云计算环境下网民身份信息安全的法律保障

豆 涛

随着云计算的兴起和普及，人们在享受云计算强大功能带来方便的同时，也在受到云计算所带来的诸多问题的困扰。由于现有的机制、法律法规不太完善，网民身份信息安全在云计算环境下也出现了新的问题，急需寻找相应的对策。

一、云计算环境下网民身份信息的安全问题

在云计算环境下，网民通过使用云服务，其个人身份信息不会再像传统的使用互联网服务时被存储在服务提供者的服务器或者网民自身的电脑里面，而是高度集中于云端，这就更加容易导致安全问题。

（一）被特权用户访问

从表面上看，云计算好像是安全的，但如果仔细分析，“云”对外部来讲其实是不透明的。终端用户对云计算服务的具体运行模式、提供商的具体地址、员工情况等都知之甚少。网民在进行网络活动过程中，会根据互联网服务提供者的要求填写个人身份信息，而这些互联网服务提供者又将网民身份信息存于云端。虽然一般用户很难访问，但是在没有具体法律进行规范的情况下，谁能保证云计算服务提供商或者政府不会借其特权来越权访问网民的身份信息。

（二）存储风险

在云计算环境下，所有数据都是处于共享的环境中，云服务提供者并没有为用户提供独立的存储区域，这样就算数据加密也存在安全问题。和传统软件相比，云计算在数据方面的最大不同是所有的数据是由第三方来负责维护，并且由于云计算架构的特点，这些数据可能存储在分散的地方，并且都以明文的形式存储［1］。虽然云防火墙可以在一定程度上保护数据免受恶意的外来攻击，但云计算的这种架构有可能使一些关键性的网民身份信息被泄露或者丢失，网民身份信息面临着存储方面的风险。典型的例子有2011年的Google Gmail用户隐私信息泄漏事件和亚马逊大面积宕机事件。

（三）没有统一适用的法律

由于云计算的全球性，网民身份信息常常被不同的云计算服务提供商分散存储于不同国家的服务器。在云计算环境下，当网民身份信息被非法侵犯时，不同国家和地区都用各自的相关法律来进行调整。有些国家和地区在云计算方面的立法更加先进、全面，但有些国家和地区却比较落后，甚至缺失这方面的立法保护，从而使得这些法律之间很有可能不相互兼容，甚至相互抵触，进而使得网民身份信息安全也得不到很好的保障。因此，没有统一适用的法律也是云计算环境下网民身份信息所面临的又一大安全问题。

二、国内外对网民身份信息安全的法律保障对比

个人信息包括了个人身份信息。因此，下文在就国内外对网民身份信息安全的法律保障现状进行讨论时以网络个人信息为主。国外对个人信息的立法起步比我国相对较早。在内容方面，国外的立法不论是在形式还是在内容上相对于我国也较为全面。在互联网出现后，国外在对网络个人信息安全的法律保障方面取得了很多成果。因此，通过对比国内外对网民身份信息安全的法律保障现状，找出我国的不足，有利于完善专门针对云计算环境下网民身份信息安全的法律保障。

（一）国外对网民身份信息安全的法律保障

1.美国

美国对网络个人信息的法律保障大多数是以隐私权为基础，立法比较分散，现仅对其中比较有代表性的立法进行阐述：

第一，《隐私权法》。该法是美国最重要的一部保护个人信息的专门立法，也是其他网络个人信息保护立法的基础。该法规定：公民有个人信息传播的控制权，有权决定在何种程度上公开自己的个人信息，有权对个人信息从采集到占有、使用、处分、修正等各环节加以限制，未经许可而公开、滥用有关个人信息的行为均构成对公民利益的侵害［2］。另外，该法还对政府和法律执行机关收集个人信息的方式以及公之于众的方式作了详细规定。

第二，《电子通讯隐私法》。该法是美国专门针对网络个人信息的保护而制定的。这部法律将有线通讯、口头对话、无线电子通讯等所有通讯形式纳入法律规制范畴，除政府部门以外，禁止个人及其他任何组织进行监听，政府部门如果要监听也必须有合理理由并获得授权［3］。

第三，《儿童在线隐私保护法》。该法是联邦专门针对儿童的网络个人信息制定的特别法。该法规定网站经营者和网络服务提供者在收集13岁以下儿童的个人信息时须告知其父母，并赋予父母对从儿童处收集的个人信息加以审查的权利。还要求网站经营者和网络服务提供者应该具备合理的程序来保护儿童的网络个人信息的安全性和秘密性，并对网站经营者和网络服务提供者诱导未成年人填写个人信息的行为加以禁止。

虽然美国的这种分散立法模式能够针对不同的网络个人信息提供不同的保护，但是这也可能导致法律适用的冲突，不利于法律的适用。鉴于此，美国在立法之外更多采用行业自律规范的方式对网络个人信息提供有效的保护。

2.欧盟

欧盟对网络个人信息的法律保护与美国不同，主要是通过在各个成员国之间建立统一的法律法规体系来实现，比较有代表性的有：

第一，《欧盟数据保护指令》。该法是欧盟制定的保护个人信息的基础性、核心性法律，为个人信息在欧盟的保护提供了一个统一的标准，旨在保护个人信息处理过程中自然人的基本权利和自由，以及促进个人信息在成员国之间的自由流通。该法规定了其适用范围、资料使用者的义务与责任、资料主体的权利等内容。采用最为复杂性和综合性的方式对个人资料进行保护，其一般宗旨和立法原则对其他国家的个人信息保护立法产生了相当大的影响［4］。

第二，《隐私与电子通讯指令》修正案。该修正案的前身是《电子通讯数据保护指令》，相比较，其更加注重对个人数据保护的具体领域。规定其适用范围为欧洲共同体公共通信网络中公用电子通讯服务中所处理的个人数据。还规定只有在网络用户对数据处理的目的己完全知晓，并且没有拒绝，以及同时满足《欧盟数据保护指令》要求的情况下，才能使用储存于电子通讯网络上的信息，或者通过Cookie或“间谍软件”获取储存在该用户终端设备上的有关信息。

另外，其他法律，如：《关于在信息高速公路上收集和传递个人数据的保护指令》《关于与欧共体和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》《关于电子通信领域个人数据处理和隐私保护的指令》《网络上个人隐私权保护的一般原则》等一系列相关法律法规，为用户和网络服务提供商提供了清晰可循的网络个人信息保护原则，也促进了成员国之间有关网络个人信息的统一法律法规体系的建立。

3.日本

日本对网络个人信息的法律保护主要通过统一的立法来实现，最具代表性的是《个人信息保护法》。该法以个人信息的有效利用与个人信息保护为宗旨，确立了个人信息保护的基本原则及方针，明确了国家及地方公共团体的责任义务，以及使用个人信息的企事业单位应遵守的义务［5］。还对个人信息的范围进行了概括性界定，并采用不用列举的方式。这样的界定方式有利于个人信息的范围随着科学技术和时代的进步而不断进行调整，更加有利于对网民个人信息的保护。

此外，《行政机构保有电子计算机处理个人情报保护法律》《个人情报保护法案》等法律也体现了对网络个人信息的法律保护。

（二）我国对网民身份信息安全的法律保障

我国对网络个人信息的法律保护没有统一的立法，而是散见于各部门法、行政法规和规章、地方性法规和规章中。

1.各部门法中有关网民身份信息的规定

《刑法》第253条规定：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。 窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。”该条的内容体现了对个人信息的刑法保护，也为网络个人信息的犯罪处罚提供了刑法依据。但是，该条要求必须达到“情节严重”才能处以刑罚，因而一般的侵权行为则不能受到刑法处罚。

《侵权责任法》第 36条规定：“（1）网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。（2）网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。”该条虽然没有直接使用“网民个人信息”，但是网络个人信息包含了公民个人的民事权益。通过网络侵害他人个人信息的行为是侵害他人民事权益的行为，受到《侵权责任法》保护。该条的规定为网民个人信息的一般侵权行为提供了民法上的保护。

2.行政法规、规章中有关网民身份信息的规定

《电信条例》第58条规定：“任何组织或者个人不得利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动。”

《互联网电子公告服务管理规定》第12条规定：“电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意不得向他人泄露，但法律另有规定的除外。”

《互联网电子邮件管理办法》第9条规定：“互联网电子邮件服务提供者对用户的个人注册信息和互联网电子邮件地址，负有保密的义务。”

这些行政法规和规章有一个共同的特点，那就是规定笼统，没有规定具体的侵权责任等，缺乏可操作性，不能对网络个人信息的有关安全问题提供有效的保护。

3.地方性法规、规章中有关网民身份信息的规定

《广东省电子交易条例》第18条规定的认证机构的职责之一：“保护数字证书单位用户的商业秘密和个人用户的隐私等非公开信息”。

《北京市未成年人保护条例》第49条规定：“任何组织和个人未经未成年人的监护人同意，不得在互联网上收集、使用、公布未成年人的个人信息。”

《广东省计算机信息系统安全保护管理规定》第11条之第二款、第三款规定：“任何单位和个人不得利用计算机信息系统从事下列行为：……（二）侵犯他人隐私，窃取他人账号，假冒名义发送信息，或者向他人发送垃圾信息；（三）以营利或者非正常使用为目的，未经允许向第三方公开他人电子邮箱地址。”

可以看出，现有的法律条文对网络个人信息的保护规定大多是原则性的，缺乏体系性，很难对网络个人信息进行全面有效的保护。在云计算逐渐普及的今天，对网络个人信息的侵害会更加频繁，方式也会更加多样。云计算环境下的网民身份信息安全的立法保护急需加强，可以借鉴现有的对网络个人信息安全的立法经验。

（三）我国对网民身份信息安全法律保障的不足

通过国内外对网民身份信息安全的法律保障现状的对比，可以看出我国在网民身份信息安全的法律保障方面存在以下不足：

第一，大部分为概括性、笼统性规定。这就使得我国的相关法律规范缺乏可操作性，形同虚设，不能发挥法律规范应有的规范人们行为的作用。

第二，无体系性。我国的相关法律规范散见于各种法律、行政法规和规章，以及地方性法规和规章中，没有形成完整的体系，造成在法律规范的适用上不方便。

第三，法律位阶低下。我国的相关法律规范大多散见于行政法规和规章，以及地方性法规和规章中，这两大类法律规范的强制性都低于法律和宪法。当侵害网民身份信息的行为发生时，不能对其进行有力的惩处，不能收到防止其再犯的效果。同时，还可能导致法律适用上的冲突。

三、完善我国法律保障制度的建议

（一）制定统一的云计算技术标准

自云计算出现以来，国内外就有很多组织致力于对云计算相关标准的研究和制定，但至今都没有取得比较统一的成果。有鉴于此，我国应该借鉴国外一些成熟的技术标准，制定出一套符合我国实际的统一的云计算技术标准，有利于解决不同云计算服务之间的互联互通问题，保障云计算产业的健康发展。同时，这些技术标准必须与法律对接，如果没有与法律上的相应规定对接，那么，这些技术标准的作用和意义就不大。

（二）加强网民身份信息安全立法

我国至今还没有一部专门针对网民身份信息安全的立法。2013年2月1日实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》也只是属于国家标准的“指导性技术文件”，并不属于立法，没有法律的强制性。自2008年《个人信息保护法》草案提交国务院后，至今也没有正式出台。该草案规定了拥有个人信息的企业与团体应承担的法律责任，除犯罪、税收记录及媒体调查外，禁止任何团体在未经个人同意的前提下，将个人信息泄露给第三方［6］。该法应该对云计算环境下的个人信息进行完善，在相应的章节规定云计算服务提供商对所保管的网民身份信息的义务、违反义务应承担的责任，其他主体通过攻击“云”对网民身份信息的侵害以及利用网民身份信息对公民的人生、财产造成的危害应承担的责任。

（三）完善现有的相关法律制度

我国现有的有关网民身份信息的法律条文主要有三个特点：原则性、无体系性和位阶低。在原则性方面，我国应该在已经确立的各种原则性规定的指导下制定更多具体的更具操作性的条文；在无体系性方面，我国应该加强现有相关法律条文的体系建设，完善保护网民身份信息安全立法的体系性既有利于法律的适用，也能够避免法律适用上的冲突；在位阶低方面，我国现有的相关法律条文主要存在于行政法规和地方性法规中，法律位阶的低下决定了其条文的强制性不能够有效保障网民的身份信息安全。应该在《宪法》中完善对个人信息保护的规定，体现宪法对网络个人信息的保护；将国务院及其部门、地方各级政府及其部门制定的法规、规章中比较合理的规定上升为全国人大及其常委会制定的法律。同时，还应从云计算的现实环境来完善相关法律制度，使相关法律制度跟上科技和时代发展的步伐，弥补这三个特点的缺陷，从而使云计算环境下的网民身份信息安全得到更加全面有效的法律保护。

（四）借鉴国外的相关立法经验

不论是互联网还是云计算在我国起步都比较晚，相关的立法研究也较国外一些发达国家晚，在云计算方面的立法也是如此。“它山之石，可以攻玉”我国在通过立法的方式对这个问题进行规范时，应该借鉴国外一些比较成熟的相关立法经验。笔者认为，我国应该采用类似欧盟和日本的统一立法模式，这样才有利于法律的适用。在统一立法模式的大背景下，由于网民身份信息主要涉及网民的隐私问题，因此可以借鉴美国侧重于保护隐私权的立法模式。同时，要结合我国的国情，只有这样的立法才不仅具有先进性，而且具有现实可操作性。

[1]张慧，邢培振.云计算环境下信息安全分析[J].计算机技术与发展，2011（12）.

[2]白鹤.网络个人信息保护的法律问题研究[D].北京：中央民族大学，2011.

[3]张宁.电子商务中消费者个人数据的法律保护[D].河南大学，2012.

[4]齐爱民.中国信息立法研究[M].武汉大学出版社，2009：58.

[5]谢青.日本的个人信息保护法制及启示[J].政治与法律，2006（6）.

[6]《个人信息保护法草案》已呈交国务院 [EB/OL].人民网，2008-09-08.