张苗
云服务允许用户将所需的数据信息和软件等存储在网络空间,以便在任何时间、地点都可以使用不同的信息技术设备进行访问,实现数据存取、运算等目的。在这个随时需要存储、调用和处理海量信息的时代,云服务提供了极大的便利,与此同时,安全问题随之而来。
云服务商向用户提供运行在云计算基础设施之上的应用软件。用户无须购买、开发软件,可利用不同设备上的客户端或程序接口,通过网络访问和使用云服务商提供的应用软件,比如协同办公系统等。要享受这样便捷的服务,首先要实现信息“上云”。对于个人用户来说,可能涉及隐私信息。
笔者做了一个试验:将一张图片分别上传到某平台的空间相册和网盘。几天后,相册里的图片竟然消失了,且没有给予笔者任何信息提示,而网盘中的图片依旧完好。对此,笔者不禁疑惑,信息“上云”后发生了什么?
信息“上云”的安全可分为两部分:一是数据传输过程中的安全,二是数据存储在“云端”的安全。由于个人在数据传输过程中受到安全威胁的可能性较小,故不多探讨。个人数据存储在“云端”后的安全问题,例如会不会被监视、遭到泄露,数据丢失了如何维权,等等,让很多人感到困扰。
这样的例子可以说比比皆是:青年A担心,如果有一天与网恋多年的女友的聊天记录消失了该怎么办;企业老板B忧虑,云存储的客户信息是否需要纸质版备份;社区老人C担心,每天通过手机上传“云端”的心跳、血压记录如果丢失了,该怎么调整用药;文艺青年D在地铁通道中写了一首新歌,用手机上传到“云端”,第二天当他准备修改新歌的时候,发现音乐文件不见了;全职妈妈E发现,“云记录”中自己给宝宝喂奶的规划方案找不到了;专车驾驶员F一周的驾驶记录丢失了,不知该如何统计收入……
现如今,太多的人离不开云服务。“云”的价值之一是数据在线,而“云”受到质疑的一个重要方面,就是数据信息的安全性存在问题。
人民数据管理有限公司副总经理、总编辑刘畅表示,“数据作为数字时代的生产要素,是重要的资源,事关国家安全和经济社会发展稳定等重大问题”。除了个人用户,众多企业用户对于“云端”安全的要求也很高。
数字化时代,企业争相“上云”,产生了一些安全问题。首先要关注的是云服务企业本身的安全。
互联网企业经常面临安全威胁,云服务企业也不例外,主要涉及非法获取企业数据、控制企业计算机信息系统等多种形式。近年来,此类事件呈不断上升趋势,原因是网络攻击行为的隐蔽性和低成本化。以DDoS攻击(黑客远程控制服务器或计算机等资源,对目标发出高频服务请求,使目标服务器因来不及处理海量请求而瘫痪)为例,攻击成本仅为500元/次,且可以随机发动,难以追溯和防范。
数据是“数字时代的石油”,也是互联网企业争相追逐的对象。实践中,企业通过合法渠道获取数据的成本较高。有企业为了降低成本,快速获取数据,就利用非法技术手段侵入云服务企业的数据库,直接截留系统传输的数据,或者以非法收购数据等方式实现企业业绩短期内的快速增长。
我们可以通过案例了解云服务企业面临的安全威胁。
2017年初,姚某某等人受王某某雇佣,招募多名网络技术人员,在境外成立“暗夜小组”黑客组织。“暗夜小组”从丁某某等3人处购买了大量服务器资源,再利用木马软件操纵控制端服务器实施DDoS攻击。2017年2月至3月间,“暗夜小组”三次利用14台控制端服务器,对某互联网公司云服务器上运营的三家游戏公司的客户端IP进行DDoS攻击。攻击导致三家游戏公司的IP被封堵,出现游戏无法登录、用户频繁掉线、游戏无法正常运行等问题。为恢复服务器的正常运行,某互联网公司组织人员对服务器进行了抢修,为此支付4万余元。
该案在2018年4月开庭审理,同年6月8日经广东省深圳市南山区人民法院判决。被告人姚某某等11人违反国家规定,使用DDoS攻击对计算机信息系统功能进行干扰,造成计算机信息系统不能正常运行,后果严重,其行为构成破坏计算机信息系统罪。该案作为最高检发布的第十八批指导性案例之一,也是最高检推行指导性案例制度以来,首个涉及云服务的网络犯罪案件。
当前,网络空间高速发展让众多企业享受着在数据海洋中冲浪的乐趣。但是,作为云服务的用户,一旦遭遇云数据泄露,如何追究侵权责任就成了大问题。
通过下面这则案例,可以了解云服务商侵权责任认定的难度。
北京乐动卓越科技有限公司(以下简称“乐动卓越公司”)是游戏《我叫MT online》的著作权人。2015年8月,乐动卓越公司接到玩家投诉称,网址为“www.callmt.com”的网站提供《我叫MT畅爽版》的下载及游戏充值服务。乐动卓越公司经比对发现,该款游戏涉嫌非法复制己方游戏的数据包。公司利用技术手段发现,该款游戏内容存储于由阿里云计算有限公司(下称“阿里云公司”)作为云服务器租赁服务商提供的阿里云服务器上,并通过该服务器向客户端提供游戏服务。乐动卓越公司两次致函阿里云公司,要求其删除涉嫌侵权的内容,并提供服务器租用人的具体信息。但阿里云公司仅对前述通知进行了“转通知”,而没有采取其他措施。乐动卓越公司认为,阿里云公司未及时删除侵权游戏,致其损失扩大,构成侵权。
本案二审法院最终没有支持乐动卓越公司对阿里云公司的诉讼请求。法院认为,根据特别法优于一般法的原则,涉及网络著作权侵权,应优先适用《信息网络传播权保护条例》,而非《侵权责任法》。
《信息网络传播权保护条例》(以下简称《条例》)中的网络服务提供商,为自动接入或自动传输服务提供商(第20条),自动缓存服务提供商(第21条),信息存储空间服务提供商(第22条),搜索或链接服务提供商(第23条)。《侵权责任法》规定的网络服务提供者,除《条例》规定的以外,还包括其他网络技术服务提供者。
信息“上云”成为人们日常工作和生活的一部分
《条例》规定的“通知—删除”规则仅适用信息存储空间服務提供商和搜索链接服务提供商。而自动接入或自动传输服务提供商、自动缓存服务提供商不受该规则约束,只要符合《条例》规定的条件即可免除赔偿责任。《侵权责任法》第36条规定的“通知加采取必要措施”规则,则可能既适用于信息存储空间、搜索或链接服务提供者,也适用于其他网络技术服务提供者。
《条例》中受“通知—删除”规则约束的网络服务提供者,在接到通知后应采取删除、断开链接的措施。根据《侵权责任法》的规定,网络服务提供者所应采取的措施除了删除、断开链接外,还包括屏蔽等必要措施。
另外,法院认为乐动卓越公司的三次通知,均无法构成法定合格有效的通知,同时法律也并未规定网络服务提供者在收到不合格、不清楚、不完整的通知后,应承担联系、核实、调查等责任。
如果网络服务提供者收到了通知,则其应当依法采取“必要措施”。但该“必要措施”同时应当遵循审慎、合理的原则,根据所侵害权利的性质、侵权的具体情形和网络服务提供者的技术条件、能力等综合确定,实现权利保护、行业发展与网络用户利益的平衡。
在该案中,根据云服务器租赁服务的性质,将“删除、屏蔽或者断开链接”作为云服务器租赁服务提供商应采取的必要措施和免责事由,与行业实际情况不符。