新西蘭的“云計算保護”

王喜文　王鈞

如果政府機構(gòu)率先使用云計算服務(wù)，就可以實際體驗跨境云計算服務(wù)，

規(guī)劃風(fēng)險管理，為建立支持云計算服務(wù)跨境化的法律制度環(huán)境打下基礎(chǔ)。為此，新西蘭政府提出“云計算保護”行動，提示用戶風(fēng)險管理的重要性。

制定風(fēng)險管理守則

2009年4月，新西蘭政府公布了《政府機構(gòu)風(fēng)險管理守則》，將“利用設(shè)置于海外的服務(wù)器處理政府信息”或“將政府信息存儲于海外數(shù)據(jù)中心”作為管理對象。這一面向政府機構(gòu)的風(fēng)險管理守則在以下幾方面有較深的含義，與針對個人信息保護的美國安全港規(guī)則、EU的《個人信息發(fā)送至第三國的標(biāo)準(zhǔn)守則》等同樣值得研究。

第一，從更廣泛的數(shù)據(jù)來源，匯集或分類使用跨境云計算服務(wù)，有可能存在致使政府信息泄露的風(fēng)險；

第二，并非一律禁止使用，而應(yīng)按照不同信息資產(chǎn)，進行風(fēng)險管理評價。對于潛在風(fēng)險與應(yīng)用所帶來的效果，用戶應(yīng)該綜合考慮，自己判斷是否使用跨境云計算服務(wù)；

第三，由于新西蘭法律與其他國家法律存在的差別，所以存在新西蘭國內(nèi)法律所保護的個人信息等有可能不被在他國境內(nèi)運營的云計算服務(wù)供應(yīng)商所保護的風(fēng)險。

新西蘭政府機構(gòu)風(fēng)險管理守則中規(guī)定使用跨境云計算服務(wù)時，政府機構(gòu)必須要考慮10大風(fēng)險（如下表）。

關(guān)于適用法令，新西蘭政府提出，在跨境化的云計算服務(wù)中保存政府信息或用海外數(shù)據(jù)中心的服務(wù)器處理政府信息等工作委托給海外企業(yè)時，應(yīng)該遵守個人信息保護法、信息公開法、財政法等三項相關(guān)法律。

除了上述法令之外，新西蘭政府要求制定行政服務(wù)的完整性、可持續(xù)性、政府機構(gòu)采購規(guī)則、政府網(wǎng)站外部委托規(guī)則、信息安全守則、ICT相關(guān)合同中的知識產(chǎn)權(quán)規(guī)則、個人信息保護守則等，并要求在政府機構(gòu)使用這些跨境云計算服務(wù)時遵守這些守則。

明確風(fēng)險管理要點

關(guān)于將政府信息保存于云計算服務(wù)或者通過云計算服務(wù)處理政府信息等方面，不管云計算服務(wù)提供商是否在國內(nèi)，都會存在潛在的風(fēng)險。但是，參照“政府機構(gòu)風(fēng)險管理守則”，尤其是從海外接受服務(wù)時，應(yīng)該特別考慮的風(fēng)險管理點有：國際形勢與國際關(guān)系之中的國家利益、法律風(fēng)險與爭議仲裁的國際機制、個人信息處理和時差、語言、地理距離、社會制度等差異所產(chǎn)生的風(fēng)險。

國際形勢與國際關(guān)系之中的國家利益

針對海外法律制度不成熟的地區(qū)或國家，充分考慮到最壞情形。針對這些地區(qū)或國家的具體情況，最高可作為“無法接受的風(fēng)險”(從新西蘭政府官方認(rèn)定的不友好國家采購服務(wù)有可能損害國家利益，所以被認(rèn)為是“無法接受的風(fēng)險”)，不與其建立任何云計算服務(wù)往來。某個地區(qū)或國家是否滿足條件，可以參考如下信息: 各國政府的公開性及透明度報告、新西蘭通信安全局的官方建議和新西蘭安全信息局的“外國硬件、軟件、服務(wù)相關(guān)的安全危險”建議。

同時，考慮到國家利益，影響國家間經(jīng)濟平衡的規(guī)模大、范圍廣的海外委托等不被認(rèn)可或不被社會接受。此外，長遠(yuǎn)來看，從國家利益出發(fā)，未來10多年，會導(dǎo)致新西蘭國內(nèi)的一些技術(shù)經(jīng)驗、服務(wù)經(jīng)驗逐漸失去，國家競爭力降低等類別的云計算服務(wù)，作為國家戰(zhàn)略也不允許海外委托。

法律風(fēng)險與爭議仲裁的國際機制

新西蘭國內(nèi)法律與其他國家法律之間，除了法律內(nèi)容不同之外，還存在法律解釋的差異。同時，法律制度性的穩(wěn)定性、法律服務(wù)的質(zhì)量對法律制度的運用構(gòu)成較大影響。這樣的條件下，法律本身、法律解釋發(fā)生差異、法律解釋不固定時，容易發(fā)生國際糾紛。另一方面，發(fā)生爭議時的國際調(diào)停與仲裁機制尚未成熟等問題也顯現(xiàn)出來。具體而言，從政府機構(gòu)的風(fēng)險管理角度來看，重點有3個：

第一，國內(nèi)政府很難要求某個海外服務(wù)商強制執(zhí)行合同。同時，如果與當(dāng)?shù)氐穆蓭熃簧妫€存在不得不長期支付巨額費用的風(fēng)險。

第二，新西蘭國內(nèi)規(guī)定的個人信息保護、安全性、服務(wù)可持續(xù)性等涉及他國法律相關(guān)要求時，從該國接受云計算服務(wù)之際，政府機構(gòu)的應(yīng)對也將變得困難。例如，美國的愛國者法，法律在一定條件下，賦予該國政府對用戶數(shù)據(jù)的無限制訪問權(quán)限等。

第三，在海外，由于云計算服務(wù)供應(yīng)商的倒閉，無法繼續(xù)使用服務(wù)時，索賠處理也很難。

因此，使用跨境云計算服務(wù)時的法律風(fēng)險存在各種無法控制的事項。為此，要非常慎重地選擇海外委托國家，合同條款盡可能考慮到風(fēng)險并使其遵照新西蘭的法律制度，慎重核對合同，確保不含有違反新西蘭財政法條款；要咨詢國內(nèi)與海外雙方面律師，要充分理解海外委托國家的訴訟過程、進度、費用和對策；要通過國際合作積極建立可解決爭議的調(diào)停或仲裁機制。

個人信息處理

個人信息保護領(lǐng)域目前正在推進建立國際性爭議解決機制，正在開展的行動有：新西蘭與澳大利亞間個人信息保護相關(guān)索賠調(diào)查的跨境合作的共識（締結(jié)諒解備忘錄）、參與APEC的數(shù)據(jù)保護探索者計劃、參與APPA的跨塔斯曼海協(xié)定計劃、與OECD之間的合作。

時差、語言、地理距離、社會制度等差異所產(chǎn)生的風(fēng)險

與跨境云計算服務(wù)提供商所在國之間的時差、語言差異、地理距離、社會成熟度差異等，對政府信息處理流程的管理與遵守會造成很大影響，必須要解決24小時持續(xù)提供服務(wù)的服務(wù)臺的響應(yīng)遲緩等降低運營質(zhì)量的問題。因為安全事件發(fā)生后響應(yīng)遲緩會帶來不夠好的第一時間應(yīng)對、不準(zhǔn)確的報告等，以及缺乏對正確情況的把握等問題。同時，因位于不同國家，受距離的影響，難以具備全局視野，管理會變得復(fù)雜，治理風(fēng)險變得更高，尤其是語言差異有助長這些問題的傾向，這一點需要充分注意。

智用云計算服務(wù)

新西蘭《政府機構(gòu)風(fēng)險管理守則》也表示，判斷政府機構(gòu)是否應(yīng)該使用海外云計算服務(wù)最終還要“基于綜合評估，積極應(yīng)用”。所以，該守則定位為各政府部門判斷應(yīng)用云計算服務(wù)的建議。國際形勢、最新技術(shù)、與他國相關(guān)法律制度之間的差異、各國通信基礎(chǔ)設(shè)施成熟度的差異、國內(nèi)外的經(jīng)濟摩擦等，這些都是超過一國政府可控制范疇的風(fēng)險因素，在應(yīng)用跨境云計算服務(wù)之際，涉及用戶權(quán)利與義務(wù)的最終還是用戶本身。因此，未來社會中，就要求用戶正確理解跨境云計算的潛在威脅與風(fēng)險，能夠明智地使用云計算服務(wù)。為此，政府部門至少需要制定云計算服務(wù)的示范合同條款、云計算服務(wù)使用守則等兩項綱領(lǐng)性文件。

只有使社會整體能夠正確進行風(fēng)險管理，持續(xù)提升意識，才能實現(xiàn)可保障公共安全的成熟的社會。同時，政府與公共機構(gòu)需要率先制定試點，帶動企業(yè)應(yīng)用。新西蘭跨境云計算服務(wù)的保護措施，作為一個前瞻性的法律法規(guī)管理范例，值得我國參考。

（第一作者單位：工業(yè)和信息化部國際經(jīng)濟技術(shù)合作中心）