欧洲云计算的法律迷宫

陈芸芸

云计算已成为当前全球性的发展趋势，但它却让管理者感到头疼，因为他们发现自己将处于不利地位。

欧洲云计算发展里程碑

◎2009年11月20日，欧洲网络和信息安全委员会（ENISA）发布报告，指出了云计算技术的安全威胁及益处。

◎2010年1月26日，欧盟委员会规划了欧洲未来云计算研究的发展方向。

◎2010年5月19日，歐盟委员会在《欧洲数字议程》中建议制定和发展云计算的欧洲战略。

◎2010年12月，欧盟委员会开展了一项名为“关于云技术中的安全和隐私监管挑战的调查”。

◎2010年12月，欧盟委员会审议云计算的经济影响。

◎2011年5月，欧盟委员会将与利益相关者商议后出台关于云计算的相关规定。

◎2012，欧盟委员会有望出台云计算的欧盟战略。

政策总结

“云计算”指的是一系列以“云”的形式存在的基础设施、软件、数据或应用。这就意味着“云计算”使用的是非个人设备，且通过网络存取。

2010年底，米兰大学公布的调查结果预计云计算将在未来五年为欧洲创造150万个新的就业岗位。

云技术的最大商业价值在于使用这项技术的服务刺激需求的同时降低了硬件成本和单位成本，从而产生规模效应。

对消费者来说，只要有连网的设备，就可查询到大量的信息。

尽管企业和政府越来越青睐云计算，但欧洲的管理者却格外谨慎，因为普及使用云系统可能意味着大量的公共和商业数据转移到国外的服务器上。

尽管欧盟不懈努力，但保护存储数据的相关法律还很落后，无法解决云计算中出现的法律问题，比如如何确定信息的归属权。

当一家企业在英国处理数据后，将这些数据存储在爱尔兰的一个服务器上，但通过法国（因为在法国有分公司）来发送，在这种情况下，哪个国家的法律适用于争议的解决尚不明确。

当管理者发现这一问题后，便开始广泛地征求行业和数据保护专家的意见，而该行业却正忙着赶在相关法律框架出台前开发和研究云计算。

2010年11月，欧盟数字议程委员会官员Neelie Kroes呼吁云计算供应商在其服务和产品中建立数据安全系统。在2011年达沃斯全球经济论坛上，Kroes说欧盟正加紧速度出台数据保护相关规定。

在2012年发布云计算战略之前，今年欧盟委员会将继续征求行业和数据保护专家的意见。

主要议题

(一)该相信谁？

云计算主要包含三方面内容：基础设施（数据中心）、在线平台（操作系统）和应用（基于网络的电子邮件、办公室应用程序和文件共享）。

这一行业主导的趋势被誉为未来设施，地位等同于燃气或电力。某些应用（如Google开发的在线办公文件）甚至会威胁诸如微软的Office软件等行业巨头。

但是，这一技术依赖于跨国数据储存，也迫使企业和管理者要求各地出台基本一致的数据保护和隐私法。

除了对各国法律差异的顾虑，伦敦的玛丽皇后研究中心还得出另外两大法律隐患，足以让企业和政府三思：

一些云计算供应商拒绝提供数据所在地，欺诈用户；

用户可能不与供应商产生直接关系，因为供应商可能会把业务外包给一个或多个存储或数据处理供应商。这就模糊了数据控制商和数据处理商的关系，让人不禁想问：数据到底算谁的？

在近期的发言中，Kroes解释说：每个欧洲公民或企业都应该明白两点：云技术的供应商将会根据欧盟相关规定来保护他们的个人数据；拥有服务器的各国政府都有相应的数据保护和隐私规定。

欧盟第二十九条工作组的专家来自各国的数据保护机构，他们表示，欧盟应该采用服务起源国——也就是数据中心的所在国的法律。

微软、亚马逊和SAP 等云技术供应商都希望在贸易规则框架下或国际论坛上签署相关国际协议，规范有关数据的法律机制。

(二)数据储存在何处？

一些数据保护专家希望欧盟数据的服务器在欧盟境内，让管理者和律师省事些。

美国政府规定对数据进行分级管理，低风险数据可存储在海外的数据中心，但中高级风险数据必须储存在美国境内。

然而，尽管很多人觉得商业数据的问题不值一提，但大家都知道呼叫中心。它们的数据储存在印度的服务器里，没法全部都移到欧盟来。

在欧盟，这一决定将留给各成员国。例如德国，当地政府要求将数据储存在国内。当然，这些指导原则不会影响商业数据。

(三)修订数据保护规定

欧盟委员会承认数据保护法令已经过时，目前，他们正在征求行业的意见，以便对该法律进行审议。

现有的法令制定了对数据控制商（拥有和处理数据）的指导原则。但是欧盟需要对很多术语重新定义，因为云技术允许数据的归属和处理分别由两个相隔很远的数据中心来承担。

目前的数据保证法令要求数据储存在欧洲经济区或者拥有相同隐私法的地区。

2009年9月，欧盟委员会认定阿根廷、澳大利亚、加拿大、瑞士、法罗群岛、格恩西岛、曼恩岛、泽西岛和美国与欧盟的隐私保护法一致。

(四)金钱万能

对云计算的热情主要源于它能降低成本这一特点，企业和政府都纷纷表示要将IT系统转为云技术。

到2014年，全球云计算市场的价值为400亿欧元。作为一个以技术为主导的经济体，爱尔兰采纳微软的建议打造云计算港，这将创造2万个新的工作岗位。根据Good Body咨询公司最近的一项调查显示：到2014年，爱尔兰的云计算港将每年创收95亿欧元，每年产生8600个就业岗位。

对云计算的浓厚兴趣主要是经济驱动力，企业可以大幅削减成本，因为云技术可以实现“现用现付”。

从技术层面上看，“现用现付”意味着小公司只需支付IT运营成本，其服务就可上市。有了云计算，公司运营更高效，产品进入市场更快，投资回报更高，而且更加低炭环保。这一切听起来似乎美好得不太真实。

云计算同样能节省政府的开支，但是由于其敏感性，公共行业无疑在利用云技术上异常谨慎。

一些国家（如德国）甚至出台了规定禁止将公共数据业务外包。英国正忙于打造政府云（一项位于国内的政府云基础设施项目，有望每年节约资金32亿英镑）。

尽管“云”的前景看好，但这一技术目前仍处于实验阶段。在欧盟，由于各国缺乏相应的规章制度，因此应用起来并没有那么容易。

(五)数据安全和隐私

云计算被描述为把所有鸡蛋放进同一个篮子。如果这个篮子坏了，所有鸡蛋都会丢了吗？如果个人数据、银行账户信息、信用记录、犯罪记录和纳税证明都挪到了云上，然后丢了，怎么办？

管理者必须对此作出快速应对，因为最新研究显示：云所提供的服务并非最尖端的。

伦敦玛丽皇后研究中心得出结论：“云”的商业合同中有时候会推卸责任，特别是对一些长期未使用的数据进行封存或删除。这些合同有时候难以理解，因为通常它们长达60页，通篇法律术语。但是很多用户往往用“云”来储存暂时不再使用但未来可能用到的数据。

尽管很多云工具都解决了主要的安全问题，但“云”在未来将分布很广，需要出台数据复制和分配方面的硬性规定。

消费者都很担心自己不再是数据的“拥有者”，因为如果采用“云”储存在别处，消费者就不是事实上的数据处理者。这也会造成数据存取的麻烦。

在最近的一项调查中，消费者的主要顾虑就是使用“云”的数据安全性，紧随其后的是性能、隐私和价格。

欧盟的电子隐私法令于2009年进行了更新，其中增加了“数据泄漏通知”条款，要求通信服务供应商或网络服务供应商在出现客户个人信息泄漏时必须通知本人。

德国近年来数据泄漏频发，因此修订了数据保护规定，其力度远超欧盟法令。

为了解决这些法律上的矛盾，云产业建议WTO出台关于在线服务和软件的全球性协议。