送、即時(shí)性地在全球傳播,而每個(gè)國家都擁有自己的法律以及管理要求,云計算服務(wù)的提供者顯然無(wú)法做到與所涉及的所有國家的法律相符合,因此對各國管轄權之下的法律義務(wù)帶來(lái)挑戰。
歐盟1995年通過(guò)了《數據保護指令》(即歐洲議會(huì )和理事會(huì )1995年10月24日關(guān)于涉及個(gè)人數據處理的個(gè)人保護以及此類(lèi)數據自由流動(dòng)的95/46/EC指令),通常稱(chēng)為“一般指令”,對于云計算,最主要的規定是,在缺乏特定的承諾機制的情況下,歐盟禁止歐盟居民的個(gè)人信息轉移出歐盟到美國和世界上大部分國家。這對云計算意味著(zhù)什么?如果你想將包含歐盟居民個(gè)人信息的數據放到云上(這些個(gè)人信息可能是簡(jiǎn)單如一個(gè)郵件地址或雇用信息),將這些數據從歐盟傳送到世界上的幾乎任何地方,你不能簡(jiǎn)單地將這些數據扔到云上,而是需要至少符合以下條件之一:
國際安全港認證(International Safe Harbor Certification),允許數據從歐盟傳送到美國,但不包括到其他國家。
格式合同,允許數據從歐盟傳送到非美國的其他國家,但是由于云計算涉及多層次的供應商關(guān)系,格式合同并不總是有效;
有約束力的公司規則(即根據歐盟數據保護法制定的跨國公司、國際組織跨境傳送個(gè)人信息的規則),該規則專(zhuān)門(mén)針對跨國公司設計,因此對于云服務(wù)提供商也不一定起作用。
為了執行歐盟指令,每個(gè)成員國也制定了相應的法律。如德國的數據保護法,規定無(wú)論云計算服務(wù)提供商是否位于歐盟,使用云計算的公司必須采取必要的措施保護個(gè)人數據的完整性和安全。例如,公司必須與云計算服務(wù)提供商簽訂合同,以符合數據保護法的相關(guān)條款,如果不遵守這些法律,將面臨罰款和民事訴訟。
其次是數據保護和隱私權的問(wèn)題。云服務(wù)與各國數據保護法、隱私法的關(guān)系是目前備受關(guān)注的話(huà)題。在美國,涉及到愛(ài)國者法、薩班斯法以及保護各類(lèi)敏感信息的相關(guān)法律。愛(ài)國者法案授權美國的執法者為反恐之目的,經(jīng)法庭批準后,不經(jīng)允許地接觸到任何人的個(gè)人記錄。這意味著(zhù),如果你使用位于美國的服務(wù)器,或位于美國的云計算服務(wù)提供商,美國執法者為了反恐調查的目的,都可以通過(guò)取得一個(gè)法庭命令的方式,不經(jīng)你的允許而檢查你的數據。加拿大也有類(lèi)似的規定,它的反恐法案(ATA)和國防法(National Defense Act,NDA)賦予國防部長(cháng)檢查數據保存的權力。美國愛(ài)國者法的第326章還要求所有的金融機構(包括信用卡公司)獲取、證明和記錄每一個(gè)帳戶(hù)中開(kāi)戶(hù)、變更和付費人的信息。薩班斯法案(Sarbanes-Oxley)的頒布也為數據保護提供了法律依據,適用薩班斯法案的企業(yè)在使用云計算服務(wù)的時(shí)候必須確保他們的供應商符合薩班斯法案的要求。此外,這一問(wèn)題也適用不同部門(mén)如金融、健康等方面的法律,也涉及不同類(lèi)型的敏感信息,如兒童的數據。美國的聯(lián)邦法律如金融服務(wù)法(Gramm-Leach-Bliley),適用于金融機構的數據保護;健康保險便利及責任法案(HIPAA),適用于健康服務(wù)提供者和其他與健康信息相關(guān)的實(shí)體;兒童在線(xiàn)隱私保護法(COPPA),適用于收集小于13歲的兒童的數據,等等。
第三,合同規范存在困難。通常,服務(wù)提供者與客戶(hù)之間通過(guò)合同來(lái)規范各自的權利義務(wù)。但是,在云計算建立起標準和可信的程序之前,云服務(wù)的使用者希望通過(guò)合同得到保護,是非常困難和不可能的事情。靈活、易于使用的服務(wù)和易于共享的基礎設施是云計算的優(yōu)勢,但是云計算使用方式會(huì )產(chǎn)生很多安全問(wèn)題。提供云計算的公司在與客戶(hù)的合同中,不可能對安全問(wèn)題做出合同上的承諾,因為他們無(wú)法控制,他們甚至不能告訴客戶(hù)這些數據位于什么位置。如果要求云計算的服務(wù)商在合同中作出承諾,并且承擔額外的義務(wù),這很可能會(huì )破壞云計算的價(jià)格模式,使其優(yōu)勢不在。
云計算所產(chǎn)生的這些法律問(wèn)題,給世界各國都帶來(lái)了挑戰,在一些國家關(guān)于黑莓的限制被重新提起。例如,法國規定政府不能使用黑莓手機,因為所有的郵件路由將通過(guò)美國,易被美國國土安全部看到。在印度,為了阻止政府關(guān)于使用黑莓設備的禁令,RIM公司與政府合作,以解決國家安全和用戶(hù)隱私的問(wèn)題。云計算的提供者們也在為此努力。據紐約時(shí)報報道,惠普、微軟、Google和Oracle等都在尋找解決問(wèn)題的辦法,例如,在惠普英國的實(shí)驗室中,研究者正在試圖將數據發(fā)送到云計算中心之前進(jìn)行加密,并在它離開(kāi)云之后再解密。另外的解決辦法是,賦予個(gè)人對數據進(jìn)行數字標簽的能力,以控制云中每一部分的個(gè)人信息。這些公司也在游說(shuō)各國的立法者放松限制,以確保公司能夠在管制者確定的邊界內,發(fā)展云計算。
云計算產(chǎn)生的法律問(wèn)題是全球性的,未來(lái)除了各國在各自管轄權范圍內的法律規制外,也許在國際層面的立法努力將更為有助于云計算的發(fā)展和安全保護。
作者簡(jiǎn)介:
李海英:工業(yè)和信息化部電信研究院政策與經(jīng)濟研究所法制監管研究部副主任,主要研究范圍為電信立法、互聯(lián)網(wǎng)法律法規、WTO規則及電信市場(chǎng)開(kāi)放。
泰爾網(wǎng)
