2009年,“云计算”横空出世并成为热门趋势,至今已有3年。其间,世界许多国家对跨境云计算服务进行了深入研究,如:新西兰政府很早就以提示用户风险管理的形式采取了行动。跨境云计算是一个新潮流,可以带动信息产业的新发展,但同时需要采取有效的信息安全措施,才能让用户安全使用云计算服务。
一、新西兰政府制定的云计算风险管理守则
如果政府机构率先使用云计算服务,就可以实际体验跨境云计算服务,规划风险管理,为建立支持云计算服务跨境化的法律制度环境打下基础。
(一)新西兰政府制定的风险管理守则
新西兰政府2009年4月公布了《政府机构风险管理守则》,将“利用设置于海外的服务器处理政府信息”或“将政府信息存储于海外数据中心”作为管理对象。这一面向政府机构的风险管理守则在以下几方面有较深的含义,与针对个人信息保护的美国安全港规则、EU的《个人信息发送至第三国的标准守则》等同样值得研究。
从更广泛的数据来源,汇集或分类使用跨境云计算服务,有可能存在致使政府信息泄露的风险;
并非一律禁止使用,而应按照不同信息资产,进行风险管理评价。对于潜在风险与应用所带来的效果,用户应该综合考虑,自己判断是否使用跨境云计算服务;
由于新西兰法律与其他国家法律存在的差别,所以存在新西兰国内法律所保护的个人信息等有可能不被在他国境内运营的云计算服务供应商所保护的风险。
(二)政府机构风险管理守则中的“必须考虑的风险”
表1是新西兰政府机构风险管理守则中规定使用跨境云计算服务时,政府机构必须要考虑的10大风险。
表1:使用跨境云计算服务带给政府信息泄露的风险
(三)施加给相关政府机构的法律制度及守则
1.适用法令
在跨境化的云计算服务中保存政府信息或用海外数据中心的服务器处理政府信息等工作委托给海外企业时,应该遵守如下三项相关法律。
(1)个人信息保护法(PrivacyAct1993)
个人信息保护相关事项是政府信息中一个在重要方面。
(2)信息公开法(PublicRecordsAct2005)
由政府机构服务所生成的数字信息要符合信息公开法,该法中要求确保对这些数字信息内容、访问方法、利用方法的综合管理。
(3)财政法(PublicFinanceAct1989s.65ZC)
关于政府机构与跨国企业(假设是海外云计算服务提供商)之间的合同中的免责事项等条款,需要根据财政法接受财务部的监督。
2.相关政府守则
除了上述法令之外,新西兰政府要求制定行政服务的完整性、可持续性、政府机构采购规则、政府网站外部委托规则、信息安全守则、ICT相关合同中的知识产权规则、个人信息保护守则等,并要求在政府机构使用这些跨境云计算服务时遵守这些守则(表2)。
表2:政府机构的云计算服务使用相关守则
二、政府机构使用云计算服务的风险管理要点
关于将政府信息保存于云计算服务或者通过云计算服务处理政府信息等方面,不管云计算服务提供商是否在国内,都会存在潜在的风险。但是,参照“政府机构风险管理守则”,尤其是从海外接受服务时,因该特别考虑的如下的风险管理点。
(一)国际形势与国际关系之中的国家利益
(1)国际形势
针对海外法律制度不成熟的地区或国家,充分考虑到最坏情形。针对这些地区或国家的具体情况,最高可作为“无法接受的风险”,不与其建立任何云计算服务往来。某个地区或国家是否满足条件,可以参考如下信息。
各国政府的公开性及透明度报告
新西兰通信安全局的官方建议
新西兰安全信息局的“外国硬件、软件、服务相关的安全危险”建议
(2)国际关系与国家利益
从新西兰政府官方认定的不友好国家采购服务有可能损害国家利益,所以被认为是“无法接受的风险”。
同时,考虑到国家利益,影响国家间经济平衡的规模大、范围广的海外委托等不被认可或不被社会接受。此外,长远来看,从国家利益出发,未来10多年,会导致新西兰国内的一些技术经验、服务经验逐渐失去,国家竞争力降低等类别的云计算服务,作为国家战略也不允许海外委托。
(二)法律风险与争议仲裁的国际机制
新西兰国内法律与其他国家法律之间,除了法律内容不同之外,还存在法律解释的差异。同时,法律制度性的稳定性、法律服务的质量对法律制度的运用构成较大影响。这样的条件下,法律本身、法律解释发生差异、法律解释不固定时,容易发生国际纠纷。另一方面,发生争议时的国际调停与仲裁机制尚未成熟等问题也显现出来。具体而言,从政府机构的风险管理角度来看,以下3点应该是重点:
国内政府很难要求某个海外服务商强制执行合同。同时,如果与当地的律师交涉,还存在不得不长期支付巨额费用的风险。
新西兰国内规定的个人信息保护、安全性、服务可持续性等涉及他国法律相关要求时,从该国接受云计算服务之际,政府机构的应对也将变得困难。例如,美国的爱国者法,法律在一定条件下,赋予该国政府对用户数据的无限制访问权限等。
在海外,由于云计算服务供应商的倒闭,无法继续使用服务时,索赔处理也很难。
因此,使用跨境云计算服务时的法律风险存在各种无法控制的事项。为此,要非常慎重地选择海外委托国家,合同条款尽可能考虑到风险并使其遵照新西兰的法律制度,慎重核对合同,确保不含有违反新西兰财政法条款;要咨询国内与海外双方面律师,要充分理解海外委托国家的诉讼过程、进度、费用和对策;要通过国际合作积极建立可解决争议的调停或仲裁机制。
(三)个人信息处理
个人信息保护领域目前正在推进建立国际性争议解决机制,以下是正在开展的行动。
新西兰与澳大利亚间个人信息保护相关索赔调查的跨境合作的共识(缔结谅解备忘录)
参与APEC的数据保护探索者计划
参与APPA的跨塔斯曼海协定计划
与OECD之间的合作
(四)时差、语言、地理距离、社会制度等差异所产生的风险
与跨境云计算服务提供商所在国之间的时差、语言差异、地理距离、社会成熟度差异等,对政府信息处理流程的管理与遵守会造成很大影响,必须要解决24小时持续提供服务的服务台的响应迟缓等降低运营质量的问题。因为安全事件发生后响应迟缓会带来不够好的第一时间应对、不准确的报告等,以及缺乏对正确情况的把握等问题。同时,因位于不同国家,受距离的影响,难以具备全局视野,管理会变得复杂,治理风险变得更高,尤其是语言差异有助长这些问题的倾向,这一点需要充分注意。
三、启示
新西兰的政府机构风险管理守则也表示,判断政府机构是否应该使用海外云计算服务最终还要“基于综合评估,积极应用”。所以,该守则定位为各政府部门判断应用云计算服务的建议。国际形势、最新技术、与他国相关法律制度之间的差异、各国通信基础设施成熟度的差异、国内外的经济摩擦等,这些都是超过一国政府可控制范畴的风险因素,在应用跨境云计算服务之际,涉及用户权利与义务的最终还是用户本身。因此,未来社会中,就要求用户正确理解跨境云计算的潜在威胁与风险,能够明智地使用云计算服务。为此,政府部门至少需要制定云计算服务的示范合同条款、云计算服务使用守则等两项纲领性文件。
只有使社会整体能够正确进行风险管理,持续提升意识,才能实现可保障公共安全的成熟的社会。同时,政府与公共机构需要率先制定试点,带动企业应用。本文介绍的新西兰跨境云计算服务的保护措施,作为一个前瞻性的法律法规管理范例,值得我国参考。
编译:中国贸促会电子信息行业分会王喜文