齊愛民+祝高峰

摘要：云存儲是云計算的演變形式，云存儲與云計算既有聯(lián)系又有區(qū)別。云存儲是指借助網(wǎng)絡（尤其是Internet），運用應用軟件，為用戶提供數(shù)據(jù)存儲及訪問功能的一個軟硬件結合的數(shù)據(jù)集合系統(tǒng)。云存儲本身并不是一種服務，它是為了實現(xiàn)數(shù)據(jù)存儲服務功能而提供的一個系統(tǒng)支撐。云服務器位置的不確定性導致云存儲中數(shù)據(jù)位置多變。云存儲中的數(shù)據(jù)安全及隱私安全問題給數(shù)據(jù)用戶提出了嚴峻的挑戰(zhàn)。云存儲中數(shù)據(jù)安全主要是指數(shù)據(jù)的采集、存儲、訪問、處理及數(shù)據(jù)交易安全。云存儲中的數(shù)據(jù)安全與網(wǎng)絡安全息息相關，數(shù)據(jù)安全的法律保護亟需制定。

關鍵詞：云存儲；數(shù)據(jù)安全；網(wǎng)絡安全；法律保護

中圖分類號：D922.8 文獻標志碼：A 文章編號：

10085831（2017）01010108

數(shù)據(jù)安全將成為云存儲發(fā)展前進道路上的“攔路虎”?；ヂ?lián)網(wǎng)已經(jīng)融入社會生活的各個領域，隨著網(wǎng)絡科技的迅猛發(fā)展，“云端”更是讓人們難以認知，隨之而來的網(wǎng)絡安全問題、數(shù)據(jù)存儲安全問題、數(shù)據(jù)訪問安全問題、數(shù)據(jù)處理安全問題及數(shù)據(jù)交易安全問題亟需有效的法律規(guī)制。數(shù)據(jù)資源的跨地域存儲與數(shù)據(jù)的本地化監(jiān)管之間的矛盾不可避免。云存儲中數(shù)據(jù)安全問題的有效規(guī)制，不僅影響到網(wǎng)絡安全及數(shù)據(jù)安全的穩(wěn)定運行，甚至會影響到國家數(shù)據(jù)安全及國家數(shù)據(jù)主權安全。

一、云存儲的概念、特征及其架構模式

（一）云存儲的概念

云存儲與云計算的概念既有聯(lián)系又有區(qū)別。一般認為，云計算（Cloud Computing）是一種新興的共享基礎架構的方法，是此前IT 領域幾項重要理念與技術——分布式處理（Distributed Computing）、并行處理（Parallel Computing）和網(wǎng)格計算（Grid Computing）的發(fā)展，或者說是一種商業(yè)化的實現(xiàn)[1]。國外學者克里斯托弗·米勒德（Christopher Millard）在其著作《云計算法》（Cloud computing law）中將云計算定義為：“云計算就是一種通過網(wǎng)絡尤其是通過因特網(wǎng)，提供公共服務計算資源的一種方式，而這種公共服務方式可以根據(jù)用戶的需求向上下擴展?！盵2]雖然研究者各自對云計算的定義有不同的看法，但對于其是一種高速的計算處理方式，可以為云服務提供支撐是肯定的，云計算可以理解為云的初始發(fā)展階段狀態(tài)，而云存儲則是在云計算基礎上的延伸，理應對其概念有新的認識及解釋。

國內有研究者認為：“云存儲即云計算的資源存儲，它是一個由網(wǎng)絡設備、存儲設備、服務器、應用軟件等多個部分組成的通過應用軟件來對外提供數(shù)據(jù)存儲和業(yè)務訪問的服務?！盵3] 維基百科給云存儲的定義是：“云存儲是一種將數(shù)據(jù)資源存儲于邏輯池中的數(shù)據(jù)存儲模式，而物理環(huán)境中的數(shù)據(jù)存儲跨越多個服務器（通常是多處位置），并且通常由托管公司擁有和管理，云存儲服務可以通過共同位置的云計算機服務來訪問?！盵4] 可見學者和各研究部門對云存儲的定義界定也不盡相同。

從對云存儲的界定不難看出，有學者試圖用所有與云儲存有關的內容來進行定義，我們應當看到，云存儲的定義與云存儲的內容及組成結構有著本質的區(qū)別，筆者在界定云存儲的定義時，分析了云存儲的自身性質、云存儲的特征及云存儲的組成結構，將云存儲定義為：云存儲是借助網(wǎng)絡（尤其是Internet），運用應用軟件，為用戶提供數(shù)據(jù)存儲及訪問功能的一個軟硬件結合的數(shù)據(jù)集合系統(tǒng)。云存儲本身并不是一種服務，它是為了實現(xiàn)數(shù)據(jù)存儲服務功能的一個系統(tǒng)支撐，云存儲中真正提供服務的是基礎管理層的數(shù)據(jù)管控者和應用接口層的云存儲服務提供商。云存儲的運行起決定作用的仍是應用軟件，軟件必將定義未來。

（二）云存儲的特征

為了有效規(guī)制云存儲中的數(shù)據(jù)安全，有必要對云存儲的特征作進一步分析，在掌握其特征的同時從其特征著手進行有效的規(guī)制，勢必起到事半功倍的效果。

虛擬性。虛擬性是云存儲的顯著特征之一，云存儲體現(xiàn)為虛擬存儲，有別于通過傳統(tǒng)物理設備的存儲。借助于互聯(lián)網(wǎng)，云存儲中的數(shù)據(jù)資源是虛擬化的資源，也可以說是代碼“0”和“1”的集合，在云存儲中都是無形的。因此云存儲的典型特征就是其有虛擬性的一面。云存儲展現(xiàn)了其既在實現(xiàn)了數(shù)據(jù)存儲的同時又實現(xiàn)了數(shù)據(jù)資源的共享特性，實現(xiàn)存儲完全虛擬化。對于終端用戶來講，只要在可以連入互聯(lián)網(wǎng)的任何地方，有權訪問的終端用戶，都能夠借助云存儲提供的支撐系統(tǒng)，實現(xiàn)其對網(wǎng)絡空間數(shù)據(jù)資源的訪問。

靈活性。云存儲的靈活性不僅體現(xiàn)在存儲協(xié)議方面的靈活上，更多地體現(xiàn)在云存儲的網(wǎng)絡空間擴展能力以及云存儲性能擴展的能力和容量上，云存儲的實現(xiàn)主要通過應用軟件來發(fā)揮作用。區(qū)別于傳統(tǒng)的固定設備存儲，云存儲不僅僅是存儲，更多的是應用。云存儲對于終端用戶來說，通過網(wǎng)絡，終端用戶可以在任意云端提取及存儲數(shù)據(jù)。

高效易用性。云存儲通過其特有的架構系統(tǒng)，在云存儲的環(huán)境中，可以拓展數(shù)據(jù)存儲的空間和能力，提高數(shù)據(jù)資源的傳輸效率，以達到減低成本，實現(xiàn)整個數(shù)據(jù)資源的高效利用率。因此，數(shù)據(jù)能夠在移動或者是遷移應用中，仍具有高效的易用性，不受影響。

國際商用機器公司IBM（International Business Machines Corporation）認為云存儲可以提供四種類型的存儲：（1）個人存儲（Personal Storage），能夠存儲個人數(shù)據(jù)并在多個設備上同步使用；（2）公共存儲（Public Storage），云存儲服務提供者完全可以異地管理企業(yè)的數(shù)據(jù)；（3）專用存儲（Private Storage），云存儲服務提供者在一個有組織的數(shù)據(jù)中心為客戶端服務；（4）混合存儲（Hybrid Storage），公共存儲和專用存儲的混合[5]。筆者簡單言之，個人存儲就是個人數(shù)據(jù)存儲的服務，公共存儲主要是為了實現(xiàn)數(shù)據(jù)存儲的共享，提高效率、降低成本，專用存儲則是一種專屬服務，混合存儲就是公共存儲服務與專屬存儲服務的混合。在筆者看來，云存儲中的數(shù)據(jù)可以被劃分為不同種類，但是從其保護的實質看，都是數(shù)據(jù)自身安全，只是有些數(shù)據(jù)涉及個人數(shù)據(jù)信息，有些涉及商業(yè)數(shù)據(jù)信息，有些涉及國家安全數(shù)據(jù)信息罷了，終歸都是存儲于網(wǎng)絡空間的數(shù)據(jù)，對不同性質的數(shù)據(jù)采取不同程度的保護也是對數(shù)據(jù)更加有效保護的需要。

通過互聯(lián)網(wǎng)，用戶在應用數(shù)據(jù)時，不需要了解到底使用什么硬件、有多少交換機及路由器，只要接入互聯(lián)網(wǎng)端口，有用戶名和密碼上網(wǎng)就可以，云存儲之所以具有商業(yè)價值且日益受到青睞，也是源自其自有的特征。

（三）云存儲的架構模式

對云存儲的架構模式進行分析，有助于清晰明確地認知云存儲的運行，只有掌握了云存儲的運行模式，才能實現(xiàn)保護云存儲中的數(shù)據(jù)安全。

通說認為云存儲系統(tǒng)的架構模式包括四個部分：存儲層、基礎管理層、應用接口層、訪問層。存儲層是云存儲的基礎部分。基礎管理層是云存儲最核心的部分。應用接口層即不同的云存儲服務提供商可提供不同的應用服務。訪問層也就是云存儲系統(tǒng)的用戶 [6]。筆者將云存儲的架構模式做一個初步解析，云存儲的訪問層即用戶，即，云存儲的應用接口層即云存儲服務的提供商，云存儲的基礎管理層即云存儲數(shù)據(jù)的實際管理者，云存儲層即數(shù)據(jù)存儲的所在地。筆者認為，無論在云存儲架構模式的哪個層面，都離不開應用軟件。因此，對應用軟件的規(guī)制對于云存儲的數(shù)據(jù)安全至關重要，同時在云存儲的運行安全中，云存儲服務提供商的責任及義務和云存儲的管理者對數(shù)據(jù)的管控行為也都直接影響著云存儲中的數(shù)據(jù)安全，所以有必要對其兩者的責任及權利義務進行明確的規(guī)制。

筆者認為云存儲本身并不是一種服務，真正提供服務的是基礎管理層的數(shù)據(jù)管控者和應用接口層的云存儲服務提供商，但是兩者面向的對象卻大相徑庭，管理層的管控者主要是面向存儲層的數(shù)據(jù)安全和應用接口層的云存儲服務商，而云存儲服務商雖然也面向管理層的管控者，但是更多的是面向訪問層的終端用戶。離開了應用軟件，討論云存儲不切實際。云存儲是一個包含了綜合數(shù)據(jù)庫的軟件應用系統(tǒng)。

二、云存儲中的數(shù)據(jù)安全危機

在大數(shù)據(jù)時代，對云存儲中的數(shù)據(jù)安全進行有效的法律規(guī)制具有重要的現(xiàn)實緊迫意義，云存儲中的數(shù)據(jù)應用、存儲、訪問、處理及交易已逐步滲透到各行各業(yè)，云存儲在給人們的生活帶來便利的同時，也使數(shù)據(jù)安全問題面臨著現(xiàn)實的沖擊及威脅，云存儲中的數(shù)據(jù)安全問題不僅影響到用戶對云存儲中數(shù)據(jù)安全的應用，也會對網(wǎng)絡安全運行等各方面帶來沖擊。因此，分析云存儲中影響數(shù)據(jù)安全存在的主要因素，維護云存儲中數(shù)據(jù)安全，對其進行行之有效的法律規(guī)制刻不容緩。

（一）云端數(shù)據(jù)自身特征危及數(shù)據(jù)安全

云端的數(shù)據(jù)存儲是一個虛擬存儲，數(shù)據(jù)經(jīng)過采集、處理之后上傳到云端存儲，然而數(shù)據(jù)一旦傳輸?shù)搅嗽贫?，基本上對用戶來說就喪失了對數(shù)據(jù)的絕對控制權，云存儲中的數(shù)據(jù)將面臨著易丟失和泄露的風險。

數(shù)據(jù)易丟失。云存儲是網(wǎng)絡技術應用與軟件應用的一個綜合體系，人們在享受云存儲便利的同時，也要承受其帶來的風險。在云存儲中，數(shù)據(jù)的存儲、傳輸、訪問、處理以及復制和遷移等方面都變得更加便捷和頻繁，同時也容易導致云存儲中的數(shù)據(jù)丟失。云存儲的服務提供者一直在努力尋求對策以保證終端用戶和云存儲中的數(shù)據(jù)安全，但現(xiàn)實中，終端用戶遭受數(shù)據(jù)泄露和丟失風險的情況仍時有發(fā)生。如果云存儲中數(shù)據(jù)應用安全不能得到有效規(guī)制，那么數(shù)據(jù)用戶對使用云存儲系統(tǒng)存儲數(shù)據(jù)將會更加擔憂。

數(shù)據(jù)易泄露。由于互聯(lián)網(wǎng)的開放性、即時性及跨界流動性等自身特征，加之許多存儲在云中的網(wǎng)絡數(shù)據(jù)信息比較敏感，涉及公民個人身份信息、隱私、商業(yè)數(shù)據(jù)信息甚至是國家安全數(shù)據(jù)信息等，這些數(shù)據(jù)一旦被用心不良的人所掌控，就會造成嚴重后果?，F(xiàn)今僅僅從數(shù)據(jù)加密技術上來保護云存儲中的數(shù)據(jù)安全，顯然對于當下日新月異的技術來講，防止數(shù)據(jù)泄露的風險已顯得捉襟見肘。2011年3月，Google的Gmail電子郵箱爆發(fā)大規(guī)模用戶數(shù)據(jù)泄露事件，近15萬Gmail用戶在周日早上發(fā)現(xiàn)自己的所有郵箱和聊天記錄被刪除，部分用戶的賬戶被重置而無法登陸[7]?？梢姅?shù)據(jù)信息泄露時有發(fā)生，云存儲中的數(shù)據(jù)遺失和泄露既有技術上的原因，也有具體保護制度不完善的原因。因此，對于云存儲中數(shù)據(jù)安全的保護立法已是箭在弦上。

（二）缺乏對云存儲服務提供商的責任及義務規(guī)制

處于云存儲應用接口層的云服務提供商，對云存儲中的數(shù)據(jù)保護責任及應盡義務程度將直接影響云存儲中的數(shù)據(jù)安全。云存儲服務提供商扮演的是超級用戶角色，一定程度上

掌控著攫取大量數(shù)據(jù)資源必經(jīng)之門的“金鑰匙”。某些數(shù)據(jù)其本身可能包含恐怖主義和煽動國家分裂以及顛覆國家政權等不法有害信息，如果云存儲服務提供商不能盡到應有的數(shù)據(jù)保護義務和責任，而放任或默認該不法有害信息任意傳播，那么此時數(shù)據(jù)安全不僅會影響國家數(shù)據(jù)安全、網(wǎng)絡運行安全，還有可能影響到社會穩(wěn)定和國家安全。比如2009年爆發(fā)在中東伊朗的“Twitter 革命”（也稱茉莉花革命）就使伊朗的政治格局發(fā)生了改變，其主要原因之一就是對數(shù)據(jù)信息的傳播缺乏管控。因此，現(xiàn)階段明確規(guī)制云存儲服務提供商的責任及義務，對保障云存儲中的數(shù)據(jù)安全乃至國家安全責無旁貸。

（三）數(shù)據(jù)終端用戶引致的數(shù)據(jù)安全風險

終端用戶處在云存儲系統(tǒng)中的訪問層，也可以說是云存儲中的頂端，云存儲中訪問層的數(shù)據(jù)安全與終端用戶有著直接的聯(lián)系?；ヂ?lián)網(wǎng)時代，終端用戶既是網(wǎng)絡數(shù)據(jù)的制造者，又是網(wǎng)絡數(shù)據(jù)的參與者，云存儲的益處就是可以將終端用戶的數(shù)據(jù)信息資源同步存儲和共享。因此，對于終端用戶在對數(shù)據(jù)進行存儲、應用、傳播、刪除等行為時，應當明確終端用戶應盡的權利及義務。網(wǎng)絡數(shù)據(jù)無論怎樣虛擬無形，怎樣無具體物理位置，其要發(fā)揮作用必然離不開人的行為，否則網(wǎng)絡數(shù)據(jù)即使能夠存儲在網(wǎng)絡空間，也不過僅僅是“僵尸數(shù)據(jù)”。目前中國終端用戶普遍都缺乏必要的網(wǎng)絡安全意識，用戶要進行數(shù)據(jù)存儲始終要通過終端服務，而終端用戶在獲取云存儲中的數(shù)據(jù)時也依然需要依靠終端設備，在終端設備上輸入數(shù)據(jù)用戶名和密碼，登錄某一個云存儲去下載或上傳存儲于云端的數(shù)據(jù)。一旦終端用戶賬號和密碼被泄露或者是被木馬等病毒侵入，那么在云存儲中的數(shù)據(jù)會在終端用戶毫不知情的情況下，被惡意人隨意存儲、刪除、傳輸。因此，對于數(shù)據(jù)終端用戶的數(shù)據(jù)使用行為進行有效規(guī)制，從“源頭”上解決對云存儲數(shù)據(jù)安全的法律保護問題非常必要。

（四）應用軟件缺乏統(tǒng)一的安全認證標準

云存儲的應用其核心之一就是應用軟件。云存儲不只是存儲，更多的是應用。應用軟件將直接影響云存儲的運行，對云存儲中的數(shù)據(jù)采集、處理、挖掘等方面起著不可替代的作用。然而目前因對應用軟件缺乏有效的法律規(guī)制，已導致數(shù)據(jù)在通過應用軟件存儲時，很容易造成用戶數(shù)據(jù)的泄露及丟失，因此應當對應用軟件安全認證實行統(tǒng)一認證標準，禁止在設計應用軟件時使其存在某些自動收集用戶數(shù)據(jù)信息、自動收集與用戶數(shù)據(jù)信息相近及相關的數(shù)據(jù)信息行為，禁止其帶有某些不法入侵程序設置。從目前的發(fā)展趨勢看，軟件應用已普遍滲透到各個領域，

日后必將出現(xiàn)“軟件定義一切”的局面，因此對應用軟件進行必要的法律規(guī)制，是治理云存儲中數(shù)據(jù)安全有效保障的根本。

三、歐美云存儲數(shù)據(jù)安全保護的法律制度

各國都不同程度地面臨著云存儲中數(shù)據(jù)安全的挑戰(zhàn)。各國對數(shù)據(jù)安全的立法保護主要從兩個方面著手：一是數(shù)據(jù)信息資源的利用，包括商業(yè)信息、公共信息及政務信息；二是注重個人數(shù)據(jù)安全的保護。當下，各國都面臨著云存儲中數(shù)據(jù)安全問題的嚴峻挑戰(zhàn)，從事云安全問題研究的組織不少，但只有個別組織機構和有代表性的國際大公司（微軟、亞馬遜等）取得了一些初步研究成果，具體到云存儲安全方面問題的研究則主要是CSA

CSA成立于2009年，作為一個非盈利性組織，其宗旨是“促進云計算安全技術的最佳實踐應用，并提供云計算的使用培訓，幫助保護其他形式的計算”。自成立始，CSA迅速獲得了業(yè)界的廣泛認可，其企業(yè)成員涵蓋了國際領先的電信運營商、IT 和網(wǎng)絡設備廠商、網(wǎng)絡安全廠商、云計算提供商等。云安全聯(lián)盟確定了云安全的15 個焦點領域，對每個領域給出了具體建議，并從中選取較為重要的若干領域著手標準的制定，在制定過程中，廣泛咨詢IT人員的意見，獲取關于需求方案說明書的建議。參見馮登國《云計算安全研究》（《軟件學報》，2011年第1期第76頁）。（Cloud Security Alliance，云安全聯(lián)盟）和ENISA

ENISA是負責歐盟內部各個國家網(wǎng)絡與信息安全的研究機構，負責為歐盟內各個國家的網(wǎng)絡與信息安全問題提出建議，指導安全方面的實踐活動。該機構主要是從企業(yè)數(shù)據(jù)安全角度出發(fā)進行研究。參見張健《全球云計算安全研究綜述》（《電信網(wǎng)技術》，2010年第9期第15-17頁）。 （European Network and Information Security Agency，歐洲網(wǎng)絡和信息安全研究所）兩個機構，其研究最具代表性，對云存儲的數(shù)據(jù)安全關注較多，取得了一定成績。

雖然各國都通過了部分數(shù)據(jù)保護法，保護本國的國家數(shù)據(jù)安全，但是我們應當看到，美國仍是信息技術最發(fā)達的國家，根服務器包括主根服務器大多數(shù)仍在美國，美國漢姆林大學法學院教授莎朗K桑迪恩（Sharon K Sandeen）在論及云計算時認為“在過去的十幾年里，云計算已經(jīng)從一個優(yōu)雅而被誤解的術語進入到一個蓬勃發(fā)展的行業(yè)，在其進入的計算機行業(yè)、互聯(lián)網(wǎng)行業(yè)和電信行業(yè)中都是非常著名的大公司，包括IBM、微軟、谷歌、Amazon、戴爾和Verizon”[8]。 伴隨著云計算產(chǎn)業(yè)的不斷演進，將會出現(xiàn)更多的新產(chǎn)品和新服務。我們清晰地看到，云計算的應用基本上都被國外大公司所控制和壟斷，目前要想真正實現(xiàn)云存儲中的數(shù)據(jù)安全，中國在數(shù)據(jù)保護方面仍有很長的路要走。

（一）英美國家保護數(shù)據(jù)存儲安全的網(wǎng)絡安全基本法

美國為了在國家層面加強其對網(wǎng)絡數(shù)據(jù)信息的控制，同時又為其對網(wǎng)絡安全信息共享的監(jiān)管提供法律依據(jù)，2014年通過了《國家網(wǎng)絡安全保護法》。在此之前美國為了維護其國家數(shù)據(jù)安全，通過的《愛國者法案》（2001年）賦予了執(zhí)法機關過于寬泛的信息調查與獲取權利。對竊取以及非法利用政府部門數(shù)據(jù)信息行為的處罰規(guī)定則主要體現(xiàn)在英國《計算機濫用法》（1990年）和美國《計算機欺詐和濫用法》（1986年）。美國《反竊聽法》和《電信法》（1996年）加強了對在個人數(shù)據(jù)安全方面的保護，重點對在數(shù)據(jù)信息傳輸過程中，竊取個人數(shù)據(jù)的行為和非法攔截的行為進行了限制[9]。

（二）歐盟加強對云存儲數(shù)據(jù)的同等保護原則

歐盟成員國為了加強對個人數(shù)據(jù)安全的保護，明確了個人數(shù)據(jù)保護的基本原則，制定了各自的個人數(shù)據(jù)保護法，并在對個人數(shù)據(jù)的留存、處理、使用等方面都作了相應規(guī)定。歐盟的數(shù)據(jù)保護法規(guī)定，歐盟公民的個人數(shù)據(jù)在非歐盟國家傳輸必須貫徹同等保護原則，即接受國必須提供和歐盟保護水準相一致的保護才能傳輸歐盟公民個人數(shù)據(jù)，能夠提供同等保護之前不能傳輸至非歐盟國家。由于“斯諾登”事件的影響，歐盟認為存儲于美國服務器上的數(shù)據(jù)信息并非真正意義上的“安全港”。因此，2015年歐洲法院廢除了歐美于2000年簽署的允許網(wǎng)絡運營商忽略歐盟各國法規(guī)差異而自動合法傳輸網(wǎng)絡數(shù)據(jù)的《安全港協(xié)議》。美國Google、Facebook等眾多科技公司應立即停止將收集到的歐洲用戶數(shù)據(jù)傳輸至美國[10]。

為了加強歐盟民眾的網(wǎng)絡安全意識，保護和繁榮歐洲數(shù)字經(jīng)濟，2013年由歐洲網(wǎng)絡與信息安全局（ENISA）和歐洲委員會共同舉辦的歐洲“網(wǎng)絡安全月”

該活動以“在線安全需要你的參與（Online security requires your participation）”為主題，吸納私營部門和企業(yè)界的參與。其中，歐盟27個成員國都參與其中。歐洲網(wǎng)絡安全月采取的宣傳活動形式多樣，包括舉辦會議、論壇和演講，通過電臺和電視節(jié)目、在線游戲和在線交易等渠道進行宣傳。自2014年以來更是開展了對專業(yè)技術人員進行網(wǎng)絡安全演練、針對在校學生舉行代碼編程等主題活動以及針對公共和私營組織進行員工培訓、針對所有網(wǎng)絡用戶開展計算機和移動保護以及隱私保護的宣傳。歐洲網(wǎng)絡安全月旨在提升公眾網(wǎng)絡安全意識，改變公眾對網(wǎng)絡威脅的理解，同時通過教育和共享最佳實踐等方式為公眾提供最新的安全信息。參見《歐洲網(wǎng)絡安全月：推動所有用戶更安全使用互聯(lián)網(wǎng)》（http：//worldhuanqiucom/article/2014-11/5212674html，2016-09-26訪問）。活動正式啟動。這一點非常值得中國借鑒和學習。因為中國網(wǎng)民很大一部分將網(wǎng)絡信息視為“游戲”，缺乏基本的網(wǎng)絡安全意識。建議中國積極策劃在各個相關主要領域開展類似的全民網(wǎng)絡安全宣傳教育活動。

（三）俄羅斯對云存儲數(shù)據(jù)保護的本地化要求

俄羅斯可謂是對云存儲的數(shù)據(jù)保護作出了大膽創(chuàng)新及嘗試。俄羅斯《個人數(shù)據(jù)保護法》于2015年9 月1 日生效，該項法律明確規(guī)定俄羅斯公民的個人數(shù)據(jù)只能存儲于俄羅斯境內的服務器中，以實現(xiàn)數(shù)據(jù)存儲本地化?！八怪Z登”事件以來，各國都非常關注本國公民個人數(shù)據(jù)安全及國家數(shù)據(jù)安全。該項法律并未禁止公民數(shù)據(jù)的跨境傳輸，只要求讓數(shù)據(jù)存儲于俄羅斯本地。該法律通過后，全球購物網(wǎng)站巨頭易趣公司和蘋果公司也積極響應數(shù)據(jù)存儲本地化。但是有些公司，比如社交網(wǎng)絡公司Facebook以及全球音樂流媒體服務巨頭Spotify 在內的少數(shù)公司，則提出反對意見[11]。俄羅斯新立法的目的非常明確，該項立法旨在維護其本國公民的數(shù)據(jù)存儲安全和國家數(shù)據(jù)存儲安全。

四、構建云存儲數(shù)據(jù)安全的法律保護制度

云存儲中的數(shù)據(jù)安全問題日益凸顯，然而對云存儲的數(shù)據(jù)安全問題進行有效的規(guī)制仍未得到解決，中國對云存儲的數(shù)據(jù)安全保護缺乏相對明確的法律法規(guī)，現(xiàn)有對云存儲數(shù)據(jù)安全的法律保護制度也較模糊。筆者認為，應當在分析中國目前相關網(wǎng)絡法律法規(guī)基礎上，結合云存儲的實際架構運行系統(tǒng)，構建中國對云存儲數(shù)據(jù)安全的法律保護制度。

（一）中國對云存儲數(shù)據(jù)安全的法律保護現(xiàn)狀

從中國先前有關保護網(wǎng)絡數(shù)據(jù)信息的法律法規(guī)看，對于網(wǎng)絡數(shù)據(jù)的存儲安全基本都未有明確規(guī)定，包括對于一些基本概念也未有明確界定，大都是針對計算機系統(tǒng)的保護，而對于急切需要規(guī)制的云存儲中的數(shù)據(jù)安全基本都未涉及。令人欣慰的是，近幾年對網(wǎng)絡信息安全立法的工作一直在穩(wěn)步快速地推進，且已取得部分成效，在《關于加強網(wǎng)絡信息保護的決定》

《關于加強網(wǎng)絡信息保護的決定》，在2012年12月28日第十一屆全國人民代表大會常務委員會第三十次會議通過。中明確強調了“網(wǎng)絡服務提供者和其他企業(yè)事業(yè)單位在業(yè)務活動中收集、使用公民個人電子信息時的基本義務”。在《中華人民共和國刑法修正案（九）》

《中華人民共和國刑法修正案（九）》，在2015年8月29日第十二屆全國人民代表大會常務委員會第十六次會議通過。（以下簡稱《刑法修正案（九）》）中明確了：“在違反國家有關規(guī)定時，向他人出售或者提供公民個人信息，情節(jié)嚴重的可以入刑，同時也明確了網(wǎng)絡服務提供者的法律責任”。至此，我們看到法律對保護網(wǎng)絡數(shù)據(jù)和個人信息的工作向前邁進了一大步。明確維護網(wǎng)絡空間主權、保護網(wǎng)絡數(shù)據(jù)安全，闡明網(wǎng)絡、網(wǎng)絡安全、網(wǎng)絡數(shù)據(jù)、公民個人信息、網(wǎng)絡運營者等基本概念是中國《網(wǎng)絡安全法》的基本要求及內容。

（二）云存儲數(shù)據(jù)安全法律保護制度之構建

規(guī)制云存儲中的數(shù)據(jù)安全，應當采用“源”與“流”并進的策略，既從源頭找出問題所在，又在后期的新環(huán)境應用中進行補充規(guī)制，實行“雙軌”規(guī)制。故此，筆者建議從主要制度方面規(guī)制云存儲中的數(shù)據(jù)安全。

1確立網(wǎng)絡服務提供者的責任制度

云存儲的運行離不開網(wǎng)絡服務提供者的運作。不論從技術上還是網(wǎng)絡數(shù)據(jù)的管控上看，必須明確網(wǎng)絡服務提供者對云存儲數(shù)據(jù)安全的保護責任及義務。網(wǎng)絡服務提供者應當積極制定內部數(shù)據(jù)安全保護管理制度，落實安全責任制，對數(shù)據(jù)采取分類和對重要數(shù)據(jù)進行備份等措施來保護云存儲中的數(shù)據(jù)安全。

對于云存儲中用戶和云服務提供商傳輸數(shù)據(jù)的規(guī)制方面，國外研究者約瑟夫A斯霍爾（Joseph A Schoorl）認為云計算技術的使用仍在美國的出口管理制度內，但不構成與其他物理和非物理出口環(huán)境下相同的國家安全問題。因此他提出了在通過云存儲傳輸技術數(shù)據(jù)時，應當設置云計算許可證例外（License Exception Cloud Computing，簡稱“License Exception CLC”）的規(guī)定，他認為云計算許可證例外比現(xiàn)有的規(guī)制原則更加清晰和靈活，將減少云用戶由于云傳輸?shù)臅r間和目的地的不確定性而無法滿足的大多數(shù)許可要求。同時許可證例外也要求云用戶在上傳管控技術數(shù)據(jù)之前采取某些措施，并限制不符合該資格例外的數(shù)據(jù)類型和云服務提供商[12]。許可證例外設立的主要目的就是在云環(huán)境下維護美國的國家數(shù)據(jù)安全，實現(xiàn)美國企業(yè)經(jīng)濟利益的最大化，推動高新技術企業(yè)發(fā)展。中國在《刑法修正案（九）》中對刑法第286條進行了修訂，明確了網(wǎng)絡服務提供者違法后的法律責任，具體情形有四種：（1）致使違法信息大量傳播的；（2）致使用戶信息泄露，造成嚴重后果的；（3）致使刑事案件證據(jù)滅失，情節(jié)嚴重的；（4）有其他嚴重情節(jié)的。這一修正案的通過，強化了網(wǎng)絡服務提供者對網(wǎng)絡數(shù)據(jù)保護的責任。筆者認為不論是經(jīng)營性網(wǎng)絡服務提供者還是非經(jīng)營性網(wǎng)絡服務提供者，都應當適用該法條，雖然該法條對“信息大量傳播”當“情節(jié)、后果嚴重”以及最后的兜底條款“有其他嚴重情節(jié)的”未作出明確界定，但是，就目前看至少在處罰網(wǎng)絡服務提供者的違法行為時可以做到有法可依。

2制定用戶濫用數(shù)據(jù)信息的處罰機制

終端用戶是最開始將數(shù)據(jù)采集、處理通過互聯(lián)網(wǎng)上傳至云端的數(shù)據(jù)服務提供者，因此對于終端用戶也應當明確其維護數(shù)據(jù)安全的義務及法律責任。《刑法修正案（九）》對刑法第253條進行了修改，明確了違反國家有關規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的刑事責任。該條為公民個人信息受到侵害時提供了有法可依的根據(jù)。但是對于公民個人信息之外的采集、處理、傳輸和交易的數(shù)據(jù)未有提及，對于在云端中存儲的數(shù)據(jù)安全問題則更是沒有涉及。應當在對公民個人信息保護的同時，對其他由用戶通過采集、處理、傳輸?shù)确绞将@得的數(shù)據(jù)進行進一步的補充規(guī)制，數(shù)據(jù)用戶是治理云存儲數(shù)據(jù)安全法律保護的“源頭”之一。

同時，在一定程度上，應當控制用戶的訪問權限，訪問限制控制是指應用技術控制策略對用戶訪問、特定操作、IP地址等不同類型的屬性進行選擇性權限設置，在允許用戶訪問前對其個人信息、IP地址等信息進行嚴格檢查，同時建立日志機制將用戶的登錄信息以及登錄時的各項操作以日志的形式記錄下來，同時還可以將惡意篡改、盜取數(shù)據(jù)的行為應用日志記錄下來，便于管理人員進行安全管理[13]。只有從利用數(shù)據(jù)“源頭”上提前進行數(shù)據(jù)應用的保護，才能真正維護網(wǎng)絡云端存儲數(shù)據(jù)的安全并為之提供有效的保護。

3構建應用軟件行業(yè)的標準體系及軟件安全認證制度

制定應用軟件的行業(yè)標準及認定軟件安全的統(tǒng)一標準，云端存儲數(shù)據(jù)的應用主要靠應用軟件來實現(xiàn)。對于軟件開發(fā)者來說，對其適用相對統(tǒng)一的安全標準及認證制度，對于維護云存儲中的數(shù)據(jù)安全起著至關重要的作用。不安全的API（Application Programming Interface，應用程序編程接口），勢必會給云存儲中的數(shù)據(jù)帶來安全隱患，云存儲的數(shù)據(jù)安全、存儲能力以及用戶對數(shù)據(jù)的管控能力與API 的安全性有直接關聯(lián)。因此，應用軟件行業(yè)開發(fā)軟件時，應明確其API應用的禁止性標準，對于API接口的設計實行統(tǒng)一的安全認證標準模式，以確保用戶在云端中應用其軟件時，能保護云端中的數(shù)據(jù)安全。對于沒有達到安全標準的軟件開發(fā)者，或者是不能達到軟件安全認定標準的軟件服務提供者，應將其排除在外，嚴格應用軟件的準入標準。

4建立數(shù)據(jù)安全保護的雙重強制認證機制

建立雙重強制認證機制，是保護云存儲中數(shù)據(jù)安全的有效方式之一。筆者認為雙重強制認證機制應當從以下兩個層面來實施：一個層面是終端用戶，在用戶訪問云存儲中的數(shù)據(jù)時對其嚴格認證，以確保用戶具有合法有效的身份去獲取云存儲中的網(wǎng)絡數(shù)據(jù)資源。另一個層面應從云端的網(wǎng)絡數(shù)據(jù)服務提供者著手，一定程度上說，云端網(wǎng)絡服務數(shù)據(jù)提供者既是提供云端存儲數(shù)據(jù)服務的運營者，也是最大數(shù)據(jù)庫資源的擁有者。對于網(wǎng)絡數(shù)據(jù)服務提供者的強制有效認證非常必要，因為可達到讓其在合規(guī)的范圍內處理云存儲中的數(shù)據(jù)。在保護用戶個人隱私的同時，建立雙重的強制認證機制才能真正有效預防不法身份用戶訪問云存儲的數(shù)據(jù)，合理控制網(wǎng)絡數(shù)據(jù)服務提供者的權利使用，保障云存儲中的數(shù)據(jù)安全，維護網(wǎng)絡空間安全穩(wěn)定運行。

5構建網(wǎng)絡數(shù)據(jù)監(jiān)測及預警制度

網(wǎng)絡數(shù)據(jù)具有即時流動性、無形性、易傳播性等自身特征，其自身特征要求對其進行監(jiān)測以及預警處置，云存儲中的數(shù)據(jù)物理位置難以確定，這就使得云存儲中的數(shù)據(jù)安全難以保證，為了維護云存儲中的數(shù)據(jù)安全，維護網(wǎng)絡數(shù)據(jù)安全，甚至國家數(shù)據(jù)安全，應當積極主動監(jiān)測、記錄網(wǎng)絡信息運行動態(tài)，留存網(wǎng)絡日志，從國家和地方兩個層面積極構建網(wǎng)絡數(shù)據(jù)監(jiān)測及預警制度。

對于云存儲中的數(shù)據(jù)安全保護，目前中國的相關法律及制度仍處于探索階段，各項制度尚不完善。而數(shù)據(jù)信息已然突破了傳統(tǒng)的法律保護范圍，因此

在不斷完善現(xiàn)有法律保護制度的同時，應當充分解釋數(shù)據(jù)或信息的法律含義、法律特征及法律屬性，按照中國現(xiàn)有網(wǎng)絡數(shù)據(jù)安全保護的實際情況，結合國際及其他國家數(shù)據(jù)安全的立法經(jīng)驗，不斷完善中國網(wǎng)絡安全立法，維護網(wǎng)絡空間安全，維護網(wǎng)絡空間數(shù)據(jù)信息的存儲、處理及交易，確保國家數(shù)據(jù)安全，維護國家數(shù)據(jù)主權。

五、結語

數(shù)據(jù)驅動未來，軟件定義一切。大數(shù)據(jù)時代，新興技術要求日新月異快速更新，而法律保護上又表現(xiàn)出滯后性，立法者及決策者總是在不斷調和兩者之間的矛盾，試圖從制度上更好地規(guī)制新興技術所帶來的數(shù)據(jù)安全問題及挑戰(zhàn)，云存儲的數(shù)據(jù)安全問題是各國都面臨的一個現(xiàn)實問題，一定程度上，云存儲中數(shù)據(jù)安全能否得到有效的保護，將直接決定云存儲在未來的發(fā)展走勢。雖然很多國家及相關的組織和研究機構都在積極地對云存儲中數(shù)據(jù)安全問題進行分析和研究，但收效甚微。云存儲中的數(shù)據(jù)安全問題涉及的層面比較復雜，云存儲中數(shù)據(jù)安全問題的解決既需要技術上的規(guī)制也需要法律制度上的保障，要實現(xiàn)云存儲中的數(shù)據(jù)安全保護需從技術、標準、監(jiān)管、法律等多維度著手，綜合考量。參考文獻：

[1]黃維真，何荷.疑云逼近——“云計算”時代的國家安全（上）[J].國防，2010（4）：77-79.

[2]MILLARD C.Cloud computing law [M].New York： Oxford University Press，2013：50.

[3]申麗君.云存儲及其安全性研究[J].電腦知識與技術，2011（16）：3829-3832.

[4]WIKIPEDIA.Cloud computing[EB/OL].[2016-09-06].https：//en.wikipedia.org/wiki/Cloud_computing.

[5]IBM.Maintaining and accessing data kept remotely[EB/OL].[2016-10-06].https：//www.ibm.com/cloud-computing/what-is-cloud-storage.

[6]看圖識云 全面解析云存儲的網(wǎng)格架構[EB/OL].（2010-03-17）[2016-10-06].http：//server.cnw.com.cn/server-cloud/htm2010/20100317_192514_3.shtml.

[7]徐慧麗.云計算環(huán)境中的法律風險——以數(shù)據(jù)安全為視角[J].科技與法律，2013（6）：1-9.

[8]SANDEEN S K.Lost in the cloud： Information flows and the implications of cloud computing for trade secret protection[J].Virginia Journal of Law and Technology，2014，19（1）：1-103.

[9]尹立波.多國力推網(wǎng)絡安全立法 美頒4部法保護關鍵基礎設施[EB/OL].（2015-07-22）[2016-09-26].http：//news.xinhuanet.com/politics/2015-07/22/c_1116007385.htm.

[10]歐洲廢除歐美數(shù)據(jù)安全港協(xié)議[EB/OL].（2015-10-07）[2016-09-26].http：//world.huanqiu.com/article/2015-10/7699653.html.

[11]臥龍傳說.俄羅斯“個人數(shù)據(jù)保護法”任性實施 從“存儲本地化”到數(shù)據(jù)安全之路還有多長？[J].信息安全與通信保密，2015（10）：76-77.

[12]SCHOORL J A.Clicking the “Export” button： Cloud data storage and U.S.Dual-Use export controls[J].George Washington Law Review，2012，80（2）：632-667.

[13]徐歡.云計算時代監(jiān)測數(shù)據(jù)安全保護分析[J].無線互聯(lián)科技，2016（12）：124-125.