論云存儲中數據安全的法律保護

摘要：云存儲是云計算的演變形式，云存儲與云計算既有聯系又有區別。云存儲是指借助網絡（尤其是Internet），運用應用軟件，為用戶提供數據存儲及訪問功能的一個軟硬件結合的數據集合系統。云存儲本身并不是一種服務，它是為了實現數據存儲服務功能而提供的一個系統支撐。云服務器位置的不確定性導致云存儲中數據位置多變。云存儲中的數據安全及隱私安全問題給數據用戶提出了嚴峻的挑戰。云存儲中數據安全主要是指數據的采集、存儲、訪問、處理及數據交易安全。云存儲中的數據安全與網絡安全息息相關，數據安全的法律保護亟需制定。

關鍵詞：云存儲；數據安全；網絡安全；法律保護

中圖分類號：D922.8 文獻標志碼：A 文章編號：

10085831（2017）01010108

數據安全將成為云存儲發展前進道路上的“攔路虎”。互聯網已經融入社會生活的各個領域，隨著網絡科技的迅猛發展，“云端”更是讓人們難以認知，隨之而來的網絡安全問題、數據存儲安全問題、數據訪問安全問題、數據處理安全問題及數據交易安全問題亟需有效的法律規制。數據資源的跨地域存儲與數據的本地化監管之間的矛盾不可避免。云存儲中數據安全問題的有效規制，不僅影響到網絡安全及數據安全的穩定運行，甚至會影響到國家數據安全及國家數據主權安全。

一、云存儲的概念、特征及其架構模式

（一）云存儲的概念

云存儲與云計算的概念既有聯系又有區別。一般認為，云計算（Cloud Computing）是一種新興的共享基礎架構的方法，是此前IT 領域幾項重要理念與技術——分布式處理（Distributed Computing）、并行處理（Parallel Computing）和網格計算（Grid Computing）的發展，或者說是一種商業化的實現[1]。國外學者克里斯托弗·米勒德（Christopher Millard）在其著作《云計算法》（Cloud computing law）中將云計算定義為：“云計算就是一種通過網絡尤其是通過因特網，提供公共服務計算資源的一種方式，而這種公共服務方式可以根據用戶的需求向上下擴展。”[2]雖然研究者各自對云計算的定義有不同的看法，但對于其是一種高速的計算處理方式，可以為云服務提供支撐是肯定的，云計算可以理解為云的初始發展階段狀態，而云存儲則是在云計算基礎上的延伸，理應對其概念有新的認識及解釋。

國內有研究者認為：“云存儲即云計算的資源存儲，它是一個由網絡設備、存儲設備、服務器、應用軟件等多個部分組成的通過應用軟件來對外提供數據存儲和業務訪問的服務。”[3] 維基百科給云存儲的定義是：“云存儲是一種將數據資源存儲于邏輯池中的數據存儲模式，而物理環境中的數據存儲跨越多個服務器（通常是多處位置），并且通常由托管公司擁有和管理，云存儲服務可以通過共同位置的云計算機服務來訪問。”[4] 可見學者和各研究部門對云存儲的定義界定也不盡相同。

從對云存儲的界定不難看出，有學者試圖用所有與云儲存有關的內容來進行定義，我們應當看到，云存儲的定義與云存儲的內容及組成結構有著本質的區別，筆者在界定云存儲的定義時，分析了云存儲的自身性質、云存儲的特征及云存儲的組成結構，將云存儲定義為：云存儲是借助網絡（尤其是Internet），運用應用軟件，為用戶提供數據存儲及訪問功能的一個軟硬件結合的數據集合系統。云存儲本身并不是一種服務，它是為了實現數據存儲服務功能的一個系統支撐，云存儲中真正提供服務的是基礎管理層的數據管控者和應用接口層的云存儲服務提供商。云存儲的運行起決定作用的仍是應用軟件，軟件必將定義未來。

（二）云存儲的特征

為了有效規制云存儲中的數據安全，有必要對云存儲的特征作進一步分析，在掌握其特征的同時從其特征著手進行有效的規制，勢必起到事半功倍的效果。

虛擬性。虛擬性是云存儲的顯著特征之一，云存儲體現為虛擬存儲，有別于通過傳統物理設備的存儲。借助于互聯網，云存儲中的數據資源是虛擬化的資源，也可以說是代碼“0”和“1”的集合，在云存儲中都是無形的。因此云存儲的典型特征就是其有虛擬性的一面。云存儲展現了其既在實現了數據存儲的同時又實現了數據資源的共享特性，實現存儲完全虛擬化。對于終端用戶來講，只要在可以連入互聯網的任何地方，有權訪問的終端用戶，都能夠借助云存儲提供的支撐系統，實現其對網絡空間數據資源的訪問。

靈活性。云存儲的靈活性不僅體現在存儲協議方面的靈活上，更多地體現在云存儲的網絡空間擴展能力以及云存儲性能擴展的能力和容量上，云存儲的實現主要通過應用軟件來發揮作用。區別于傳統的固定設備存儲，云存儲不僅僅是存儲，更多的是應用。云存儲對于終端用戶來說，通過網絡，終端用戶可以在任意云端提取及存儲數據。

高效易用性。云存儲通過其特有的架構系統，在云存儲的環境中，可以拓展數據存儲的空間和能力，提高數據資源的傳輸效率，以達到減低成本，實現整個數據資源的高效利用率。因此，數據能夠在移動或者是遷移應用中，仍具有高效的易用性，不受影響。

國際商用機器公司IBM（International Business Machines Corporation）認為云存儲可以提供四種類型的存儲：（1）個人存儲（Personal Storage），能夠存儲個人數據并在多個設備上同步使用；（2）公共存儲（Public Storage），云存儲服務提供者完全可以異地管理企業的數據；（3）專用存儲（Private Storage），云存儲服務提供者在一個有組織的數據中心為客戶端服務；（4）混合存儲（Hybrid Storage），公共存儲和專用存儲的混合[5]。筆者簡單言之，個人存儲就是個人數據存儲的服務，公共存儲主要是為了實現數據存儲的共享，提高效率、降低成本，專用存儲則是一種專屬服務，混合存儲就是公共存儲服務與專屬存儲服務的混合。在筆者看來，云存儲中的數據可以被劃分為不同種類，但是從其保護的實質看，都是數據自身安全，只是有些數據涉及個人數據信息，有些涉及商業數據信息，有些涉及國家安全數據信息罷了，終歸都是存儲于網絡空間的數據，對不同性質的數據采取不同程度的保護也是對數據更加有效保護的需要。

通過互聯網，用戶在應用數據時，不需要了解到底使用什么硬件、有多少交換機及路由器，只要接入互聯網端口，有用戶名和密碼上網就可以，云存儲之所以具有商業價值且日益受到青睞，也是源自其自有的特征。

（三）云存儲的架構模式

對云存儲的架構模式進行分析，有助于清晰明確地認知云存儲的運行，只有掌握了云存儲的運行模式，才能實現保護云存儲中的數據安全。

通說認為云存儲系統的架構模式包括四個部分：存儲層、基礎管理層、應用接口層、訪問層。存儲層是云存儲的基礎部分。基礎管理層是云存儲最核心的部分。應用接口層即不同的云存儲服務提供商可提供不同的應用服務。訪問層也就是云存儲系統的用戶 [6]。筆者將云存儲的架構模式做一個初步解析，云存儲的訪問層即用戶，即，云存儲的應用接口層即云存儲服務的提供商，云存儲的基礎管理層即云存儲數據的實際管理者，云存儲層即數據存儲的所在地。筆者認為，無論在云存儲架構模式的哪個層面，都離不開應用軟件。因此，對應用軟件的規制對于云存儲的數據安全至關重要，同時在云存儲的運行安全中，云存儲服務提供商的責任及義務和云存儲的管理者對數據的管控行為也都直接影響著云存儲中的數據安全，所以有必要對其兩者的責任及權利義務進行明確的規制。

筆者認為云存儲本身并不是一種服務，真正提供服務的是基礎管理層的數據管控者和應用接口層的云存儲服務提供商，但是兩者面向的對象卻大相徑庭，管理層的管控者主要是面向存儲層的數據安全和應用接口層的云存儲服務商，而云存儲服務商雖然也面向管理層的管控者，但是更多的是面向訪問層的終端用戶。離開了應用軟件，討論云存儲不切實際。云存儲是一個包含了綜合數據庫的軟件應用系統。

二、云存儲中的數據安全危機

在大數據時代，對云存儲中的數據安全進行有效的法律規制具有重要的現實緊迫意義，云存儲中的數據應用、存儲、訪問、處理及交易已逐步滲透到各行各業，云存儲在給人們的生活帶來便利的同時，也使數據安全問題面臨著現實的沖擊及威脅，云存儲中的數據安全問題不僅影響到用戶對云存儲中數據安全的應用，也會對網絡安全運行等各方面帶來沖擊。因此，分析云存儲中影響數據安全存在的主要因素，維護云存儲中數據安全，對其進行行之有效的法律規制刻不容緩。

（一）云端數據自身特征危及數據安全

云端的數據存儲是一個虛擬存儲，數據經過采集、處理之后上傳到云端存儲，然而數據一旦傳輸到了云端，基本上對用戶來說就喪失了對數據的絕對控制權，云存儲中的數據將面臨著易丟失和泄露的風險。

數據易丟失。云存儲是網絡技術應用與軟件應用的一個綜合體系，人們在享受云存儲便利的同時，也要承受其帶來的風險。在云存儲中，數據的存儲、傳輸、訪問、處理以及復制和遷移等方面都變得更加便捷和頻繁，同時也容易導致云存儲中的數據丟失。云存儲的服務提供者一直在努力尋求對策以保證終端用戶和云存儲中的數據安全，但現實中，終端用戶遭受數據泄露和丟失風險的情況仍時有發生。如果云存儲中數據應用安全不能得到有效規制，那么數據用戶對使用云存儲系統存儲數據將會更加擔憂。

數據易泄露。由于互聯網的開放性、即時性及跨界流動性等自身特征，加之許多存儲在云中的網絡數據信息比較敏感，涉及公民個人身份信息、隱私、商業數據信息甚至是國家安全數據信息等，這些數據一旦被用心不良的人所掌控，就會造成嚴重后果。現今僅僅從數據加密技術上來保護云存儲中的數據安全，顯然對于當下日新月異的技術來講，防止數據泄露的風險已顯得捉襟見肘。2011年3月，Google的Gmail電子郵箱爆發大規模用戶數據泄露事件，近15萬Gmail用戶在周日早上發現自己的所有郵箱和聊天記錄被刪除，部分用戶的賬戶被重置而無法登陸[7]。可見數據信息泄露時有發生，云存儲中的數據遺失和泄露既有技術上的原因，也有具體保護制度不完善的原因。因此，對于云存儲中數據安全的保護立法已是箭在弦上。

（二）缺乏對云存儲服務提供商的責任及義務規制

處于云存儲應用接口層的云服務提供商，對云存儲中的數據保護責任及應盡義務程度將直接影響云存儲中的數據安全。云存儲服務提供商扮演的是超級用戶角色，一定程度上

掌控著攫取大量數據資源必經之門的“金鑰匙”。某些數據其本身可能包含恐怖主義和煽動國家分裂以及顛覆國家政權等不法有害信息，如果云存儲服務提供商不能盡到應有的數據保護義務和責任，而放任或默認該不法有害信息任意傳播，那么此時數據安全不僅會影響國家數據安全、網絡運行安全，還有可能影響到社會穩定和國家安全。比如2009年爆發在中東伊朗的“Twitter 革命”（也稱茉莉花革命）就使伊朗的政治格局發生了改變，其主要原因之一就是對數據信息的傳播缺乏管控。因此，現階段明確規制云存儲服務提供商的責任及義務，對保障云存儲中的數據安全乃至國家安全責無旁貸。

（三）數據終端用戶引致的數據安全風險

終端用戶處在云存儲系統中的訪問層，也可以說是云存儲中的頂端，云存儲中訪問層的數據安全與終端用戶有著直接的聯系。互聯網時代，終端用戶既是網絡數據的制造者，又是網絡數據的參與者，云存儲的益處就是可以將終端用戶的數據信息資源同步存儲和共享。因此，對于終端用戶在對數據進行存儲、應用、傳播、刪除等行為時，應當明確終端用戶應盡的權利及義務。網絡數據無論怎樣虛擬無形，怎樣無具體物理位置，其要發揮作用必然離不開人的行為，否則網絡數據即使能夠存儲在網絡空間，也不過僅僅是“僵尸數據”。目前中國終端用戶普遍都缺乏必要的網絡安全意識，用戶要進行數據存儲始終要通過終端服務，而終端用戶在獲取云存儲中的數據時也依然需要依靠終端設備，在終端設備上輸入數據用戶名和密碼，登錄某一個云存儲去下載或上傳存儲于云端的數據。一旦終端用戶賬號和密碼被泄露或者是被木馬等病毒侵入，那么在云存儲中的數據會在終端用戶毫不知情的情況下，被惡意人隨意存儲、刪除、傳輸。因此，對于數據終端用戶的數據使用行為進行有效規制，從“源頭”上解決對云存儲數據安全的法律保護問題非常必要。

（四）應用軟件缺乏統一的安全認證標準

云存儲的應用其核心之一就是應用軟件。云存儲不只是存儲，更多的是應用。應用軟件將直接影響云存儲的運行，對云存儲中的數據采集、處理、挖掘等方面起著不可替代的作用。然而目前因對應用軟件缺乏有效的法律規制，已導致數據在通過應用軟件存儲時，很容易造成用戶數據的泄露及丟失，因此應當對應用軟件安全認證實行統一認證標準，禁止在設計應用軟件時使其存在某些自動收集用戶數據信息、自動收集與用戶數據信息相近及相關的數據信息行為，禁止其帶有某些不法入侵程序設置。從目前的發展趨勢看，軟件應用已普遍滲透到各個領域，

日后必將出現“軟件定義一切”的局面，因此對應用軟件進行必要的法律規制，是治理云存儲中數據安全有效保障的根本。

三、歐美云存儲數據安全保護的法律制度

各國都不同程度地面臨著云存儲中數據安全的挑戰。各國對數據安全的立法保護主要從兩個方面著手：一是數據信息資源的利用，包括商業信息、公共信息及政務信息；二是注重個人數據安全的保護。當下，各國都面臨著云存儲中數據安全問題的嚴峻挑戰，從事云安全問題研究的組織不少，但只有個別組織機構和有代表性的國際大公司（微軟、亞馬遜等）取得了一些初步研究成果，具體到云存儲安全方面問題的研究則主要是CSA

CSA成立于2009年，作為一個非盈利性組織，其宗旨是“促進云計算安全技術的最佳實踐應用，并提供云計算的使用培訓，幫助保護其他形式的計算”。自成立始，CSA迅速獲得了業界的廣泛認可，其企業成員涵蓋了國際領先的電信運營商、IT 和網絡設備廠商、網絡安全廠商、云計算提供商等。云安全聯盟確定了云安全的15 個焦點領域，對每個領域給出了具體建議，并從中選取較為重要的若干領域著手標準的制定，在制定過程中，廣泛咨詢IT人員的意見，獲取關于需求方案說明書的建議。參見馮登國《云計算安全研究》（《軟件學報》，2011年第1期第76頁）。（Cloud Security Alliance，云安全聯盟）和ENISA

ENISA是負責歐盟內部各個國家網絡與信息安全的研究機構，負責為歐盟內各個國家的網絡與信息安全問題提出建議，指導安全方面的實踐活動。該機構主要是從企業數據安全角度出發進行研究。參見張健《全球云計算安全研究綜述》（《電信網技術》，2010年第9期第15-17頁）。 （European Network and Information Security Agency，歐洲網絡和信息安全研究所）兩個機構，其研究最具代表性，對云存儲的數據安全關注較多，取得了一定成績。

雖然各國都通過了部分數據保護法，保護本國的國家數據安全，但是我們應當看到，美國仍是信息技術最發達的國家，根服務器包括主根服務器大多數仍在美國，美國漢姆林大學法學院教授莎朗K桑迪恩（Sharon K Sandeen）在論及云計算時認為“在過去的十幾年里，云計算已經從一個優雅而被誤解的術語進入到一個蓬勃發展的行業，在其進入的計算機行業、互聯網行業和電信行業中都是非常著名的大公司，包括IBM、微軟、谷歌、Amazon、戴爾和Verizon”[8]。 伴隨著云計算產業的不斷演進，將會出現更多的新產品和新服務。我們清晰地看到，云計算的應用基本上都被國外大公司所控制和壟斷，目前要想真正實現云存儲中的數據安全，中國在數據保護方面仍有很長的路要走。

（一）英美國家保護數據存儲安全的網絡安全基本法

美國為了在國家層面加強其對網絡數據信息的控制，同時又為其對網絡安全信息共享的監管提供法律依據，2014年通過了《國家網絡安全保護法》。在此之前美國為了維護其國家數據安全，通過的《愛國者法案》（2001年）賦予了執法機關過于寬泛的信息調查與獲取權利。對竊取以及非法利用政府部門數據信息行為的處罰規定則主要體現在英國《計算機濫用法》（1990年）和美國《計算機欺詐和濫用法》（1986年）。美國《反竊聽法》和《電信法》（1996年）加強了對在個人數據安全方面的保護，重點對在數據信息傳輸過程中，竊取個人數據的行為和非法攔截的行為進行了限制[9]。

（二）歐盟加強對云存儲數據的同等保護原則

歐盟成員國為了加強對個人數據安全的保護，明確了個人數據保護的基本原則，制定了各自的個人數據保護法，并在對個人數據的留存、處理、使用等方面都作了相應規定。歐盟的數據保護法規定，歐盟公民的個人數據在非歐盟國家傳輸必須貫徹同等保護原則，即接受國必須提供和歐盟保護水準相一致的保護才能傳輸歐盟公民個人數據，能夠提供同等保護之前不能傳輸至非歐盟國家。由于“斯諾登”事件的影響，歐盟認為存儲于美國服務器上的數據信息并非真正意義上的“安全港”。因此，2015年歐洲法院廢除了歐美于2000年簽署的允許網絡運營商忽略歐盟各國法規差異而自動合法傳輸網絡數據的《安全港協議》。美國Google、Facebook等眾多科技公司應立即停止將收集到的歐洲用戶數據傳輸至美國[10]。

為了加強歐盟民眾的網絡安全意識，保護和繁榮歐洲數字經濟，2013年由歐洲網絡與信息安全局（ENISA）和歐洲委員會共同舉辦的歐洲“網絡安全月”

該活動以“在線安全需要你的參與（Online security requires your participation）”為主題，吸納私營部門和企業界的參與。其中，歐盟27個成員國都參與其中。歐洲網絡安全月采取的宣傳活動形式多樣，包括舉辦會議、論壇和演講，通過電臺和電視節目、在線游戲和在線交易等渠道進行宣傳。自2014年以來更是開展了對專業技術人員進行網絡安全演練、針對在校學生舉行代碼編程等主題活動以及針對公共和私營組織進行員工培訓、針對所有網絡用戶開展計算機和移動保護以及隱私保護的宣傳。歐洲網絡安全月旨在提升公眾網絡安全意識，改變公眾對網絡威脅的理解，同時通過教育和共享最佳實踐等方式為公眾提供最新的安全信息。參見《歐洲網絡安全月：推動所有用戶更安全使用互聯網》（http：//worldhuanqiucom/article/2014-11/5212674html，2016-09-26訪問）。活動正式啟動。這一點非常值得中國借鑒和學習。因為中國網民很大一部分將網絡信息視為“游戲”，缺乏基本的網絡安全意識。建議中國積極策劃在各個相關主要領域開展類似的全民網絡安全宣傳教育活動。

（三）俄羅斯對云存儲數據保護的本地化要求

俄羅斯可謂是對云存儲的數據保護作出了大膽創新及嘗試。俄羅斯《個人數據保護法》于2015年9 月1 日生效，該項法律明確規定俄羅斯公民的個人數據只能存儲于俄羅斯境內的服務器中，以實現數據存儲本地化。“斯諾登”事件以來，各國都非常關注本國公民個人數據安全及國家數據安全。該項法律并未禁止公民數據的跨境傳輸，只要求讓數據存儲于俄羅斯本地。該法律通過后，全球購物網站巨頭易趣公司和蘋果公司也積極響應數據存儲本地化。但是有些公司，比如社交網絡公司Facebook以及全球音樂流媒體服務巨頭Spotify 在內的少數公司，則提出反對意見[11]。俄羅斯新立法的目的非常明確，該項立法旨在維護其本國公民的數據存儲安全和國家數據存儲安全。

四、構建云存儲數據安全的法律保護制度

云存儲中的數據安全問題日益凸顯，然而對云存儲的數據安全問題進行有效的規制仍未得到解決，中國對云存儲的數據安全保護缺乏相對明確的法律法規，現有對云存儲數據安全的法律保護制度也較模糊。筆者認為，應當在分析中國目前相關網絡法律法規基礎上，結合云存儲的實際架構運行系統，構建中國對云存儲數據安全的法律保護制度。

（一）中國對云存儲數據安全的法律保護現狀

從中國先前有關保護網絡數據信息的法律法規看，對于網絡數據的存儲安全基本都未有明確規定，包括對于一些基本概念也未有明確界定，大都是針對計算機系統的保護，而對于急切需要規制的云存儲中的數據安全基本都未涉及。令人欣慰的是，近幾年對網絡信息安全立法的工作一直在穩步快速地推進，且已取得部分成效，在《關于加強網絡信息保護的決定》

《關于加強網絡信息保護的決定》，在2012年12月28日第十一屆全國人民代表大會常務委員會第三十次會議通過。中明確強調了“網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息時的基本義務”。在《中華人民共和國刑法修正案（九）》

《中華人民共和國刑法修正案（九）》，在2015年8月29日第十二屆全國人民代表大會常務委員會第十六次會議通過。（以下簡稱《刑法修正案（九）》）中明確了：“在違反國家有關規定時，向他人出售或者提供公民個人信息，情節嚴重的可以入刑，同時也明確了網絡服務提供者的法律責任”。至此，我們看到法律對保護網絡數據和個人信息的工作向前邁進了一大步。明確維護網絡空間主權、保護網絡數據安全，闡明網絡、網絡安全、網絡數據、公民個人信息、網絡運營者等基本概念是中國《網絡安全法》的基本要求及內容。

（二）云存儲數據安全法律保護制度之構建

規制云存儲中的數據安全，應當采用“源”與“流”并進的策略，既從源頭找出問題所在，又在后期的新環境應用中進行補充規制，實行“雙軌”規制。故此，筆者建議從主要制度方面規制云存儲中的數據安全。

1確立網絡服務提供者的責任制度

云存儲的運行離不開網絡服務提供者的運作。不論從技術上還是網絡數據的管控上看，必須明確網絡服務提供者對云存儲數據安全的保護責任及義務。網絡服務提供者應當積極制定內部數據安全保護管理制度，落實安全責任制，對數據采取分類和對重要數據進行備份等措施來保護云存儲中的數據安全。

對于云存儲中用戶和云服務提供商傳輸數據的規制方面，國外研究者約瑟夫A斯霍爾（Joseph A Schoorl）認為云計算技術的使用仍在美國的出口管理制度內，但不構成與其他物理和非物理出口環境下相同的國家安全問題。因此他提出了在通過云存儲傳輸技術數據時，應當設置云計算許可證例外（License Exception Cloud Computing，簡稱“License Exception CLC”）的規定，他認為云計算許可證例外比現有的規制原則更加清晰和靈活，將減少云用戶由于云傳輸的時間和目的地的不確定性而無法滿足的大多數許可要求。同時許可證例外也要求云用戶在上傳管控技術數據之前采取某些措施，并限制不符合該資格例外的數據類型和云服務提供商[12]。許可證例外設立的主要目的就是在云環境下維護美國的國家數據安全，實現美國企業經濟利益的最大化，推動高新技術企業發展。中國在《刑法修正案（九）》中對刑法第286條進行了修訂，明確了網絡服務提供者違法后的法律責任，具體情形有四種：（1）致使違法信息大量傳播的；（2）致使用戶信息泄露，造成嚴重后果的；（3）致使刑事案件證據滅失，情節嚴重的；（4）有其他嚴重情節的。這一修正案的通過，強化了網絡服務提供者對網絡數據保護的責任。筆者認為不論是經營性網絡服務提供者還是非經營性網絡服務提供者，都應當適用該法條，雖然該法條對“信息大量傳播”當“情節、后果嚴重”以及最后的兜底條款“有其他嚴重情節的”未作出明確界定，但是，就目前看至少在處罰網絡服務提供者的違法行為時可以做到有法可依。

2制定用戶濫用數據信息的處罰機制

終端用戶是最開始將數據采集、處理通過互聯網上傳至云端的數據服務提供者，因此對于終端用戶也應當明確其維護數據安全的義務及法律責任。《刑法修正案（九）》對刑法第253條進行了修改，明確了違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的刑事責任。該條為公民個人信息受到侵害時提供了有法可依的根據。但是對于公民個人信息之外的采集、處理、傳輸和交易的數據未有提及，對于在云端中存儲的數據安全問題則更是沒有涉及。應當在對公民個人信息保護的同時，對其他由用戶通過采集、處理、傳輸等方式獲得的數據進行進一步的補充規制，數據用戶是治理云存儲數據安全法律保護的“源頭”之一。

同時，在一定程度上，應當控制用戶的訪問權限，訪問限制控制是指應用技術控制策略對用戶訪問、特定操作、IP地址等不同類型的屬性進行選擇性權限設置，在允許用戶訪問前對其個人信息、IP地址等信息進行嚴格檢查，同時建立日志機制將用戶的登錄信息以及登錄時的各項操作以日志的形式記錄下來，同時還可以將惡意篡改、盜取數據的行為應用日志記錄下來，便于管理人員進行安全管理[13]。只有從利用數據“源頭”上提前進行數據應用的保護，才能真正維護網絡云端存儲數據的安全并為之提供有效的保護。

3構建應用軟件行業的標準體系及軟件安全認證制度

制定應用軟件的行業標準及認定軟件安全的統一標準，云端存儲數據的應用主要靠應用軟件來實現。對于軟件開發者來說，對其適用相對統一的安全標準及認證制度，對于維護云存儲中的數據安全起著至關重要的作用。不安全的API（Application Programming Interface，應用程序編程接口），勢必會給云存儲中的數據帶來安全隱患，云存儲的數據安全、存儲能力以及用戶對數據的管控能力與API 的安全性有直接關聯。因此，應用軟件行業開發軟件時，應明確其API應用的禁止性標準，對于API接口的設計實行統一的安全認證標準模式，以確保用戶在云端中應用其軟件時，能保護云端中的數據安全。對于沒有達到安全標準的軟件開發者，或者是不能達到軟件安全認定標準的軟件服務提供者，應將其排除在外，嚴格應用軟件的準入標準。

4建立數據安全保護的雙重強制認證機制

建立雙重強制認證機制，是保護云存儲中數據安全的有效方式之一。筆者認為雙重強制認證機制應當從以下兩個層面來實施：一個層面是終端用戶，在用戶訪問云存儲中的數據時對其嚴格認證，以確保用戶具有合法有效的身份去獲取云存儲中的網絡數據資源。另一個層面應從云端的網絡數據服務提供者著手，一定程度上說，云端網絡服務數據提供者既是提供云端存儲數據服務的運營者，也是最大數據庫資源的擁有者。對于網絡數據服務提供者的強制有效認證非常必要，因為可達到讓其在合規的范圍內處理云存儲中的數據。在保護用戶個人隱私的同時，建立雙重的強制認證機制才能真正有效預防不法身份用戶訪問云存儲的數據，合理控制網絡數據服務提供者的權利使用，保障云存儲中的數據安全，維護網絡空間安全穩定運行。

5構建網絡數據監測及預警制度

網絡數據具有即時流動性、無形性、易傳播性等自身特征，其自身特征要求對其進行監測以及預警處置，云存儲中的數據物理位置難以確定，這就使得云存儲中的數據安全難以保證，為了維護云存儲中的數據安全，維護網絡數據安全，甚至國家數據安全，應當積極主動監測、記錄網絡信息運行動態，留存網絡日志，從國家和地方兩個層面積極構建網絡數據監測及預警制度。

對于云存儲中的數據安全保護，目前中國的相關法律及制度仍處于探索階段，各項制度尚不完善。而數據信息已然突破了傳統的法律保護范圍，因此

在不斷完善現有法律保護制度的同時，應當充分解釋數據或信息的法律含義、法律特征及法律屬性，按照中國現有網絡數據安全保護的實際情況，結合國際及其他國家數據安全的立法經驗，不斷完善中國網絡安全立法，維護網絡空間安全，維護網絡空間數據信息的存儲、處理及交易，確保國家數據安全，維護國家數據主權。

五、結語

數據驅動未來，軟件定義一切。大數據時代，新興技術要求日新月異快速更新，而法律保護上又表現出滯后性，立法者及決策者總是在不斷調和兩者之間的矛盾，試圖從制度上更好地規制新興技術所帶來的數據安全問題及挑戰，云存儲的數據安全問題是各國都面臨的一個現實問題，一定程度上，云存儲中數據安全能否得到有效的保護，將直接決定云存儲在未來的發展走勢。雖然很多國家及相關的組織和研究機構都在積極地對云存儲中數據安全問題進行分析和研究，但收效甚微。云存儲中的數據安全問題涉及的層面比較復雜，云存儲中數據安全問題的解決既需要技術上的規制也需要法律制度上的保障，要實現云存儲中的數據安全保護需從技術、標準、監管、法律等多維度著手，綜合考量。參考文獻：

[1]黃維真，何荷.疑云逼近——“云計算”時代的國家安全（上）[J].國防，2010（4）：77-79.

[2]MILLARD C.Cloud computing law [M].New York： Oxford University Press，2013：50.

[3]申麗君.云存儲及其安全性研究[J].電腦知識與技術，2011（16）：3829-3832.

[4]WIKIPEDIA.Cloud computing[EB/OL].[2016-09-06].https：//en.wikipedia.org/wiki/Cloud_computing.

[5]IBM.Maintaining and accessing data kept remotely[EB/OL].[2016-10-06].https：//www.ibm.com/cloud-computing/what-is-cloud-storage.

[6]看圖識云 全面解析云存儲的網格架構[EB/OL].（2010-03-17）[2016-10-06].http：//server.cnw.com.cn/server-cloud/htm2010/20100317_192514_3.shtml.

[7]徐慧麗.云計算環境中的法律風險——以數據安全為視角[J].科技與法律，2013（6）：1-9.

[8]SANDEEN S K.Lost in the cloud： Information flows and the implications of cloud computing for trade secret protection[J].Virginia Journal of Law and Technology，2014，19（1）：1-103.

[9]尹立波.多國力推網絡安全立法 美頒4部法保護關鍵基礎設施[EB/OL].（2015-07-22）[2016-09-26].http：//news.xinhuanet.com/politics/2015-07/22/c_1116007385.htm.

[10]歐洲廢除歐美數據安全港協議[EB/OL].（2015-10-07）[2016-09-26].http：//world.huanqiu.com/article/2015-10/7699653.html.

[11]臥龍傳說.俄羅斯“個人數據保護法”任性實施 從“存儲本地化”到數據安全之路還有多長？[J].信息安全與通信保密，2015（10）：76-77.

[12]SCHOORL J A.Clicking the “Export” button： Cloud data storage and U.S.Dual-Use export controls[J].George Washington Law Review，2012，80（2）：632-667.

[13]徐歡.云計算時代監測數據安全保護分析[J].無線互聯科技，2016（12）：124-125.