基于服務協議的云服務提供商信息安全責任剖析*

黃國彬 鄭 琳（北京師范大學政府管理學院 北京 100875）

基于服務協議的云服務提供商信息安全責任剖析*

黃國彬 鄭 琳
（北京師范大學政府管理學院 北京 100875）

〔摘 要〕文章從隱私政策、免責聲明、協議終止、以及法律適用4個角度對15家主要云服務提供商服務協議中的信息安全責任進行了剖析，指出了現有云服務協議存在的主要問題，就用戶如何選用云服務給出了相應的建議，力圖使用戶在接受云服務時更為全面深入地知曉自身的信息安全風險。

〔關鍵詞〕云服務 服務協議 信息安全 責任認定

1 引言

云計算的出現給產業界和學術界帶來了一場全新的革命。云計算將許多服務器連接起來，充分實現了服務器所需要的龐大的計算能力[1]，這使得計算能力能夠作為商品流通，使人們能夠像使用水、電、煤氣和電話那樣使用網絡信息資源。[2]因此，越來越多的用戶開始關注、并且使用云服務。然而，由于用戶與云服務提供商所簽訂的服務協議是由云服務提供商單方面提供的，用戶可選擇的余地很小。因此，二者簽訂的服務協議從本質上來說是云服務提供商將自己的意志強加給用戶的結果。這就造成，在二者交易的過程中，云服務提供商逐漸成為掌握巨大資源與權力的一方。盡管二者在法律上處于平等地位，但是權力的天平已然向云服務提供商的方向傾斜，而服務協議則是這場權力較量當中最為重要的砝碼。

可見，云計算服務提供商的行為實質上是濫用了契約自由原則，進而單方面提出服務協議，導致服務協議上負擔及風險的不合理分配，使得服務協議成為經濟強者壓迫經濟弱者的工具，從而破壞了服務協議簽訂過程中應有的平等互惠原則。[3]如果是其他類型的服務，這種服務協議也許只會導致用戶權限的受損，給用戶使用服務帶來不便。但是鑒于云服務的特殊性——用戶將大量的信息資源與應用存儲或部署在云端，這些信息資源與應用，不僅擁有巨大的經濟價值，還可能擁有無可比擬的情感價值，一旦其信息安全受到侵害，將造成不可估量的損失。因此，云服務協議中有關信息安全的相關規定值得我們去費心思量。

鑒于此，文章試圖對現有云服務提供商的服務協議中有關信息安全的條款進行調研與分析，進而探知在用戶信息安全遭受侵害時，相關責任的歸屬問題。在此基礎上，指出現有云計算服務提供商服務協議中存在的不足和潛在信息安全責任風險，并給出相應的建議，以期為用戶選用并且判斷云服務提供有益的借鑒和參考。

2 云服務提供商服務協議的信息安全責任剖析

選擇15家云服務提供商的服務協議作為分析的對象，如表1所示。之所以選擇這15家云服務提供商，是由于這15家云服務提供商是當前用戶使用最多、影響力最大的云服務提供商，具有一定的代表性。

通過對上述15家云服務提供商的服務協議內容進行梳理和分析，將云服務協議中與信息安全有關的內容提取出來，具體分為以下幾個方面：隱私政策、免責聲明、協議終止、以及法律適用。

表1 15家主要云服務提供商及其云服務

2.1 隱私政策

云服務協議中的隱私政策意在使用戶明確，云服務提供商將從哪些方面收集用戶信息、收集有關用戶的哪些信息、如何收集、如何使用，以及如何保護這些信息。主要包括三個方面：信息收集、信息披露、以及信息刪除。

2.1.1 信息收集

信息收集包括用戶主動向服務提供商提交的信息以及服務提供商未經用戶同意自行收集的用戶信息兩種類型。前者主要指用戶注冊時提交的個人資料，后者則主要指云服務提供商通過Cookies、匿名標識符等技術手段對用戶的信息和行為進行跟蹤收集。

可見，在信息收集過程中，云服務提供商將掌握大量用戶的私密性信息。但是現有云服務協議中，針對這些信息安全受到侵害時的責任認定情況總體并不樂觀。主要分為兩種類型：①服務協議中沒有提及；②撇清云服務提供商的責任。前者如百度云的服務協議：“以上數據信息都采用匿名的方式。同時，我們也會對信息采取加密處理，保證信息的安全性”[4]，并沒有提及如果用戶信息遭受侵害，相關責任的歸屬問題。后者如阿里云的服務協議中：“該賬戶和密碼因任何原因受到潛在或現實危險時，您應該立即和阿里云取得聯系，在阿里云采取行動前，阿里云對此不負任何責任”[5]，明確表明一旦用戶信息遭受威脅，責任由用戶承擔。

2.1.2 信息提供

信息提供是指云服務提供商將收集到的用戶信息提供給第三方的行為。現有云服務協議對信息提供的相關規定十分明確，且大致相同：將依據法律的有效令來提供用戶的數據信息，或是有充分的理由保護己方和他人的利益。如RackSpace在服務協議中提到：“在以下情況，本公司會將用戶信息提供給第三方：執行法律規定、保護他人安全和權利、抑制欺詐和垃圾郵件等不良行為。”[6]盛大云在服務協議中提到：“未經用戶許可甲方不得向任何第三方公開或共享用戶注冊資料中的姓名、個人或單位有效證件/照號碼、聯系方式、住址等個人或單位身份信息，但下列情況除外：a）用戶或用戶監護人授權甲方披露的；b）有關法令要求甲方披露的；c）司法機關或行政機關基于法定程序要求甲方提供的；d）甲方為了維護自己合法權益而向用戶提起訴訟或者仲裁時；e）為維護社會公眾的利益。”[7]

可見，在某些情況下，云服務提供商還是會將用戶的信息提供給第三方。盡管其目的是出于遵守法律、維護公眾利益，看起來也似乎很有道理。但是仍侵犯了用戶的信息安全權益。《消費者權益保護法》第7條規定：消費者在購買、使用商品和接受服務時享有人身、財產安全不受損害的權利。云服務提供商將用戶信息提供給第三方，顯然與上述規定相違背，構成了對用戶信息安全的侵犯，由于有服務協議保駕護航，而無需承擔相應責任。

2.1.3 信息刪除

信息刪除是指云服務提供商會在特定情況下對用戶存儲在云端的信息進行刪除。現有云服務協議有關信息刪除的約定十分明確：如果用戶出現上傳非法信息，如反動、色情以及其他違反法律法規的、接觸會使人產生不快的、不適當的內容，或是用戶沒有按時交納費用等情況，云服務商將對其上傳信息予以刪除。如iCloud的服務協議中提到：“您確認，對于由他人提供的任何內容，蘋果公司在任何方面均不承擔任何責任，且沒有義務對該等內容預先進行審查。但是，蘋果公司始終保留確定內容是否適當并符合本協議的權利，并且，如果蘋果公司認定，內容違反本協議或在其他方面令人反感，則蘋果公司經自行決定隨時可以對內容進行預先審查、將內容移至他處、拒絕、修改和/或刪除內容，而無需事先發出通知。”[8]

但是現有云服務協議中卻沒有提及，一旦云服務提供商判斷錯誤，發生誤刪用戶信息的情況，應該如何界定責任歸屬。可見，現有云服務協議只賦予了云服務提供商刪除用戶信息的權利，卻沒有提及一旦誤刪的情況出現，云服務提供商應該擔負什么樣的責任。這會導致誤刪發生后，云服務提供商借口服務協議沒有相關規定而逃避責任，這對用戶來講是很不公平的。

綜上，可以看出，現有云服務協議的隱私政策并不能完全保證用戶的隱私不被泄露，且云服務提供商將收集、披露以及刪除用戶信息看作是一種合理行為，無需為此付出任何代價。

2.2 免責聲明

免責聲明意在使用戶明確，在什么樣的情況下，云服務提供商沒有履行服務協議有關規定卻無需承擔違約責任。現有云服務協議的免責聲明主要包含以下幾個方面：不可抗力、基礎設施、技術漏洞、以及升級維護。

2.2.1 不可抗力

現有云服務提供商提供的服務協議中規定，因不可抗力（如自然災害等）造成用戶存儲在云端的信息丟失，云服務提供商將不會對此負責。如華為云的服務協議中提到：“不可抗力是指本協議任何一方不能預見、不能避免且不可克服的事件，包括但不限于：自然災害、災難性氣候、火災等；戰爭或準戰爭狀態、敵對行動、恐怖活動、騷亂、罷工、行業糾紛等。”[9]

可見，一旦由于不可抗力的原因導致用戶存儲在云端的信息受到安全威脅，甚至是遭受損失，云服務提供商是不承擔任何責任的。那么此時，信息的損失、甚至是丟失的后果就只能由用戶單方承擔。

2.2.2 基礎設施

現有云服務提供商提供的服務協議中規定，由于基礎設施發生故障導致用戶信息的泄露和丟失等情況，云服務提供商無需承擔責任。如Microsoft的服務協議中提到：“Microsoft及各關聯公司、經銷商、分銷商和供應商不提供與您使用服務相關的任何明示或默示的保證、保障或條件。您已了解，您應自擔服務使用風險，并且我方將按“現狀”提供服務，服務‘可能存在各種缺陷’且只提供‘目前可用功能’。您承認計算機和電信系統可能會出現故障或偶爾會發生停機。我們不能保證服務無中斷、及時、安全或無錯誤，也不保證不會發生內容丟失情況。”[10]

可見，一旦由于基礎設施發生故障、停機、宕機等原因導致用戶信息安全遭受損失，云服務提供商無需對此承擔責任。而此時，信息的泄露、損毀、甚至丟失的后果只能由用戶獨自承擔。但是現實情況是，因自然災害、基礎設施更新不及時、通信系統故障等原因導致的停機、宕機現象是較為常見的，并且一旦發生，其影響范圍也更大。云計算服務提供商將其納入免責聲明，無疑增加了用戶的信息安全風險與責任。

2.2.3 技術漏洞

現有云服務提供商提供的服務協議中規定，由于技術漏洞、黑客攻擊等技術原因導致用戶信息安全遭受威脅甚至受到侵害時，云服務提供商無需為此承擔責任。如騰訊云的服務協議中提到：“盡管康盛對您的信息保護做了極大的努力，但是仍然不能保證在現有的安全技術措施下，您的信息絕對安全。您的信息可能會因為不可抗力或非康盛過錯造成泄漏、被竊取等，由此給您造成損失的，您同意康盛可以免責。”[11]

然而調查顯示，當前，只有35%的企業有能力在幾分鐘之內監測到數據的安全漏洞，22%的企業需要一天時間才能監測到，還有5%的企業需要一個星期的時間才能監測到。平均下來，每個企業監測到數據的安全風險需要花費10個小時的時間。[12]可見，當前的信息安全技術仍然存在較為嚴重的漏洞與滯后問題。云計算服務商將其納入免責聲明，不僅增加用戶的信息安全風險與責任，也使得在信息泄露發生的時候，云計算服務提供商由于可以憑借免責聲明而獨善其身，從而打消了云計算服務提供商積極更新信息安全技術的熱情與積極性。

2.2.4 升級維護

現有云服務提供商提供的服務協議中規定，由于云服務設備、平臺或是系統進行升級、維護、更新、檢修等原因導致的用戶信息丟失、損毀、或是泄露，云服務提供商將無需為此承擔責任。如百度云的服務協議中提到：“用戶理解，百度云服務需要定期或不定期地對提供網絡服務的平臺或相關的設備進行檢修或者維護，如因此類情況而造成收費網絡服務在合理時間內的中斷，百度云服務無需為此承擔任何責任，但百度云服務應盡可能事先進行通告。”[13]

可見，一旦由于云服務提供商進行設備的維護、升級所導致的用戶信息丟失、損毀、或是泄露，云計算服務商可以不承擔任何責任。此時，用戶只能獨自承擔相應的損失。

綜上，可以看出，現有云計算服務協議將可能導致用戶信息安全受到威脅，甚至損失的情況全部納入免責聲明。也就是說，絕大部分情況下，云服務提供商無需為用戶的信息安全承擔責任，更不會為此付出代價。由此可見，現有云服務協議在免責聲明方面的規定存在嚴重的不公平、責任分配不均衡的問題。

2.3 協議終止

協議終止意在使用戶明確，在什么樣的情況下，云服務提供商可以無條件地結束與用戶的協議，即結束向用戶提供相應的云服務。現有云服務協議大多規定，在用戶拖欠費用、或是用戶出現云服務協議事先明確告知的應被終止服務的禁止性行為的情況下，云服務提供商可以無條件結束向用戶提供服務，甚至不返還剩余款項。如Joyent的服務協議中提到：“如果用戶出現拖欠費用的情況，我們有權終止對用戶的云服務。”[14]相比之下，Amazon的態度則更加“霸道”，沒有說明何種情況下會終止服務，僅提到“有權拒絕向用戶繼續提供云服務，并相應地刪除和編輯用戶存儲在云上的信息資源”[15]。可見，現有云服務協議對云服務提供商能否單方面結束合作給予了很大的權力，而用戶只能被動承受。那么，由此就會引發一個非常重要的問題：云服務提供商單方面結束合作并就用戶存儲在云上的信息進行刪除，用戶如果來不及對數據進行備份，那么數據丟失的責任誰來承擔？

針對這一問題，現有云服務提供商的服務協議規定，由于云服務提供商停止服務造成的用戶信息丟失，云服務提供商將不會就此承擔責任。如Salesforce的服務協議中提到：“在服務終止生效的30天內，我們將為用戶提供存儲于云端的數據的下載與備份。30天后，我們沒有義務再維護或提供您的數據，并將刪除或銷毀您存儲在我們系統中的所有副本以及文檔、數據。”[16]華為的服務協議中提到：“你方應自行備份云服務產品中的你方內容。在本協議終止后，本公司有權清除云服務產品上的你方內容。因你方怠于備份數據造成信息丟失的，本公司不承擔任何責任。”[17]

綜上可知，當云服務提供商決意停止向用戶提供相應的云服務時，通常有兩種做法：通知用戶在一定的期限內進行備份后對用戶的信息進行刪除，以及不通知用戶直接對信息進行刪除。無論哪種情況，云服務提供商都無需為用戶信息的丟失負責。那么，一旦云服務提供商對用戶存儲在云上的信息進行刪除，而用戶沒有來得及對信息進行備份或下載導致的信息丟失，只能由用戶單方買單。

2.4 法律適用

法律適用意在使用戶明確，在具體的法律事實出現后，應將其歸入哪個相應的抽象法律事實，然后根據該法律規范關于抽象法律關系之規定，形成具體的法律關系和法律秩序。[18]

現有云服務協議通常規定云服務提供商受主要營業所在地的法律的管轄。如iCloud的服務協議中提到：“除了下一段中明確規定的以外，本協議及您與蘋果公司的關系將受加利福尼亞州法律管轄，但不包括其沖突法規范。您和蘋果公司同意服從加州圣塔克拉拉郡（Santa Clara）法院的屬人和專屬司法管轄，由其解決因本協議而產生的爭議或索賠。如果a）您不是美國公民；b）您并非在美國居住；c）您并非從美國獲得本服務；及d）您是以下國家的公民，您在此同意因本協議引起的任何爭議或索賠將由以下適用法律管轄（但其沖突法規范除外），而且您在此不可撤銷地服從以下州、省或國家的法院的非專屬司法管轄：如果您是任何歐盟國家或瑞士、挪威或冰島的公民，即以您通常居住地的法律和法院為管轄法律及法院。”[19]阿里云的服務協議中提到：“本服務條款之效力、解釋、變更、執行與爭議解決均適用中華人民共和國法律。因本服務條款產生之爭議，均應依照中華人民共和國法律予以處理，并提交浙江省杭州市西湖區人民法院審判。”[20]

可見，盡管這類條款由于當地消費者保護法一般不具有強制性，但是這類條款無疑大大加重了使用云計算國際服務的用戶的責任。[21]一旦用戶與云服務提供商發生糾紛，且二者不在同一個國家，將按照云服務提供商所在地區的法律予以處理，這將無形中導致云服務商及用戶之間的責任認定更加復雜。

3 給用戶的建議

通過對云服務商提供服務協議的信息安全責任剖析可知，現有云服務協議處于對用戶不平等，責任分配不均衡的狀態，會導致用戶信息一旦遭受損失，云服務提供商完全可以從糾紛中全身而退，無需負責，獨留用戶承擔所有的風險與責任的狀況。鑒于此，用戶有必要認真了解云服務協議的內容，即使不能使得自身完全免責，至少可以保證在數量繁多的云服務中選擇一個最有利于自己權益的云服務。具體可以從兩個方面著手。

3.1 仔細閱讀云服務協議

通常情況下，用戶很少在注冊云服務時閱讀云服務的服務協議。即使閱讀，也不會十分認真，多是點到即止的大致瀏覽。之所以出現這種情況，一方面是由于用戶本身對云服務協議不夠重視，沒有認識到其中可能存在的信息安全責任。另一方面也與云服務提供商的刻意引導有關：通常情況下，服務協議可以分為點擊式和瀏覽式兩種類型。點擊式是指用戶在注冊時，需通過點擊“我同意”才能完成注冊的服務協議形式；瀏覽式是指用戶需要主動查找服務協議并單擊進入相應界面瀏覽的服務協議形式。

可見，點擊式服務協議具有較好的通知性，即能夠在一定程度上起到提醒用戶閱讀服務協議的作用。而瀏覽式服務的通知性則較差，除非用戶主動查找，否則直接默認用戶已經閱讀了服務協議并且沒有絲毫異議。并且，瀏覽式服務通常將鏈入服務協議內容頁面的按鈕設置在網頁最不明顯的位置，更加導致用戶對服務協議的忽視。

因此，用戶在選擇使用某一項云服務時，應該對其服務協議加以重視。認真仔細地閱讀云服務協議，以便將不同的云服務協議進行比較分析，選擇最有利于自身的云服務。

3.2 學會閱讀云服務協議

用戶不僅應該仔細對云服務協議的內容進行閱讀，還應該學會對云服務協議的內容進行分析，進而探知其中蘊含的信息安全責任歸屬，以便選用服務協議相對公平的云服務。具體可以按照本文第二部分中提到的四點內容加以分析。

（1） 知曉隱私協議。了解云服務協議約定的隱私保護承諾，進而對云服務提供商怎樣收集、利用自身的信息加以掌握。以便對云服務提供商的行為加以限制或是糾紛發生時進行責任認定。

（2） 知曉免責聲明。了解云服務協議規定的免責聲明情況，進而選擇免責聲明相對較為寬松的云服務。以便在信息丟失、損毀的情況下，要求云服務提供商承擔相應責任。

（3） 知曉協議終止。了解云服務協議規定的協議終止情況，以便了解自己的行為是否可能導致服務被終止。同時，也可以保證，一旦云服務提供商單方面終止了與自身的合作，可以在規定的時間內對存儲在云端的信息資源進行備份或下載，以防止信息的丟失。

（4） 知曉法律適用。了解云服務協議規定的法律適用情況，以便有針對性地選擇與自身適用統一法律與司法管轄的云服務，或是選擇適用法律最有利于自身的云服務。

總而言之，認真閱讀并分析云服務提供商的服務協議，可以使用戶防患于未然，將具有潛在信息安全風險的云服務排除掉，進而選用最適合、最有利自身的云服務。同時，提前了解了云服務協議的有關內容，也可以防止一旦糾紛發生，用戶自亂陣腳、無所適從。因此，用戶有必要在選用云服務前，仔細地對服務協議內容進行閱讀和信息安全責任進行剖析。

4 結語

云服務的普及所帶來的不僅是對經濟的促進、資源的集中、或是用戶的便利，還產生了許多的副作用。其中之一就是一旦用戶的信息安全遭受損失，相關責任的認定問題。現有云服務提供商為保證其規模化的服務能夠正常高效的運轉，其與用戶之間不可能以一對一協商的方式來訂立合同。[22]這導致云服務提供商提供給用戶的合同由云服務提供商單方面制定，許多規定都存在風險與責任的不均衡分配問題。一旦用戶的信息資源遭受損失，云服務提供商將憑借服務協議的幫助獨善其身，而用戶只能獨自承擔相應損失。這是不公平、不合理、也是違背服務協議簽訂過程中應有的平等互惠原則的。本文以15家云服務提供商的服務協議為例，對其內容進行了信息安全責任的剖析，試圖為今后用戶選用云服務提供有益的借鑒與幫助。但是應該認識到，目前對于此問題的關注力度還遠遠不夠，并且隨著云服務的不斷發展以及社會環境的不斷變化，其服務協議中所涉及到的信息安全責任問題也會愈加復雜，產業界與學術界都需為此做出努力，任重而道遠。

（來稿時間：2015年2月）

參考文獻：

1.楊明芳,袁曦臨. 云計算環境下的數字圖書館.圖書館建設，2009（9）：7-9,12

2, 22.高陽. 云計算環境下合同問題研究.公民與法（法學版），2011（12）：43-45

3.高圣平.試論格式條款效力的概括規制——兼評我國合同法第39條.湖南師范大學社會科學學報，2005（3）：73-76

4, 13.百度.百度隱私權保護聲明.[2014-10-04]. http:// m.baidu. com/l=3/tc?srd=1&dict=2 0&src=http://www.baidu.com/ duty/yin siquan.html

5, 20.阿里云. Aliyun.com服務條款.[2014-10-04]. https://account. aliyun.com/common/a greement.htm?spm=0.0.0.0.eifQ9b&fromSite=6

6.RackSpace.Privacy Statement.[2014-10-04]. http://www. rackspace.com/information/ legal/privacystatement

7.盛大.盛大云用戶服務協議.[2014-10-04].http://www. grandcloud.cn/index/rule

8, 19.Apple. iCLOUD條款和條件.[2014-10-04]. http://www. apple.com/legal/internet-ser vices/icloud/cn_si/terms.html

9, 17.華為云.華為云用戶協議.[2014-10-04]. http://www. hwclouds. com/declaration/user Agreement.html

10.Microsoft. Microsoft-Information on Terms of Use.[2014-10-04]. http://www.ibm.c om/legal/us/en/

11.騰訊云. 微信服務市場用戶協議.[2014-10-04]. http:// wiki.qcloud.com/wiki/%E 5%BE%AE%E4%BF%A1%E6%9C%8 D%E5%8A%A1%E5%B8%82%E5%9C%BA%E7%94%A8%E6 %88%B7%E5%8D%8F%E8%AE%AE#top

12.Business Spectator. Big data mismanagement a security risk: McAfee.[2014-05-02] . http://www.businessspectator.com.au/ news/2013/6/19/technology/big-data-misma nagement-securityrisk-mcafee

14.Joyent.Terms of Service.[2014-10-04]. https://www.joyent. com/company/policies/t erms-of-service

15.Amazon. AWS Site Terms.[2014-10-04].http://aws. amazon.com/cn/terms/?nc1=f_ls

16.Salesforce. Master Subscription Agreement.[2014-10-04]. https://www.salesforce.c om/assets/pdf/misc/salesforce_MSA.pdf

18.百度百科.法律適用.[2014-10-04]. http://baike.baidu. com/view/759011.htm?fr=al addin

21.彭江輝,楊婷潔.云服務格式合同的應用問題及對策研究.科技與法律，2013（6）：10-20

* 本文受國家社科基金項目“云計算環境下圖書館信息資源安全政策法律研究”（編號： 11CTQ004）和北京市青年英才計劃項目“云計算環境下我國信息安全政策與法律體系研究”（編號： YETP0241）資助。

〔分類號〕G250.7

〔作者簡介〕黃國彬，男，北京師范大學政府管理學院信息管理系副教授、碩士生導師，發表論文110篇，研究方向：信息法學、信息分析； 鄭琳，女，北京師范大學政府管理學院信息管理系碩士研究生，研究方向：信息法學。

Analysis on Information Security Responsibilities of Main Cloud Service Providers Based on Service Agreement

Huang Guobin Zheng Lin
( School of Government, Beijing Normal University )

〔Abstract〕Based on the service agreement, the article analyzes the information security responsibilities of 15 main cloud service providers from four perspectives: private policy, service disclaimer, service termination, and information laws and policies. Then, the article points out the shortcomings of existing cloud service agreement therefore gave corresponding suggestions to users, in order to provide beneficial help for users on how to choose cloud service.

〔Keywords〕Cloud service Service agreement Information security Confirmation of responsibility