焦晓菲
(华北科技学院,北京 东燕郊 101601)
可大可小、飘来飘去的“云”是指存在于互联网上的服务器集群上的软、硬件资源的集合。云计算是指服务商通过分布式计算、并行计算、网格计算等技术组建超级数据中心等网络服务器集群,以无偿或付费租用方式向用户提供数据存储、分析以及科学计算,甚至在线软件服务、硬件租借等方面的服务。
从法律的角度看,“云计算”服务提供商和“云计算”的使用者是一种典型的信息服务关系。析清其财产关系和服务内容有助于界定出这种特别的信息服务关系的特征。第一,用户在不拥有硬件设备和软件的所有权的情况下,反而拥有对这些设备软件的使用权。第二,用户在使用“云服务”过程中衍生、存储的信息数据也顺延保存于“云服务”提供商的服务器,通过此环节,用户即这些数据的所有者等于把数据的实际控制权让渡于“云服务”提供商。这是分析云计算问题的逻辑基础。
信息安全宏观上关乎国家安全,微观上关乎企业商业秘密和个人隐私。云计算作为一种远程信息服务本质上是信息技术、网络技术的应用。技术的不断升级使各种信息通过数字化的网络传输畅通无阻,但也导致人们所担心的深层的信息安全、网络安全问题日趋复杂化。
第一,法律上的证据效力问题,即置放于云服务器集群中的电子数据记录是否可以作为原始的、有效的诉讼证据,用来在法庭上向法官证明或还原过去曾经发生的事实,如合同订立的意思表示、合同修改的意思表示等 。
第二,隐私权问题。云计算对个人隐私侵权的风险也客观存在。云计算给用户提供的个性化服务失控时也会成为伤害用户的利器。云服务在给终端用户带来某些便利,也带来了隐私随时可能泄露的风险。所谓云服务提供商的个性化服务,常常是通过对用户的需求信息和服务信息的统计分析来获知用户的业余爱好、专业领域、特殊习惯、服务需求等个人隐私资料。万一云服务提供商或其个别无良工作人员有意无意地泄露了这些个人信息,用户的隐私权便将无保。
在云服务提供商掌握着云服务数据的实际控制权的情况下,如何确保用户对数据的支配权是云服务用户关注的焦点。数据的完整性问题在数据存储、数据隔离,还是在数据恢复、数据分析等环节始终存在。在信息传输过程中数据可能会被截取、被遗失等,存储的电子信息也可能被删除、被混淆、被攻击、被破坏、被盗用。若服务提供商可以随意处置用户数据,那么用户数据的安全岌岌可危。所以,云服务商只有全面保证用户自主处分数据的权力,才能体现用户对数据的绝对支配权,例如保证用户增加、复制、变更、删除数据的物理处分权力,保证用户转让、出售数据的法律上的处分权,保证用户云服务终止时完整地取回数据的权力,保证在云服务终止时,云服务商不再保留任何备份数据的权利。若云服务提供商无法践行这些,就难以扫除用户对云计算服务的安全顾虑,甘心将用户的核心数据坦然交给云服务提供商。
统一安全技术标准的空白是限制云计算发展的瓶颈。云计算开启了信息化生活的新时代,但很多国内外云计算中心对云计算的市场需求、云计算研发及服务的定位,或是对未来云计算的发展前景诸问题的研究和分析尚在探讨过程中。云计算的研发机构或企业对于云计算商业服务的评价领域、技术标准方面,尚未达成可行的共同认可的统一标准,仍处于各自为政的初级阶段,甚至在信息安全标准密码算法和协议等基本问题仍未尘埃落定,这直接加大了全球云服务商的技术兼容的难度,激化了云计算的安全风险。
云计算服务的商业模式使用户不必再购买软、硬件,即可凭授权或凭付费使用软件,软件版权人与用户之间仅是单纯的有期限的服务合同关系。这种转变使计算服务提供商、软件开发者减少了因传统的出卖软件、复制软件、移交软件带来的软件被侵权的风险,对软件版权保护是非常有利的。但其他知识产权问题仍然需要我们注意,例如,用户与云服务商的服务关系是否包括软件著作权人的许可? 如果云服务构成侵权,云服务用户是否要承担连带侵权责任?
若经营性用户把涉及商业秘密的数据提交云端的话,还涉及商业秘密的认定标准问题。权利人对特定具有商业价值的信息采取保密措施是认定商业秘密的前提条件,那么在云计算下,若企业技术信息与经营信息存储于云端,云端的安全措施是否也可以视为用户为保护商业秘密主动采取的安全措施?如果云端的商业秘密被依法向政府有关部门提交,是否丧失秘密性?诸多问题都尚待法律明确规定。
采用云计算,数据通过互联网进行存储和交付,用户数据有可能存放在世界各地任何角落的数据中心里,并进行跨越国界的即时全球性共享、传送,数据的拥有者不能控制,甚至不知道数据的存储位置。即使云计算服务提供商是本国企业,其使用的数据中心也有可能在国外。一旦发生纠纷涉诉,存放在他国的数据有不得不受存储服务器所在国法院管辖,并适用该国法律进行审判,因为很多国家法律把网络服务器、计算机终端等设备所在地作为侵权管辖的依据和法律适用的连接点。这样就意味着在发生事故之后,受损失的用户只能被自己事前一无所知的外国法院管辖,依据外国法律确定侵权的构成、侵权的程度、侵权的赔偿标准,而不能适用本国的法律,这对保密性要求很高的数据用户是不可接受的。在云计算侵权或犯罪案件中,如果云服务用户(数据资产所有者)、云计算应用使用者(数据消费者)、云服务运营商、应用系统、数据存储地点、入侵者分别来自不同的国家,数据甚至存储在多个国家,将会产生更为繁杂交错的司法管辖权和法律适用问题,这都是云计算带来的新课题。
云计算技术的飞跃常常蕴含着新的经济增长点,所以尽管云计算蕴藏着不断拉高的复杂的风险,仍难以阻挡我们对于防范云计算风险的努力的脚步。云计算信息安全风险不仅是个技术问题,而且受到法律制度等多种社会因素的影响。这也意味着云计算信息安全风险问题,不仅要从技术完善的角度寻找解决途径,而且需要采取有效防范社会风险的法律措施。可见,积极构建我国云计算信息安全风险防范法制非常迫切。
电子证据规则的缺失是云计算最主要的法律障碍。1996年12月16日通过的《联合国国际贸易法委员会电子商务示范法》对电子商务中货物运输中的电子运输合同、运输单据、电子提单的效力和证据效力等基本法律问题作了明确规定,明确了电子信息的原始性、完整性、可靠性的认定标准,并规定了在任何法律诉讼中数据电文作为证据的可接受性和证据力。《电子商务示范法》规定在任何方面均不得仅以数据电文的形式之理由否定一项数据电文作为证据的可接受性、有效性、可执行性,并规定在评估一项数据电文的证据力时,应考虑到生成、储存或传递该数据电文的办法的可靠性,保持信息完整性的办法的可靠性,用以鉴别电子数据发端人的办法,以及任何其他相关因素。《电子商务示范法》的上述规定体现了“功能等同原则”的精髓。我国的有关云计算立法应吸收《电子商务示范法》中确立的“功能等同原则”,来确定云记录在诉讼法上的证据效力问题。在云计算服务的复杂运行过程中,数据可能被多次复制、存储、编辑和处理,导致其完整性、真实性、客观性的判断变得凿实困难。只有严格按照“功能等同原则|”存储、传送、复制的云信息才可以作为有效的诉讼证据使用。有了明确的国际、国内立法,才能规范云服务提供商和用户安全地使用云服务。
云计算的功能等同原则的贯彻需要技术中立原则来支持一系列云计算的数据存储、传输和复制技术标准和流程,以保证云计算的安全性和协同性,攻克云服务之间的相互联通问题。如果每个国内外服务提供商都遵循统一的国际技术标准、安全标准,云服务之间畅通无阻,云计算用户就不必受限于某个云服务商的企业标准,从而减少因服务提供商分别采用不同标准给用户造成的安全风险。可见,组织技术、商业、法律专家尽快制定云计算的国家标准很有必要,条件成熟时,通过国际知识产权组织制定相关普遍性的相关国际条约也应提上日程。
反映人类活动信息的电子数据上实际上存在着人们各种各样的权利,如隐私权、著作权、商业秘密权、自由选择权。在云服务提供商掌握着对用户的数据的实际控制权,并暗藏强烈的谋取商业利益冲动的情况下,如何确保用户对数据权利的行使和实现?云计算用户的各项权利中,知情权是关键之关键。若云服务用户的知情权没有保障,隐私权、自由选择权等其他权利就是空中楼阁。保证用户知情权的义务的核心就是要求云计算服务商向终端用户全面、真实、客观、及时地告知、解释与云计算服务密切相关的信息,尤其是云计算的安全信息、隐私保护信息和兼容性信息,便于处于弱势地位的终端用户正确选择适合自己的云计算服务商及云计算服务模式。惟有如此,才能实现对云计算服务商对用户数据的控制权的约束,实现云计算终端用户对于云计算服务的有效监督,才能保证云计算服务不会偏离理性发展轨道。建议我国电子信息产业主管部门出台相关行政管理条例,督促云计算服务商履行告知义务,并规定严格的罚则,对侵犯用户知情权的云服务商进行行政处罚,并要求其承担相应的侵权责任。另外云计算行业组织出台示范性云服务合同,强制嵌入云服务商的告知义务条款等,也有利于保障终端用户知情权的实现。
对云计算产业的发展前景的崇高期望,使云计算服务商、云计算行业组织、政府、以至云计算终端用户等众多社会主体都想分享云计算的利益盛宴。加强云计算产业的法律监管必须首先厘清各方利益主体的权利义务关系。政府的行政监管、云计算行业组织的自律监管、云服务商的自我监督、终端用户的外部监管是否有效,关键在于必须明确云计算服务商的法律责任。任何信息服务均存在风险。除了自然灾害等不可抗力引外,云计算信息技术本身可能存在的问题也可能导致数据传输中断、数据遗失等,那么由谁承担责任?云服务提供商的赔偿额度或责任范围当然应该以民法的过错责任原则来确定。建议出台有关法规,针对云计算可能出现的风险,从保护云用户数据权利出发,建立云服务商的一揽子风险责任制度,云服务商也可与实际数据传输人、数据存储人、数据加工人、数据利用人建立更具体的过错责任制度,对数据的丢失、删改、非法使用或传播等违约行为,合同云服务商可以根据实际过错比例和程度来进行责任追偿,并规定严苛的罚则,才有可能使用户扫除接受云服务的顾虑。另外,借鉴某些国家做法,建立我国计算机网络的商业保险制度来进行风险预防和恢复也是非常可行的。
关于云计算,现行专门的立法还存在众多盲点,目前云计算风险问题常常由云计算服务供应商利用自己的优势地位以格式合同的形式对相关风险进行规避性约定。处于弱势地位的用户对这种格式合同难以行使选择权、修改权、拒绝权。尽管法院可以在事后对云计算格式合同进行纠正,但是相比较而言,诉讼纠纷前的事前政府干预更为理性。建议政府或行业协会出具标准化、指导性的云服务合同示范文本供服务提供商采用,或者对云服务合同作出规范,尤其要规范好云服务商的服务标准、质量、数量和水平,用户得到哪些基本服务内容、拥有哪些基本权利。由于当前云计算产业尚处于发展阶段,在强调政府监管格式合同的同时,还应提倡云计算行业协会对云计算服务商格式合同的自律监管,从多方面来推进我国云计算产业监管制度的构建和完善。
协调云计算民事纠纷的司法管辖权、防范云计算犯罪问题已不可能由任何一个国家单独来完成,必须在有关国际组织的协调下,在达成国际公约、双边条约的基础上,通过各国在司法领域的交流与合作才能解决。在协调云计算民事纠纷的管辖权方面,除了数据所在地的国际私法连接点外,建议以最密切联系原则,允许法官或当事人以最密切联系原则,选择更为灵活、更有利于个案公平、正义价值实现的连接点,来慎重解决云计算纠纷的司法管辖和法律适用问题,实现司法资源的最合理投入与配置。在跨国云计算犯罪问题上,也应鼓励各国在平等、自愿的基础上签订国际公约,将国际社会公认的极其严重的危害全球云计算安全的犯罪视为各国共同防范和打击的对象,为云计算产业的发展创造更有利的国际环境。
云计算模式的出现给互联网时代人们的生活和工作带来了巨大便捷,也带来了信息安全、数据权利、知识产权等相关问题。只有理性权衡云计算技术风险,明确云计算数据的证据规则、保障用户知情权、明确云服务商的过错责任制度,从法律责任、技术、国际合作等多层面采取积极的预防和规范措施来解决云计算的安全问题,才能确保云计算产业的健康、可持续发展。
[1] 韩金华.云计算综述[J]. 企业技术开发,2010,29(8):13-14.
[2] 刘汝元.基于云计算的电子商务安全问题研究[J].中国商贸,2012,(2):114-115.
[3] 张楚.网络法学[M].北京:高等教育出版社,2003.
[4] 汪涌,史学清.网络侵权案例研究[M].北京:中国民主法制出版社,2009.
[5] 于雪峰.网络侵权法律应用指南[M]. 北京:法律出版社,2010.
[6] 张新宝.互联网上的侵权问题研究[M]. 北京:中国人民大学出版社,2003.
[7] 王利明,杨立新.中国侵权行为法[M]. 北京:法律出版社,1996.