新立法及政策环境下云服务企业的合规问题分析
2018年8月14日、15日,由中国信息通信研究院、中国通信学会、中国通信标准化协会共同主办的“2018可信云大会”在北京召开。工业和信息化部总经济师王新哲在致辞中指出近年来我国云计算产业取得了蓬勃发展,已经成为提升信息化发展水平、打造数字经济新动能的有力支撑。下一步将重点抓好以下六个方面工作:一是突破关键核心技术,二是加快增强产业实力,三是深入推动企业上云,四是健全市场监管措施,五是打造网络安全体系,六是持续优化发展环境。本次大会上,可信云还根据今年1月份正式发布的《云服务企业信用评价办法》披露了云服务企业信用评级结果,共有11家企业获得AAA级信用。政府进一步加大电信业务市场监管,企业信用的重要性被提升到了前所未有的高度,对于正在快速发展的云服务市场而言,这一信号尤其重要。
早在2015年底,工业和信息化部出台新版《电信业务分类目录》(以下简称“目录”),《目录》中对互联网数据中心(IDC)业务进行了定义。互联网数据中心业务是指利用相应的机房设施,以外包出租的方式为用户的服务器等互联网或其他网络相关设备提供放置、代理维护、系统配置及管理服务,以及提供数据库系统或服务器等设备的出租及存储空间的出租、通信线路和出口带宽的代理租用和其他应用服务。
根据《目录》的要求,提供IaaS、SaaS服务的云服务企业必须持有互联网数据中心(IDC)牌照。但是由于PaaS服务并非传统的IDC业务,而是存储、在线备份、托管等互联网基础设施服务,具体业务以主机租用与虚拟专用服务器为主,部分是托管服务。以及在2015新版《目录》增加了互联网资源协作服务业务的描述,互联网资源协作服务业务是指利用架设在数据中心之上的设备和资源,通过互联网或其他网络以随时获取、按需使用、随时扩展、协作共享等方式,为用户提供的数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务。PaaS服务属于“互联网资源协作服务业务”,也属于“互联网数据中心(IDC)业务”,因此,提供PaaS服务的云服务企业也应当领取IDC牌照。
在我们团队对国内部分云服务企业提供法律服务过程中发现,云服务企业面临诸多网络安全、数据合规困惑。其中,有个人数据信息安全、云平台应用程序安全、海量用户的身份认证与访问控制、云服务运维和管理、平台内容合规审查、知识产权侵权等传统问题,也有在新的《网络安全法》及其配套法规下的网络安全等级保护、数据跨境传输合规、网络安全应急处置等问题。以下将从与云服务企业密切相关的网络安全等级保护、个人信息保护制度、数据跨境传输、知识产权侵权等四个方面来说新立法下云服务企业的合规问题。
网络安全等级保护
依据《网络安全法》规定,云服务企业作为网络运营者,应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施。
云服务企业,无论是IaaS、SaaS还是PaaS都存在应用程序安全问题,比如恶意程序、应用程序接口安全、代码安全与测试。软硬件故障造成云服务中的数据丢失也是用户数据面临的客观威胁。鉴于目前《网络安全等级保护条例》《信息安全技术网络安全等级保护定级指南》尚在征求意见稿阶段,建议云服务企业充分参照已披露的征求意见稿,结合现行《信息安全等级保护管理办法》采取信息系统安全等级保护措施。
个人信息保护制度
云服务场景下,托管于云服务企业处的个人信息等数据被泄露、恶意使用是用户最大的担心。个人信息数据面临的人为威胁主要来源于云服务企业、黑客、恶意用户。
根据《网络安全法》规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守有关法律、行政法规关于个人信息保护的规定。网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
云服务企业对存储于其设备上的个人信息数据具有优先访问权,在个人信息收集上,应注意明示收集,公开使用信息的目的、方式、范围,与用户签订用户协议、隐私政策等。在个人信息处理上,应严格保密,不超出范围使用。在个人信息使用上,不得非法出售或提供,注意脱敏清洗。另外,如何防范云服务企业内部人员对个人信息数据的非法访问和泄露是一个重要的问题。
全球来看,现在已有90多个地区已经出台了相关的个人数据保护的法律法规,新加坡2013年颁布个人信息保护法,中国2017年的网络安全法以及今年欧盟的GDPR。各国出台的数据保护个人信息保护的相关法律,对我国的云服务企业将产生重大影响。
数据跨境传输
《网络安全法》首次对数据跨境传输做出了规制,其配套法规《个人信息和重要数据出境安全评估办法(征求意见稿)》规定,网络运营者应报请行业主管或监管部门组织安全评估的出境数据有:
(一)含有或累计含有50万人以上的个人信息;
(二)数据量超过1000GB;
(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(五)关键信息基础设施运营者向境外提供个人信息和重要数据;
(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。
不得出境的数据有:
(一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;
(二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;
(三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
鉴于云服务企业通常储存了海量的数据,其中不乏个人信息及可能影响国家安全和社会公共利益的信息,甚至可能包含绝对禁止出境的信息。这就要求云服务企业在将服务器设在境外或采购境外网络产品和服务时,须事先谨慎考虑用户安全评估的成本问题。另外,根据CII新规《关键信息基础设施安全保护条例(征求意见稿)》,关系国家安全、国计民生、公共利益的云计算企业将被纳入CII关键信息基础设施范围,《保护条例》第三十四条首次对CIIO关键信息基础设施运营者跨境运维进行了规制,规定关键信息基础设施的运行维护应当在境内实施。因业务需要,确需进行境外远程维护的,应事先报国家行业主管或监管部门和国务院公安部门。
知识产权侵权
云服务企业对平台内容的合规性审查十分困难,对于涉黄、涉暴等内容审查虽然有技术支持手段,但成本高昂,对于平台储存内容的知识产权侵权审查,更是无从查起,诸多云服务企业不免有担心侵权的顾虑。
我国《侵权责任法》第三十六条规定了通知删除规则,网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。例如,于2017年宣判的阿里云侵权案的判决书中,法院判定阿里云公司侵权的理由是权利人发出了侵权通知,阿里云公司在长达8个月的时间里没有采取删除等措施。阿里云公司作为服务器提供商,虽然不具有事先审查被租用的服务器中存储内容是否侵权的义务,但在他人重大利益因其提供的网络服务而受到损害时,其作为服务器提供商应当承担相关义务,采取必要、合理、适当的措施积极配合权利人的维权行为,防止权利人的损失持续扩大。
因此,云服务企业不具有事先审查用户储存内容是否存在知识产权侵权的义务,但如果他人确实有证据证实其被侵权,云服务企业有义务采取删除、屏蔽、断开链接等必要措施积极配合被侵权人,以免与侵权人承担连带责任。
近年来,传统行业开始逐渐成为云市场需求的主流,云计算市场的快速生长,监管部门对云服务企业也提出了更高的要求。在CII新规及网络安全法下,云服务企业在从供给侧转向需求侧,满足客户的公有云需求、网络需求、私有云建设需求,提供数字转型的综合解决方案的同时,也应及时厘清企业内部网络安全、数据合规制度体系,合规经营,提高个人数据保护能力。
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com