黃國彬 鄭 琳（北京師范大學(xué)政府管理學(xué)院 北京 100875）

基于服務(wù)協(xié)議的云服務(wù)提供商信息安全責(zé)任剖析*

黃國彬 鄭 琳
（北京師范大學(xué)政府管理學(xué)院 北京 100875）

〔摘 要〕文章從隱私政策、免責(zé)聲明、協(xié)議終止、以及法律適用4個(gè)角度對(duì)15家主要云服務(wù)提供商服務(wù)協(xié)議中的信息安全責(zé)任進(jìn)行了剖析，指出了現(xiàn)有云服務(wù)協(xié)議存在的主要問題，就用戶如何選用云服務(wù)給出了相應(yīng)的建議，力圖使用戶在接受云服務(wù)時(shí)更為全面深入地知曉自身的信息安全風(fēng)險(xiǎn)。

〔關(guān)鍵詞〕云服務(wù) 服務(wù)協(xié)議 信息安全 責(zé)任認(rèn)定

1 引言

云計(jì)算的出現(xiàn)給產(chǎn)業(yè)界和學(xué)術(shù)界帶來了一場(chǎng)全新的革命。云計(jì)算將許多服務(wù)器連接起來，充分實(shí)現(xiàn)了服務(wù)器所需要的龐大的計(jì)算能力[1]，這使得計(jì)算能力能夠作為商品流通，使人們能夠像使用水、電、煤氣和電話那樣使用網(wǎng)絡(luò)信息資源。[2]因此，越來越多的用戶開始關(guān)注、并且使用云服務(wù)。然而，由于用戶與云服務(wù)提供商所簽訂的服務(wù)協(xié)議是由云服務(wù)提供商單方面提供的，用戶可選擇的余地很小。因此，二者簽訂的服務(wù)協(xié)議從本質(zhì)上來說是云服務(wù)提供商將自己的意志強(qiáng)加給用戶的結(jié)果。這就造成，在二者交易的過程中，云服務(wù)提供商逐漸成為掌握巨大資源與權(quán)力的一方。盡管二者在法律上處于平等地位，但是權(quán)力的天平已然向云服務(wù)提供商的方向傾斜，而服務(wù)協(xié)議則是這場(chǎng)權(quán)力較量當(dāng)中最為重要的砝碼。

可見，云計(jì)算服務(wù)提供商的行為實(shí)質(zhì)上是濫用了契約自由原則，進(jìn)而單方面提出服務(wù)協(xié)議，導(dǎo)致服務(wù)協(xié)議上負(fù)擔(dān)及風(fēng)險(xiǎn)的不合理分配，使得服務(wù)協(xié)議成為經(jīng)濟(jì)強(qiáng)者壓迫經(jīng)濟(jì)弱者的工具，從而破壞了服務(wù)協(xié)議簽訂過程中應(yīng)有的平等互惠原則。[3]如果是其他類型的服務(wù)，這種服務(wù)協(xié)議也許只會(huì)導(dǎo)致用戶權(quán)限的受損，給用戶使用服務(wù)帶來不便。但是鑒于云服務(wù)的特殊性——用戶將大量的信息資源與應(yīng)用存儲(chǔ)或部署在云端，這些信息資源與應(yīng)用，不僅擁有巨大的經(jīng)濟(jì)價(jià)值，還可能擁有無可比擬的情感價(jià)值，一旦其信息安全受到侵害，將造成不可估量的損失。因此，云服務(wù)協(xié)議中有關(guān)信息安全的相關(guān)規(guī)定值得我們?nèi)ベM(fèi)心思量。

鑒于此，文章試圖對(duì)現(xiàn)有云服務(wù)提供商的服務(wù)協(xié)議中有關(guān)信息安全的條款進(jìn)行調(diào)研與分析，進(jìn)而探知在用戶信息安全遭受侵害時(shí)，相關(guān)責(zé)任的歸屬問題。在此基礎(chǔ)上，指出現(xiàn)有云計(jì)算服務(wù)提供商服務(wù)協(xié)議中存在的不足和潛在信息安全責(zé)任風(fēng)險(xiǎn)，并給出相應(yīng)的建議，以期為用戶選用并且判斷云服務(wù)提供有益的借鑒和參考。

2 云服務(wù)提供商服務(wù)協(xié)議的信息安全責(zé)任剖析

選擇15家云服務(wù)提供商的服務(wù)協(xié)議作為分析的對(duì)象，如表1所示。之所以選擇這15家云服務(wù)提供商，是由于這15家云服務(wù)提供商是當(dāng)前用戶使用最多、影響力最大的云服務(wù)提供商，具有一定的代表性。

通過對(duì)上述15家云服務(wù)提供商的服務(wù)協(xié)議內(nèi)容進(jìn)行梳理和分析，將云服務(wù)協(xié)議中與信息安全有關(guān)的內(nèi)容提取出來，具體分為以下幾個(gè)方面：隱私政策、免責(zé)聲明、協(xié)議終止、以及法律適用。

表1 15家主要云服務(wù)提供商及其云服務(wù)

2.1 隱私政策

云服務(wù)協(xié)議中的隱私政策意在使用戶明確，云服務(wù)提供商將從哪些方面收集用戶信息、收集有關(guān)用戶的哪些信息、如何收集、如何使用，以及如何保護(hù)這些信息。主要包括三個(gè)方面：信息收集、信息披露、以及信息刪除。

2.1.1 信息收集

信息收集包括用戶主動(dòng)向服務(wù)提供商提交的信息以及服務(wù)提供商未經(jīng)用戶同意自行收集的用戶信息兩種類型。前者主要指用戶注冊(cè)時(shí)提交的個(gè)人資料，后者則主要指云服務(wù)提供商通過Cookies、匿名標(biāo)識(shí)符等技術(shù)手段對(duì)用戶的信息和行為進(jìn)行跟蹤收集。

可見，在信息收集過程中，云服務(wù)提供商將掌握大量用戶的私密性信息。但是現(xiàn)有云服務(wù)協(xié)議中，針對(duì)這些信息安全受到侵害時(shí)的責(zé)任認(rèn)定情況總體并不樂觀。主要分為兩種類型：①服務(wù)協(xié)議中沒有提及；②撇清云服務(wù)提供商的責(zé)任。前者如百度云的服務(wù)協(xié)議：“以上數(shù)據(jù)信息都采用匿名的方式。同時(shí)，我們也會(huì)對(duì)信息采取加密處理，保證信息的安全性”[4]，并沒有提及如果用戶信息遭受侵害，相關(guān)責(zé)任的歸屬問題。后者如阿里云的服務(wù)協(xié)議中：“該賬戶和密碼因任何原因受到潛在或現(xiàn)實(shí)危險(xiǎn)時(shí)，您應(yīng)該立即和阿里云取得聯(lián)系，在阿里云采取行動(dòng)前，阿里云對(duì)此不負(fù)任何責(zé)任”[5]，明確表明一旦用戶信息遭受威脅，責(zé)任由用戶承擔(dān)。

2.1.2 信息提供

信息提供是指云服務(wù)提供商將收集到的用戶信息提供給第三方的行為?，F(xiàn)有云服務(wù)協(xié)議對(duì)信息提供的相關(guān)規(guī)定十分明確，且大致相同：將依據(jù)法律的有效令來提供用戶的數(shù)據(jù)信息，或是有充分的理由保護(hù)己方和他人的利益。如RackSpace在服務(wù)協(xié)議中提到：“在以下情況，本公司會(huì)將用戶信息提供給第三方：執(zhí)行法律規(guī)定、保護(hù)他人安全和權(quán)利、抑制欺詐和垃圾郵件等不良行為?！盵6]盛大云在服務(wù)協(xié)議中提到：“未經(jīng)用戶許可甲方不得向任何第三方公開或共享用戶注冊(cè)資料中的姓名、個(gè)人或單位有效證件/照號(hào)碼、聯(lián)系方式、住址等個(gè)人或單位身份信息，但下列情況除外：a）用戶或用戶監(jiān)護(hù)人授權(quán)甲方披露的；b）有關(guān)法令要求甲方披露的；c）司法機(jī)關(guān)或行政機(jī)關(guān)基于法定程序要求甲方提供的；d）甲方為了維護(hù)自己合法權(quán)益而向用戶提起訴訟或者仲裁時(shí)；e）為維護(hù)社會(huì)公眾的利益。”[7]

可見，在某些情況下，云服務(wù)提供商還是會(huì)將用戶的信息提供給第三方。盡管其目的是出于遵守法律、維護(hù)公眾利益，看起來也似乎很有道理。但是仍侵犯了用戶的信息安全權(quán)益?！断M(fèi)者權(quán)益保護(hù)法》第7條規(guī)定：消費(fèi)者在購買、使用商品和接受服務(wù)時(shí)享有人身、財(cái)產(chǎn)安全不受損害的權(quán)利。云服務(wù)提供商將用戶信息提供給第三方，顯然與上述規(guī)定相違背，構(gòu)成了對(duì)用戶信息安全的侵犯，由于有服務(wù)協(xié)議保駕護(hù)航，而無需承擔(dān)相應(yīng)責(zé)任。

2.1.3 信息刪除

信息刪除是指云服務(wù)提供商會(huì)在特定情況下對(duì)用戶存儲(chǔ)在云端的信息進(jìn)行刪除?，F(xiàn)有云服務(wù)協(xié)議有關(guān)信息刪除的約定十分明確：如果用戶出現(xiàn)上傳非法信息，如反動(dòng)、色情以及其他違反法律法規(guī)的、接觸會(huì)使人產(chǎn)生不快的、不適當(dāng)?shù)膬?nèi)容，或是用戶沒有按時(shí)交納費(fèi)用等情況，云服務(wù)商將對(duì)其上傳信息予以刪除。如iCloud的服務(wù)協(xié)議中提到：“您確認(rèn)，對(duì)于由他人提供的任何內(nèi)容，蘋果公司在任何方面均不承擔(dān)任何責(zé)任，且沒有義務(wù)對(duì)該等內(nèi)容預(yù)先進(jìn)行審查。但是，蘋果公司始終保留確定內(nèi)容是否適當(dāng)并符合本協(xié)議的權(quán)利，并且，如果蘋果公司認(rèn)定，內(nèi)容違反本協(xié)議或在其他方面令人反感，則蘋果公司經(jīng)自行決定隨時(shí)可以對(duì)內(nèi)容進(jìn)行預(yù)先審查、將內(nèi)容移至他處、拒絕、修改和/或刪除內(nèi)容，而無需事先發(fā)出通知?！盵8]

但是現(xiàn)有云服務(wù)協(xié)議中卻沒有提及，一旦云服務(wù)提供商判斷錯(cuò)誤，發(fā)生誤刪用戶信息的情況，應(yīng)該如何界定責(zé)任歸屬?？梢?，現(xiàn)有云服務(wù)協(xié)議只賦予了云服務(wù)提供商刪除用戶信息的權(quán)利，卻沒有提及一旦誤刪的情況出現(xiàn)，云服務(wù)提供商應(yīng)該擔(dān)負(fù)什么樣的責(zé)任。這會(huì)導(dǎo)致誤刪發(fā)生后，云服務(wù)提供商借口服務(wù)協(xié)議沒有相關(guān)規(guī)定而逃避責(zé)任，這對(duì)用戶來講是很不公平的。

綜上，可以看出，現(xiàn)有云服務(wù)協(xié)議的隱私政策并不能完全保證用戶的隱私不被泄露，且云服務(wù)提供商將收集、披露以及刪除用戶信息看作是一種合理行為，無需為此付出任何代價(jià)。

2.2 免責(zé)聲明

免責(zé)聲明意在使用戶明確，在什么樣的情況下，云服務(wù)提供商沒有履行服務(wù)協(xié)議有關(guān)規(guī)定卻無需承擔(dān)違約責(zé)任。現(xiàn)有云服務(wù)協(xié)議的免責(zé)聲明主要包含以下幾個(gè)方面：不可抗力、基礎(chǔ)設(shè)施、技術(shù)漏洞、以及升級(jí)維護(hù)。

2.2.1 不可抗力

現(xiàn)有云服務(wù)提供商提供的服務(wù)協(xié)議中規(guī)定，因不可抗力（如自然災(zāi)害等）造成用戶存儲(chǔ)在云端的信息丟失，云服務(wù)提供商將不會(huì)對(duì)此負(fù)責(zé)。如華為云的服務(wù)協(xié)議中提到：“不可抗力是指本協(xié)議任何一方不能預(yù)見、不能避免且不可克服的事件，包括但不限于：自然災(zāi)害、災(zāi)難性氣候、火災(zāi)等；戰(zhàn)爭(zhēng)或準(zhǔn)戰(zhàn)爭(zhēng)狀態(tài)、敵對(duì)行動(dòng)、恐怖活動(dòng)、騷亂、罷工、行業(yè)糾紛等。”[9]

可見，一旦由于不可抗力的原因?qū)е掠脩舸鎯?chǔ)在云端的信息受到安全威脅，甚至是遭受損失，云服務(wù)提供商是不承擔(dān)任何責(zé)任的。那么此時(shí)，信息的損失、甚至是丟失的后果就只能由用戶單方承擔(dān)。

2.2.2 基礎(chǔ)設(shè)施

現(xiàn)有云服務(wù)提供商提供的服務(wù)協(xié)議中規(guī)定，由于基礎(chǔ)設(shè)施發(fā)生故障導(dǎo)致用戶信息的泄露和丟失等情況，云服務(wù)提供商無需承擔(dān)責(zé)任。如Microsoft的服務(wù)協(xié)議中提到：“Microsoft及各關(guān)聯(lián)公司、經(jīng)銷商、分銷商和供應(yīng)商不提供與您使用服務(wù)相關(guān)的任何明示或默示的保證、保障或條件。您已了解，您應(yīng)自擔(dān)服務(wù)使用風(fēng)險(xiǎn)，并且我方將按“現(xiàn)狀”提供服務(wù)，服務(wù)‘可能存在各種缺陷’且只提供‘目前可用功能’。您承認(rèn)計(jì)算機(jī)和電信系統(tǒng)可能會(huì)出現(xiàn)故障或偶爾會(huì)發(fā)生停機(jī)。我們不能保證服務(wù)無中斷、及時(shí)、安全或無錯(cuò)誤，也不保證不會(huì)發(fā)生內(nèi)容丟失情況?！盵10]

可見，一旦由于基礎(chǔ)設(shè)施發(fā)生故障、停機(jī)、宕機(jī)等原因?qū)е掠脩粜畔踩馐軗p失，云服務(wù)提供商無需對(duì)此承擔(dān)責(zé)任。而此時(shí)，信息的泄露、損毀、甚至丟失的后果只能由用戶獨(dú)自承擔(dān)。但是現(xiàn)實(shí)情況是，因自然災(zāi)害、基礎(chǔ)設(shè)施更新不及時(shí)、通信系統(tǒng)故障等原因?qū)е碌耐C(jī)、宕機(jī)現(xiàn)象是較為常見的，并且一旦發(fā)生，其影響范圍也更大。云計(jì)算服務(wù)提供商將其納入免責(zé)聲明，無疑增加了用戶的信息安全風(fēng)險(xiǎn)與責(zé)任。

2.2.3 技術(shù)漏洞

現(xiàn)有云服務(wù)提供商提供的服務(wù)協(xié)議中規(guī)定，由于技術(shù)漏洞、黑客攻擊等技術(shù)原因?qū)е掠脩粜畔踩馐芡{甚至受到侵害時(shí)，云服務(wù)提供商無需為此承擔(dān)責(zé)任。如騰訊云的服務(wù)協(xié)議中提到：“盡管康盛對(duì)您的信息保護(hù)做了極大的努力，但是仍然不能保證在現(xiàn)有的安全技術(shù)措施下，您的信息絕對(duì)安全。您的信息可能會(huì)因?yàn)椴豢煽沽蚍强凳⑦^錯(cuò)造成泄漏、被竊取等，由此給您造成損失的，您同意康盛可以免責(zé)。”[11]

然而調(diào)查顯示，當(dāng)前，只有35%的企業(yè)有能力在幾分鐘之內(nèi)監(jiān)測(cè)到數(shù)據(jù)的安全漏洞，22%的企業(yè)需要一天時(shí)間才能監(jiān)測(cè)到，還有5%的企業(yè)需要一個(gè)星期的時(shí)間才能監(jiān)測(cè)到。平均下來，每個(gè)企業(yè)監(jiān)測(cè)到數(shù)據(jù)的安全風(fēng)險(xiǎn)需要花費(fèi)10個(gè)小時(shí)的時(shí)間。[12]可見，當(dāng)前的信息安全技術(shù)仍然存在較為嚴(yán)重的漏洞與滯后問題。云計(jì)算服務(wù)商將其納入免責(zé)聲明，不僅增加用戶的信息安全風(fēng)險(xiǎn)與責(zé)任，也使得在信息泄露發(fā)生的時(shí)候，云計(jì)算服務(wù)提供商由于可以憑借免責(zé)聲明而獨(dú)善其身，從而打消了云計(jì)算服務(wù)提供商積極更新信息安全技術(shù)的熱情與積極性。

2.2.4 升級(jí)維護(hù)

現(xiàn)有云服務(wù)提供商提供的服務(wù)協(xié)議中規(guī)定，由于云服務(wù)設(shè)備、平臺(tái)或是系統(tǒng)進(jìn)行升級(jí)、維護(hù)、更新、檢修等原因?qū)е碌挠脩粜畔G失、損毀、或是泄露，云服務(wù)提供商將無需為此承擔(dān)責(zé)任。如百度云的服務(wù)協(xié)議中提到：“用戶理解，百度云服務(wù)需要定期或不定期地對(duì)提供網(wǎng)絡(luò)服務(wù)的平臺(tái)或相關(guān)的設(shè)備進(jìn)行檢修或者維護(hù)，如因此類情況而造成收費(fèi)網(wǎng)絡(luò)服務(wù)在合理時(shí)間內(nèi)的中斷，百度云服務(wù)無需為此承擔(dān)任何責(zé)任，但百度云服務(wù)應(yīng)盡可能事先進(jìn)行通告?！盵13]

可見，一旦由于云服務(wù)提供商進(jìn)行設(shè)備的維護(hù)、升級(jí)所導(dǎo)致的用戶信息丟失、損毀、或是泄露，云計(jì)算服務(wù)商可以不承擔(dān)任何責(zé)任。此時(shí)，用戶只能獨(dú)自承擔(dān)相應(yīng)的損失。

綜上，可以看出，現(xiàn)有云計(jì)算服務(wù)協(xié)議將可能導(dǎo)致用戶信息安全受到威脅，甚至損失的情況全部納入免責(zé)聲明。也就是說，絕大部分情況下，云服務(wù)提供商無需為用戶的信息安全承擔(dān)責(zé)任，更不會(huì)為此付出代價(jià)。由此可見，現(xiàn)有云服務(wù)協(xié)議在免責(zé)聲明方面的規(guī)定存在嚴(yán)重的不公平、責(zé)任分配不均衡的問題。

2.3 協(xié)議終止

協(xié)議終止意在使用戶明確，在什么樣的情況下，云服務(wù)提供商可以無條件地結(jié)束與用戶的協(xié)議，即結(jié)束向用戶提供相應(yīng)的云服務(wù)?，F(xiàn)有云服務(wù)協(xié)議大多規(guī)定，在用戶拖欠費(fèi)用、或是用戶出現(xiàn)云服務(wù)協(xié)議事先明確告知的應(yīng)被終止服務(wù)的禁止性行為的情況下，云服務(wù)提供商可以無條件結(jié)束向用戶提供服務(wù)，甚至不返還剩余款項(xiàng)。如Joyent的服務(wù)協(xié)議中提到：“如果用戶出現(xiàn)拖欠費(fèi)用的情況，我們有權(quán)終止對(duì)用戶的云服務(wù)?！盵14]相比之下，Amazon的態(tài)度則更加“霸道”，沒有說明何種情況下會(huì)終止服務(wù)，僅提到“有權(quán)拒絕向用戶繼續(xù)提供云服務(wù)，并相應(yīng)地刪除和編輯用戶存儲(chǔ)在云上的信息資源”[15]?？梢姡F(xiàn)有云服務(wù)協(xié)議對(duì)云服務(wù)提供商能否單方面結(jié)束合作給予了很大的權(quán)力，而用戶只能被動(dòng)承受。那么，由此就會(huì)引發(fā)一個(gè)非常重要的問題：云服務(wù)提供商單方面結(jié)束合作并就用戶存儲(chǔ)在云上的信息進(jìn)行刪除，用戶如果來不及對(duì)數(shù)據(jù)進(jìn)行備份，那么數(shù)據(jù)丟失的責(zé)任誰來承擔(dān)？

針對(duì)這一問題，現(xiàn)有云服務(wù)提供商的服務(wù)協(xié)議規(guī)定，由于云服務(wù)提供商停止服務(wù)造成的用戶信息丟失，云服務(wù)提供商將不會(huì)就此承擔(dān)責(zé)任。如Salesforce的服務(wù)協(xié)議中提到：“在服務(wù)終止生效的30天內(nèi)，我們將為用戶提供存儲(chǔ)于云端的數(shù)據(jù)的下載與備份。30天后，我們沒有義務(wù)再維護(hù)或提供您的數(shù)據(jù)，并將刪除或銷毀您存儲(chǔ)在我們系統(tǒng)中的所有副本以及文檔、數(shù)據(jù)?！盵16]華為的服務(wù)協(xié)議中提到：“你方應(yīng)自行備份云服務(wù)產(chǎn)品中的你方內(nèi)容。在本協(xié)議終止后，本公司有權(quán)清除云服務(wù)產(chǎn)品上的你方內(nèi)容。因你方怠于備份數(shù)據(jù)造成信息丟失的，本公司不承擔(dān)任何責(zé)任。”[17]

綜上可知，當(dāng)云服務(wù)提供商決意停止向用戶提供相應(yīng)的云服務(wù)時(shí)，通常有兩種做法：通知用戶在一定的期限內(nèi)進(jìn)行備份后對(duì)用戶的信息進(jìn)行刪除，以及不通知用戶直接對(duì)信息進(jìn)行刪除。無論哪種情況，云服務(wù)提供商都無需為用戶信息的丟失負(fù)責(zé)。那么，一旦云服務(wù)提供商對(duì)用戶存儲(chǔ)在云上的信息進(jìn)行刪除，而用戶沒有來得及對(duì)信息進(jìn)行備份或下載導(dǎo)致的信息丟失，只能由用戶單方買單。

2.4 法律適用

法律適用意在使用戶明確，在具體的法律事實(shí)出現(xiàn)后，應(yīng)將其歸入哪個(gè)相應(yīng)的抽象法律事實(shí)，然后根據(jù)該法律規(guī)范關(guān)于抽象法律關(guān)系之規(guī)定，形成具體的法律關(guān)系和法律秩序。[18]

現(xiàn)有云服務(wù)協(xié)議通常規(guī)定云服務(wù)提供商受主要營業(yè)所在地的法律的管轄。如iCloud的服務(wù)協(xié)議中提到：“除了下一段中明確規(guī)定的以外，本協(xié)議及您與蘋果公司的關(guān)系將受加利福尼亞州法律管轄，但不包括其沖突法規(guī)范。您和蘋果公司同意服從加州圣塔克拉拉郡（Santa Clara）法院的屬人和專屬司法管轄，由其解決因本協(xié)議而產(chǎn)生的爭(zhēng)議或索賠。如果a）您不是美國公民；b）您并非在美國居??；c）您并非從美國獲得本服務(wù)；及d）您是以下國家的公民，您在此同意因本協(xié)議引起的任何爭(zhēng)議或索賠將由以下適用法律管轄（但其沖突法規(guī)范除外），而且您在此不可撤銷地服從以下州、省或國家的法院的非專屬司法管轄：如果您是任何歐盟國家或瑞士、挪威或冰島的公民，即以您通常居住地的法律和法院為管轄法律及法院。”[19]阿里云的服務(wù)協(xié)議中提到：“本服務(wù)條款之效力、解釋、變更、執(zhí)行與爭(zhēng)議解決均適用中華人民共和國法律。因本服務(wù)條款產(chǎn)生之爭(zhēng)議，均應(yīng)依照中華人民共和國法律予以處理，并提交浙江省杭州市西湖區(qū)人民法院審判?！盵20]

可見，盡管這類條款由于當(dāng)?shù)叵M(fèi)者保護(hù)法一般不具有強(qiáng)制性，但是這類條款無疑大大加重了使用云計(jì)算國際服務(wù)的用戶的責(zé)任。[21]一旦用戶與云服務(wù)提供商發(fā)生糾紛，且二者不在同一個(gè)國家，將按照云服務(wù)提供商所在地區(qū)的法律予以處理，這將無形中導(dǎo)致云服務(wù)商及用戶之間的責(zé)任認(rèn)定更加復(fù)雜。

3 給用戶的建議

通過對(duì)云服務(wù)商提供服務(wù)協(xié)議的信息安全責(zé)任剖析可知，現(xiàn)有云服務(wù)協(xié)議處于對(duì)用戶不平等，責(zé)任分配不均衡的狀態(tài)，會(huì)導(dǎo)致用戶信息一旦遭受損失，云服務(wù)提供商完全可以從糾紛中全身而退，無需負(fù)責(zé)，獨(dú)留用戶承擔(dān)所有的風(fēng)險(xiǎn)與責(zé)任的狀況。鑒于此，用戶有必要認(rèn)真了解云服務(wù)協(xié)議的內(nèi)容，即使不能使得自身完全免責(zé)，至少可以保證在數(shù)量繁多的云服務(wù)中選擇一個(gè)最有利于自己權(quán)益的云服務(wù)。具體可以從兩個(gè)方面著手。

3.1 仔細(xì)閱讀云服務(wù)協(xié)議

通常情況下，用戶很少在注冊(cè)云服務(wù)時(shí)閱讀云服務(wù)的服務(wù)協(xié)議。即使閱讀，也不會(huì)十分認(rèn)真，多是點(diǎn)到即止的大致瀏覽。之所以出現(xiàn)這種情況，一方面是由于用戶本身對(duì)云服務(wù)協(xié)議不夠重視，沒有認(rèn)識(shí)到其中可能存在的信息安全責(zé)任。另一方面也與云服務(wù)提供商的刻意引導(dǎo)有關(guān)：通常情況下，服務(wù)協(xié)議可以分為點(diǎn)擊式和瀏覽式兩種類型。點(diǎn)擊式是指用戶在注冊(cè)時(shí)，需通過點(diǎn)擊“我同意”才能完成注冊(cè)的服務(wù)協(xié)議形式；瀏覽式是指用戶需要主動(dòng)查找服務(wù)協(xié)議并單擊進(jìn)入相應(yīng)界面瀏覽的服務(wù)協(xié)議形式。

可見，點(diǎn)擊式服務(wù)協(xié)議具有較好的通知性，即能夠在一定程度上起到提醒用戶閱讀服務(wù)協(xié)議的作用。而瀏覽式服務(wù)的通知性則較差，除非用戶主動(dòng)查找，否則直接默認(rèn)用戶已經(jīng)閱讀了服務(wù)協(xié)議并且沒有絲毫異議。并且，瀏覽式服務(wù)通常將鏈入服務(wù)協(xié)議內(nèi)容頁面的按鈕設(shè)置在網(wǎng)頁最不明顯的位置，更加導(dǎo)致用戶對(duì)服務(wù)協(xié)議的忽視。

因此，用戶在選擇使用某一項(xiàng)云服務(wù)時(shí)，應(yīng)該對(duì)其服務(wù)協(xié)議加以重視。認(rèn)真仔細(xì)地閱讀云服務(wù)協(xié)議，以便將不同的云服務(wù)協(xié)議進(jìn)行比較分析，選擇最有利于自身的云服務(wù)。

3.2 學(xué)會(huì)閱讀云服務(wù)協(xié)議

用戶不僅應(yīng)該仔細(xì)對(duì)云服務(wù)協(xié)議的內(nèi)容進(jìn)行閱讀，還應(yīng)該學(xué)會(huì)對(duì)云服務(wù)協(xié)議的內(nèi)容進(jìn)行分析，進(jìn)而探知其中蘊(yùn)含的信息安全責(zé)任歸屬，以便選用服務(wù)協(xié)議相對(duì)公平的云服務(wù)。具體可以按照本文第二部分中提到的四點(diǎn)內(nèi)容加以分析。

（1） 知曉隱私協(xié)議。了解云服務(wù)協(xié)議約定的隱私保護(hù)承諾，進(jìn)而對(duì)云服務(wù)提供商怎樣收集、利用自身的信息加以掌握。以便對(duì)云服務(wù)提供商的行為加以限制或是糾紛發(fā)生時(shí)進(jìn)行責(zé)任認(rèn)定。

（2） 知曉免責(zé)聲明。了解云服務(wù)協(xié)議規(guī)定的免責(zé)聲明情況，進(jìn)而選擇免責(zé)聲明相對(duì)較為寬松的云服務(wù)。以便在信息丟失、損毀的情況下，要求云服務(wù)提供商承擔(dān)相應(yīng)責(zé)任。

（3） 知曉協(xié)議終止。了解云服務(wù)協(xié)議規(guī)定的協(xié)議終止情況，以便了解自己的行為是否可能導(dǎo)致服務(wù)被終止。同時(shí)，也可以保證，一旦云服務(wù)提供商單方面終止了與自身的合作，可以在規(guī)定的時(shí)間內(nèi)對(duì)存儲(chǔ)在云端的信息資源進(jìn)行備份或下載，以防止信息的丟失。

（4） 知曉法律適用。了解云服務(wù)協(xié)議規(guī)定的法律適用情況，以便有針對(duì)性地選擇與自身適用統(tǒng)一法律與司法管轄的云服務(wù)，或是選擇適用法律最有利于自身的云服務(wù)。

總而言之，認(rèn)真閱讀并分析云服務(wù)提供商的服務(wù)協(xié)議，可以使用戶防患于未然，將具有潛在信息安全風(fēng)險(xiǎn)的云服務(wù)排除掉，進(jìn)而選用最適合、最有利自身的云服務(wù)。同時(shí)，提前了解了云服務(wù)協(xié)議的有關(guān)內(nèi)容，也可以防止一旦糾紛發(fā)生，用戶自亂陣腳、無所適從。因此，用戶有必要在選用云服務(wù)前，仔細(xì)地對(duì)服務(wù)協(xié)議內(nèi)容進(jìn)行閱讀和信息安全責(zé)任進(jìn)行剖析。

4 結(jié)語

云服務(wù)的普及所帶來的不僅是對(duì)經(jīng)濟(jì)的促進(jìn)、資源的集中、或是用戶的便利，還產(chǎn)生了許多的副作用。其中之一就是一旦用戶的信息安全遭受損失，相關(guān)責(zé)任的認(rèn)定問題?，F(xiàn)有云服務(wù)提供商為保證其規(guī)模化的服務(wù)能夠正常高效的運(yùn)轉(zhuǎn)，其與用戶之間不可能以一對(duì)一協(xié)商的方式來訂立合同。[22]這導(dǎo)致云服務(wù)提供商提供給用戶的合同由云服務(wù)提供商單方面制定，許多規(guī)定都存在風(fēng)險(xiǎn)與責(zé)任的不均衡分配問題。一旦用戶的信息資源遭受損失，云服務(wù)提供商將憑借服務(wù)協(xié)議的幫助獨(dú)善其身，而用戶只能獨(dú)自承擔(dān)相應(yīng)損失。這是不公平、不合理、也是違背服務(wù)協(xié)議簽訂過程中應(yīng)有的平等互惠原則的。本文以15家云服務(wù)提供商的服務(wù)協(xié)議為例，對(duì)其內(nèi)容進(jìn)行了信息安全責(zé)任的剖析，試圖為今后用戶選用云服務(wù)提供有益的借鑒與幫助。但是應(yīng)該認(rèn)識(shí)到，目前對(duì)于此問題的關(guān)注力度還遠(yuǎn)遠(yuǎn)不夠，并且隨著云服務(wù)的不斷發(fā)展以及社會(huì)環(huán)境的不斷變化，其服務(wù)協(xié)議中所涉及到的信息安全責(zé)任問題也會(huì)愈加復(fù)雜，產(chǎn)業(yè)界與學(xué)術(shù)界都需為此做出努力，任重而道遠(yuǎn)。

（來稿時(shí)間：2015年2月）

參考文獻(xiàn)：

1.楊明芳,袁曦臨. 云計(jì)算環(huán)境下的數(shù)字圖書館.圖書館建設(shè)，2009（9）：7-9,12

2, 22.高陽. 云計(jì)算環(huán)境下合同問題研究.公民與法（法學(xué)版），2011（12）：43-45

3.高圣平.試論格式條款效力的概括規(guī)制——兼評(píng)我國合同法第39條.湖南師范大學(xué)社會(huì)科學(xué)學(xué)報(bào)，2005（3）：73-76

4, 13.百度.百度隱私權(quán)保護(hù)聲明.[2014-10-04]. http:// m.baidu. com/l=3/tc?srd=1&dict=2 0&src=http://www.baidu.com/ duty/yin siquan.html

5, 20.阿里云. Aliyun.com服務(wù)條款.[2014-10-04]. https://account. aliyun.com/common/a greement.htm?spm=0.0.0.0.eifQ9b&fromSite=6

6.RackSpace.Privacy Statement.[2014-10-04]. http://www. rackspace.com/information/ legal/privacystatement

7.盛大.盛大云用戶服務(wù)協(xié)議.[2014-10-04].http://www. grandcloud.cn/index/rule

8, 19.Apple. iCLOUD條款和條件.[2014-10-04]. http://www. apple.com/legal/internet-ser vices/icloud/cn_si/terms.html

9, 17.華為云.華為云用戶協(xié)議.[2014-10-04]. http://www. hwclouds. com/declaration/user Agreement.html

10.Microsoft. Microsoft-Information on Terms of Use.[2014-10-04]. http://www.ibm.c om/legal/us/en/

11.騰訊云. 微信服務(wù)市場(chǎng)用戶協(xié)議.[2014-10-04]. http:// wiki.qcloud.com/wiki/%E 5%BE%AE%E4%BF%A1%E6%9C%8 D%E5%8A%A1%E5%B8%82%E5%9C%BA%E7%94%A8%E6 %88%B7%E5%8D%8F%E8%AE%AE#top

12.Business Spectator. Big data mismanagement a security risk: McAfee.[2014-05-02] . http://www.businessspectator.com.au/ news/2013/6/19/technology/big-data-misma nagement-securityrisk-mcafee

14.Joyent.Terms of Service.[2014-10-04]. https://www.joyent. com/company/policies/t erms-of-service

15.Amazon. AWS Site Terms.[2014-10-04].http://aws. amazon.com/cn/terms/?nc1=f_ls

16.Salesforce. Master Subscription Agreement.[2014-10-04]. https://www.salesforce.c om/assets/pdf/misc/salesforce_MSA.pdf

18.百度百科.法律適用.[2014-10-04]. http://baike.baidu. com/view/759011.htm?fr=al addin

21.彭江輝,楊婷潔.云服務(wù)格式合同的應(yīng)用問題及對(duì)策研究.科技與法律，2013（6）：10-20

* 本文受國家社科基金項(xiàng)目“云計(jì)算環(huán)境下圖書館信息資源安全政策法律研究”（編號(hào)： 11CTQ004）和北京市青年英才計(jì)劃項(xiàng)目“云計(jì)算環(huán)境下我國信息安全政策與法律體系研究”（編號(hào)： YETP0241）資助。

〔分類號(hào)〕G250.7

〔作者簡(jiǎn)介〕黃國彬，男，北京師范大學(xué)政府管理學(xué)院信息管理系副教授、碩士生導(dǎo)師，發(fā)表論文110篇，研究方向：信息法學(xué)、信息分析； 鄭琳，女，北京師范大學(xué)政府管理學(xué)院信息管理系碩士研究生，研究方向：信息法學(xué)。

Analysis on Information Security Responsibilities of Main Cloud Service Providers Based on Service Agreement

Huang Guobin Zheng Lin
( School of Government, Beijing Normal University )

〔Abstract〕Based on the service agreement, the article analyzes the information security responsibilities of 15 main cloud service providers from four perspectives: private policy, service disclaimer, service termination, and information laws and policies. Then, the article points out the shortcomings of existing cloud service agreement therefore gave corresponding suggestions to users, in order to provide beneficial help for users on how to choose cloud service.

〔Keywords〕Cloud service Service agreement Information security Confirmation of responsibility