在7月25日日召開的“可信云”大會(huì)上，對(duì)于業(yè)界一直關(guān)心的云服務(wù)牌照問題，工業(yè)和信息化部信息通信管理局市場(chǎng)處處長(zhǎng)張建華給出了明確的答案。張建華表示，云計(jì)算是一種商業(yè)計(jì)算模型，它的計(jì)算任務(wù)分布在網(wǎng)絡(luò)上大量計(jì)算機(jī)構(gòu)建的資源池上，使各種應(yīng)用系統(tǒng)能夠根據(jù)需要授權(quán)獲得計(jì)算力、存儲(chǔ)空間和信息服務(wù)。目前市場(chǎng)上通常將云計(jì)算分服務(wù)模式分為三個(gè)層次，分別是IaaS、PaaS和SaaS。IaaS指的是基礎(chǔ)設(shè)施及服務(wù)，也就是利用數(shù)據(jù)中心提供相應(yīng)的資源租用型服務(wù)，包括云主機(jī)等，在業(yè)務(wù)模式上屬于傳統(tǒng)IDC業(yè)務(wù)范疇。而PaaS服務(wù)指的是平臺(tái)型服務(wù)，企業(yè)在IaaS層的基礎(chǔ)上建設(shè)自有平臺(tái)，為客戶提供開發(fā)、測(cè)試環(huán)境等服務(wù)。SaaS則指的是軟件應(yīng)用及服務(wù)。

在2015年底，工業(yè)和信息化部出臺(tái)新版《電信業(yè)務(wù)分類目錄》（以下簡(jiǎn)稱“目錄”），《目錄》中對(duì)互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）業(yè)務(wù)進(jìn)行了定義?；ヂ?lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)是指利用相應(yīng)的機(jī)房設(shè)施，以外包出租的方式為用戶的服務(wù)器等互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)相關(guān)設(shè)備提供放置、代理維護(hù)、系統(tǒng)配置及管理服務(wù)，以及提供數(shù)據(jù)庫(kù)系統(tǒng)或服務(wù)器等設(shè)備的出租及存儲(chǔ)空間的出租、通信線路和出口帶寬的代理租用和其他應(yīng)用服務(wù)。

根據(jù)《目錄》的要求，提供IaaS、SaaS服務(wù)的云服務(wù)企業(yè)必須持有互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）牌照。但是由于PaaS服務(wù)并非傳統(tǒng)的IDC業(yè)務(wù)，而是存儲(chǔ)、在線備份、托管等互聯(lián)網(wǎng)基礎(chǔ)設(shè)施服務(wù)，具體業(yè)務(wù)以主機(jī)租用與虛擬專用服務(wù)器為主，部分是托管服務(wù)。以及在2015新版《目錄》增加了互聯(lián)網(wǎng)資源協(xié)作服務(wù)業(yè)務(wù)的描述，互聯(lián)網(wǎng)資源協(xié)作服務(wù)業(yè)務(wù)是指利用架設(shè)在數(shù)據(jù)中心之上的設(shè)備和資源，通過互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)以隨時(shí)獲取、按需使用、隨時(shí)擴(kuò)展、協(xié)作共享等方式，為用戶提供的數(shù)據(jù)存儲(chǔ)、互聯(lián)網(wǎng)應(yīng)用開發(fā)環(huán)境、互聯(lián)網(wǎng)應(yīng)用部署和運(yùn)行管理等服務(wù)。PaaS服務(wù)屬于“互聯(lián)網(wǎng)資源協(xié)作服務(wù)業(yè)務(wù)”，也屬于“互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)業(yè)務(wù)”，因此，提供PaaS服務(wù)的云服務(wù)企業(yè)也應(yīng)當(dāng)領(lǐng)取IDC牌照。

在我們團(tuán)隊(duì)對(duì)國(guó)內(nèi)一些云服務(wù)企業(yè)提供法律服務(wù)過程中發(fā)現(xiàn)，云服務(wù)企業(yè)面臨諸多網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)困惑。其中，有個(gè)人數(shù)據(jù)信息安全、云平臺(tái)應(yīng)用程序安全、海量用戶的身份認(rèn)證與訪問控制、云服務(wù)運(yùn)維和管理、平臺(tái)內(nèi)容合規(guī)審查、知識(shí)產(chǎn)權(quán)侵權(quán)等傳統(tǒng)問題，也有在新的《網(wǎng)絡(luò)安全法》及其配套法規(guī)下的網(wǎng)絡(luò)安全等級(jí)保護(hù)、數(shù)據(jù)跨境傳輸合規(guī)、網(wǎng)絡(luò)安全應(yīng)急處置等問題。以下將從與云服務(wù)企業(yè)密切相關(guān)的網(wǎng)絡(luò)安全等級(jí)保護(hù)、個(gè)人信息保護(hù)制度、數(shù)據(jù)跨境傳輸、知識(shí)產(chǎn)權(quán)侵權(quán)等四個(gè)方面來說新立法下云服務(wù)企業(yè)的合規(guī)問題。

網(wǎng)絡(luò)安全等級(jí)保護(hù)

依據(jù)《網(wǎng)絡(luò)安全法》規(guī)定，云服務(wù)企業(yè)作為網(wǎng)絡(luò)運(yùn)營(yíng)者，應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；

（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；

（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。

云服務(wù)企業(yè)，不管是IaaS、SaaS還是PaaS都存在應(yīng)用程序安全問題，比如惡意程序、應(yīng)用程序接口安全、代碼安全與測(cè)試。軟硬件故障造成云服務(wù)中的數(shù)據(jù)丟失也是用戶數(shù)據(jù)面臨的客觀威脅。鑒于目前網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的具體實(shí)施辦法尚未出臺(tái)，建議云服務(wù)企業(yè)按照現(xiàn)行信息系統(tǒng)安全等級(jí)保護(hù)制度采取技術(shù)措施。

個(gè)人信息保護(hù)制度

云服務(wù)場(chǎng)景下，托管于云服務(wù)企業(yè)處的個(gè)人信息等數(shù)據(jù)被泄露、惡意使用是用戶最大的擔(dān)心。個(gè)人信息數(shù)據(jù)面臨的人為威脅主要來源于云服務(wù)企業(yè)、黑客、惡意用戶。

根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意；涉及用戶個(gè)人信息的，還應(yīng)當(dāng)遵守有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息。

云服務(wù)企業(yè)對(duì)存儲(chǔ)于其設(shè)備上的個(gè)人信息數(shù)據(jù)具有優(yōu)先訪問權(quán)，在個(gè)人信息收集上，應(yīng)注意明示收集，公開使用信息的目的、方式、范圍，與用戶簽訂用戶協(xié)議、隱私政策等。在個(gè)人信息處理上，應(yīng)嚴(yán)格保密，不超出范圍使用。在個(gè)人信息使用上，不得非法出售或提供，注意脫敏清洗。另外，如何防范云服務(wù)企業(yè)內(nèi)部人員對(duì)個(gè)人信息數(shù)據(jù)的非法訪問和泄露是一個(gè)重要的問題。

數(shù)據(jù)跨境傳輸

新生效的《網(wǎng)絡(luò)安全法》第一次對(duì)數(shù)據(jù)跨境傳輸做出了規(guī)制，其配套法規(guī)《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)報(bào)請(qǐng)行業(yè)主管或監(jiān)管部門組織安全評(píng)估的出境數(shù)據(jù)有：

（一）含有或累計(jì)含有50萬人以上的個(gè)人信息；

（二）數(shù)據(jù)量超過1000GB；

（三）包含核設(shè)施、化學(xué)生物、國(guó)防軍工、人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動(dòng)、海洋環(huán)境以及敏感地理信息數(shù)據(jù)等；

（四）包含關(guān)鍵信息基礎(chǔ)設(shè)施的系統(tǒng)漏洞、安全防護(hù)等網(wǎng)絡(luò)安全信息；

（五）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供個(gè)人信息和重要數(shù)據(jù)；

（六）其他可能影響國(guó)家安全和社會(huì)公共利益，行業(yè)主管或監(jiān)管部門認(rèn)為應(yīng)該評(píng)估。

不得出境的數(shù)據(jù)有：

（一）個(gè)人信息出境未經(jīng)個(gè)人信息主體同意，或可能侵害個(gè)人利益；

（二）數(shù)據(jù)出境給國(guó)家政治、經(jīng)濟(jì)、科技、國(guó)防等安全帶來風(fēng)險(xiǎn)，可能影響國(guó)家安全、損害社會(huì)公共利益；

（三）其他經(jīng)國(guó)家網(wǎng)信部門、公安部門、安全部門等有關(guān)部門認(rèn)定不能出境的。

鑒于云服務(wù)企業(yè)通常儲(chǔ)存了海量的數(shù)據(jù)、其中不乏個(gè)人信息及可能影響國(guó)家安全和社會(huì)公共利益的信息，甚至可能是絕對(duì)禁止出境的信息。這就要求云服務(wù)企業(yè)在將服務(wù)器設(shè)在境外或采購(gòu)境外網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，都要事先謹(jǐn)慎考慮用戶安全評(píng)估的成本問題。另外，根據(jù)CII新規(guī)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》，關(guān)系國(guó)家安全、國(guó)計(jì)民生、公共利益的云計(jì)算企業(yè)將被納入CII關(guān)鍵信息基礎(chǔ)設(shè)施范圍，《保護(hù)條例》第三十四條首次對(duì)CIIO關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者跨境運(yùn)維進(jìn)行了規(guī)制，規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行維護(hù)應(yīng)當(dāng)在境內(nèi)實(shí)施。因業(yè)務(wù)需要，確需進(jìn)行境外遠(yuǎn)程維護(hù)的，應(yīng)事先報(bào)國(guó)家行業(yè)主管或監(jiān)管部門和國(guó)務(wù)院公安部門。

知識(shí)產(chǎn)權(quán)侵權(quán)

云服務(wù)企業(yè)對(duì)平臺(tái)內(nèi)容的合規(guī)性審查十分困難，對(duì)于涉黃、涉暴等內(nèi)容審查雖然有技術(shù)支持手段，但成本高昂，對(duì)于平臺(tái)儲(chǔ)存內(nèi)容的知識(shí)產(chǎn)權(quán)侵權(quán)審查，更是無從查起，諸多云服務(wù)企業(yè)不免有擔(dān)心侵權(quán)的顧慮。

我國(guó)《侵權(quán)責(zé)任法》第三十六條規(guī)定了通知?jiǎng)h除規(guī)則，網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)侵害他人民事權(quán)益的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。網(wǎng)絡(luò)用戶利用網(wǎng)絡(luò)服務(wù)實(shí)施侵權(quán)行為的，被侵權(quán)人有權(quán)通知網(wǎng)絡(luò)服務(wù)提供者采取刪除、屏蔽、斷開鏈接等必要措施。網(wǎng)絡(luò)服務(wù)提供者接到通知后未及時(shí)采取必要措施的，對(duì)損害的擴(kuò)大部分與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。網(wǎng)絡(luò)服務(wù)提供者知道網(wǎng)絡(luò)用戶利用其網(wǎng)絡(luò)服務(wù)侵害他人民事權(quán)益，未采取必要措施的，與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。

值得關(guān)注的是，在近日一審宣判的阿里云侵權(quán)案的判決書來看，法院判定阿里云公司侵權(quán)的理由是：權(quán)利人發(fā)出了侵權(quán)通知，阿里云公司在長(zhǎng)達(dá)8個(gè)月的時(shí)間里沒有采取刪除等措施。阿里云公司作為服務(wù)器提供商，雖然不具有事先審查被租用的服務(wù)器中存儲(chǔ)內(nèi)容是否侵權(quán)的義務(wù)，但在他人重大利益因其提供的網(wǎng)絡(luò)服務(wù)而受到損害時(shí)，其作為服務(wù)器提供商應(yīng)當(dāng)承擔(dān)相關(guān)義務(wù)，采取必要、合理、適當(dāng)?shù)拇胧┓e極配合權(quán)利人的維權(quán)行為，防止權(quán)利人的損失持續(xù)擴(kuò)大。

因此，云服務(wù)企業(yè)不具有事先審查用戶儲(chǔ)存內(nèi)容是否存在知識(shí)產(chǎn)權(quán)侵權(quán)的義務(wù)，但如果他人確實(shí)有證據(jù)證實(shí)其被侵權(quán)，云服務(wù)企業(yè)有義務(wù)采取刪除、屏蔽、斷開鏈接等必要措施積極配合被侵權(quán)人，以免與侵權(quán)人承擔(dān)連帶責(zé)任。

在云服務(wù)應(yīng)用越來越廣泛的今天，社會(huì)對(duì)云服務(wù)企業(yè)和立法監(jiān)管都提出了更高的要求。在CII新規(guī)及網(wǎng)絡(luò)安全法下，云服務(wù)企業(yè)也應(yīng)及時(shí)厘清企業(yè)內(nèi)部網(wǎng)絡(luò)安全制度體系，對(duì)照法條各項(xiàng)規(guī)定進(jìn)行調(diào)整，時(shí)時(shí)關(guān)注立法執(zhí)法動(dòng)態(tài)，確保企業(yè)合法合規(guī)運(yùn)營(yíng)。

注：

本文由 觀韜中茂（上海）律師事務(wù)所 投稿數(shù)據(jù)猿發(fā)布。

歡迎更多大數(shù)據(jù)企業(yè)、愛好者投稿數(shù)據(jù)猿，來稿請(qǐng)直接投遞至：tougao@datayuan.cn

來源：數(shù)據(jù)猿