云計算環境下信息安全法律存在的問題及應對策略分析

王鳳暄

〔摘 要〕云計算代表一個新的商業模式，以服務的形式提供數據資源，在互聯網上按用戶的使用量收費。在本文中，我們假設云計算可以被描述為一個復雜的系統，在分析云計算環境下的信息安全面臨挑戰的原因分析的基礎上，從法律角度闡述了實現云計算面臨的安全風險以及相應的解決措施。

〔關鍵詞〕云計算；信息安全；安全風險；法律風險

DOI：10.3969/j.issn.1008-0821.2015.07.032

〔中圖分類號〕G203 〔文獻標識碼〕A 〔文章編號〕1008-0821（2015）07-0167-05

〔Abstract〕Cloud computing is a new business model，providing data resource in a way of service which the users can buy depending on the practical need.In this article，supposing that cloud computing is a complex system，from the respective of law，by analyzing the reasons of information security，the paper analyzed and summarized the existing problems and the corresponding strategies.

〔Key words〕cloud computing；information security；security risk；law risk

目前云計算已經在Google、Amazon、IBM、微軟等私營部門廣泛應用，而且日益受到公共部門的歡迎和認可。因為云的經濟效益明顯，云的使用可以使企業、政府部門以及普通用戶將他們的或多或少的電子數據存放到第三方平臺的大型主機上，而無須購買自己的硬件系統。這樣就能降低成本，提高效率，促進新服務和舉措的推進。

然而，云計算技術使得人們可以隨時隨地通過網絡獲取各種軟件服務和超大的計算能力，降低了資金成本和時間成本，帶來了極大的便利，但與此同時，也引發了一系列的信息安全問題，如數據泄露、非法內容的托管和信息的不可訪問等等。目前云計算環境下的信息安全法律問題已經引起了極大的關注和重視。

1 云計算基本概念

云計算是一種基于互聯網的超級計算模式，是一種全新的數據處理方式，通過互聯網將所有的計算應用和信息資源連接起來，并部署在全球各個地方的服務器和數據中心，從而可以提供隨時隨地的訪問和分享。目前，云服務主要有五種模式：平臺即服務（Platform as a Service，PaaS）、基礎設施即服務（Infrasturcture as a Service，IaaS）、數據即服務（Data as a Service，DaaS）、軟件即服務（Software as a Service，SaaS）、通信即服務（Communication as a Service，CaaS）。

云計算在技術的使用上開啟了新的商業模式，歸納起來，有以下兩方面的特點：一方面，云的架構不再依賴物理框架，將每一個應用程序和每一種資源都變成一種服務，用戶通過互聯網按需使用付費即可；另一方面，云服務的提供是相互協作的結果，是不同類型的服務，如框架、平臺、軟件等共同整合的結果。

2 云計算環境下的信息安全面臨挑戰的原因分析

21 合同關系錯綜復雜

云服務的交易過程的完成是通過用戶和云服務代理商之間建立合同關系實現的，然而云計算環境下，已經不是簡單的雙方之間的合同關系，而是形成了巨大而復雜的合同關系網絡，值得注意的是這里的合同也包括服務協議。合同關系錯綜復雜具體表現為參與主體眾多、參與主體不穩定以及合同條款動態變化。

211 參與主體眾多

參與主體眾多主要是因為一項云服務的提供是由多個云服務提供商共同完成，而不是單一的個體就可以實現。云環境下，用戶購買的往往是一項服務而不是產品，用戶和云服務提供商之間在服務水平協議（Service Level Agreements，SLA）的框架內簽訂合同，達成對服務質量、基礎設施（正常運行時間、響應時間等）、安全、隱私、職責以及云服務提供商需要承擔的責任等方面達成一致，形成合同關系[1]。

通常情況下，用戶只與終端云服務提供商，即云服務代理商，具備合同關系，但事實上，由于一項服務的提供涉及多個提供商，而且，云服務提供商之間也建立了各種合同關系，從而形成了一個巨大而復雜的合同網絡。

212 參與主體不穩定

參與主體不穩定主要是因為一項云服務的提供商不是一成不變的而是處于不斷地變化當中，如一些服務商由于某種原因，不再是某項服務的提供商，從而又有新的提供商加入進來，這樣舊的合同關系解除，新的合同關系建立，參與主體的不穩定性使得合同關系動態變化。

理想情況下，當用戶的需求增加，云服務代理商可以和新的云服務提供商建立新的合同關系；當用戶的需求沒有得到滿足時，云服務代理商和原來的云服務提供商解除合同關系，選擇與服務更加優質安全、更加經濟實惠的提供商進行合作。但實際的情況并不盡如人意，云服務提供商在不斷改變，但并不能保證為用戶提供更加安全和高質量的服務，反而增強了合同關系的復雜程度，在一定程度上增加了信息安全風險，擴大了用戶信息、隱私知曉的范圍，增大了泄露的可能性。此外，為利益糾紛的解決帶來了不小的困難。

213 合同條款動態變化

合同條款的動態變化指的是合同條款隨著服務、資源以及提供商的變化也會發生相應的變化，如在一段時期內，在需求增加或者減少的情況下，用戶可能和原有的代理商協商合同條款，對合同內容進行相應的調整。endprint

除了終端用戶和云服務代理商之間訂立的合同條款會發生變化，云服務提供商之間的合同內容也會發生變化，合同內容的變化導致合同關系的復雜程度增加。

22 透明度不高

透明度不高，主要指的是云內部的操作本質上是不透明的，云服務提供商或者是代理商的內部結構和運轉通常是不向公眾披露的，因而對用戶和組織來說很難了解合同的范圍，尤其是確定哪些條款和條件是主要合同不可分割的一部分，用戶一旦將數據交給第三方服務商實際上就已經對服務商使用、存儲、處理數據的方式以及服務交付的方式失去了控制。

除此之外，在用戶并不知情的情況下，合同條款和服務協議內容也會發生變化。服務協議通常會發生一些變化，如新的條款和條件已經自動被綁定，而變化內容并沒有通知用戶。不僅如此，云服務提供商之間的合同條款、服務協議的內容也會發生一些變化，但是由于用戶只與供應鏈中的最后一個參與者（云服務代理商）建立合同關系，因而用戶和云服務商之間并沒有直接的權利義務關系也就沒必要向終端用戶通知協議條款和條件的變更，這就使得問題更加復雜化。

23 跨國化

跨國化指的是云計算的部署廣泛，往往會跨越多個國家和地區，會涉及不同國家和地區的司法管轄權、國家邊界和領土管轄權等。

云計算服務通常在幾個區域擴展，建立全球分布的大的數據中心。為了確保以較低成本、減少延遲時間（相應請求的時間），提供快速可靠的服務，數據在好幾個數據中心往往都進行復制，而且往往跨多個司法管轄區分布。根據實際和預期計算的資源的利用率以及當前網絡擁堵的情況，會專門設計云計算技術保證數據從一個數據中心安全轉移到另一個中心，而所有的這些算法不可能將國家邊境問題考慮在內。盡管有些服務提供商允許用戶指定數據存儲和處理的國家或地區，但考慮到很多數據的地理位置很難提前確定，所以這只是例外而不是規則。

跨國化特征導致的后果是云服務提供過程中存儲數據的流動性和不穩定性特征與法律相對靜態和確定性特征之間發生沖突。

3 云計算環境下信息安全法律存在的不足

31 難以保證用戶信息的隱私

云環境下，通常用戶會自愿在互聯網上發布自己的信息（博客、論壇、新聞組、微博等），以Facebook為例，用戶在該社交網站上可以分享多種格式的數據文件，如文字、照片等，但問題是如果用戶的各種數據被收集并處理和分析，就會得到比用戶自愿發布的更多的信息。而這一點未必是用戶愿意的。

目前的法律對于這一方面的規定并不能完全地保護用戶的隱私安全，如第四修正案規定，如果用戶將有關個人信息與公眾進行了分享，就不會受到第四修正案的保護，除非只是與單個人進行分享；第三方原則規定，如果信息被自愿交給了第三方，那么這些信息就不再是私人的了[2]。

此外，由于法律的特殊規定，如美國的《愛國者法案》、《電子通信隱私法案》、《國家安全調查令》就賦予政府這種權利，即可以強制要求披露云服務商保管的記錄，使得一些特殊機構，如政府、執法機構等可以對用戶信息進行“搜查”，這也在一定程度上為用戶隱私的保護帶來安全風險。

32 難以追究云服務商的責任

云計算環境下，用戶和服務商之間的合同關系錯綜復雜，也就使得明確合同關系中的每一方的權利義務關系不再容易。由于云的動態特征，當前情況下，服務商具有在任何時間決定將部分業務外包給第三方的權利，但卻沒有通知合同關系中的其他當事人的義務。這樣就難以保證用戶享用服務的質量和可靠性。由于云服務提供商向終端用戶提供的服務基本是建立在服務水平協議的基礎上。而協議中規定服務商對于第三方的活動不負有任何責任，這樣就造成難以追究云服務商在第三方給用戶帶來的損失中應該承擔的責任。

這就引發了一系列的法律問題，而這些問題和用戶的利益息息相關，如服務商拒絕承擔任何面向終端用戶的責任，用戶享有什么樣的追索權？盡管他們沒有直接的合同關系，但用戶是否有權利讓造成損失的分包商給出合理解釋？如果沒有追索權誰將為造成的損失負責？誰應該負責云中數據的不恰當或非法的傳輸？更重要的是如果不是先前確定的服務提供商而是隨著時間發生改變，那么如何保證用戶所享有的服務水平是一樣的？如果這些問題不能通過法律的形式得到保障，用戶的利益也就隨時會受到威脅。

33 難以解決管轄權問題

通常情況下，云計算系統會涉及多個管轄區的法律，包括用戶所在地的法律、云提供商所在地的法律、用戶和提供者之間信息傳輸的媒介所在地的法律。不同的地區和國家，就會帶來遵守和適用法律的困惑。

其實，本來在云中是沒有國界的，然而一旦出現糾紛，如經濟糾紛，國界就成了很大的障礙，因為目前還沒有強制的規定亦或是統一的標準，甚至是不成文的行規，因此不同國家的法律規定就使得問題變得復雜化。因為通常情況下遵守了一個管轄區的相關法案往往意味著違反了另一個管轄區的法律規定。以法國的“阻礙法令”作為法律沖突為例，美國的法院可以責令整理來自在法國辦公的美國公司的數據資料，但如果出現這樣的披露，就會違反法國的阻礙法令。

34 難以進行執法

云計算增加了執法的復雜性。云中集中存儲的數據很容易成為黑客攻擊的對象，然而，要懲治這種犯罪行為并不是一件容易的事情。一方面是很難確定云中的犯罪的級別，另一方面是收集相關的犯罪證據也會面臨很多挑戰。通常情況下黑客在非法訪問云數據中心時，會選擇從1 000個甚至更多地賬戶分別獲得價值較小的信息，但這種情況下，為了確定信息的價值超過了法律規定的數額，從而可以確定黑客的罪行級別，執法人員需要從成千上萬的賬戶中收集信息，但由于黑客非法訪問的信息對單個用戶來說損失較小，也就無法直接形成確定黑客違法行為的重要證據。

不僅如此，盡管黑客通過1個入口非法訪問了成千上萬的用戶信息，但是看起來像是只入侵了1臺計算機，這樣一來黑客很難被定為重罪[3]，因此也很難達到懲治黑客的目的，使其不能如此“囂張”。endprint