云计算从诞生之日起就伴随着法律争议,很多国家已经开始讨论在法律上对其加以规范,适用原有的数据保护法、隐私法或者有针对性地制定相关法律。
首先是跨境提供的问题。云计算与传统的外包服务不同,其主要区别在于借助云计算,数据通过互联网进行存储和交付,数据的拥有者不能控制甚至不知道数据的存储位置,数据的流动是全球性的,跨越了国界、穿越了不同的时区。
产生法律问题的关键是人们很难知道数据在哪里共享和传送,数据跨境传送、即时性地在全球传播,而每个国家都拥有自己的法律及管理要求,云计算服务的提供者显然无法做到与所涉及的所有国家的法律相符合,对于其履行各国管辖权之下的法律要求带来了很大的挑战。对此,国际上很多组织在数据保护的初期就已经开始了相关法律法规的制定工作。
欧盟1995年通过了《数据保护指令》(欧洲议会和理事会1995年10月24日关于涉及个人数据处理的个人保护及此类数据自由流动的95/46/ec指令),通常称为“一般指令”。对于云计算,最主要的规定是,在缺乏特定承诺机制的情况下,欧盟禁止欧盟居民的个人信息转移出欧盟到美国和世界上大部分国家。如果将包含欧盟居民个人信息的数据放到云上(这些个人信息可能是简单的一个邮件地址或雇佣信息),将这些数据从欧盟传送到世界上的几乎任何地方,则至少需要符合以下条件之一:
· 国际安全港认证(International Safe Harbor Certification),允许数据从欧盟传送到美国,但不包括到其他国家 。
· 格式合同,允许数据从欧盟传送到非美国的其他国家,但是由于云计算涉及多层次的供应商关系,格式合同并不总是有效。
· 有约束力的公司规则(根据欧盟《数据保护法》制定的跨国公司、国际组织跨境传送个人信息的规则),该规则专门针对跨国公司设计,因此对于云服务提供商也不一定起作用。
为了执行欧盟指令,每个成员国都制定了相应的法律。如德国的《数据保护法》规定,无论云计算服务提供商是否位于欧盟,使用云计算的公司必须采取必要的措施保护个人数据的完整性和安全。例如,公司必须与云计算服务提供商签订合同,以符合《数据保护法》的相关条款,如果不遵守这些法律,将面临罚款和民事诉讼。
其次是数据保护和隐私权的问题。云服务与各国数据保护法、隐私法的关系是目前备受关注的话题。在美国,涉及到《爱国者法案》、《萨班斯法案》及保护各类敏感信息的相关法律。《爱国者法案》授权美国的执法者为进行反恐工作,经法庭批准后,可以不经允许地接触到任何人的个人记录。这意味着,如果使用位于美国的服务器,或位于美国的云计算服务提供商,美国执法者为了反恐调查的目的,都可以通过取得一个法庭命令的方式,不经客户的允许而检查他们的数据。加拿大也有类似的规定,它的《反恐法案(ATA)》和《国防法(NATIONAL DEFENCE ACT,NDA)》赋予国防部长检查数据保存的权力。美国《爱国者法案》的第326章还要求所有的金融机构(包括信用卡公司)获取、证明和记录每一个账户中开户、变更和付费人的信息。《萨班斯法案》的颁布也为数据保护提供了法律依据,适用《萨班斯法案》的企业在使用云计算服务的时候,必须确保他们的供应商符合《萨班斯法案》的要求。此外,这个问题也适用于金融、健康等方面的法律,还涉及不同类型的敏感信息,如儿童的数据。美国的联邦法律如《金融服务法(GRAMM-LEACH-BLILEY)》适用于金融机构的数据保护,《健康保险便利及责任法案(HIPAA)》适用于健康服务提供者和其他与健康信息相关的实体,《儿童在线隐私保护法(COPPA)》适用于收集小于13岁的儿童的数据等。
再次是国际执法问题。国际警察局协会IACP(International Association of Chiefs of Police)鉴于云计算技术为政府执法机构提供的巨大帮助,认识到执法获取信息的敏感性、责任特别性、准确性、可靠性、安全性及内在数据可用性控制,要满足动态操作的需要,同时要保持系统和数据的安全,执行机构使用或考虑使用云计算服务应确保规划和实施满足以下关键的原则。这些原则可以体现在云服务提供商的合同协议中或者服务水平协议(SLA)上 。关键原则包括:
(1)联邦调查局刑事司法信息服务(CJIS)安全政策合规——云服务提供商提供的服务必须符合刑事司法信息服务(CJIS)的要求,包括其修正版。
(2)数据所有权——执法机构应该确保他们保留所有数据的所有权。
(3)不允许数据挖掘——执法机构应当确保云服务提供商没有明确授权的数据挖掘或者数据分析。
(4)审计要求——一旦有必要或在双方约定的时间,执法机构要对云服务提供商或其提供的服务进行审计,包括性能、使用、访问和任何协议条款的遵守。
(5)可移植性和互操作性——云服务提供商应该确保数据维护的供应商提供给执法机构的数据是可以移植到其他操作系统的,并可互操作的,满足数据的安全性和完整性。
(6)完整性——云服务提供商必须维护执法的物理或逻辑完整数据。
(7)生存力——与云服务提供商的任何协议的条款,应该意识到潜在的业务结构的运营,和、或云服务提供商的组织机构的变化,确保业务的持续性和数据的安全性、保密性、完整性、访问和效用。
(8)机密——云服务供应商作为执法机构数据维护的代表应该确保数据的机密。
(9)可用性、可靠性和性能——云服务提供商必须确保提供给执法机构的执法数据符合约定的性能指标。
(10)成本——执法机构在总体成本模型评估的基础上通过云采购询价方式做出成本决策。
2015年3月3日,韩国国民议会通过《云计算的发展和用户保护法案》(The Act on the Development of Cloud Computing and Protection of Users,简称Korean Cloud Act)。该法案于2015年9月28日生效,旨在促进投资和支持云市场,特别是政府方面;允许和鼓励公共机构使用云服务(包括公有云服务);为云服务提供商提供安全保障。同时,法案也提出了数据方面的制裁措施,例如任何人未经同意使用或透露客户的信息给第三方,处罚为不超过5年徒刑或不超过5 000万韩元(约46 500美元)的罚款。法案全文参见http://www.law.go.kr/ lsEfInfoP.do? lsiSeq=169562#。
俄罗斯为了保护公民的个人信息,2014年通过新的法律规定了严格的云计算数据保留法案,影响范围包括俄罗斯任何机构对外国云服务的使用。法律要求这些服务的数据都要存储在俄罗斯国家范围内——这意味着任何云服务中的数据、俄罗斯公民的个人资料必须在俄罗斯联邦国家疆域内的物理服务器上存储。如果没有满足严格的要求,监管数据将不会被允许离开国家的边界 。这个法律在2016年生效,现在许多企业为防止业务中断的风险,开始纷纷改造过程和系统以便符合这些新标准,否则他们的IT系统将受俄罗斯国家电信机构的阻塞或限制。许多国家正在通过类似的云数据安全法律应对政府新闻在线监测(爱德华·斯诺登“棱镜门”事件)和其他未经授权的访问。企业因此寻求创新和切实可行的方法来解决这些新的数据保留权要求。
云数据保护网关法规允许企业和政府机构在将数据传入云端之前,将监管或敏感数据替换为动态令牌标记串。使用动态令牌标记时,敏感数据从未离开组织机构的控制,这在德国 、澳大利亚 、加拿大 、中国 、瑞士 及上面提到的俄罗斯2016年生效的法律上都有严格的要求。