“云端”信息安全嗎

張苗

云服務允許用戶將所需的數據信息和軟件等存儲在網絡空間，以便在任何時間、地點都可以使用不同的信息技術設備進行訪問，實現數據存取、運算等目的。在這個隨時需要存儲、調用和處理海量信息的時代，云服務提供了極大的便利，與此同時，安全問題隨之而來。

關于個人用戶

云服務商向用戶提供運行在云計算基礎設施之上的應用軟件。用戶無須購買、開發軟件，可利用不同設備上的客戶端或程序接口，通過網絡訪問和使用云服務商提供的應用軟件，比如協同辦公系統等。要享受這樣便捷的服務，首先要實現信息“上云”。對于個人用戶來說，可能涉及隱私信息。

筆者做了一個試驗：將一張圖片分別上傳到某平臺的空間相冊和網盤。幾天后，相冊里的圖片竟然消失了，且沒有給予筆者任何信息提示，而網盤中的圖片依舊完好。對此，筆者不禁疑惑，信息“上云”后發生了什么？

信息“上云”的安全可分為兩部分：一是數據傳輸過程中的安全，二是數據存儲在“云端”的安全。由于個人在數據傳輸過程中受到安全威脅的可能性較小，故不多探討。個人數據存儲在“云端”后的安全問題，例如會不會被監視、遭到泄露，數據丟失了如何維權，等等，讓很多人感到困擾。

這樣的例子可以說比比皆是：青年A擔心，如果有一天與網戀多年的女友的聊天記錄消失了該怎么辦；企業老板B憂慮，云存儲的客戶信息是否需要紙質版備份；社區老人C擔心，每天通過手機上傳“云端”的心跳、血壓記錄如果丟失了，該怎么調整用藥；文藝青年D在地鐵通道中寫了一首新歌，用手機上傳到“云端”，第二天當他準備修改新歌的時候，發現音樂文件不見了；全職媽媽E發現，“云記錄”中自己給寶寶喂奶的規劃方案找不到了；專車駕駛員F一周的駕駛記錄丟失了，不知該如何統計收入……

現如今，太多的人離不開云服務?！霸啤钡膬r值之一是數據在線，而“云”受到質疑的一個重要方面，就是數據信息的安全性存在問題。

關于云服務企業

人民數據管理有限公司副總經理、總編輯劉暢表示，“數據作為數字時代的生產要素，是重要的資源，事關國家安全和經濟社會發展穩定等重大問題”。除了個人用戶，眾多企業用戶對于“云端”安全的要求也很高。

數字化時代，企業爭相“上云”，產生了一些安全問題。首先要關注的是云服務企業本身的安全。

互聯網企業經常面臨安全威脅，云服務企業也不例外，主要涉及非法獲取企業數據、控制企業計算機信息系統等多種形式。近年來，此類事件呈不斷上升趨勢，原因是網絡攻擊行為的隱蔽性和低成本化。以DDoS攻擊（黑客遠程控制服務器或計算機等資源，對目標發出高頻服務請求，使目標服務器因來不及處理海量請求而癱瘓）為例，攻擊成本僅為500元/次，且可以隨機發動，難以追溯和防范。

數據是“數字時代的石油”，也是互聯網企業爭相追逐的對象。實踐中，企業通過合法渠道獲取數據的成本較高。有企業為了降低成本，快速獲取數據，就利用非法技術手段侵入云服務企業的數據庫，直接截留系統傳輸的數據，或者以非法收購數據等方式實現企業業績短期內的快速增長。

我們可以通過案例了解云服務企業面臨的安全威脅。

2017年初，姚某某等人受王某某雇傭，招募多名網絡技術人員，在境外成立“暗夜小組”黑客組織?！鞍狄剐〗M”從丁某某等3人處購買了大量服務器資源，再利用木馬軟件操縱控制端服務器實施DDoS攻擊。2017年2月至3月間，“暗夜小組”三次利用14臺控制端服務器，對某互聯網公司云服務器上運營的三家游戲公司的客戶端IP進行DDoS攻擊。攻擊導致三家游戲公司的IP被封堵，出現游戲無法登錄、用戶頻繁掉線、游戲無法正常運行等問題。為恢復服務器的正常運行，某互聯網公司組織人員對服務器進行了搶修，為此支付4萬余元。

該案在2018年4月開庭審理，同年6月8日經廣東省深圳市南山區人民法院判決。被告人姚某某等11人違反國家規定，使用DDoS攻擊對計算機信息系統功能進行干擾，造成計算機信息系統不能正常運行，后果嚴重，其行為構成破壞計算機信息系統罪。該案作為最高檢發布的第十八批指導性案例之一，也是最高檢推行指導性案例制度以來，首個涉及云服務的網絡犯罪案件。

關于企業用戶

當前，網絡空間高速發展讓眾多企業享受著在數據海洋中沖浪的樂趣。但是，作為云服務的用戶，一旦遭遇云數據泄露，如何追究侵權責任就成了大問題。

通過下面這則案例，可以了解云服務商侵權責任認定的難度。

北京樂動卓越科技有限公司（以下簡稱“樂動卓越公司”）是游戲《我叫MT online》的著作權人。2015年8月，樂動卓越公司接到玩家投訴稱，網址為“www.callmt.com”的網站提供《我叫MT暢爽版》的下載及游戲充值服務。樂動卓越公司經比對發現，該款游戲涉嫌非法復制己方游戲的數據包。公司利用技術手段發現，該款游戲內容存儲于由阿里云計算有限公司（下稱“阿里云公司”）作為云服務器租賃服務商提供的阿里云服務器上，并通過該服務器向客戶端提供游戲服務。樂動卓越公司兩次致函阿里云公司，要求其刪除涉嫌侵權的內容，并提供服務器租用人的具體信息。但阿里云公司僅對前述通知進行了“轉通知”，而沒有采取其他措施。樂動卓越公司認為，阿里云公司未及時刪除侵權游戲，致其損失擴大，構成侵權。

本案二審法院最終沒有支持樂動卓越公司對阿里云公司的訴訟請求。法院認為，根據特別法優于一般法的原則，涉及網絡著作權侵權，應優先適用《信息網絡傳播權保護條例》，而非《侵權責任法》。

《信息網絡傳播權保護條例》（以下簡稱《條例》）中的網絡服務提供商，為自動接入或自動傳輸服務提供商（第20條），自動緩存服務提供商（第21條），信息存儲空間服務提供商（第22條），搜索或鏈接服務提供商（第23條）?！肚謾嘭熑畏ā芬幎ǖ木W絡服務提供者，除《條例》規定的以外，還包括其他網絡技術服務提供者。

信息“上云”成為人們日常工作和生活的一部分

《條例》規定的“通知—刪除”規則僅適用信息存儲空間服務提供商和搜索鏈接服務提供商。而自動接入或自動傳輸服務提供商、自動緩存服務提供商不受該規則約束，只要符合《條例》規定的條件即可免除賠償責任。《侵權責任法》第36條規定的“通知加采取必要措施”規則，則可能既適用于信息存儲空間、搜索或鏈接服務提供者，也適用于其他網絡技術服務提供者。

《條例》中受“通知—刪除”規則約束的網絡服務提供者，在接到通知后應采取刪除、斷開鏈接的措施。根據《侵權責任法》的規定，網絡服務提供者所應采取的措施除了刪除、斷開鏈接外，還包括屏蔽等必要措施。

另外，法院認為樂動卓越公司的三次通知，均無法構成法定合格有效的通知，同時法律也并未規定網絡服務提供者在收到不合格、不清楚、不完整的通知后，應承擔聯系、核實、調查等責任。

如果網絡服務提供者收到了通知，則其應當依法采取“必要措施”。但該“必要措施”同時應當遵循審慎、合理的原則，根據所侵害權利的性質、侵權的具體情形和網絡服務提供者的技術條件、能力等綜合確定，實現權利保護、行業發展與網絡用戶利益的平衡。

在該案中，根據云服務器租賃服務的性質，將“刪除、屏蔽或者斷開鏈接”作為云服務器租賃服務提供商應采取的必要措施和免責事由，與行業實際情況不符。