1、1云计算领域隐私权保护的现实困境分析摘 要近年来,各国因采用云计算技术而频繁发生的信息和数据泄露事件严重侵犯了用户的隐私权,为此,国家进行了相应的立法保护,监督云计算提供商的行为,并敦促云计算提供商改进技术,结果却收效甚微。鉴于此,本文从云计算的特点、行业自律、立法、经济发展、政府介入这 5 个维度对云计算领域隐私权保护的现实困境进行分析,试图探究云计算领域隐私权难以保护的深层次原因,为云计算领域隐私权保护对策的制定提供思路上的参考和借鉴。 关键词云计算;隐私权;立法;行业自律;云产业;政府政策 DOI:10.3969/j.issn.1008-0821.2014.02.033 中图分类号D92
2、3.4 文献标识码A 文章编号1008-0821(2014)02-0162-06 目前,功能日益强大的互联网正在削弱个人计算机的作用,而云计算(Cloud Computing)正是支撑着这种转变的中坚力量。Carr 将信息时代云计算的诞生视为能与工业时代电力的产生相媲美的伟大创举,他认为“到最后由于使用这些实用工具而节约的开销将会令人无法抗拒,即使是大企业也是一样。计算网格便从此胜出了。 ”1但是,在人们享受着云计算带来的种种好处时,云计算也引发了一系列隐私问题。因为采用云计算要求用户对云服务提供商放弃对自己数据的控制,恶意的提供商可能会危及数据的机密性和完整性。此外,历史上提供商泄露、违规2
3、和滥用客户信息,已经凸显了政府监管和市场激励缓解这种威胁的失败2,如表 1 所示。嘉德(Garter)于 2009 年开展的一项调查显示,70%以上的首席技术官(CTO)认为,不使用云计算服务的主要原因是数据的安全和隐私问题3。云计算用户非常担忧云计算提供商的以下行为:将他们的数据交给执法人员(49%) ,甚至在他们试图删除数据后保留文件的副本(63%) ,分析云中的数据以进行有针对性的广告(68%) ,在市场营销活动中使用云中的文件(80%) ,将文件销售给其他人(90%)4。由此不难看出,目前隐私问题已经成为了用户使用云计算服务的一个有力屏障。为此,世界各国都针对云计算中的隐私权进行了各种
4、保护,如立法保护、技术改良、制度保障等,但效果并不显著。目前,从国内外的研究现状来看,学者们对云计算隐私风险产生的原因(Mark D.Ryan,2011;Harry Katzan,2010;Siani Pearson,Azzedine Benameur,2010) ,具体内容(肖斌团,杨会永,2013;王有月,徐勇等,2012)等进行了描述,强调了云计算隐私风险可能产生的不良后果(Wayne A.Jansen,2011) ,对目前世界各国的立法保护、监管保护现状进行了介绍(Lisa J.Sotto,Bridget C.Treacy,Melinda L.McLellan,2010) ,并提出了一
5、系列方法解决云计算隐私问题(Farzad Sabahi,2011;Wassim Itani,Ayman Kayssi,Ali Chehab,2009;蒋洁,2012) 。但是,在对云计算隐私风险、云计算隐私保护现状再到解决方法的提出缺少了一个中间环节,即学者们对于云计算领域的隐私权为什么难以保护这个问题并没有进行细致深入的探讨,这导致所提出的解决方案“治标不治本” ,并不能从根本上解决云计算的隐私问题。鉴于此,3本文从云计算领域隐私权保护的视角出发,研究云计算领域隐私权保护为什么难以完全实现的原因,试图为云计算隐私问题的解决提供一些思路。 表 1 云计算数据和信息泄露事件 1.1 云计算的定义
6、从 2006 年 Google 提出云计算这一概念到现在整个技术领域的“云计算化” ,国际上对云计算定义的界定没有达成一致。Harry Katzan 和 Jr.5认为“云计算是一种服务供应形式,服务提供商从数据中心提供网络访问、安全措施、应用软件、处理能力和数据存储,将数据中心作为一个工具运营以提供按需自助服务、广泛的网络接入、资源共享、快速应用采集和计量服务。 ”Dan Svantesson 和 Roger Clarke6认为,云计算是指满足下列所有条件的一种服务:(1)服务通过电信网络进行传递;(2)用户依赖访问或数据处理服务;(3)数据是在用户的合法控制之下;(4)服务所依赖的一些资源是
7、“虚拟化的”,这意味着用户没有技术需求去知道主机提供的服务在哪个服务器上运行,或者虚拟主机装置的位置;(5)该服务在一个相对灵活的合同安排下被获得,或者至少根据 Quantum 的使用。2011 年 9 月,美国国家标准与技术研究所(National Institute of Standards and Technology,NIST)正式发布了 NIST 的云计算定义文件, “云计算是一个能够使用户通过无处不在、便捷、按需(on-demand)的网络来访问可配置计算机资源共享池(例如网络、服务器、存储、应用程序和服务)的模式,这些资源利用最少的管理工作或服务提供商的互动进行快速配置和发布。
8、”这可能是目前惟一得到广泛认同的定义,本文亦采用此定义。41.2 云计算隐私权的内涵诞生于信息时代的云计算领域的隐私权兼具人格权和财产权性质,其权属内容涵盖个人在云计算领域的网络空间权利、网络信息权利及数据权利,其安全问题主要存在于云计算的客户端、网络传输端和服务器端,并且侵权责任主体主要是云计算提供商。在云计算领域中,从广义上来讲,通常认为个人信息即隐私信息,本文采用惠普实验室 Siani Pearson7对云计算中“个人信息”的界定,主要包括下列信息:(1)个人身份识别信息(Personally Identifiable Information,PII) ,任何可以用来识别或定位个人(如姓
9、名、地址) ,或者可以通过相关信息识别个人的信息(如信用卡号码、邮政编码、互联网协议(IP)地址) ;(2)敏感信息(Sensitive Information) ,宗教或者种族、健康、性取向、工会会员,或者其他被视为私人的信息,如个人的金融信息和工作绩效信息,类似这样信息都需要额外的保障;(3)被认为是敏感 PII 的信息,例如生物信息或公共场所监视摄像机图像;(4)惯用数据(Usage Data) ,通过计算机设备如打印机收集的信息,行为信息,如数字内容的观看习惯、用户最近访问的网站或产品的使用历史;(5)独特的设备标识(Unique device identities) ,可以惟一溯源到
10、用户设备的其他信息,例如 IP 地址、无线电频率识别(Radio Frequency Identity,RFID)标签,惟一的硬件标志。 2 云计算领域隐私权保护的困境隐私问题的日益凸显和对用户隐私权保护的缺失和不到位,导致云计算技术的推广受到很大的制约,延缓了信息化社会的发展进程。为了从根本上解决这一问题,就必须首先对云计算5领域隐私权保护存在的困境进行深入的分析。笔者认为,目前云计算领域隐私权保护主要存在五大困境: 图 1 云计算领域隐私权保护困境的逻辑关系 2.1 困境一:云计算自身特殊性增加隐私权保护难度 云计算作为一种范式,具有其自身的特殊性,包括超大规模、虚拟化、资源共享、弹性服务
11、等,这些特殊性一方面使云计算为人们的生活带来方便,但是另一方面也增加了用户隐私权保护的难度。 2.1.1 超大规模云计算具有超大规模,其目标之一是对具备万亿级计算能力设备的计算力进行综合规划、管理、平衡和分配,主要表现为海量数据分布存储技术和海量数据管理技术。为保证存储数据的可用性和经济性,云计算采用冗余存储的方式将同一份数据存储多个副本,但存储数据被侵犯的风险系数也迅速增大。另外,海量数据存储技术必须具有高传输率和高吞吐率的特点。目前,相对比较成熟的数据存储技术是 Google 的 GFS(Google File System) ,但是这远不能满足云计算的发展需求。对海量的数据进行存储、读取
12、后,云计算需要运用数据管理技术高效地管理大数据集。如何在规模巨大的数据中精确地找到特定的数据,不干扰其他数据安全,实现一种读优化的数据管理,也是云计算数据管理技术必须解决的问题。并且,云计算领域所承载的隐私规模相比其他类型的网络隐私而言更大,这就对隐私的预警、监控、管理和规制机制提出了更高的要求。 2.1.2 虚拟化虚拟化是云计算的基石, “当虚拟化技术推广到互联网时,就是我们所说的云计算了。 ”8云计算中心运用虚拟化技术将6IT 系统的不同层面隔开,打破物理设备障碍,实现架构动态化、集中管理和跨系统的资源调度9。但虚拟化也产生了资源访问不透明的问题。用户在使用系统时,无法了解应用运行的具体位
13、置,这导致用户对存储于云中的隐私数据无法管理,易造成云平台服务中断的情况下隐私信息难以恢复,这对云计算数据容灾提出了更高的要求。除此之外,用户很难对数据资源中心进行监控。如果用户终止云服务,云计算提供商能否如约销毁信息用户无法得知。倘若由于上述问题引发争议,主要证据仍然由云计算提供商控制,用户维权困难。 2.1.3 资源共享云计算力求在广阔自由的环境中共享信息资源,为更多的用户提供信息和知识服务,实现服务和数据信息资源的最大化利用。然而,由于数据资源暴露在互联网上,不能确保公共云上的资源有适当的访问控制(认证、授权和审计) ,数据信息面临日益增长的风险。此外,云共享下的 3 种交互模式使得数据
14、的流动性增强,从另一个侧面也增加了隐私数据在流动过程中被盗用和篡改的可能性。普遍存在的拒绝服务(DoS)和分布式拒绝服务(DDoS)就是严重破坏数据资源的网络攻击。同时,数据跨境流动使得官方部门在执行法律时往往在未取得相关授权(信息主体或相关数据的持有人)的情况下对云中的个人数据进行检查和处理,这将隐私数据保密性和完整性的要求提高到了新的层次。2.1.4 弹性服务云弹性服务(Cloud Elasticity Service,CES)主要由应用管理器、云管理器和云传感器这三大部分组成,一个或多个Weblet 构成云弹性应用程序。云计算中的资源、数据,用户可以按需获7取,云计算中心也可以自动地提供
15、相应的资源扩展或资源释放功能,实现资源的动态调配。然而,云弹性的运行环境制约着数据资源的安全性10:(1)作为分布式应用的弹性应用程序,在相同的用户/设备申请发起的一个应用程序中的两个 Weblet 在运行过程中,很少有安全通信渠道进行相互身份的验证;(2)当 Weblet 需要访问敏感的用户数据,无论是 MD 或其他网络服务上数据,不完善的授权访问管理易使敏感数据被滥用;(3)对于弹性应用或其他许多基于云的应用而言,针对 Weblet运行所在的云节点,如何建立和验证可信的运行环境也是需要解决的根本性问题。 2.2 困境二:行业自律“形同虚设”行业自律(Industry Self-regula
16、tion)一方面是行业内部自我约束、自我发展的过程,另一方面是与政府监管相互补充的一种对行业的管理机制。从狭义上讲,行业自律通过行业或职业本身所形成的组织来代替政府的管制,从而填补政府在立法方面的漏洞。从广义上来说,行业自律除了补充政府监管外,还包括为了行业利益与政府进行磋商,为会员提供服务。本质上来讲,行业自律应是同一行业的经济行为人联合体(行业组织)自觉、自愿地对本行业成员行为的自我控制和约束11。对于行业自律产生的原因,从“成本收益”角度出发的解释更有说服力,即行业要想自律必须付出一定的成本,这些成本包括制定和执行行业自律规范所付出的成本以及实行行业自律所导致潜在客户流失的成本。行业自律
17、产生的收益则主要是遵守行业规范所获得的保护“公地”的集体行动益处。美国是云计算领域隐私权的行业自律保护最为典型的国家,其保护模式被称为政策8指引下的行业自律保护模式,形式主要包括建议性的行业指引、网络隐私认证计划、技术保护和企业自律12。尽管当前行业自律为云计算领域隐私权保护创造了极大的自由、自治空间,促进了云计算的发展,但在实际运作过程中仍然面临许多挑战。第一,行业自律之所以备受推崇是由于其在美国的成功运作,但实际上美国自由放任的政策传统才是行业自律得以盛行的基石。作为信息技术的领军者,美国在信息资料的收集和处理方面拥有巨大优势,在个人数据信息进出口流通中获益最多,美国希望保持这种优势,实现
18、个人数据的自由流通。为了能够进入欧盟的电子商务市场,美国于 1998 年发布了国际安全港隐私保护原则 ,即当美国符合安全港原则的某些规定才可以与欧盟进行信息的交换、转让。由此可见,美国通过行业自律实现隐私保护似有不足。美国行业自律模式的发展有其天然的独特性,是不可复制的。第二,云计算领域的隐私信息由于自身的特殊性容易受到侵犯,具有很大的脆弱性,在这种情况下通过行业自律来保护隐私信息是不现实的。行业自律的动因主要是行业会员成本和收益的比率,但是行业组织成员与隐私主体存在利益的冲突,即信息交流所带来的巨大行业利益与个人隐私保护所产生的个体利益之间的矛盾13。这就容易导致行业自律模式缺少民主参与机制
19、,并且行业组织成员自身的反竞争性凸显。第三,行业组织的反竞争性导致各种垄断和寻租问题。为实现自身利益,行业组织的市场分割、价格联盟、共同抵制等竞争行为给行业自律设置了障碍。自律机构利用特权通过对专业协会颁发执照,限制行业准入,为少数行业组织创造了获得超额收入的机会。第四,行业自律模式缺乏强制执行措施和制裁措施是9其在个人隐私保护方面孱弱的主要根源。行业协会的自愿组织性使其缺乏强制力措施。同时,行业协会对会员存在相当程度的经济依赖性,在对会员实施惩罚措施时很难做到公平、独立14。正如国外学者 Reisch所说,行业自律管理是“天鹅绒手套而不是铁拳”15。 2.3 困境三:立法保护存在缺陷云计算领
20、域隐私权保护最主要的方式就是法律,各个国家也专门针对隐私权颁布了许多法案,其中比较具有代表性的国家是美国和欧盟。 2.3.1 美国的立法保护存储通讯法案 (The Stored Communications Act,SCA)是美国网络隐私保护的主要联邦法律渊源,但是其中的规定在很多方面并不适用云计算服务的隐私保护要求。在 SCA立法之初,美国国会意图监管处理电子邮件和数据传输的电子通讯服务(Electronic Communication Service,ECS)与提供外包的数据存储和计算机处理的远程计算服务(Remote Computing Service,RCS) 。SCA 要求 ECS
21、提供商只能在传输过程中暂时拥有信息,或者为了保护数据进行备份,但许多云计算服务提供商将用户的数据长期保留。SCA 对 RCS 也做出了相应规定,即用户将数据传输给云提供商的惟一目的是获得存储或计算机处理服务,并且云提供商仅仅是为了提供存储或者处理服务才能被授权访问用户数据。这种排他性的规定使得以广告收益而非用户收费为主要资金来源的云服务商业模式受到巨大冲击。用户为获得免费云服务必须与云服务提供商分享数据使相关有针对性的广告业务成为可能,但是这样就违反上述法律的规定,且用户数据存在披露给政府或第三方的风险。 美国联邦信息安全管理法案 (The Federal Information 10Secu
22、rity Management Act,FISMA)要求美国联邦机构开发、记录和实施信息安全计划。该法案为了防止厂商隐瞒相关重要信息,要求政府机构适用私有云而非公有云,这导致私有云在持续运行、处理过程分隔以及工作量激增的情况下难以与公共云进行内部隐私数据的交互流通。从上述分析可知,美国政府在强制披露云计算用户隐私数据的权限上受到的限制较少,对用户隐私数据的立法保护力度微乎其微,且缺乏独立的数据保护机构,云计算中个人隐私数据保护面临严峻的挑战。 2.3.2 欧盟的立法保护欧盟隐私法将隐私作为一项基本人权加以保护,这使得欧盟对个人隐私的保护理念上升到一个新的高度。欧盟数据保护法首次对隐私和数据提供
23、系统的法律保护。 欧盟数据保护指令规定,云计算中用户个人数据控制方作为主要的数据保护义务主体,如果没有遵守指令有关规定应当承担民事、行政甚至刑事上的责任。但由于不能准确区分数据处理方和数据控制方,云服务提供商和用户之间权利义务关系较难确定。在涉及数据跨境传输的问题上, 欧盟数据保护指令只允许数据流向对个人数据提供充分保护的司法管辖区,这种“充分性”判断标准是由欧盟设定的,加之欧盟细致缓慢的审查过程和严格的法律规定,迄今为止只有加拿大、阿根廷、匈牙利和瑞士通过了“充分性”判断标准这种严苛的规定使得欧盟很难加强与其他国家关于云计算产业的合作与交流。总体上来看,在欧盟现有的立法框架下,云计算领域的数据和隐私保护还存在诸多缺陷和漏洞,在云计算产业发展迅猛的国际大背景下,欧盟应当适应时代潮流对云计算领域的数据和隐私保护立法做出相应的调整和改变。
