齊愛(ài)民，祝高峰

(重慶大學(xué) 法學(xué)院，重慶 400044)

論云存儲(chǔ)中數(shù)據(jù)安全的法律保護(hù)

齊愛(ài)民，祝高峰

(重慶大學(xué) 法學(xué)院，重慶 400044)

云存儲(chǔ)是云計(jì)算的演變形式，云存儲(chǔ)與云計(jì)算既有聯(lián)系又有區(qū)別。云存儲(chǔ)是指借助網(wǎng)絡(luò)(尤其是Internet)，運(yùn)用應(yīng)用軟件，為用戶提供數(shù)據(jù)存儲(chǔ)及訪問(wèn)功能的一個(gè)軟硬件結(jié)合的數(shù)據(jù)集合系統(tǒng)。云存儲(chǔ)本身并不是一種服務(wù)，它是為了實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)服務(wù)功能而提供的一個(gè)系統(tǒng)支撐。云服務(wù)器位置的不確定性導(dǎo)致云存儲(chǔ)中數(shù)據(jù)位置多變。云存儲(chǔ)中的數(shù)據(jù)安全及隱私安全問(wèn)題給數(shù)據(jù)用戶提出了嚴(yán)峻的挑戰(zhàn)。云存儲(chǔ)中數(shù)據(jù)安全主要是指數(shù)據(jù)的采集、存儲(chǔ)、訪問(wèn)、處理及數(shù)據(jù)交易安全。云存儲(chǔ)中的數(shù)據(jù)安全與網(wǎng)絡(luò)安全息息相關(guān)，數(shù)據(jù)安全的法律保護(hù)亟需制定。

云存儲(chǔ)；數(shù)據(jù)安全；網(wǎng)絡(luò)安全；法律保護(hù)

數(shù)據(jù)安全將成為云存儲(chǔ)發(fā)展前進(jìn)道路上的“攔路虎”。互聯(lián)網(wǎng)已經(jīng)融入社會(huì)生活的各個(gè)領(lǐng)域，隨著網(wǎng)絡(luò)科技的迅猛發(fā)展，“云端”更是讓人們難以認(rèn)知，隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題、數(shù)據(jù)存儲(chǔ)安全問(wèn)題、數(shù)據(jù)訪問(wèn)安全問(wèn)題、數(shù)據(jù)處理安全問(wèn)題及數(shù)據(jù)交易安全問(wèn)題亟需有效的法律規(guī)制。數(shù)據(jù)資源的跨地域存儲(chǔ)與數(shù)據(jù)的本地化監(jiān)管之間的矛盾不可避免。云存儲(chǔ)中數(shù)據(jù)安全問(wèn)題的有效規(guī)制，不僅影響到網(wǎng)絡(luò)安全及數(shù)據(jù)安全的穩(wěn)定運(yùn)行，甚至?xí)绊懙絿?guó)家數(shù)據(jù)安全及國(guó)家數(shù)據(jù)主權(quán)安全。

一、云存儲(chǔ)的概念、特征及其架構(gòu)模式

(一)云存儲(chǔ)的概念

云存儲(chǔ)與云計(jì)算的概念既有聯(lián)系又有區(qū)別。一般認(rèn)為，云計(jì)算(Cloud Computing)是一種新興的共享基礎(chǔ)架構(gòu)的方法，是此前IT 領(lǐng)域幾項(xiàng)重要理念與技術(shù)——分布式處理(Distributed Computing)、并行處理(Parallel Computing)和網(wǎng)格計(jì)算(Grid Computing)的發(fā)展，或者說(shuō)是一種商業(yè)化的實(shí)現(xiàn)[1]。國(guó)外學(xué)者克里斯托弗·米勒德(Christopher Millard)在其著作《云計(jì)算法》(Cloudcomputinglaw)中將云計(jì)算定義為：“云計(jì)算就是一種通過(guò)網(wǎng)絡(luò)尤其是通過(guò)因特網(wǎng)，提供公共服務(wù)計(jì)算資源的一種方式，而這種公共服務(wù)方式可以根據(jù)用戶的需求向上下擴(kuò)展。”[2]雖然研究者各自對(duì)云計(jì)算的定義有不同的看法，但對(duì)于其是一種高速的計(jì)算處理方式，可以為云服務(wù)提供支撐是肯定的，云計(jì)算可以理解為云的初始發(fā)展階段狀態(tài)，而云存儲(chǔ)則是在云計(jì)算基礎(chǔ)上的延伸，理應(yīng)對(duì)其概念有新的認(rèn)識(shí)及解釋。

國(guó)內(nèi)有研究者認(rèn)為：“云存儲(chǔ)即云計(jì)算的資源存儲(chǔ)，它是一個(gè)由網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備、服務(wù)器、應(yīng)用軟件等多個(gè)部分組成的通過(guò)應(yīng)用軟件來(lái)對(duì)外提供數(shù)據(jù)存儲(chǔ)和業(yè)務(wù)訪問(wèn)的服務(wù)?！盵3]維基百科給云存儲(chǔ)的定義是：“云存儲(chǔ)是一種將數(shù)據(jù)資源存儲(chǔ)于邏輯池中的數(shù)據(jù)存儲(chǔ)模式，而物理環(huán)境中的數(shù)據(jù)存儲(chǔ)跨越多個(gè)服務(wù)器(通常是多處位置)，并且通常由托管公司擁有和管理，云存儲(chǔ)服務(wù)可以通過(guò)共同位置的云計(jì)算機(jī)服務(wù)來(lái)訪問(wèn)。”[4]可見(jiàn)學(xué)者和各研究部門對(duì)云存儲(chǔ)的定義界定也不盡相同。

從對(duì)云存儲(chǔ)的界定不難看出，有學(xué)者試圖用所有與云儲(chǔ)存有關(guān)的內(nèi)容來(lái)進(jìn)行定義，我們應(yīng)當(dāng)看到，云存儲(chǔ)的定義與云存儲(chǔ)的內(nèi)容及組成結(jié)構(gòu)有著本質(zhì)的區(qū)別，筆者在界定云存儲(chǔ)的定義時(shí)，分析了云存儲(chǔ)的自身性質(zhì)、云存儲(chǔ)的特征及云存儲(chǔ)的組成結(jié)構(gòu)，將云存儲(chǔ)定義為：云存儲(chǔ)是借助網(wǎng)絡(luò)(尤其是Internet)，運(yùn)用應(yīng)用軟件，為用戶提供數(shù)據(jù)存儲(chǔ)及訪問(wèn)功能的一個(gè)軟硬件結(jié)合的數(shù)據(jù)集合系統(tǒng)。云存儲(chǔ)本身并不是一種服務(wù)，它是為了實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)服務(wù)功能的一個(gè)系統(tǒng)支撐，云存儲(chǔ)中真正提供服務(wù)的是基礎(chǔ)管理層的數(shù)據(jù)管控者和應(yīng)用接口層的云存儲(chǔ)服務(wù)提供商。云存儲(chǔ)的運(yùn)行起決定作用的仍是應(yīng)用軟件，軟件必將定義未來(lái)。

(二)云存儲(chǔ)的特征

為了有效規(guī)制云存儲(chǔ)中的數(shù)據(jù)安全，有必要對(duì)云存儲(chǔ)的特征作進(jìn)一步分析，在掌握其特征的同時(shí)從其特征著手進(jìn)行有效的規(guī)制，勢(shì)必起到事半功倍的效果。

虛擬性。虛擬性是云存儲(chǔ)的顯著特征之一，云存儲(chǔ)體現(xiàn)為虛擬存儲(chǔ)，有別于通過(guò)傳統(tǒng)物理設(shè)備的存儲(chǔ)。借助于互聯(lián)網(wǎng)，云存儲(chǔ)中的數(shù)據(jù)資源是虛擬化的資源，也可以說(shuō)是代碼“0”和“1”的集合，在云存儲(chǔ)中都是無(wú)形的。因此云存儲(chǔ)的典型特征就是其有虛擬性的一面。云存儲(chǔ)展現(xiàn)了其既在實(shí)現(xiàn)了數(shù)據(jù)存儲(chǔ)的同時(shí)又實(shí)現(xiàn)了數(shù)據(jù)資源的共享特性，實(shí)現(xiàn)存儲(chǔ)完全虛擬化。對(duì)于終端用戶來(lái)講，只要在可以連入互聯(lián)網(wǎng)的任何地方，有權(quán)訪問(wèn)的終端用戶，都能夠借助云存儲(chǔ)提供的支撐系統(tǒng)，實(shí)現(xiàn)其對(duì)網(wǎng)絡(luò)空間數(shù)據(jù)資源的訪問(wèn)。

靈活性。云存儲(chǔ)的靈活性不僅體現(xiàn)在存儲(chǔ)協(xié)議方面的靈活上，更多地體現(xiàn)在云存儲(chǔ)的網(wǎng)絡(luò)空間擴(kuò)展能力以及云存儲(chǔ)性能擴(kuò)展的能力和容量上，云存儲(chǔ)的實(shí)現(xiàn)主要通過(guò)應(yīng)用軟件來(lái)發(fā)揮作用。區(qū)別于傳統(tǒng)的固定設(shè)備存儲(chǔ)，云存儲(chǔ)不僅僅是存儲(chǔ)，更多的是應(yīng)用。云存儲(chǔ)對(duì)于終端用戶來(lái)說(shuō)，通過(guò)網(wǎng)絡(luò)，終端用戶可以在任意云端提取及存儲(chǔ)數(shù)據(jù)。

高效易用性。云存儲(chǔ)通過(guò)其特有的架構(gòu)系統(tǒng)，在云存儲(chǔ)的環(huán)境中，可以拓展數(shù)據(jù)存儲(chǔ)的空間和能力，提高數(shù)據(jù)資源的傳輸效率，以達(dá)到減低成本，實(shí)現(xiàn)整個(gè)數(shù)據(jù)資源的高效利用率。因此，數(shù)據(jù)能夠在移動(dòng)或者是遷移應(yīng)用中，仍具有高效的易用性，不受影響。

國(guó)際商用機(jī)器公司IBM(International Business Machines Corporation)認(rèn)為云存儲(chǔ)可以提供四種類型的存儲(chǔ)：(1)個(gè)人存儲(chǔ)(Personal Storage)，能夠存儲(chǔ)個(gè)人數(shù)據(jù)并在多個(gè)設(shè)備上同步使用；(2)公共存儲(chǔ)(Public Storage)，云存儲(chǔ)服務(wù)提供者完全可以異地管理企業(yè)的數(shù)據(jù)；(3)專用存儲(chǔ)(Private Storage)，云存儲(chǔ)服務(wù)提供者在一個(gè)有組織的數(shù)據(jù)中心為客戶端服務(wù)；(4)混合存儲(chǔ)(Hybrid Storage)，公共存儲(chǔ)和專用存儲(chǔ)的混合[5]。筆者簡(jiǎn)單言之，個(gè)人存儲(chǔ)就是個(gè)人數(shù)據(jù)存儲(chǔ)的服務(wù)，公共存儲(chǔ)主要是為了實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)的共享，提高效率、降低成本，專用存儲(chǔ)則是一種專屬服務(wù)，混合存儲(chǔ)就是公共存儲(chǔ)服務(wù)與專屬存儲(chǔ)服務(wù)的混合。在筆者看來(lái)，云存儲(chǔ)中的數(shù)據(jù)可以被劃分為不同種類，但是從其保護(hù)的實(shí)質(zhì)看，都是數(shù)據(jù)自身安全，只是有些數(shù)據(jù)涉及個(gè)人數(shù)據(jù)信息，有些涉及商業(yè)數(shù)據(jù)信息，有些涉及國(guó)家安全數(shù)據(jù)信息罷了，終歸都是存儲(chǔ)于網(wǎng)絡(luò)空間的數(shù)據(jù)，對(duì)不同性質(zhì)的數(shù)據(jù)采取不同程度的保護(hù)也是對(duì)數(shù)據(jù)更加有效保護(hù)的需要。

通過(guò)互聯(lián)網(wǎng)，用戶在應(yīng)用數(shù)據(jù)時(shí)，不需要了解到底使用什么硬件、有多少交換機(jī)及路由器，只要接入互聯(lián)網(wǎng)端口，有用戶名和密碼上網(wǎng)就可以，云存儲(chǔ)之所以具有商業(yè)價(jià)值且日益受到青睞，也是源自其自有的特征。

(三)云存儲(chǔ)的架構(gòu)模式

對(duì)云存儲(chǔ)的架構(gòu)模式進(jìn)行分析，有助于清晰明確地認(rèn)知云存儲(chǔ)的運(yùn)行，只有掌握了云存儲(chǔ)的運(yùn)行模式，才能實(shí)現(xiàn)保護(hù)云存儲(chǔ)中的數(shù)據(jù)安全。

通說(shuō)認(rèn)為云存儲(chǔ)系統(tǒng)的架構(gòu)模式包括四個(gè)部分：存儲(chǔ)層、基礎(chǔ)管理層、應(yīng)用接口層、訪問(wèn)層。存儲(chǔ)層是云存儲(chǔ)的基礎(chǔ)部分?；A(chǔ)管理層是云存儲(chǔ)最核心的部分。應(yīng)用接口層即不同的云存儲(chǔ)服務(wù)提供商可提供不同的應(yīng)用服務(wù)。訪問(wèn)層也就是云存儲(chǔ)系統(tǒng)的用戶[6]。筆者將云存儲(chǔ)的架構(gòu)模式做一個(gè)初步解析，云存儲(chǔ)的訪問(wèn)層即用戶，即，云存儲(chǔ)的應(yīng)用接口層即云存儲(chǔ)服務(wù)的提供商，云存儲(chǔ)的基礎(chǔ)管理層即云存儲(chǔ)數(shù)據(jù)的實(shí)際管理者，云存儲(chǔ)層即數(shù)據(jù)存儲(chǔ)的所在地。筆者認(rèn)為，無(wú)論在云存儲(chǔ)架構(gòu)模式的哪個(gè)層面，都離不開(kāi)應(yīng)用軟件。因此，對(duì)應(yīng)用軟件的規(guī)制對(duì)于云存儲(chǔ)的數(shù)據(jù)安全至關(guān)重要，同時(shí)在云存儲(chǔ)的運(yùn)行安全中，云存儲(chǔ)服務(wù)提供商的責(zé)任及義務(wù)和云存儲(chǔ)的管理者對(duì)數(shù)據(jù)的管控行為也都直接影響著云存儲(chǔ)中的數(shù)據(jù)安全，所以有必要對(duì)其兩者的責(zé)任及權(quán)利義務(wù)進(jìn)行明確的規(guī)制。

筆者認(rèn)為云存儲(chǔ)本身并不是一種服務(wù)，真正提供服務(wù)的是基礎(chǔ)管理層的數(shù)據(jù)管控者和應(yīng)用接口層的云存儲(chǔ)服務(wù)提供商，但是兩者面向的對(duì)象卻大相徑庭，管理層的管控者主要是面向存儲(chǔ)層的數(shù)據(jù)安全和應(yīng)用接口層的云存儲(chǔ)服務(wù)商，而云存儲(chǔ)服務(wù)商雖然也面向管理層的管控者，但是更多的是面向訪問(wèn)層的終端用戶。離開(kāi)了應(yīng)用軟件，討論云存儲(chǔ)不切實(shí)際。云存儲(chǔ)是一個(gè)包含了綜合數(shù)據(jù)庫(kù)的軟件應(yīng)用系統(tǒng)。

二、云存儲(chǔ)中的數(shù)據(jù)安全危機(jī)

在大數(shù)據(jù)時(shí)代，對(duì)云存儲(chǔ)中的數(shù)據(jù)安全進(jìn)行有效的法律規(guī)制具有重要的現(xiàn)實(shí)緊迫意義，云存儲(chǔ)中的數(shù)據(jù)應(yīng)用、存儲(chǔ)、訪問(wèn)、處理及交易已逐步滲透到各行各業(yè)，云存儲(chǔ)在給人們的生活帶來(lái)便利的同時(shí)，也使數(shù)據(jù)安全問(wèn)題面臨著現(xiàn)實(shí)的沖擊及威脅，云存儲(chǔ)中的數(shù)據(jù)安全問(wèn)題不僅影響到用戶對(duì)云存儲(chǔ)中數(shù)據(jù)安全的應(yīng)用，也會(huì)對(duì)網(wǎng)絡(luò)安全運(yùn)行等各方面帶來(lái)沖擊。因此，分析云存儲(chǔ)中影響數(shù)據(jù)安全存在的主要因素，維護(hù)云存儲(chǔ)中數(shù)據(jù)安全，對(duì)其進(jìn)行行之有效的法律規(guī)制刻不容緩。

(一)云端數(shù)據(jù)自身特征危及數(shù)據(jù)安全

云端的數(shù)據(jù)存儲(chǔ)是一個(gè)虛擬存儲(chǔ)，數(shù)據(jù)經(jīng)過(guò)采集、處理之后上傳到云端存儲(chǔ)，然而數(shù)據(jù)一旦傳輸?shù)搅嗽贫?，基本上?duì)用戶來(lái)說(shuō)就喪失了對(duì)數(shù)據(jù)的絕對(duì)控制權(quán)，云存儲(chǔ)中的數(shù)據(jù)將面臨著易丟失和泄露的風(fēng)險(xiǎn)。

數(shù)據(jù)易丟失。云存儲(chǔ)是網(wǎng)絡(luò)技術(shù)應(yīng)用與軟件應(yīng)用的一個(gè)綜合體系，人們?cè)谙硎茉拼鎯?chǔ)便利的同時(shí)，也要承受其帶來(lái)的風(fēng)險(xiǎn)。在云存儲(chǔ)中，數(shù)據(jù)的存儲(chǔ)、傳輸、訪問(wèn)、處理以及復(fù)制和遷移等方面都變得更加便捷和頻繁，同時(shí)也容易導(dǎo)致云存儲(chǔ)中的數(shù)據(jù)丟失。云存儲(chǔ)的服務(wù)提供者一直在努力尋求對(duì)策以保證終端用戶和云存儲(chǔ)中的數(shù)據(jù)安全，但現(xiàn)實(shí)中，終端用戶遭受數(shù)據(jù)泄露和丟失風(fēng)險(xiǎn)的情況仍時(shí)有發(fā)生。如果云存儲(chǔ)中數(shù)據(jù)應(yīng)用安全不能得到有效規(guī)制，那么數(shù)據(jù)用戶對(duì)使用云存儲(chǔ)系統(tǒng)存儲(chǔ)數(shù)據(jù)將會(huì)更加擔(dān)憂。

數(shù)據(jù)易泄露。由于互聯(lián)網(wǎng)的開(kāi)放性、即時(shí)性及跨界流動(dòng)性等自身特征，加之許多存儲(chǔ)在云中的網(wǎng)絡(luò)數(shù)據(jù)信息比較敏感，涉及公民個(gè)人身份信息、隱私、商業(yè)數(shù)據(jù)信息甚至是國(guó)家安全數(shù)據(jù)信息等，這些數(shù)據(jù)一旦被用心不良的人所掌控，就會(huì)造成嚴(yán)重后果。現(xiàn)今僅僅從數(shù)據(jù)加密技術(shù)上來(lái)保護(hù)云存儲(chǔ)中的數(shù)據(jù)安全，顯然對(duì)于當(dāng)下日新月異的技術(shù)來(lái)講，防止數(shù)據(jù)泄露的風(fēng)險(xiǎn)已顯得捉襟見(jiàn)肘。2011年3月，Google的Gmail電子郵箱爆發(fā)大規(guī)模用戶數(shù)據(jù)泄露事件，近15萬(wàn)Gmail用戶在周日早上發(fā)現(xiàn)自己的所有郵箱和聊天記錄被刪除，部分用戶的賬戶被重置而無(wú)法登陸[7]。可見(jiàn)數(shù)據(jù)信息泄露時(shí)有發(fā)生，云存儲(chǔ)中的數(shù)據(jù)遺失和泄露既有技術(shù)上的原因，也有具體保護(hù)制度不完善的原因。因此，對(duì)于云存儲(chǔ)中數(shù)據(jù)安全的保護(hù)立法已是箭在弦上。

(二)缺乏對(duì)云存儲(chǔ)服務(wù)提供商的責(zé)任及義務(wù)規(guī)制

處于云存儲(chǔ)應(yīng)用接口層的云服務(wù)提供商，對(duì)云存儲(chǔ)中的數(shù)據(jù)保護(hù)責(zé)任及應(yīng)盡義務(wù)程度將直接影響云存儲(chǔ)中的數(shù)據(jù)安全。云存儲(chǔ)服務(wù)提供商扮演的是超級(jí)用戶角色，一定程度上掌控著攫取大量數(shù)據(jù)資源必經(jīng)之門的“金鑰匙”。某些數(shù)據(jù)其本身可能包含恐怖主義和煽動(dòng)國(guó)家分裂以及顛覆國(guó)家政權(quán)等不法有害信息，如果云存儲(chǔ)服務(wù)提供商不能盡到應(yīng)有的數(shù)據(jù)保護(hù)義務(wù)和責(zé)任，而放任或默認(rèn)該不法有害信息任意傳播，那么此時(shí)數(shù)據(jù)安全不僅會(huì)影響國(guó)家數(shù)據(jù)安全、網(wǎng)絡(luò)運(yùn)行安全，還有可能影響到社會(huì)穩(wěn)定和國(guó)家安全。比如2009年爆發(fā)在中東伊朗的“Twitter 革命”(也稱茉莉花革命)就使伊朗的政治格局發(fā)生了改變，其主要原因之一就是對(duì)數(shù)據(jù)信息的傳播缺乏管控。因此，現(xiàn)階段明確規(guī)制云存儲(chǔ)服務(wù)提供商的責(zé)任及義務(wù)，對(duì)保障云存儲(chǔ)中的數(shù)據(jù)安全乃至國(guó)家安全責(zé)無(wú)旁貸。

(三)數(shù)據(jù)終端用戶引致的數(shù)據(jù)安全風(fēng)險(xiǎn)

終端用戶處在云存儲(chǔ)系統(tǒng)中的訪問(wèn)層，也可以說(shuō)是云存儲(chǔ)中的頂端，云存儲(chǔ)中訪問(wèn)層的數(shù)據(jù)安全與終端用戶有著直接的聯(lián)系?；ヂ?lián)網(wǎng)時(shí)代，終端用戶既是網(wǎng)絡(luò)數(shù)據(jù)的制造者，又是網(wǎng)絡(luò)數(shù)據(jù)的參與者，云存儲(chǔ)的益處就是可以將終端用戶的數(shù)據(jù)信息資源同步存儲(chǔ)和共享。因此，對(duì)于終端用戶在對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)、應(yīng)用、傳播、刪除等行為時(shí)，應(yīng)當(dāng)明確終端用戶應(yīng)盡的權(quán)利及義務(wù)。網(wǎng)絡(luò)數(shù)據(jù)無(wú)論怎樣虛擬無(wú)形，怎樣無(wú)具體物理位置，其要發(fā)揮作用必然離不開(kāi)人的行為，否則網(wǎng)絡(luò)數(shù)據(jù)即使能夠存儲(chǔ)在網(wǎng)絡(luò)空間，也不過(guò)僅僅是“僵尸數(shù)據(jù)”。目前中國(guó)終端用戶普遍都缺乏必要的網(wǎng)絡(luò)安全意識(shí)，用戶要進(jìn)行數(shù)據(jù)存儲(chǔ)始終要通過(guò)終端服務(wù)，而終端用戶在獲取云存儲(chǔ)中的數(shù)據(jù)時(shí)也依然需要依靠終端設(shè)備，在終端設(shè)備上輸入數(shù)據(jù)用戶名和密碼，登錄某一個(gè)云存儲(chǔ)去下載或上傳存儲(chǔ)于云端的數(shù)據(jù)。一旦終端用戶賬號(hào)和密碼被泄露或者是被木馬等病毒侵入，那么在云存儲(chǔ)中的數(shù)據(jù)會(huì)在終端用戶毫不知情的情況下，被惡意人隨意存儲(chǔ)、刪除、傳輸。因此，對(duì)于數(shù)據(jù)終端用戶的數(shù)據(jù)使用行為進(jìn)行有效規(guī)制，從“源頭”上解決對(duì)云存儲(chǔ)數(shù)據(jù)安全的法律保護(hù)問(wèn)題非常必要。

(四)應(yīng)用軟件缺乏統(tǒng)一的安全認(rèn)證標(biāo)準(zhǔn)

云存儲(chǔ)的應(yīng)用其核心之一就是應(yīng)用軟件。云存儲(chǔ)不只是存儲(chǔ),更多的是應(yīng)用。應(yīng)用軟件將直接影響云存儲(chǔ)的運(yùn)行，對(duì)云存儲(chǔ)中的數(shù)據(jù)采集、處理、挖掘等方面起著不可替代的作用。然而目前因?qū)?yīng)用軟件缺乏有效的法律規(guī)制，已導(dǎo)致數(shù)據(jù)在通過(guò)應(yīng)用軟件存儲(chǔ)時(shí)，很容易造成用戶數(shù)據(jù)的泄露及丟失，因此應(yīng)當(dāng)對(duì)應(yīng)用軟件安全認(rèn)證實(shí)行統(tǒng)一認(rèn)證標(biāo)準(zhǔn)，禁止在設(shè)計(jì)應(yīng)用軟件時(shí)使其存在某些自動(dòng)收集用戶數(shù)據(jù)信息、自動(dòng)收集與用戶數(shù)據(jù)信息相近及相關(guān)的數(shù)據(jù)信息行為，禁止其帶有某些不法入侵程序設(shè)置。從目前的發(fā)展趨勢(shì)看，軟件應(yīng)用已普遍滲透到各個(gè)領(lǐng)域，日后必將出現(xiàn)“軟件定義一切”的局面，因此對(duì)應(yīng)用軟件進(jìn)行必要的法律規(guī)制，是治理云存儲(chǔ)中數(shù)據(jù)安全有效保障的根本。

三、歐美云存儲(chǔ)數(shù)據(jù)安全保護(hù)的法律制度

各國(guó)都不同程度地面臨著云存儲(chǔ)中數(shù)據(jù)安全的挑戰(zhàn)。各國(guó)對(duì)數(shù)據(jù)安全的立法保護(hù)主要從兩個(gè)方面著手：一是數(shù)據(jù)信息資源的利用，包括商業(yè)信息、公共信息及政務(wù)信息；二是注重個(gè)人數(shù)據(jù)安全的保護(hù)。當(dāng)下，各國(guó)都面臨著云存儲(chǔ)中數(shù)據(jù)安全問(wèn)題的嚴(yán)峻挑戰(zhàn)，從事云安全問(wèn)題研究的組織不少，但只有個(gè)別組織機(jī)構(gòu)和有代表性的國(guó)際大公司(微軟、亞馬遜等)取得了一些初步研究成果，具體到云存儲(chǔ)安全方面問(wèn)題的研究則主要是CSA*CSA成立于2009年，作為一個(gè)非盈利性組織，其宗旨是“促進(jìn)云計(jì)算安全技術(shù)的最佳實(shí)踐應(yīng)用，并提供云計(jì)算的使用培訓(xùn)，幫助保護(hù)其他形式的計(jì)算”。自成立始，CSA迅速獲得了業(yè)界的廣泛認(rèn)可，其企業(yè)成員涵蓋了國(guó)際領(lǐng)先的電信運(yùn)營(yíng)商、IT 和網(wǎng)絡(luò)設(shè)備廠商、網(wǎng)絡(luò)安全廠商、云計(jì)算提供商等。云安全聯(lián)盟確定了云安全的15 個(gè)焦點(diǎn)領(lǐng)域，對(duì)每個(gè)領(lǐng)域給出了具體建議，并從中選取較為重要的若干領(lǐng)域著手標(biāo)準(zhǔn)的制定，在制定過(guò)程中，廣泛咨詢IT人員的意見(jiàn)，獲取關(guān)于需求方案說(shuō)明書(shū)的建議。參見(jiàn)馮登國(guó)《云計(jì)算安全研究》(《軟件學(xué)報(bào)》，2011年第1期第76頁(yè))。(Cloud Security Alliance，云安全聯(lián)盟)和ENISA*ENISA是負(fù)責(zé)歐盟內(nèi)部各個(gè)國(guó)家網(wǎng)絡(luò)與信息安全的研究機(jī)構(gòu)，負(fù)責(zé)為歐盟內(nèi)各個(gè)國(guó)家的網(wǎng)絡(luò)與信息安全問(wèn)題提出建議，指導(dǎo)安全方面的實(shí)踐活動(dòng)。該機(jī)構(gòu)主要是從企業(yè)數(shù)據(jù)安全角度出發(fā)進(jìn)行研究。參見(jiàn)張健《全球云計(jì)算安全研究綜述》(《電信網(wǎng)技術(shù)》，2010年第9期第15-17頁(yè))。(European Network and Information Security Agency，歐洲網(wǎng)絡(luò)和信息安全研究所)兩個(gè)機(jī)構(gòu)，其研究最具代表性，對(duì)云存儲(chǔ)的數(shù)據(jù)安全關(guān)注較多，取得了一定成績(jī)。

雖然各國(guó)都通過(guò)了部分?jǐn)?shù)據(jù)保護(hù)法，保護(hù)本國(guó)的國(guó)家數(shù)據(jù)安全，但是我們應(yīng)當(dāng)看到，美國(guó)仍是信息技術(shù)最發(fā)達(dá)的國(guó)家，根服務(wù)器包括主根服務(wù)器大多數(shù)仍在美國(guó)，美國(guó)漢姆林大學(xué)法學(xué)院教授莎朗.K.桑迪恩(Sharon K. Sandeen)在論及云計(jì)算時(shí)認(rèn)為“在過(guò)去的十幾年里，云計(jì)算已經(jīng)從一個(gè)優(yōu)雅而被誤解的術(shù)語(yǔ)進(jìn)入到一個(gè)蓬勃發(fā)展的行業(yè)，在其進(jìn)入的計(jì)算機(jī)行業(yè)、互聯(lián)網(wǎng)行業(yè)和電信行業(yè)中都是非常著名的大公司，包括IBM、微軟、谷歌、Amazon、戴爾和Verizon”[8]。伴隨著云計(jì)算產(chǎn)業(yè)的不斷演進(jìn)，將會(huì)出現(xiàn)更多的新產(chǎn)品和新服務(wù)。我們清晰地看到，云計(jì)算的應(yīng)用基本上都被國(guó)外大公司所控制和壟斷，目前要想真正實(shí)現(xiàn)云存儲(chǔ)中的數(shù)據(jù)安全，中國(guó)在數(shù)據(jù)保護(hù)方面仍有很長(zhǎng)的路要走。

(一)英美國(guó)家保護(hù)數(shù)據(jù)存儲(chǔ)安全的網(wǎng)絡(luò)安全基本法

美國(guó)為了在國(guó)家層面加強(qiáng)其對(duì)網(wǎng)絡(luò)數(shù)據(jù)信息的控制，同時(shí)又為其對(duì)網(wǎng)絡(luò)安全信息共享的監(jiān)管提供法律依據(jù)，2014年通過(guò)了《國(guó)家網(wǎng)絡(luò)安全保護(hù)法》。在此之前美國(guó)為了維護(hù)其國(guó)家數(shù)據(jù)安全，通過(guò)的《愛(ài)國(guó)者法案》(2001年)賦予了執(zhí)法機(jī)關(guān)過(guò)于寬泛的信息調(diào)查與獲取權(quán)利。對(duì)竊取以及非法利用政府部門數(shù)據(jù)信息行為的處罰規(guī)定則主要體現(xiàn)在英國(guó)《計(jì)算機(jī)濫用法》(1990年)和美國(guó)《計(jì)算機(jī)欺詐和濫用法》(1986年)。美國(guó)《反竊聽(tīng)法》和《電信法》(1996年)加強(qiáng)了對(duì)在個(gè)人數(shù)據(jù)安全方面的保護(hù)，重點(diǎn)對(duì)在數(shù)據(jù)信息傳輸過(guò)程中，竊取個(gè)人數(shù)據(jù)的行為和非法攔截的行為進(jìn)行了限制[9]。

(二)歐盟加強(qiáng)對(duì)云存儲(chǔ)數(shù)據(jù)的同等保護(hù)原則

歐盟成員國(guó)為了加強(qiáng)對(duì)個(gè)人數(shù)據(jù)安全的保護(hù)，明確了個(gè)人數(shù)據(jù)保護(hù)的基本原則，制定了各自的個(gè)人數(shù)據(jù)保護(hù)法，并在對(duì)個(gè)人數(shù)據(jù)的留存、處理、使用等方面都作了相應(yīng)規(guī)定。歐盟的數(shù)據(jù)保護(hù)法規(guī)定，歐盟公民的個(gè)人數(shù)據(jù)在非歐盟國(guó)家傳輸必須貫徹同等保護(hù)原則,即接受國(guó)必須提供和歐盟保護(hù)水準(zhǔn)相一致的保護(hù)才能傳輸歐盟公民個(gè)人數(shù)據(jù)，能夠提供同等保護(hù)之前不能傳輸至非歐盟國(guó)家。由于“斯諾登”事件的影響，歐盟認(rèn)為存儲(chǔ)于美國(guó)服務(wù)器上的數(shù)據(jù)信息并非真正意義上的“安全港”。因此，2015年歐洲法院廢除了歐美于2000年簽署的允許網(wǎng)絡(luò)運(yùn)營(yíng)商忽略歐盟各國(guó)法規(guī)差異而自動(dòng)合法傳輸網(wǎng)絡(luò)數(shù)據(jù)的《安全港協(xié)議》。美國(guó)Google、Facebook等眾多科技公司應(yīng)立即停止將收集到的歐洲用戶數(shù)據(jù)傳輸至美國(guó)[10]。

為了加強(qiáng)歐盟民眾的網(wǎng)絡(luò)安全意識(shí)，保護(hù)和繁榮歐洲數(shù)字經(jīng)濟(jì)，2013年由歐洲網(wǎng)絡(luò)與信息安全局(ENISA)和歐洲委員會(huì)共同舉辦的歐洲“網(wǎng)絡(luò)安全月”*該活動(dòng)以“在線安全需要你的參與(Online security requires your participation)”為主題，吸納私營(yíng)部門和企業(yè)界的參與。其中，歐盟27個(gè)成員國(guó)都參與其中。歐洲網(wǎng)絡(luò)安全月采取的宣傳活動(dòng)形式多樣，包括舉辦會(huì)議、論壇和演講，通過(guò)電臺(tái)和電視節(jié)目、在線游戲和在線交易等渠道進(jìn)行宣傳。自2014年以來(lái)更是開(kāi)展了對(duì)專業(yè)技術(shù)人員進(jìn)行網(wǎng)絡(luò)安全演練、針對(duì)在校學(xué)生舉行代碼編程等主題活動(dòng)以及針對(duì)公共和私營(yíng)組織進(jìn)行員工培訓(xùn)、針對(duì)所有網(wǎng)絡(luò)用戶開(kāi)展計(jì)算機(jī)和移動(dòng)保護(hù)以及隱私保護(hù)的宣傳。歐洲網(wǎng)絡(luò)安全月旨在提升公眾網(wǎng)絡(luò)安全意識(shí)，改變公眾對(duì)網(wǎng)絡(luò)威脅的理解，同時(shí)通過(guò)教育和共享最佳實(shí)踐等方式為公眾提供最新的安全信息。參見(jiàn)《歐洲網(wǎng)絡(luò)安全月：推動(dòng)所有用戶更安全使用互聯(lián)網(wǎng)》(http://world.huanqiu.com/article/2014-11/5212674.html，2016-09-26訪問(wèn))?；顒?dòng)正式啟動(dòng)。這一點(diǎn)非常值得中國(guó)借鑒和學(xué)習(xí)。因?yàn)橹袊?guó)網(wǎng)民很大一部分將網(wǎng)絡(luò)信息視為“游戲”，缺乏基本的網(wǎng)絡(luò)安全意識(shí)。建議中國(guó)積極策劃在各個(gè)相關(guān)主要領(lǐng)域開(kāi)展類似的全民網(wǎng)絡(luò)安全宣傳教育活動(dòng)。

(三)俄羅斯對(duì)云存儲(chǔ)數(shù)據(jù)保護(hù)的本地化要求

俄羅斯可謂是對(duì)云存儲(chǔ)的數(shù)據(jù)保護(hù)作出了大膽創(chuàng)新及嘗試。俄羅斯《個(gè)人數(shù)據(jù)保護(hù)法》于2015年9 月1 日生效，該項(xiàng)法律明確規(guī)定俄羅斯公民的個(gè)人數(shù)據(jù)只能存儲(chǔ)于俄羅斯境內(nèi)的服務(wù)器中，以實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)本地化?！八怪Z登”事件以來(lái)，各國(guó)都非常關(guān)注本國(guó)公民個(gè)人數(shù)據(jù)安全及國(guó)家數(shù)據(jù)安全。該項(xiàng)法律并未禁止公民數(shù)據(jù)的跨境傳輸，只要求讓數(shù)據(jù)存儲(chǔ)于俄羅斯本地。該法律通過(guò)后，全球購(gòu)物網(wǎng)站巨頭易趣公司和蘋果公司也積極響應(yīng)數(shù)據(jù)存儲(chǔ)本地化。但是有些公司，比如社交網(wǎng)絡(luò)公司Facebook以及全球音樂(lè)流媒體服務(wù)巨頭Spotify 在內(nèi)的少數(shù)公司，則提出反對(duì)意見(jiàn)[11]。俄羅斯新立法的目的非常明確，該項(xiàng)立法旨在維護(hù)其本國(guó)公民的數(shù)據(jù)存儲(chǔ)安全和國(guó)家數(shù)據(jù)存儲(chǔ)安全。

四、構(gòu)建云存儲(chǔ)數(shù)據(jù)安全的法律保護(hù)制度

云存儲(chǔ)中的數(shù)據(jù)安全問(wèn)題日益凸顯，然而對(duì)云存儲(chǔ)的數(shù)據(jù)安全問(wèn)題進(jìn)行有效的規(guī)制仍未得到解決，中國(guó)對(duì)云存儲(chǔ)的數(shù)據(jù)安全保護(hù)缺乏相對(duì)明確的法律法規(guī)，現(xiàn)有對(duì)云存儲(chǔ)數(shù)據(jù)安全的法律保護(hù)制度也較模糊。筆者認(rèn)為，應(yīng)當(dāng)在分析中國(guó)目前相關(guān)網(wǎng)絡(luò)法律法規(guī)基礎(chǔ)上，結(jié)合云存儲(chǔ)的實(shí)際架構(gòu)運(yùn)行系統(tǒng)，構(gòu)建中國(guó)對(duì)云存儲(chǔ)數(shù)據(jù)安全的法律保護(hù)制度。

(一)中國(guó)對(duì)云存儲(chǔ)數(shù)據(jù)安全的法律保護(hù)現(xiàn)狀

從中國(guó)先前有關(guān)保護(hù)網(wǎng)絡(luò)數(shù)據(jù)信息的法律法規(guī)看，對(duì)于網(wǎng)絡(luò)數(shù)據(jù)的存儲(chǔ)安全基本都未有明確規(guī)定，包括對(duì)于一些基本概念也未有明確界定，大都是針對(duì)計(jì)算機(jī)系統(tǒng)的保護(hù)，而對(duì)于急切需要規(guī)制的云存儲(chǔ)中的數(shù)據(jù)安全基本都未涉及。令人欣慰的是，近幾年對(duì)網(wǎng)絡(luò)信息安全立法的工作一直在穩(wěn)步快速地推進(jìn)，且已取得部分成效，在《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》*《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，在2012年12月28日第十一屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議通過(guò)。中明確強(qiáng)調(diào)了“網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動(dòng)中收集、使用公民個(gè)人電子信息時(shí)的基本義務(wù)”。在《中華人民共和國(guó)刑法修正案(九)》*《中華人民共和國(guó)刑法修正案(九)》，在2015年8月29日第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十六次會(huì)議通過(guò)。(以下簡(jiǎn)稱《刑法修正案(九)》)中明確了：“在違反國(guó)家有關(guān)規(guī)定時(shí)，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的可以入刑，同時(shí)也明確了網(wǎng)絡(luò)服務(wù)提供者的法律責(zé)任”。至此，我們看到法律對(duì)保護(hù)網(wǎng)絡(luò)數(shù)據(jù)和個(gè)人信息的工作向前邁進(jìn)了一大步。明確維護(hù)網(wǎng)絡(luò)空間主權(quán)、保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全，闡明網(wǎng)絡(luò)、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)數(shù)據(jù)、公民個(gè)人信息、網(wǎng)絡(luò)運(yùn)營(yíng)者等基本概念是中國(guó)《網(wǎng)絡(luò)安全法》的基本要求及內(nèi)容。

(二)云存儲(chǔ)數(shù)據(jù)安全法律保護(hù)制度之構(gòu)建

規(guī)制云存儲(chǔ)中的數(shù)據(jù)安全，應(yīng)當(dāng)采用“源”與“流”并進(jìn)的策略，既從源頭找出問(wèn)題所在，又在后期的新環(huán)境應(yīng)用中進(jìn)行補(bǔ)充規(guī)制，實(shí)行“雙軌”規(guī)制。故此，筆者建議從主要制度方面規(guī)制云存儲(chǔ)中的數(shù)據(jù)安全。

1.確立網(wǎng)絡(luò)服務(wù)提供者的責(zé)任制度

云存儲(chǔ)的運(yùn)行離不開(kāi)網(wǎng)絡(luò)服務(wù)提供者的運(yùn)作。不論從技術(shù)上還是網(wǎng)絡(luò)數(shù)據(jù)的管控上看，必須明確網(wǎng)絡(luò)服務(wù)提供者對(duì)云存儲(chǔ)數(shù)據(jù)安全的保護(hù)責(zé)任及義務(wù)。網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)積極制定內(nèi)部數(shù)據(jù)安全保護(hù)管理制度，落實(shí)安全責(zé)任制，對(duì)數(shù)據(jù)采取分類和對(duì)重要數(shù)據(jù)進(jìn)行備份等措施來(lái)保護(hù)云存儲(chǔ)中的數(shù)據(jù)安全。

對(duì)于云存儲(chǔ)中用戶和云服務(wù)提供商傳輸數(shù)據(jù)的規(guī)制方面，國(guó)外研究者約瑟夫.A.斯霍爾(Joseph A. Schoorl)認(rèn)為云計(jì)算技術(shù)的使用仍在美國(guó)的出口管理制度內(nèi)，但不構(gòu)成與其他物理和非物理出口環(huán)境下相同的國(guó)家安全問(wèn)題。因此他提出了在通過(guò)云存儲(chǔ)傳輸技術(shù)數(shù)據(jù)時(shí)，應(yīng)當(dāng)設(shè)置云計(jì)算許可證例外(License Exception Cloud Computing，簡(jiǎn)稱“License Exception CLC”)的規(guī)定，他認(rèn)為云計(jì)算許可證例外比現(xiàn)有的規(guī)制原則更加清晰和靈活，將減少云用戶由于云傳輸?shù)臅r(shí)間和目的地的不確定性而無(wú)法滿足的大多數(shù)許可要求。同時(shí)許可證例外也要求云用戶在上傳管控技術(shù)數(shù)據(jù)之前采取某些措施，并限制不符合該資格例外的數(shù)據(jù)類型和云服務(wù)提供商[12]。許可證例外設(shè)立的主要目的就是在云環(huán)境下維護(hù)美國(guó)的國(guó)家數(shù)據(jù)安全，實(shí)現(xiàn)美國(guó)企業(yè)經(jīng)濟(jì)利益的最大化，推動(dòng)高新技術(shù)企業(yè)發(fā)展。中國(guó)在《刑法修正案(九)》中對(duì)刑法第286條進(jìn)行了修訂，明確了網(wǎng)絡(luò)服務(wù)提供者違法后的法律責(zé)任，具體情形有四種：(1)致使違法信息大量傳播的；(2)致使用戶信息泄露，造成嚴(yán)重后果的；(3)致使刑事案件證據(jù)滅失，情節(jié)嚴(yán)重的；(4)有其他嚴(yán)重情節(jié)的。這一修正案的通過(guò)，強(qiáng)化了網(wǎng)絡(luò)服務(wù)提供者對(duì)網(wǎng)絡(luò)數(shù)據(jù)保護(hù)的責(zé)任。筆者認(rèn)為不論是經(jīng)營(yíng)性網(wǎng)絡(luò)服務(wù)提供者還是非經(jīng)營(yíng)性網(wǎng)絡(luò)服務(wù)提供者，都應(yīng)當(dāng)適用該法條，雖然該法條對(duì)“信息大量傳播”當(dāng)“情節(jié)、后果嚴(yán)重”以及最后的兜底條款“有其他嚴(yán)重情節(jié)的”未作出明確界定，但是，就目前看至少在處罰網(wǎng)絡(luò)服務(wù)提供者的違法行為時(shí)可以做到有法可依。

2.制定用戶濫用數(shù)據(jù)信息的處罰機(jī)制

終端用戶是最開(kāi)始將數(shù)據(jù)采集、處理通過(guò)互聯(lián)網(wǎng)上傳至云端的數(shù)據(jù)服務(wù)提供者，因此對(duì)于終端用戶也應(yīng)當(dāng)明確其維護(hù)數(shù)據(jù)安全的義務(wù)及法律責(zé)任?！缎谭ㄐ拚?九)》對(duì)刑法第253條進(jìn)行了修改，明確了違反國(guó)家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的刑事責(zé)任。該條為公民個(gè)人信息受到侵害時(shí)提供了有法可依的根據(jù)。但是對(duì)于公民個(gè)人信息之外的采集、處理、傳輸和交易的數(shù)據(jù)未有提及，對(duì)于在云端中存儲(chǔ)的數(shù)據(jù)安全問(wèn)題則更是沒(méi)有涉及。應(yīng)當(dāng)在對(duì)公民個(gè)人信息保護(hù)的同時(shí)，對(duì)其他由用戶通過(guò)采集、處理、傳輸?shù)确绞将@得的數(shù)據(jù)進(jìn)行進(jìn)一步的補(bǔ)充規(guī)制，數(shù)據(jù)用戶是治理云存儲(chǔ)數(shù)據(jù)安全法律保護(hù)的“源頭”之一。

同時(shí)，在一定程度上，應(yīng)當(dāng)控制用戶的訪問(wèn)權(quán)限，訪問(wèn)限制控制是指應(yīng)用技術(shù)控制策略對(duì)用戶訪問(wèn)、特定操作、IP地址等不同類型的屬性進(jìn)行選擇性權(quán)限設(shè)置，在允許用戶訪問(wèn)前對(duì)其個(gè)人信息、IP地址等信息進(jìn)行嚴(yán)格檢查，同時(shí)建立日志機(jī)制將用戶的登錄信息以及登錄時(shí)的各項(xiàng)操作以日志的形式記錄下來(lái)，同時(shí)還可以將惡意篡改、盜取數(shù)據(jù)的行為應(yīng)用日志記錄下來(lái)，便于管理人員進(jìn)行安全管理[13]。只有從利用數(shù)據(jù)“源頭”上提前進(jìn)行數(shù)據(jù)應(yīng)用的保護(hù)，才能真正維護(hù)網(wǎng)絡(luò)云端存儲(chǔ)數(shù)據(jù)的安全并為之提供有效的保護(hù)。

3.構(gòu)建應(yīng)用軟件行業(yè)的標(biāo)準(zhǔn)體系及軟件安全認(rèn)證制度

制定應(yīng)用軟件的行業(yè)標(biāo)準(zhǔn)及認(rèn)定軟件安全的統(tǒng)一標(biāo)準(zhǔn)，云端存儲(chǔ)數(shù)據(jù)的應(yīng)用主要靠應(yīng)用軟件來(lái)實(shí)現(xiàn)。對(duì)于軟件開(kāi)發(fā)者來(lái)說(shuō)，對(duì)其適用相對(duì)統(tǒng)一的安全標(biāo)準(zhǔn)及認(rèn)證制度，對(duì)于維護(hù)云存儲(chǔ)中的數(shù)據(jù)安全起著至關(guān)重要的作用。不安全的API(Application Programming Interface，應(yīng)用程序編程接口)，勢(shì)必會(huì)給云存儲(chǔ)中的數(shù)據(jù)帶來(lái)安全隱患，云存儲(chǔ)的數(shù)據(jù)安全、存儲(chǔ)能力以及用戶對(duì)數(shù)據(jù)的管控能力與API 的安全性有直接關(guān)聯(lián)。因此，應(yīng)用軟件行業(yè)開(kāi)發(fā)軟件時(shí)，應(yīng)明確其API應(yīng)用的禁止性標(biāo)準(zhǔn)，對(duì)于API接口的設(shè)計(jì)實(shí)行統(tǒng)一的安全認(rèn)證標(biāo)準(zhǔn)模式，以確保用戶在云端中應(yīng)用其軟件時(shí)，能保護(hù)云端中的數(shù)據(jù)安全。對(duì)于沒(méi)有達(dá)到安全標(biāo)準(zhǔn)的軟件開(kāi)發(fā)者，或者是不能達(dá)到軟件安全認(rèn)定標(biāo)準(zhǔn)的軟件服務(wù)提供者，應(yīng)將其排除在外，嚴(yán)格應(yīng)用軟件的準(zhǔn)入標(biāo)準(zhǔn)。

4.建立數(shù)據(jù)安全保護(hù)的雙重強(qiáng)制認(rèn)證機(jī)制

建立雙重強(qiáng)制認(rèn)證機(jī)制，是保護(hù)云存儲(chǔ)中數(shù)據(jù)安全的有效方式之一。筆者認(rèn)為雙重強(qiáng)制認(rèn)證機(jī)制應(yīng)當(dāng)從以下兩個(gè)層面來(lái)實(shí)施：一個(gè)層面是終端用戶，在用戶訪問(wèn)云存儲(chǔ)中的數(shù)據(jù)時(shí)對(duì)其嚴(yán)格認(rèn)證，以確保用戶具有合法有效的身份去獲取云存儲(chǔ)中的網(wǎng)絡(luò)數(shù)據(jù)資源。另一個(gè)層面應(yīng)從云端的網(wǎng)絡(luò)數(shù)據(jù)服務(wù)提供者著手，一定程度上說(shuō)，云端網(wǎng)絡(luò)服務(wù)數(shù)據(jù)提供者既是提供云端存儲(chǔ)數(shù)據(jù)服務(wù)的運(yùn)營(yíng)者，也是最大數(shù)據(jù)庫(kù)資源的擁有者。對(duì)于網(wǎng)絡(luò)數(shù)據(jù)服務(wù)提供者的強(qiáng)制有效認(rèn)證非常必要，因?yàn)榭蛇_(dá)到讓其在合規(guī)的范圍內(nèi)處理云存儲(chǔ)中的數(shù)據(jù)。在保護(hù)用戶個(gè)人隱私的同時(shí)，建立雙重的強(qiáng)制認(rèn)證機(jī)制才能真正有效預(yù)防不法身份用戶訪問(wèn)云存儲(chǔ)的數(shù)據(jù)，合理控制網(wǎng)絡(luò)數(shù)據(jù)服務(wù)提供者的權(quán)利使用，保障云存儲(chǔ)中的數(shù)據(jù)安全，維護(hù)網(wǎng)絡(luò)空間安全穩(wěn)定運(yùn)行。

5.構(gòu)建網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測(cè)及預(yù)警制度

網(wǎng)絡(luò)數(shù)據(jù)具有即時(shí)流動(dòng)性、無(wú)形性、易傳播性等自身特征，其自身特征要求對(duì)其進(jìn)行監(jiān)測(cè)以及預(yù)警處置，云存儲(chǔ)中的數(shù)據(jù)物理位置難以確定，這就使得云存儲(chǔ)中的數(shù)據(jù)安全難以保證，為了維護(hù)云存儲(chǔ)中的數(shù)據(jù)安全，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全，甚至國(guó)家數(shù)據(jù)安全，應(yīng)當(dāng)積極主動(dòng)監(jiān)測(cè)、記錄網(wǎng)絡(luò)信息運(yùn)行動(dòng)態(tài)，留存網(wǎng)絡(luò)日志，從國(guó)家和地方兩個(gè)層面積極構(gòu)建網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測(cè)及預(yù)警制度。

對(duì)于云存儲(chǔ)中的數(shù)據(jù)安全保護(hù)，目前中國(guó)的相關(guān)法律及制度仍處于探索階段，各項(xiàng)制度尚不完善。而數(shù)據(jù)信息已然突破了傳統(tǒng)的法律保護(hù)范圍，因此在不斷完善現(xiàn)有法律保護(hù)制度的同時(shí)，應(yīng)當(dāng)充分解釋數(shù)據(jù)或信息的法律含義、法律特征及法律屬性，按照中國(guó)現(xiàn)有網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)的實(shí)際情況，結(jié)合國(guó)際及其他國(guó)家數(shù)據(jù)安全的立法經(jīng)驗(yàn)，不斷完善中國(guó)網(wǎng)絡(luò)安全立法，維護(hù)網(wǎng)絡(luò)空間安全，維護(hù)網(wǎng)絡(luò)空間數(shù)據(jù)信息的存儲(chǔ)、處理及交易，確保國(guó)家數(shù)據(jù)安全，維護(hù)國(guó)家數(shù)據(jù)主權(quán)。

五、結(jié)語(yǔ)

數(shù)據(jù)驅(qū)動(dòng)未來(lái)，軟件定義一切。大數(shù)據(jù)時(shí)代，新興技術(shù)要求日新月異快速更新，而法律保護(hù)上又表現(xiàn)出滯后性，立法者及決策者總是在不斷調(diào)和兩者之間的矛盾，試圖從制度上更好地規(guī)制新興技術(shù)所帶來(lái)的數(shù)據(jù)安全問(wèn)題及挑戰(zhàn)，云存儲(chǔ)的數(shù)據(jù)安全問(wèn)題是各國(guó)都面臨的一個(gè)現(xiàn)實(shí)問(wèn)題，一定程度上，云存儲(chǔ)中數(shù)據(jù)安全能否得到有效的保護(hù)，將直接決定云存儲(chǔ)在未來(lái)的發(fā)展走勢(shì)。雖然很多國(guó)家及相關(guān)的組織和研究機(jī)構(gòu)都在積極地對(duì)云存儲(chǔ)中數(shù)據(jù)安全問(wèn)題進(jìn)行分析和研究，但收效甚微。云存儲(chǔ)中的數(shù)據(jù)安全問(wèn)題涉及的層面比較復(fù)雜，云存儲(chǔ)中數(shù)據(jù)安全問(wèn)題的解決既需要技術(shù)上的規(guī)制也需要法律制度上的保障，要實(shí)現(xiàn)云存儲(chǔ)中的數(shù)據(jù)安全保護(hù)需從技術(shù)、標(biāo)準(zhǔn)、監(jiān)管、法律等多維度著手，綜合考量。

[1]黃維真,何荷.疑云逼近——“云計(jì)算”時(shí)代的國(guó)家安全(上)[J].國(guó)防,2010(4):77-79.

[2]MILLARD C.Cloud computing law [M].New York: Oxford University Press,2013:50.

[3]申麗君.云存儲(chǔ)及其安全性研究[J].電腦知識(shí)與技術(shù),2011(16):3829-3832.

[4]WIKIPEDIA.Cloud computing[EB/OL].[2016-09-06].https://en.wikipedia.org/wiki/Cloud_computing.

[5]IBM.Maintaining and accessing data kept remotely[EB/OL].[2016-10-06].https://www.ibm.com/cloud-computing/what-is-cloud-storage.

[6]看圖識(shí)云 全面解析云存儲(chǔ)的網(wǎng)格架構(gòu)[EB/OL].(2010-03-17)[2016-10-06].http://server.cnw.com.cn/server-cloud/htm2010/20100317_192514_3.shtml.

[7]徐慧麗.云計(jì)算環(huán)境中的法律風(fēng)險(xiǎn)——以數(shù)據(jù)安全為視角[J].科技與法律,2013(6):1-9.

[8]SANDEEN S K.Lost in the cloud: Information flows and the implications of cloud computing for trade secret protection[J].Virginia Journal of Law and Technology,2014,19(1):1-103.

[9]尹立波.多國(guó)力推網(wǎng)絡(luò)安全立法 美頒4部法保護(hù)關(guān)鍵基礎(chǔ)設(shè)施[EB/OL].(2015-07-22)[2016-09-26].http://news.xinhuanet.com/politics/2015-07/22/c_1116007385.htm.

[10]歐洲廢除歐美數(shù)據(jù)安全港協(xié)議[EB/OL].(2015-10-07)[2016-09-26].http://world.huanqiu.com/article/2015-10/7699653.html.

[11]臥龍傳說(shuō).俄羅斯“個(gè)人數(shù)據(jù)保護(hù)法”任性實(shí)施 從“存儲(chǔ)本地化”到數(shù)據(jù)安全之路還有多長(zhǎng)?[J].信息安全與通信保密,2015(10):76-77.

[12]SCHOORL J A.Clicking the “Export” button: Cloud data storage and U.S.Dual-Use export controls[J].George Washington Law Review,2012,80(2):632-667.

[13]徐歡.云計(jì)算時(shí)代監(jiān)測(cè)數(shù)據(jù)安全保護(hù)分析[J].無(wú)線互聯(lián)科技,2016(12):124-125.

(責(zé)任編輯 胡志平)

Legal protection of data security in cloud storage

QI Aimin1,ZHU Gaofeng2

(SchoolofLaw，ChongqingUniversity，Chongqing400044，P.R.China)

Cloud storage is the evolution of cloud computing,cloud storage and cloud computing both connections and differences. Cloud storage refers to the use of the network (especially Internet),the use of application software,to provide users with data storage and access functions of a software and hardware combination of data collection system. Cloud storage itself is not a service,it is in order to achieve data storage services provided by a system support. Uncertainty about the location of the cloud servers has led to variable data locations in cloud storage. Data security and privacy security in cloud storage pose a serious challenge to data users. Data security in cloud storage mainly refers to the security of data collection,storage,access,processing and data transaction. Data security in cloud storage is closely related to network security,the legal protection of data security urgently needs to be developed.

cloud storage; data security; internet security; legal protection

10.11835/j.issn.1008-5831.2017.01.012

Format: QI Aimin,ZHU Gaofeng.Legal protection of data security in cloud storage[J].Journal of Chongqing University( Social Science Edition),2017(1):101-108.

2016-11-24

國(guó)家社會(huì)科學(xué)基金重大項(xiàng)目“國(guó)家網(wǎng)絡(luò)空間安全法律保障機(jī)制研究”( 13&ZD181)

齊愛(ài)民(1970-)，男，河北冀州人，重慶大學(xué)法學(xué)院教授，博士，博士研究生導(dǎo)師，主要從事網(wǎng)絡(luò)信息法與知識(shí)產(chǎn)權(quán)法研究，1309978103@qq.com；祝高峰(1978-)，男，山東濰坊人，重慶大學(xué)法學(xué)院博士研究生，主要從事網(wǎng)絡(luò)信息法與知識(shí)產(chǎn)權(quán)法研究。

D922.8

A

1008-5831(2017)01-0101-08

歡迎按以下格式引用：齊愛(ài)民,祝高峰.論云存儲(chǔ)中數(shù)據(jù)安全的法律保護(hù)[J].重慶大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)，2017(1):101-108.