2018年3月21-22日,由中国信息通信研究院主办、中国通信标准化协会支持的"OSCAR云计算开源产业大会"在国家会议中心举行。
随着云计算技术的日益发展,并开始进入“深水区”,开源技术与云计算融合的程度进一步加深,并开始成为产业发展的重要支撑。"OSCAR云计算开源产业大会"将邀请行业内多位大咖与权重人物共同探讨、交流云计算开源技术、研发、治理、产业化方面的经验,探索开源与云计算的创新发展新路径。
北京浩天安理律师事务所管理合伙人王新锐《云服务中数据保护相关的法律问题》演讲全文:
感谢刚才主编的介绍,提到了这个案子,我稍微也会讲讲,我觉得非常有意思,因为它并不是我们前段时间关注的facebook的案子,据我所知,中国的监管部门在一年以前就开始关注这个事情,后面我会讲讲跟今天的主题有什么关系。我想在个人信息保护问题上,跟我们云服务提供商关系是非常大的,而且关系会越来越大。
先讲一个题外话,我自己接触到这块是在2008年,当时我在一家美国律师事务所的中国办公室工作,当时外资很多大型的跨国公司都向我咨询说中国关于个人信息的立法、中国关于隐私的立法。当时我们看到这个问题的时候两眼一抹黑,在2008年的时候,当我们提到中国个人信息保护的时候,我们是说不出什么东西来的,我们找不到太多的法律依据,只能模糊的从隐私权的角度来讲,并且也会去保护。但实际上在2008年的时候,中国法律连隐私权保护也是很不充分的。
但是到了2018年这个时间点,中国在立法上关于个人信息的保护是比较全面的。我们之前在协助中国人民银行、包括跟网信办、工信部都有一些合作,研究了很多国家关于个人信息保护的立法,实际上中国在个人信息保护立法目前来说是比较全面、比较细致的。甚至我要讲讲可能中国有一些立法上的规定,目前来看是全世界最严格的。比如说两高的司法解释中关于个人信息的界定,你发现是全世界最严格的之一。所以对于我们整个服务商接下来会有很大的影响。这十年内的变化,为什么中国对个人信息保护、对用户数据的保护提升到这样的高度,提升到总书记批示的高度,很大程度上是跟中国互联网行业的高速发展有关。现在是一个重点节点,facebook事件出来以后,我相信对于我们的数据保护会产生重大的影响。
我今天会讲三块内容,第一部分是风险,第二部分是合规的法律规定,第三部分是合规的建议。风险部分,前面几位嘉宾都有提到,刚才付处提到了风险中最大的一块是关于用户数据,我觉得对于云服务商是很尴尬的,云服务商在中间提供的对用户数据的掌握不是一个完全的掌握,是数据在我这儿,但是对用户数据的细节是不掌握的。我不知道大家做这个业务有没有听说过一个案子,之前《我叫MT》游戏开发商起诉阿里云,阿里云败诉,当时讲的是作为游戏服务商起诉阿里云,说你上面有一个侵权,你应该把这个删除。阿里云当时说我作为云服务提供商,我不能进入到用户的具体数据,这些用户数据只有看到司法判决,我才能提供给你。但这个案子在法院一审阿里是败诉了,当然这个案子我自己认为会对云服务提供商都有一定的影响。这就是作为云服务提供商对用户数据的掌握不是一个完全掌握,他的掌握是部分存储在我这儿,比如说iCloud的数据,作为苹果来说,这个数据是在上面的,但是你能随便利用这些数据吗?讲到网安法规定的时候,这里有很多法律规定的冲突问题,我觉得可能对我们云服务提供商是矛盾交织的。简单来说,你作为网络运营者你有很多的义务,比如说对于防范有害信息传播,这是一个很强的义务,对于腾讯、新浪、百度都受到了处罚。但是我作为服务商,我在上面存储的有害信息,我怎么碰它?所以这又是一个法律解释上的冲突问题。当然我们也会讲讲我们的看法。
我今天列了几条,第一,数据控制者对于个人数据缺乏有效的控制。最开始的时候,封莎也提到了,在云服务中用户数据的所有者和控制者是分离的,控制者对于这个数据的控制其实是局部的,不是完全的,他缺乏对数据的控制。这个过程中会产生一旦数据泄露,比如像facebook这个例子特别明显,facebook的这些用户在不知情的情况下,或者在不完全理解这件事情的情况下,他的数据就会传播出去。