国外关于云计算的法律限制

工业和信息化部电信研究院政策与经济研究所 李海英

今年4月,欧盟委员会副主席莉•克罗斯表示,云计算对欧洲的发展至关重要,现在我们需要做一些工作,最首要的就是法律框架,“它显然是国际层面的事情,包括数据保护和隐私保护,包括管辖权的分配、法律责任和消费者保护等。”

云计算从诞生之日起就伴随着法律争议,很多国家已经开始讨论在法律上对其加以规范,适用原有的数据保护法、隐私法或者有针对性地制定相关法律。

首先是跨境提供的问题。云计算与传统的外包服务不同,其主要区别在于借助云计算,数据通过互联网进行存储和交付,数据的拥有者不能控制,甚至不知道数据的存储位置,数据的流动是全球性的,跨越了国界、穿越了不同的时区。产生法律问题的关键是任何人很难知道数据在哪里共享和传送,数据跨境传送、即时性地在全球传播,而每个国家都拥有自己的法律以及管理要求,云计算服务的提供者显然无法做到与所涉及的所有国家的法律相符合,因此对各国管辖权之下的法律义务带来挑战。

欧盟1995年通过了《数据保护指令》(即欧洲议会和理事会1995年10月24日关于涉及个人数据处理的个人保护以及此类数据自由流动的95/46/EC指令),通常称为“一般指令”,对于云计算,最主要的规定是,在缺乏特定的承诺机制的情况下,欧盟禁止欧盟居民的个人信息转移出欧盟到美国和世界上大部分国家。这对云计算意味着什么?如果你想将包含欧盟居民个人信息的数据放到云上(这些个人信息可能是简单如一个邮件地址或雇用信息),将这些数据从欧盟传送到世界上的几乎任何地方,你不能简单地将这些数据扔到云上,而是需要至少符合以下条件之一:

国际安全港认证(International Safe Harbor Certification),允许数据从欧盟传送到美国,但不包括到其他国家。

格式合同,允许数据从欧盟传送到非美国的其他国家,但是由于云计算涉及多层次的供应商关系,格式合同并不总是有效;

有约束力的公司规则(即根据欧盟数据保护法制定的跨国公司、国际组织跨境传送个人信息的规则),该规则专门针对跨国公司设计,因此对于云服务提供商也不一定起作用。

为了执行欧盟指令,每个成员国也制定了相应的法律。如德国的数据保护法,规定无论云计算服务提供商是否位于欧盟,使用云计算的公司必须采取必要的措施保护个人数据的完整性和安全。例如,公司必须与云计算服务提供商签订合同,以符合数据保护法的相关条款,如果不遵守这些法律,将面临罚款和民事诉讼。

其次是数据保护和隐私权的问题。云服务与各国数据保护法、隐私法的关系是目前备受关注的话题。在美国,涉及到爱国者法、萨班斯法以及保护各类敏感信息的相关法律。爱国者法案授权美国的执法者为反恐之目的,经法庭批准后,不经允许地接触到任何人的个人记录。这意味着,如果你使用位于美国的服务器,或位于美国的云计算服务提供商,美国执法者为了反恐调查的目的,都可以通过取得一个法庭命令的方式,不经你的允许而检查你的数据。加拿大也有类似的规定,它的反恐法案(ATA)和国防法(National Defense Act,NDA)赋予国防部长检查数据保存的权力。美国爱国者法的第326章还要求所有的金融机构(包括信用卡公司)获取、证明和记录每一个帐户中开户、变更和付费人的信息。萨班斯法案(Sarbanes-Oxley)的颁布也为数据保护提供了法律依据,适用萨班斯法案的企业在使用云计算服务的时候必须确保他们的供应商符合萨班斯法案的要求。此外,这一问题也适用不同部门如金融、健康等方面的法律,也涉及不同类型的敏感信息,如儿童的数据。美国的联邦法律如金融服务法(Gramm-Leach-Bliley),适用于金融机构的数据保护;健康保险便利及责任法案(HIPAA),适用于健康服务提供者和其他与健康信息相关的实体;儿童在线隐私保护法(COPPA),适用于收集小于13岁的儿童的数据,等等。

第三,合同规范存在困难。通常,服务提供者与客户之间通过合同来规范各自的权利义务。但是,在云计算建立起标准和可信的程序之前,云服务的使用者希望通过合同得到保护,是非常困难和不可能的事情。灵活、易于使用的服务和易于共享的基础设施是云计算的优势,但是云计算使用方式会产生很多安全问题。提供云计算的公司在与客户的合同中,不可能对安全问题做出合同上的承诺,因为他们无法控制,他们甚至不能告诉客户这些数据位于什么位置。如果要求云计算的服务商在合同中作出承诺,并且承担额外的义务,这很可能会破坏云计算的价格模式,使其优势不在。

云计算所产生的这些法律问题,给世界各国都带来了挑战,在一些国家关于黑莓的限制被重新提起。例如,法国规定政府不能使用黑莓手机,因为所有的邮件路由将通过美国,易被美国国土安全部看到。在印度,为了阻止政府关于使用黑莓设备的禁令,RIM公司与政府合作,以解决国家安全和用户隐私的问题。云计算的提供者们也在为此努力。据纽约时报报道,惠普、微软、Google和Oracle等都在寻找解决问题的办法,例如,在惠普英国的实验室中,研究者正在试图将数据发送到云计算中心之前进行加密,并在它离开云之后再解密。另外的解决办法是,赋予个人对数据进行数字标签的能力,以控制云中每一部分的个人信息。这些公司也在游说各国的立法者放松限制,以确保公司能够在管制者确定的边界内,发展云计算。

云计算产生的法律问题是全球性的,未来除了各国在各自管辖权范围内的法律规制外,也许在国际层面的立法努力将更为有助于云计算的发展和安全保护。

作者简介:

李海英:工业和信息化部电信研究院政策与经济研究所法制监管研究部副主任,主要研究范围为电信立法、互联网法律法规、WTO规则及电信市场开放。