國外關於雲計算的法律限制

工業和資訊化部電信研究院政策與經濟研究所 李海英　　今年4月，歐盟委員會副主席莉•克羅斯表示，雲計算對歐洲的發展至關重要，現在我們需要做一些工作，最首要的就是法律框架，「它顯然是國際層面的事情，包括資料保護和隱私保護， 包括管轄權的分配、法律責任和消費者保護等。 」　　雲計算從誕生之日起就伴隨著法律爭議，很多國家已經開始討論在法律上對其加以規範，適用原有的資料保護法、隱私法或者有針對性地制定相關法律。　　首先是跨境提供的問題。 雲計算與傳統的外包服務不同，其主要區別在於借助雲計算，資料通過互聯網進行存儲和交付，資料的擁有者不能控制，甚至不知道資料的存儲位置，資料的流動是全球性的，跨越了國界、穿越了不同的時區。 產生法律問題的關鍵是任何人很難知道資料在哪裡共用和傳送，資料跨境傳送、即時性地在全球傳播，而每個國家都擁有自己的法律以及管理要求，雲計算服務的提供者顯然無法做到與所涉及的所有國家的法律相符合， 因此對各國管轄權之下的法律義務帶來挑戰。　　歐盟1995年通過了《資料保護指令》(即歐洲議會和理事會1995年10月24日關於涉及個人資料處理的個人保護以及此類資料自由流動的95/46/EC指令)，通常稱為「一般指令」，對於雲計算，最主要的規定是， 在缺乏特定的承諾機制的情況下，歐盟禁止歐盟居民的個人資訊轉移出歐盟到美國和世界上大部分國家。 這對雲計算意味著什麼？ 如果你想將包含歐盟居民個人資訊的資料放到雲上(這些個人資訊可能是簡單如一個郵寄地址或雇用資訊)，將這些資料從歐盟傳送到世界上的幾乎任何地方，你不能簡單地將這些資料扔到雲上，而是需要至少符合以下條件之一：　　國際安全港認證( International Safe Harbor Certification)，允許資料從歐盟傳送到美國，但不包括到其他國家。　　格式合同，允許資料從歐盟傳送到非美國的其他國家，但是由於雲計算涉及多層次的供應商關係，格式合同並不總是有效；　　有約束力的公司規則(即根據歐盟資料保護法制定的跨國公司、國際組織跨境傳送個人資訊的規則)， 該規則專門針對跨國公司設計，因此對於雲服務提供者也不一定起作用。　　為了執行歐盟指令，每個成員國也制定了相應的法律。 如德國的資料保護法，規定無論雲計算服務提供者是否位於歐盟，使用雲計算的公司必須採取必要的措施保護個人資料的完整性和安全。 例如，公司必須與雲計算服務提供者簽訂合同，以符合資料保護法的相關條款，如果不遵守這些法律，將面臨罰款和民事訴訟。　　其次是資料保護和隱私權的問題。 雲服務與各國資料保護法、隱私法的關係是目前備受關注的話題。 在美國，涉及到愛國者法、薩班斯法以及保護各類敏感資訊的相關法律。 愛國者法案授權美國的執法者為反恐之目的，經法庭批准後，不經允許地接觸到任何人的個人記錄。 這意味著，如果你使用位於美國的伺服器，或位於美國的雲計算服務提供者，美國執法者為了反恐調查的目的，都可以通過取得一個法庭命令的方式，不經你的允許而檢查你的資料。 加拿大也有類似的規定，它的反恐法案(ATA)和國防法(National Defense Act，NDA)賦予國防部長檢查資料保存的權力。 美國愛國者法的第326章還要求所有的金融機構(包括信用卡公司)獲取、證明和記錄每一個帳戶中開戶、變更和付費人的資訊。 薩班斯法案(Sarbanes-Oxley)的頒佈也為資料保護提供了法律依據，適用薩班斯法案的企業在使用雲計算服務的時候必須確保他們的供應商符合薩班斯法案的要求。 此外，這一問題也適用不同部門如金融、健康等方面的法律，也涉及不同類型的敏感資訊，如兒童的資料。 美國的聯邦法律如金融服務法(Gramm-Leach-Bliley)，適用于金融機構的資料保護；健康保險便利及責任法案(HIPAA)，適用于健康服務提供者和其他與健康資訊相關的實體；兒童線上隱私保護法(COPPA)， 適用于收集小於13歲的兒童的資料，等等。　　第三，合同規範存在困難。 通常，服務提供者與客戶之間通過合同來規範各自的權利義務。 但是，在雲計算建立起標準和可信的程式之前，雲服務的消費者希望通過合同得到保護，是非常困難和不可能的事情。 靈活、便於使用的服務和易於共用的基礎設施是雲計算的優勢，但是雲計算使用方式會產生很多安全問題。 提供雲計算的公司在與客戶的合同中，不可能對安全問題做出合同上的承諾，因為他們無法控制，他們甚至不能告訴客戶這些資料位於什麼位置。 如果要求雲計算的服務商在合同中作出承諾，並且承擔額外的義務，這很可能會破壞雲計算的價格模式，使其優勢不在。　　雲計算所產生的這些法律問題，給世界各國都帶來了挑戰，在一些國家關於黑莓的限制被重新提起。 例如，法國規定政府不能使用黑莓手機，因為所有的郵件路由將通過美國，易被美國國土安全部看到。 在印度，為了阻止政府關於使用黑莓設備的禁令，RIM公司與政府合作，以解決國家安全和使用者隱私的問題。 雲計算的提供者們也在為此努力。 據紐約時報報導，惠普、微軟、Google和Oracle等都在尋找解決問題的辦法，例如，在惠普英國的實驗室中，研究者正在試圖將資料發送到雲計算中心之前進行加密，並在它離開雲之後再解密。 另外的解決辦法是，賦予個人對資料進行數位標籤的能力，以控制雲中每一部分的個人資訊。 這些公司也在遊說各國的立法者放鬆限制，以確保公司能夠在管制者確定的邊界內，發展雲計算。　　雲計算產生的法律問題是全球性的，未來除了各國在各自管轄權範圍內的法律規制外，也許在國際層面的立法努力將更為有助於雲計算的發展和安全保護。　　作者簡介：　　李海英：工業和資訊化部電信研究院政策與經濟研究所法制監管研究部副主任，主要研究範圍為電信立法、互聯網法律法規、WTO規則及電信市場開放。