歐洲云計算的法律迷宮

陳蕓蕓

云計算已成為當前全球性的發展趨勢，但它卻讓管理者感到頭疼，因為他們發現自己將處于不利地位。

歐洲云計算發展里程碑

◎2009年11月20日，歐洲網絡和信息安全委員會（ENISA）發布報告，指出了云計算技術的安全威脅及益處。

◎2010年1月26日，歐盟委員會規劃了歐洲未來云計算研究的發展方向。

◎2010年5月19日，歐盟委員會在《歐洲數字議程》中建議制定和發展云計算的歐洲戰略。

◎2010年12月，歐盟委員會開展了一項名為“關于云技術中的安全和隱私監管挑戰的調查”。

◎2010年12月，歐盟委員會審議云計算的經濟影響。

◎2011年5月，歐盟委員會將與利益相關者商議后出臺關于云計算的相關規定。

◎2012，歐盟委員會有望出臺云計算的歐盟戰略。

政策總結

“云計算”指的是一系列以“云”的形式存在的基礎設施、軟件、數據或應用。這就意味著“云計算”使用的是非個人設備，且通過網絡存取。

2010年底，米蘭大學公布的調查結果預計云計算將在未來五年為歐洲創造150萬個新的就業崗位。

云技術的最大商業價值在于使用這項技術的服務刺激需求的同時降低了硬件成本和單位成本，從而產生規模效應。

對消費者來說，只要有連網的設備，就可查詢到大量的信息。

盡管企業和政府越來越青睞云計算，但歐洲的管理者卻格外謹慎，因為普及使用云系統可能意味著大量的公共和商業數據轉移到國外的服務器上。

盡管歐盟不懈努力，但保護存儲數據的相關法律還很落后，無法解決云計算中出現的法律問題，比如如何確定信息的歸屬權。

當一家企業在英國處理數據后，將這些數據存儲在愛爾蘭的一個服務器上，但通過法國（因為在法國有分公司）來發送，在這種情況下，哪個國家的法律適用于爭議的解決尚不明確。

當管理者發現這一問題后，便開始廣泛地征求行業和數據保護專家的意見，而該行業卻正忙著趕在相關法律框架出臺前開發和研究云計算。

2010年11月，歐盟數字議程委員會官員Neelie Kroes呼吁云計算供應商在其服務和產品中建立數據安全系統。在2011年達沃斯全球經濟論壇上，Kroes說歐盟正加緊速度出臺數據保護相關規定。

在2012年發布云計算戰略之前，今年歐盟委員會將繼續征求行業和數據保護專家的意見。

主要議題

(一)該相信誰？

云計算主要包含三方面內容：基礎設施（數據中心）、在線平臺（操作系統）和應用（基于網絡的電子郵件、辦公室應用程序和文件共享）。

這一行業主導的趨勢被譽為未來設施，地位等同于燃氣或電力。某些應用（如Google開發的在線辦公文件）甚至會威脅諸如微軟的Office軟件等行業巨頭。

但是，這一技術依賴于跨國數據儲存，也迫使企業和管理者要求各地出臺基本一致的數據保護和隱私法。

除了對各國法律差異的顧慮，倫敦的瑪麗皇后研究中心還得出另外兩大法律隱患，足以讓企業和政府三思：

一些云計算供應商拒絕提供數據所在地，欺詐用戶；

用戶可能不與供應商產生直接關系，因為供應商可能會把業務外包給一個或多個存儲或數據處理供應商。這就模糊了數據控制商和數據處理商的關系，讓人不禁想問：數據到底算誰的？

在近期的發言中，Kroes解釋說：每個歐洲公民或企業都應該明白兩點：云技術的供應商將會根據歐盟相關規定來保護他們的個人數據；擁有服務器的各國政府都有相應的數據保護和隱私規定。

歐盟第二十九條工作組的專家來自各國的數據保護機構，他們表示，歐盟應該采用服務起源國——也就是數據中心的所在國的法律。

微軟、亞馬遜和SAP 等云技術供應商都希望在貿易規則框架下或國際論壇上簽署相關國際協議，規范有關數據的法律機制。

(二)數據儲存在何處？

一些數據保護專家希望歐盟數據的服務器在歐盟境內，讓管理者和律師省事些。

美國政府規定對數據進行分級管理，低風險數據可存儲在海外的數據中心，但中高級風險數據必須儲存在美國境內。

然而，盡管很多人覺得商業數據的問題不值一提，但大家都知道呼叫中心。它們的數據儲存在印度的服務器里，沒法全部都移到歐盟來。

在歐盟，這一決定將留給各成員國。例如德國，當地政府要求將數據儲存在國內。當然，這些指導原則不會影響商業數據。

(三)修訂數據保護規定

歐盟委員會承認數據保護法令已經過時，目前，他們正在征求行業的意見，以便對該法律進行審議。

現有的法令制定了對數據控制商（擁有和處理數據）的指導原則。但是歐盟需要對很多術語重新定義，因為云技術允許數據的歸屬和處理分別由兩個相隔很遠的數據中心來承擔。

目前的數據保證法令要求數據儲存在歐洲經濟區或者擁有相同隱私法的地區。

2009年9月，歐盟委員會認定阿根廷、澳大利亞、加拿大、瑞士、法羅群島、格恩西島、曼恩島、澤西島和美國與歐盟的隱私保護法一致。

(四)金錢萬能

對云計算的熱情主要源于它能降低成本這一特點，企業和政府都紛紛表示要將IT系統轉為云技術。

到2014年，全球云計算市場的價值為400億歐元。作為一個以技術為主導的經濟體，愛爾蘭采納微軟的建議打造云計算港，這將創造2萬個新的工作崗位。根據Good Body咨詢公司最近的一項調查顯示：到2014年，愛爾蘭的云計算港將每年創收95億歐元，每年產生8600個就業崗位。

對云計算的濃厚興趣主要是經濟驅動力，企業可以大幅削減成本，因為云技術可以實現“現用現付”。

從技術層面上看，“現用現付”意味著小公司只需支付IT運營成本，其服務就可上市。有了云計算，公司運營更高效，產品進入市場更快，投資回報更高，而且更加低炭環保。這一切聽起來似乎美好得不太真實。

云計算同樣能節省政府的開支，但是由于其敏感性，公共行業無疑在利用云技術上異常謹慎。

一些國家（如德國）甚至出臺了規定禁止將公共數據業務外包。英國正忙于打造政府云（一項位于國內的政府云基礎設施項目，有望每年節約資金32億英鎊）。

盡管“云”的前景看好，但這一技術目前仍處于實驗階段。在歐盟，由于各國缺乏相應的規章制度，因此應用起來并沒有那么容易。

(五)數據安全和隱私

云計算被描述為把所有雞蛋放進同一個籃子。如果這個籃子壞了，所有雞蛋都會丟了嗎？如果個人數據、銀行賬戶信息、信用記錄、犯罪記錄和納稅證明都挪到了云上，然后丟了，怎么辦？

管理者必須對此作出快速應對，因為最新研究顯示：云所提供的服務并非最尖端的。

倫敦瑪麗皇后研究中心得出結論：“云”的商業合同中有時候會推卸責任，特別是對一些長期未使用的數據進行封存或刪除。這些合同有時候難以理解，因為通常它們長達60頁，通篇法律術語。但是很多用戶往往用“云”來儲存暫時不再使用但未來可能用到的數據。

盡管很多云工具都解決了主要的安全問題，但“云”在未來將分布很廣，需要出臺數據復制和分配方面的硬性規定。

消費者都很擔心自己不再是數據的“擁有者”，因為如果采用“云”儲存在別處，消費者就不是事實上的數據處理者。這也會造成數據存取的麻煩。

在最近的一項調查中，消費者的主要顧慮就是使用“云”的數據安全性，緊隨其后的是性能、隱私和價格。

歐盟的電子隱私法令于2009年進行了更新，其中增加了“數據泄漏通知”條款，要求通信服務供應商或網絡服務供應商在出現客戶個人信息泄漏時必須通知本人。

德國近年來數據泄漏頻發，因此修訂了數據保護規定，其力度遠超歐盟法令。

為了解決這些法律上的矛盾，云產業建議WTO出臺關于在線服務和軟件的全球性協議。