今年4月，歐盟委員會(huì)副主席莉•克羅斯表示，云計(jì)算對歐洲的發(fā)展至關(guān)重要，現(xiàn)在我們需要做一些工作，最首要的就是法律框架，“它顯然是國際層面的事情，包括數(shù)據(jù)保護(hù)和隱私保護(hù)，包括管轄權(quán)的分配、法律責(zé)任和消費(fèi)者保護(hù)等。”
　　云計(jì)算從誕生之日起就伴隨著法律爭議，很多國家已經(jīng)開始討論在法律上對其加以規(guī)范，適用原有的數(shù)據(jù)保護(hù)法、隱私法或者有針對性地制定相關(guān)法律。
　　首先是跨境提供的問題。云計(jì)算與傳統(tǒng)的外包服務(wù)不同，其主要區(qū)別在于借助云計(jì)算，數(shù)據(jù)通過互聯(lián)網(wǎng)進(jìn)行存儲(chǔ)和交付，數(shù)據(jù)的擁有者不能控制，甚至不知道數(shù)據(jù)的存儲(chǔ)位置，數(shù)據(jù)的流動(dòng)是全球性的，跨越了國界、穿越了不同的時(shí)區(qū)。產(chǎn)生法律問題的關(guān)鍵是任何人很難知道數(shù)據(jù)在哪里共享和傳送，數(shù)據(jù)跨境傳送、即時(shí)性地在全球傳播，而每個(gè)國家都擁有自己的法律以及管理要求，云計(jì)算服務(wù)的提供者顯然無法做到與所涉及的所有國家的法律相符合，因此對各國管轄權(quán)之下的法律義務(wù)帶來挑戰(zhàn)。
　　歐盟1995年通過了《數(shù)據(jù)保護(hù)指令》(即歐洲議會(huì)和理事會(huì)1995年10月24日關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流動(dòng)的95/46/EC指令)，通常稱為“一般指令”，對于云計(jì)算，最主要的規(guī)定是，在缺乏特定的承諾機(jī)制的情況下，歐盟禁止歐盟居民的個(gè)人信息轉(zhuǎn)移出歐盟到美國和世界上大部分國家。這對云計(jì)算意味著什么？如果你想將包含歐盟居民個(gè)人信息的數(shù)據(jù)放到云上(這些個(gè)人信息可能是簡單如一個(gè)郵件地址或雇用信息)，將這些數(shù)據(jù)從歐盟傳送到世界上的幾乎任何地方，你不能簡單地將這些數(shù)據(jù)扔到云上，而是需要至少符合以下條件之一：
　　國際安全港認(rèn)證(International Safe Harbor Certification)，允許數(shù)據(jù)從歐盟傳送到美國，但不包括到其他國家。
　　格式合同，允許數(shù)據(jù)從歐盟傳送到非美國的其他國家，但是由于云計(jì)算涉及多層次的供應(yīng)商關(guān)系，格式合同并不總是有效；
　　有約束力的公司規(guī)則(即根據(jù)歐盟數(shù)據(jù)保護(hù)法制定的跨國公司、國際組織跨境傳送個(gè)人信息的規(guī)則)，該規(guī)則專門針對跨國公司設(shè)計(jì)，因此對于云服務(wù)提供商也不一定起作用。
　　為了執(zhí)行歐盟指令，每個(gè)成員國也制定了相應(yīng)的法律。如德國的數(shù)據(jù)保護(hù)法，規(guī)定無論云計(jì)算服務(wù)提供商是否位于歐盟，使用云計(jì)算的公司必須采取必要的措施保護(hù)個(gè)人數(shù)據(jù)的完整性和安全。例如，公司必須與云計(jì)算服務(wù)提供商簽訂合同，以符合數(shù)據(jù)保護(hù)法的相關(guān)條款，如果不遵守這些法律，將面臨罰款和民事訴訟。
　　其次是數(shù)據(jù)保護(hù)和隱私權(quán)的問題。云服務(wù)與各國數(shù)據(jù)保護(hù)法、隱私法的關(guān)系是目前備受關(guān)注的話題。在美國，涉及到愛國者法、薩班斯法以及保護(hù)各類敏感信息的相關(guān)法律。愛國者法案授權(quán)美國的執(zhí)法者為反恐之目的，經(jīng)法庭批準(zhǔn)后，不經(jīng)允許地接觸到任何人的個(gè)人記錄。這意味著，如果你使用位于美國的服務(wù)器，或位于美國的云計(jì)算服務(wù)提供商，美國執(zhí)法者為了反恐調(diào)查的目的，都可以通過取得一個(gè)法庭命令的方式，不經(jīng)你的允許而檢查你的數(shù)據(jù)。加拿大也有類似的規(guī)定，它的反恐法案(ATA)和國防法(National Defense Act，NDA)賦予國防部長檢查數(shù)據(jù)保存的權(quán)力。美國愛國者法的第326章還要求所有的金融機(jī)構(gòu)(包括信用卡公司)獲取、證明和記錄每一個(gè)帳戶中開戶、變更和付費(fèi)人的信息。薩班斯法案(Sarbanes-Oxley)的頒布也為數(shù)據(jù)保護(hù)提供了法律依據(jù)，適用薩班斯法案的企業(yè)在使用云計(jì)算服務(wù)的時(shí)候必須確保他們的供應(yīng)商符合薩班斯法案的要求。此外，這一問題也適用不同部門如金融、健康等方面的法律，也涉及不同類型的敏感信息，如兒童的數(shù)據(jù)。美國的聯(lián)邦法律如金融服務(wù)法(Gramm-Leach-Bliley)，適用于金融機(jī)構(gòu)的數(shù)據(jù)保護(hù)；健康保險(xiǎn)便利及責(zé)任法案(HIPAA)，適用于健康服務(wù)提供者和其他與健康信息相關(guān)的實(shí)體；兒童在線隱私保護(hù)法(COPPA)，適用于收集小于13歲的兒童的數(shù)據(jù)，等等。
　　第三，合同規(guī)范存在困難。通常，服務(wù)提供者與客戶之間通過合同來規(guī)范各自的權(quán)利義務(wù)。但是，在云計(jì)算建立起標(biāo)準(zhǔn)和可信的程序之前，云服務(wù)的使用者希望通過合同得到保護(hù)，是非常困難和不可能的事情。靈活、易于使用的服務(wù)和易于共享的基礎(chǔ)設(shè)施是云計(jì)算的優(yōu)勢，但是云計(jì)算使用方式會(huì)產(chǎn)生很多安全問題。提供云計(jì)算的公司在與客戶的合同中，不可能對安全問題做出合同上的承諾，因?yàn)樗麄儫o法控制，他們甚至不能告訴客戶這些數(shù)據(jù)位于什么位置。如果要求云計(jì)算的服務(wù)商在合同中作出承諾，并且承擔(dān)額外的義務(wù)，這很可能會(huì)破壞云計(jì)算的價(jià)格模式，使其優(yōu)勢不在。
　　云計(jì)算所產(chǎn)生的這些法律問題，給世界各國都帶來了挑戰(zhàn)，在一些國家關(guān)于黑莓的限制被重新提起。例如，法國規(guī)定政府不能使用黑莓手機(jī)，因?yàn)樗�有的郵件路由將通過美國，易被美國國土安全部看到。在印度，為了阻止政府關(guān)于使用黑莓設(shè)備的禁令，RIM公司與政府合作，以解決國家安全和用戶隱私的問題。云計(jì)算的提供者們也在為此努力。據(jù)紐約時(shí)報(bào)報(bào)道，惠普、微軟、Google和Oracle等都在尋找解決問題的辦法，例如，在惠普英國的實(shí)驗(yàn)室中，研究者正在試圖將數(shù)據(jù)發(fā)送到云計(jì)算中心之前進(jìn)行加密，并在它離開云之后再解密。另外的解決辦法是，賦予個(gè)人對數(shù)據(jù)進(jìn)行數(shù)字標(biāo)簽的能力，以控制云中每一部分的個(gè)人信息。這些公司也在游說各國的立法者放松限制，以確保公司能夠在管制者確定的邊界內(nèi)，發(fā)展云計(jì)算。
　　云計(jì)算產(chǎn)生的法律問題是全球性的，未來除了各國在各自管轄權(quán)范圍內(nèi)的法律規(guī)制外，也許在國際層面的立法努力將更為有助于云計(jì)算的發(fā)展和安全保護(hù)。
　　作者簡介：
　　李海英：工業(yè)和信息化部電信研究院政策與經(jīng)濟(jì)研究所法制監(jiān)管研究部副主任，主要研究范圍為電信立法、互聯(lián)網(wǎng)法律法規(guī)、WTO規(guī)則及電信市場開放。

泰爾網(wǎng)