来源 | 海淀律师
作者 | 白宇思
“上云”是制造业数字化转型和智能化升级的必经之路,云计算也因此成为未来数字经济和实体经济深度融合进而腾飞的支柱。那么,我国云计算合规现状及未来发展方向如何呢?
技术的发展与商业需求的变化促使生产经营方式的重构。回顾近二十年的发展历史,我们发现,全球信息技术从侧重硬件技术变为侧重软件技术及虚拟化技术;从侧重独立、专有技术变为侧重平台技术;紧耦合的业务应用程序变得越来越不可靠,松耦合的业务应用程序得以快速研发;从低带宽发展为高带宽。在这个过程中,云计算凭借其虚拟化技术本质,提供符合技术应用、商业应用要求的按需自服务、泛化网络访问方式、资源池、快速弹性、可计量的商业服务,满足了大幅度降低业务运营成本的需求,进而得到了广泛应用。
党的二十大报告指明,坚持把发展经济的着力点放在实体经济上,推进新型工业化,加快建设制造强国、网络强国、数字中国。具体结合到制造业上,我们可以看到,传统的IT实施部署模式建设周期长,成本高,并且这种紧耦合的基础架构无力应对快速变化的市场需求和激烈的市场竞争,所以“上云”是制造业数字化转型和智能化升级的必经之路。云计算也因此成为未来数字经济和实体经济深度融合进而实现腾飞的支柱。
然而,在云计算服务与基础建设、产业发展、民众生活深度融合的情况下,截至目前,我国立法对于云计算服务提供者的主体性质、所提供的服务类型的性质及定义、云计算服务提供者及整个云供应链上各方主体的权利以及应承担的义务均无明确、清晰的规定。
我们把目光转向司法领域,在我国当前诉云计算供应商间接侵权的司法判例中,法院引入国家质量监督检验检疫总局、国家标准化管理委员会发布的国家推荐标准《信息安全技术 云计算服务安全指南》(中华人民共和国国家标准GB/T31167-2014)中关于云计算的三种服务模式即SaaS模式、PaaS模式、IaaS模式与云客户签署的服务协议,来梳理云计算服务供应商所提供的服务内容及性质,并借此推定云服务供应商应当承担的义务。我国《云计算服务安全指南》的主要参考标准是美国国家标准与技术研究院发布的NIST 800-145文件,刚才所提到的云计算的服务模式内容也是参考此文件。
但是需要注意的是,SaaS模式、PaaS模式、IaaS模式只是三种基础服务模型(或称交付模型),其产生的原因是人们试图将复杂的云计算在一定程度上进行分层,以便在工作中沟通、理解与使用。SPI模型是云计算服务提供商所拥有的基础架构服务能力、平台服务能力、软件服务能力等主要服务能力在商业需求下体现和供应,是虚拟化技术在云环境下,对于不同的商业交易模式的应用与分组。所以无论是《云计算服务安全指南》,还是SPI服务模型本身,亦或是自SPI模型基础上派生出来的责任共担模型,不足以描述、涵盖在实际交易过程中涉及的服务内容及法律关系;同时该推荐标准不具备法律效力,也不宜据此划定云计算服务供应商的权利、义务与责任,更不能厘清整个云供应链上各方主体的权利及应承担的义务。
以该类技术标准与基础服务的交付模型为主要依据,无法充分查明原被告之间应享有或承担的权利、义务所对应的事实;且就云计算服务供应商是否有过错,是否应当承担侵权责任的举证规则和证据体系并不完整,最终形成以目标结果为导向的裁判现象。鉴于立法实际,司法判例的作用更加凸显,其价值取向的选择和对于云供应链上各方权利义务的认定,在未来可能对云供应商,云上产业、云上企业的发展产生不利影响。
所以,我们应当加快推进云计算领域立法,将以云计算服务为代表的新一代网络服务提供者主体性质通过法律予以确定,并划分和总结不同服务类型,根据不同的服务类型确定云服务提供商等主体应履行的各项义务,明确其合规义务边界,并据此厘清云服务提供商与云客户之间的权利与义务边界。
要把握云计算领域的合规发展方向,我们需要透过云服务产品去看到云服务得以广泛应用的内在逻辑和常见风险。
在传统的条件下,IT研发部门是业务部门的支撑。但是在当前营商环境下,研发部门逐渐成了业务部门的重要组成部分。导致这样局面出现的原因的是上文所提到的,随着商业需求多样,竞争越来越激烈,商业试错成本越来越高,紧耦合的业务应用程序越来越不可靠,企业希望降低试错成本,降低业务运营成本,获取更多的价值。所以,松耦合的应用程序架构的软件研发,和弹性的、可伸缩性的基础架构扩展,驱动了业务敏捷模型的产生。在此基础上,云计算服务这种以数据(业务)为中心的模型会比传统的以基础架构为中心的模型,带来更大的价值,这驱动云计算服务得到广泛应用。
但是,鱼和熊掌无法兼得,云计算服务的优势背面即为其劣势。例如,云计算将硬件所产生的资源抽象出来成为资源集和API,云消费者及云客户通过API实现资源快速调用、按需调用。但正是由于API直接关联应用功能的访问权限,在便于使用的同时扩大了攻击面。目前,不安全的API是云计算主要风险之一。再例如,云计算之所以具备经济的、绿色的效益,能大幅度降低能源和冷却成本,使IT资源和系统优化使用,得益于云计算共享技术,但是共享技术相比于专有技术而言更加不安全。在云环境下,业务即为数据,试想如果多租户隔离失败,数据发生泄露、篡改或不可用,会对业务造成巨大的冲击和损失。
所以,云计算在快速实现资源调配,让资源更容易获得的同时,会引入更多的漏洞,自身也更具脆弱性,会面临更多的风险。对于云供应商而言,其需要运用合规治理和流程监督,风险管理,一系列的具有预防、检测,纠正功能的控制措施,技术性的组件,纵深防御手段,业务韧性和业务持续能力,多因素身份验证来保障数据安全。但是作为云消费者、云客户或者法律服务者,我们也要看到,从云计算的产生到广泛应用内在逻辑,决定了它自身就是一种廉价的且并不安全的模型。上文所述的云计算服务供应商可采取的一系列措施,并不能掩盖,规避云计算的风险与供应链上各方,以及云供应商与非云供应链的主体之间的纠纷的发生。所以,风险与纠纷高发之处即为云计算领域的合规发展的起点与重点。下面,笔者将围绕与营商环境和产业发展相关的且具有一定共性的云计算领域合规方向发表观点。
1 云环境下数据管理的问题
在传统环境下,组织可以完全访问和控制基础设施、系统和数据。一个组织在自建基础设施的情况下,通过IT治理,合规治理,合规管理,可以实现对数据强有力的控制和约束。但在云环境下,基础设施是云服务商的,云客户对于云上数据的管控是非常有限的,故无法照搬传统环境下的方法论。即使是强调对于云供应商的尽职调查,法律上也没有规定云供应商主动披露义务,并且存在尽职调查不足的风险,有些内容查不到,风险揭示不出来。强调SLA服务条款签订,往往也是解决事后赔偿补偿的问题,无法很好地预防识别化解风险。
以下列事件为例:一家Paas云服务提供商终止了对于一个云客户的服务,并且配合完成了数据迁移。一段时间后,云客户发现和他们主要研发的产品高度近似的产品在市场上出现了,认为是原云服务提供者窃取了重要的数据和文件。在这个案例中,基于云服务的内在逻辑,对于云服务提供商而言,如何去证明自己在提供服务时,以及在服务结束后没有非法访问获取云客户的数据,如何自证清白,这是一个很矛盾的问题。对于云客户而言,云客户对于云上数据的管控是非常有限的,如何去获取云上的重要证据,并且云上的电子取证更为复杂和困难,证据三性问题又如何落实......
从立法及合规治理的角度,建议应当确立在云供应商提供服务过程中及终止提供服务后一段时间内:1.云供应商在访问或使用云租户的业务数据、关键数据时必须取得云租户的授权,并且对于云客户数据的访问、操作需保留相关记录;2.保证云服务方对于云租户系统和数据的访问及操作数据可被云客户访问,在云服务方对于云租户系统和数据的访问及操作数据异常的情况下,云客户可要求云供应商予以说明。
另外,在云计算环境下,确认数据准确的物理位置更加困难和复杂,并且基于云计算服务的内在逻辑,随着云客户在云环境中添加和扩展资源需求,新资源在云中动态分配,云客户无法控制服务部署的具体物理位置。随着我国数据安全法、个人信息保护法、个人信息出境安全评估办法相继出台,以及滴滴美股上市事件发生,企业数据信息出境合规义务不断加强。建议应通过法律形式确认云供应商应向云客户提供可行的查询其数据及备份存储位置的方式,促使企业维护国家安全,网络空间安全,数据主权,并促使云供应链上各方履行数据出境合规义务。
在此需要说明的是,对于云计算服务提供者而言,在合规义务边界不明确的情况下,应当在履行合规义务时抱有谨慎态度,将“法无明文规定即自由”做狭义解释,以降低合规风险的发生,或在风险发生后,通过其先前的合规自律行为,向监管机构或司法机构表明自身不存在恶意行为,并在一定范围内采取了必要措施,以此获得更为有利的风险化解方案。
2 公有云环境下多租户数据安全问题
在传统数据中心模型中,组织的IT资源与其他组织或网络的IT资源在物理层面是分离的。但云环境支持多租户技术,即允许多名云客户或应用程序在同一云环境中运行,共享资源技术,租户相互隔离,彼此不可见。受多租户技术的影响,可能会出现一个甚至多个租户联合越权访问、攻击其他租户的情况;结合公有云的复杂环境,可能会出现重大侵权责任纠纷,并可能给企业造成严重损失。在这种情况下,云服务提供商是否要承担责任,承担什么样的责任,权利义务边界是什么,目前我国法律尚未有清晰界定。
对此,笔者建议,通过立法严格划分云服务提供商与云客户之间的权利与义务。应当确立云供应商负有对其受托的租户之间进行安全隔离的义务,能监测并且及时处理云租户间的攻击事件,降低云租户之间越权访问风险的发生,保证云客户数据和业务的安全,也避免在重大侵权等案件发生后,出现各方权利义务界定不清的情况。
鉴于法律就云上多租户问题未有清晰界定,企业无法准确预防、识别有关合规风险。面对复杂的多租户情况,对于云服务提供商来说,其自身合规治理的行为更为重要。正如前文所述,云供应商应当在履行合规义务时抱有谨慎态度,将“法无明文规定即自由”做狭义解释。云服务提供商应当就其计算隔离、存储隔离、网络隔离、数据库隔离的各项指标、参数、控制、变更等制定严格合规制度并审慎执行,从制度到操作层面严格落实其虚拟化平台安全、云控制台安全、云服务API安全、云服务产品安全等责任。
3 多云场景下的云数据移植问题
“上云容易,换云难”,是云计算服务行业的一项“顽疾”。目前主要原因集中在通过技术锁定客户,或者云供应商采用其他不配合的方法增加云数据迁移的困难,以此降低客户流失。
但是,对于企业来说,伴随着业务不断创新与增长,单一的、固定的云服务难以满足企业的多元化需求,企业可能会在布局一家云,根据实际的业务需求、经济要求选择增加其他的云服务商或者替换原服务商。目前业界普遍认为,云计算已经进入多云阶段,即基于混合的、异构的多种公有云、私有云,形成全面的云上企业IT架构。在多云场景下,企业对自由选择云服务提供商,进行便捷的数据迁移,实现互联互通的需求越来越强烈。
云供应商与云客户之间应存在正和而不是零和的博弈。从立法角度,建议逐步确立云数据移植的有关原则与制度,强化云计算服务提供商履行数据移植的义务,进而加强企业数据在多云环境下的自由流动,降低企业云化的壁垒,加速实现企业数字化转型。
笔者建议,云计算服务商在搭建内部合规治理体系及与客户签署服务水平协议时,着重考量本部分的内容,根据其提供的不同类型的云服务,就数据迁移涉及到的数据结构、数据格式、迁移时间、迁移费用、业务影响、客户退出机制等问题在合规文档与协议中予以明确,降低云服务企业利用云计算市场支配地位限制客户企业自由迁移等合规风险,促进云服务提供商与云消费者双方良性发展。