云计算环境下信息安全法律存在的问题及应对策略分析

王凤暄

〔摘 要〕云计算代表一个新的商业模式，以服务的形式提供数据资源，在互联网上按用户的使用量收费。在本文中，我们假设云计算可以被描述为一个复杂的系统，在分析云计算环境下的信息安全面临挑战的原因分析的基础上，从法律角度阐述了实现云计算面临的安全风险以及相应的解决措施。

〔关键词〕云计算；信息安全；安全风险；法律风险

DOI：10.3969/j.issn.1008-0821.2015.07.032

〔中图分类号〕G203 〔文献标识码〕A 〔文章编号〕1008-0821（2015）07-0167-05

〔Abstract〕Cloud computing is a new business model，providing data resource in a way of service which the users can buy depending on the practical need.In this article，supposing that cloud computing is a complex system，from the respective of law，by analyzing the reasons of information security，the paper analyzed and summarized the existing problems and the corresponding strategies.

〔Key words〕cloud computing；information security；security risk；law risk

目前云计算已经在Google、Amazon、IBM、微软等私营部门广泛应用，而且日益受到公共部门的欢迎和认可。因为云的经济效益明显，云的使用可以使企业、政府部门以及普通用户将他们的或多或少的电子数据存放到第三方平台的大型主机上，而无须购买自己的硬件系统。这样就能降低成本，提高效率，促进新服务和举措的推进。

然而，云计算技术使得人们可以随时随地通过网络获取各种软件服务和超大的计算能力，降低了资金成本和时间成本，带来了极大的便利，但与此同时，也引发了一系列的信息安全问题，如数据泄露、非法内容的托管和信息的不可访问等等。目前云计算环境下的信息安全法律问题已经引起了极大的关注和重视。

1 云计算基本概念

云计算是一种基于互联网的超级计算模式，是一种全新的数据处理方式，通过互联网将所有的计算应用和信息资源连接起来，并部署在全球各个地方的服务器和数据中心，从而可以提供随时随地的访问和分享。目前，云服务主要有五种模式：平台即服务（Platform as a Service，PaaS）、基础设施即服务（Infrasturcture as a Service，IaaS）、数据即服务（Data as a Service，DaaS）、软件即服务（Software as a Service，SaaS）、通信即服务（Communication as a Service，CaaS）。

云计算在技术的使用上开启了新的商业模式，归纳起来，有以下两方面的特点：一方面，云的架构不再依赖物理框架，将每一个应用程序和每一种资源都变成一种服务，用户通过互联网按需使用付费即可；另一方面，云服务的提供是相互协作的结果，是不同类型的服务，如框架、平台、软件等共同整合的结果。

2 云计算环境下的信息安全面临挑战的原因分析

21 合同关系错综复杂

云服务的交易过程的完成是通过用户和云服务代理商之间建立合同关系实现的，然而云计算环境下，已经不是简单的双方之间的合同关系，而是形成了巨大而复杂的合同关系网络，值得注意的是这里的合同也包括服务协议。合同关系错综复杂具体表现为参与主体众多、参与主体不稳定以及合同条款动态变化。

211 参与主体众多

参与主体众多主要是因为一项云服务的提供是由多个云服务提供商共同完成，而不是单一的个体就可以实现。云环境下，用户购买的往往是一项服务而不是产品，用户和云服务提供商之间在服务水平协议（Service Level Agreements，SLA）的框架内签订合同，达成对服务质量、基础设施（正常运行时间、响应时间等）、安全、隐私、职责以及云服务提供商需要承担的责任等方面达成一致，形成合同关系[1]。

通常情况下，用户只与终端云服务提供商，即云服务代理商，具备合同关系，但事实上，由于一项服务的提供涉及多个提供商，而且，云服务提供商之间也建立了各种合同关系，从而形成了一个巨大而复杂的合同网络。

212 参与主体不稳定

参与主体不稳定主要是因为一项云服务的提供商不是一成不变的而是处于不断地变化当中，如一些服务商由于某种原因，不再是某项服务的提供商，从而又有新的提供商加入进来，这样旧的合同关系解除，新的合同关系建立，参与主体的不稳定性使得合同关系动态变化。

理想情况下，当用户的需求增加，云服务代理商可以和新的云服务提供商建立新的合同关系；当用户的需求没有得到满足时，云服务代理商和原来的云服务提供商解除合同关系，选择与服务更加优质安全、更加经济实惠的提供商进行合作。但实际的情况并不尽如人意，云服务提供商在不断改变，但并不能保证为用户提供更加安全和高质量的服务，反而增强了合同关系的复杂程度，在一定程度上增加了信息安全风险，扩大了用户信息、隐私知晓的范围，增大了泄露的可能性。此外，为利益纠纷的解决带来了不小的困难。

213 合同条款动态变化

合同条款的动态变化指的是合同条款随着服务、资源以及提供商的变化也会发生相应的变化，如在一段时期内，在需求增加或者减少的情况下，用户可能和原有的代理商协商合同条款，对合同内容进行相应的调整。endprint

除了终端用户和云服务代理商之间订立的合同条款会发生变化，云服务提供商之间的合同内容也会发生变化，合同内容的变化导致合同关系的复杂程度增加。

22 透明度不高

透明度不高，主要指的是云内部的操作本质上是不透明的，云服务提供商或者是代理商的内部结构和运转通常是不向公众披露的，因而对用户和组织来说很难了解合同的范围，尤其是确定哪些条款和条件是主要合同不可分割的一部分，用户一旦将数据交给第三方服务商实际上就已经对服务商使用、存储、处理数据的方式以及服务交付的方式失去了控制。

除此之外，在用户并不知情的情况下，合同条款和服务协议内容也会发生变化。服务协议通常会发生一些变化，如新的条款和条件已经自动被绑定，而变化内容并没有通知用户。不仅如此，云服务提供商之间的合同条款、服务协议的内容也会发生一些变化，但是由于用户只与供应链中的最后一个参与者（云服务代理商）建立合同关系，因而用户和云服务商之间并没有直接的权利义务关系也就没必要向终端用户通知协议条款和条件的变更，这就使得问题更加复杂化。

23 跨国化

跨国化指的是云计算的部署广泛，往往会跨越多个国家和地区，会涉及不同国家和地区的司法管辖权、国家边界和领土管辖权等。

云计算服务通常在几个区域扩展，建立全球分布的大的数据中心。为了确保以较低成本、减少延迟时间（相应请求的时间），提供快速可靠的服务，数据在好几个数据中心往往都进行复制，而且往往跨多个司法管辖区分布。根据实际和预期计算的资源的利用率以及当前网络拥堵的情况，会专门设计云计算技术保证数据从一个数据中心安全转移到另一个中心，而所有的这些算法不可能将国家边境问题考虑在内。尽管有些服务提供商允许用户指定数据存储和处理的国家或地区，但考虑到很多数据的地理位置很难提前确定，所以这只是例外而不是规则。

跨国化特征导致的后果是云服务提供过程中存储数据的流动性和不稳定性特征与法律相对静态和确定性特征之间发生冲突。

3 云计算环境下信息安全法律存在的不足

31 难以保证用户信息的隐私

云环境下，通常用户会自愿在互联网上发布自己的信息（博客、论坛、新闻组、微博等），以Facebook为例，用户在该社交网站上可以分享多种格式的数据文件，如文字、照片等，但问题是如果用户的各种数据被收集并处理和分析，就会得到比用户自愿发布的更多的信息。而这一点未必是用户愿意的。

目前的法律对于这一方面的规定并不能完全地保护用户的隐私安全，如第四修正案规定，如果用户将有关个人信息与公众进行了分享，就不会受到第四修正案的保护，除非只是与单个人进行分享；第三方原则规定，如果信息被自愿交给了第三方，那么这些信息就不再是私人的了[2]。

此外，由于法律的特殊规定，如美国的《爱国者法案》、《电子通信隐私法案》、《国家安全调查令》就赋予政府这种权利，即可以强制要求披露云服务商保管的记录，使得一些特殊机构，如政府、执法机构等可以对用户信息进行“搜查”，这也在一定程度上为用户隐私的保护带来安全风险。

32 难以追究云服务商的责任

云计算环境下，用户和服务商之间的合同关系错综复杂，也就使得明确合同关系中的每一方的权利义务关系不再容易。由于云的动态特征，当前情况下，服务商具有在任何时间决定将部分业务外包给第三方的权利，但却没有通知合同关系中的其他当事人的义务。这样就难以保证用户享用服务的质量和可靠性。由于云服务提供商向终端用户提供的服务基本是建立在服务水平协议的基础上。而协议中规定服务商对于第三方的活动不负有任何责任，这样就造成难以追究云服务商在第三方给用户带来的损失中应该承担的责任。

这就引发了一系列的法律问题，而这些问题和用户的利益息息相关，如服务商拒绝承担任何面向终端用户的责任，用户享有什么样的追索权？尽管他们没有直接的合同关系，但用户是否有权利让造成损失的分包商给出合理解释？如果没有追索权谁将为造成的损失负责？谁应该负责云中数据的不恰当或非法的传输？更重要的是如果不是先前确定的服务提供商而是随着时间发生改变，那么如何保证用户所享有的服务水平是一样的？如果这些问题不能通过法律的形式得到保障，用户的利益也就随时会受到威胁。

33 难以解决管辖权问题

通常情况下，云计算系统会涉及多个管辖区的法律，包括用户所在地的法律、云提供商所在地的法律、用户和提供者之间信息传输的媒介所在地的法律。不同的地区和国家，就会带来遵守和适用法律的困惑。

其实，本来在云中是没有国界的，然而一旦出现纠纷，如经济纠纷，国界就成了很大的障碍，因为目前还没有强制的规定亦或是统一的标准，甚至是不成文的行规，因此不同国家的法律规定就使得问题变得复杂化。因为通常情况下遵守了一个管辖区的相关法案往往意味着违反了另一个管辖区的法律规定。以法国的“阻碍法令”作为法律冲突为例，美国的法院可以责令整理来自在法国办公的美国公司的数据资料，但如果出现这样的披露，就会违反法国的阻碍法令。

34 难以进行执法

云计算增加了执法的复杂性。云中集中存储的数据很容易成为黑客攻击的对象，然而，要惩治这种犯罪行为并不是一件容易的事情。一方面是很难确定云中的犯罪的级别，另一方面是收集相关的犯罪证据也会面临很多挑战。通常情况下黑客在非法访问云数据中心时，会选择从1 000个甚至更多地账户分别获得价值较小的信息，但这种情况下，为了确定信息的价值超过了法律规定的数额，从而可以确定黑客的罪行级别，执法人员需要从成千上万的账户中收集信息，但由于黑客非法访问的信息对单个用户来说损失较小，也就无法直接形成确定黑客违法行为的重要证据。

不仅如此，尽管黑客通过1个入口非法访问了成千上万的用户信息，但是看起来像是只入侵了1台计算机，这样一来黑客很难被定为重罪[3]，因此也很难达到惩治黑客的目的，使其不能如此“嚣张”。endprint