云计算对个人信息保护的法律释解

21世纪是一个信息时代，人们可以通过互联网络获得极大的信息资源，也可以通过互联网更加方便快捷的运用信息和传播信息。根据中国互联网络信息中心（CNNIC）2013年1月发布的《第31次中国互联网络发展状况统计报告》⑤显示：截至2012年12月底，即时通信用户规模达4.68亿，尤其是手机端即时通信产品不断创新吸引了大量新的用户，手机即时通信用户数为3.52亿，令即时通信成为自2011年底以来我国第一大网民上网应用功能；搜索引擎作为中国网民获取信息的重要工具，其用户规模已达4.51亿，运用手机搜索的用户数达2.91亿，稳居互联网应用功能第二的位置；我国网络博客和个人空间用户数量为3.72亿，微博用户规模为3.09亿，其中手机微博用户规模则高达2.02亿，微博除了能传播信息之外，它还是网民生产信息、获取信息、评论信息的重要渠道，所以目前许多传统媒体机构纷纷增加微博平台作为新型媒体来发声，可以说微博正在成为网络舆论信息传播的重要渠道。云计算技术的运用，给信息时代的加速发展提供了更强的技术力量，增加了更多的动力，使人们可以通过各种互联网终端获取更多的信息，也可以更加自由的生产信息、传播信息、评价信息，它为人们大大提高信息资源的获取率和利用率的同时，也大大降低了获取和利用、传播信息的能源消耗和时间成本，为信息时代的人们带来了极大的信息自由。但是任何事物都具有两面性，从云计算诞生的那一天开始，人们一直对云计算的信息安全性、可靠性充满疑虑和担忧。埃森哲卓越绩效研究院和中国电子学会云计算专家委员会曾在2010年5月份共同发布一份名为《中国云计算发展的务实之路》⑥的报告，明确指出安全问题是全球对云计算最大的质疑。近几年来，云计算服务多次发生服务中断、数据泄露、系统瘫痪事件。如：2009年2月，谷歌的Gmail电子邮箱爆发全球性故障，服务中断长达4小时；6月，Rackspace由于供电设备跳闸，备份发电机失效，遭受了严重的云服务中断故障；11月，Rackspace再次发生重大的云服务中断。2010年1月，Salesforce.com的几乎6万8千名用户经历了至少1个小时的宕机；3月，VMware的合作伙伴Terremark发生了七小时的停机事件；6月，Intuit的在线记账和开发服务经历了大崩溃；9月，微软在美国西部几周时间内出现至少三次托管服务中断事件。2011年3月，谷歌大约有15万Gmail用户发现自己的所有邮件和聊天记录被删除，还有部分用户发现自己的帐户被重置；4月，由于EC2业务的漏洞和缺陷，亚马逊云数据中心服务器大面积宕机，这一事件被认为是亚马逊史上最为严重的云计算安全事件。⑦虽然多次爆发安全事故可以促进云计算技术逐渐成熟，但是这些安全事件导致用户信息大面积丢失或泄露的严重后果，又不得不令人们对云计算服务的安全可靠性打上大大的疑问号。如果云计算服务提供商不能很好的重视和解决信息安全问题，包括用户个人信息安全的保护问题，将导致用户对云计算服务的信任度直线下降，遏制云计算事业的持续发展和技术的进步。

二、云计算环境下个人信息保护存在风险的原因分析

上述一系列云计算服务引起的安全事件产生的原因有很多，由于云计算是一项新的计算技术，它必须通过互联网络传递信息、交换数据，且信息的计算量和交换量都是海量，在现有网络技术还存在很多不成熟和不完善的情况下，云计算服务系统无法彻底根除软件和硬件的技术漏洞或缺陷，因此黑客的侵袭，软硬件的配置错误或基础设施的故障等，都可能成为导致用户的个人信息安全风险的原因。1．云计算的新型服务模式易导致个人信息泄露2008年8月，在美国拉斯维加斯市举行的黑帽(BlackHat)技术大会上，美国军事安全专家格雷格•康蒂(GregConti)表示，“云计算”在给人们带来巨大便利的同时，该服务中所存在不足也将危及企业用户和普通网民的隐私安全。⑧“云计算”的服务模式，简而言之，就是由云计算服务提供商运用云计算技术组建大型数据中心，为用户（包括各类企业、政府行政机构、事业单位、科研机构以及个人用户等等）提供云计算服务平台进行数据存储、信息交换、软件测试、硬件设计等任务，因此对于用户而言，他们在使用云计算服务时，相当于把自己的信息数据交给云计算服务提供商保管，用户自身难以控制这些数据信息的安全性，完全依靠云计算服务提供商来保障，这样的服务模式蕴含着极大的信息安全风险。⑨原因很简单，用户将包括商业机密、隐私信息在内的各种数据资料储存在云服务提供商提供的云端，就如同将自己的钱财珠宝存储在银行提供的保险箱里，虽然用户自己掌握着打开银行保险箱的钥匙且有密码，看似很保险，但也不能排除被盗的风险，一旦这把钥匙被别人偷了或捡了，或是密码被人破译了，保险箱就很可能被别人打开窃走钱财。同理，每个用户在使用云服务器时是通过用户名（ID）和密码进入自己存储信息的云端，用户名和密码就相当于保险箱的钥匙和口令，一旦被黑客破译，那么黑客就可以侵入用户的云端盗取用户的数据信息，产生一系列严重的危害后果，如：个人的信息或隐私被泄露曝光，可能会有各种形式的骚扰甚至是敲诈勒索纷至沓来；企业的商业秘密被窃取，会导致严重的经济损失；还可能导致云服务提供商的服务被攻击而中断，用户无法正常开展业务。例如2011年4月索尼旗下Playsta-tion网站曾遭入侵，黑客侵入索尼公司位于美国的数据服务器，窃取其PS3和音乐、动画云服务网络Qriocity用户登录的个人信息，受影响用户多达7700万人，其中1000万个人信用卡账号也存在遭窃可能，涉及57个国家和地区，堪称世界范围内迄今为止规模最大个人信息遭窃事件。⑩目前的网络技术必然存在一定的技术漏洞，要想完全防御黑客的入侵保障安全几乎不可能，虽然云计算服务商在不断开发新的技术来弥补技术漏洞，完善服务模式，但是魔高一尺，道高一丈，黑客也会利用新的技术来开展新的攻击，云计算服务提供商无法对安全性打包票，无法确保用户数据不会遭受黑客窃取。因此有人认为“交由第三人代管的信息安全与隐私问题”是云计算时代急需克服的主要难题之一，信息安全成为“云”落地化雨、润泽全球的一大瓶颈。輯訛輥2.计算机软件病毒也是云计算环境下造成个人信息不安全的重要因素之一在云计算技术广泛推广之时，应特别提防计算机病毒的威胁，因为云计算借助网络实现信息快速高效的传播，一旦信息数据被感染了具有破坏性和传染性的计算机病毒，病毒也很可能在网络间被迅速复制传播，令网络中的所有不具有适当保护措施的计算机中招甚至整个网络瘫痪，这就是多米诺骨牌效应在云计算系统中的可怕显现，后果将非常严重。另外，云计算的服务终端不仅可以是电脑，也可以是智能手机，现在随着移动APP程序的下载功能日益丰富，手机病毒也日益丰富起来。很显然，若计算机病毒侵入存储海量信息的云计算服务数据中心，将直接导致账号或密码被盗，数据信息或隐私泄露，商业秘密被侵犯的涉及面更大，危害性更大。即使计算机采取防火墙等安全保护措施，也未必能完全避免病毒软件的侵袭，因此用户个人信息的泄露很难杜绝。3.云计算系统的硬件设备容易受到外界干扰而导致个人信息不安全云计算系统是由计算机软硬件组合而成的大型信息系统，信息的传输依靠硬件设备的数据线路进行传播，也依靠信息转换、识别等系统来进行获取还原，所以硬件若存在技术缺陷就非常容易导致信息失真、中断甚至泄露，成为云计算发展的重要技术壁垒。再者，计算机硬件系统若受到自然的或人为的物理破坏（例如地震、海啸、火灾等灾害），就很容易受到严重干扰甚至被破坏而直接影响系统功能的实现，2011年3月日本发生强烈的9级地震就是典型例子，使大批世界知名IT企业设在日本本土的云计算技术数据中心受到不同程度的损害，直接导致太平洋地区的数据交换被迫中断，损失高达数十亿美元輰訛輥。4.云计算服务提供商缺乏统一的技术标准，技术上的兼容性较差影响个人信息安全技术标准的统一性和兼容性是影响云计算时代的用户个人信息安全的一大因素，但是由于云计算无论是技术还是产业都仍处于发展的初级阶段，对于技术标准的制定虽然全球有50多个标准组织宣布进行云计算开放标准的制定，但由于缺乏主流云服务提供商的参与，云计算的开放标准进展较为缓慢，有关云计算的安全性标准还有待强化和细化。輱訛輥云计算时代的用户个人信息安全还取决于云计算服务提供商服务的持续性、稳定性，尤其是对于公共云服务而言，如果服务提供商缺乏对用户个人信息安全保护的意识和相关技术措施的布设，甚至服务提供商监守自盗，利用为用户提供信息平台的机会打着安全保护的幌子窃取用户个人信息，又或者供应商自身无法持续经营而破产或被其他厂商兼并，个人信息能否持续得到保护、如何迁移到新的供应商提供的云端、数据信息迁移到新供应商的云端能否做到技术上的兼容以及能否保证信息的完整性和安全性都将得不到充分保障。

三、云计算技术带来的个人信息安全问题的法律困境

世界上已有70多个国家或组织专门制定了保护个人信息安全的法律法规，可见，云计算产生的个人信息安全问题已经引起多国的广泛关注和高度重视。虽然我国涉及到保护个人信息安全的法律法规总数不少，根据工业和信息化部相关人士提供的统计数字，目前我国有近40部法律、30余部法规及近200部规章涉及个人信息保护，其中包括规范互联网信息规定、医疗信息规定、个人信用管理办法还有刑法修正案（七）关于侵犯个人信息刑事法律责任的规定等。輳輥訛但这些法律规定普遍存在法律层级太低、适用范围狭窄、内容分散不成体系、多头管理权责不明晰、处罚力度不够、操作性不强等问题，因此这一众法律法规仍然难以形成坚挺的法盾对个人信息安全提供强有力的法律保护，更遑论在云计算环境下保护个人信息安全的问题具有独特性和新颖性，相应的法律法规更是缺位。尽管我国现今的个人信息保护面临非常恶劣的局面，虽经多年的调研、起草、酝酿，但我国的《个人信息保护法》至今始终难以出台，民众都非常期待这部法律的尽快出台。在这部法律的立法过程中，立法者也应充分考虑云计算技术的影响，设定适宜的法律规定满足云计算时代的需要。云计算对于个人信息安全的司法管辖权提出挑战。云计算技术最大的一个特点在于数据信息资源存储在分布全球的各个数据中心，其借助互联网进行交换和调配，所以数据流动通常是跨越国界的，连云计算服务提供商都不能确切知道某一用户的信息存在于哪一个具体的数据中心，也就是说，云计算时代的数据交换传输随时都可能是跨区跨境的即时传播。但每个国家的法律法规都是自成体系，对于网络监管、数据传输、个人信息保护等均具有不同的法律要求，云计算服务提供商提供的服务不可能同时满足所有国家的法律法规，而且一旦发生个人信息泄露等安全事件，究竟应归属哪个国家或地区的法院享有案件的管辖权将成为司法疑难问题。可见，云计算时代不仅需要建立全球性的云计算技术规则和统一标准，还需要建立全球性的适用于云计算发展的法律规则。立法应明确云计算服务提供商、网络服务提供商等主体对个人信息保护的法律责任。云计算服务提供商在提供服务之前都会与用户签订云计算服务合同，以规范双方权利和义务，但是云计算服务提供商却很难在合同中对云计算产生的安全问题作出过多保证与承诺，因为从客观上来说他无法控制甚至知道信息的存储位置等具体信息，也无法完全防范黑客侵袭、病毒软件、硬件破坏等情况所带来的安全问题，从主观上来说他也会从利己的角度考虑尽可能规避和减少自己的法律责任，所以法律应该对云计算服务提供商提出对个人信息安全保护的义务要求，明晰其若违反义务要求应承担的法律责任，以规范这些主体合法合规的提供云计算服务和保护个人信息安全，当然法律也应充分考虑云计算服务模式的特点，不应影响云计算的技术优势和良性发展。

四、结语

云计算带来了信息技术的革命，令信息自由有了极大的空间，但是也带来了很多信息安全的法律问题，对于用户个人信息的保护提出了极大的挑战。云计算服务的发展除了应在技术层面更好的填补漏洞，尽量不让黑客有可乘之机，不受到外界干扰而影响服务的持续性和稳定性，还应该在法律上加强监管，严格执行对于个人信息保护的现有法令的同时，还要结合云计算技术发展所带来的问题进行相应立法，迎合现代云计算技术发展的需要。全球范围内，多个国家已经针对个人信息保护建立了不同层次的法律法规，虽然不见得非常完备，但也值得我国借鉴和学习，加强对侵犯个人信息违法行为的惩罚力度，建立既有助于云计算的持续发展又能充分保护个人信息安全的良好的法律环境。