云数据隐私侵权风险与矫正策略,本文主要内容关键词为:隐私论文,策略论文,风险论文,数据论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
0 引言
21世纪是计算方式的激变时代,“高速、便捷且成本低廉的云计算渐成未来的主流计算模式”[1]。以云计算为核心构架的云平台通过大规模资源的高效灵活调度,借助规模化效应降低运营费用,通过跨境商业推动经济增长并创造就业机会。云环境具有一系列特殊优势:a.降低用户的软硬件负担。云服务商提供合并计算资源并包揽软硬件管理与维护,云用户不用购置硬件和获取软件使用许可,更不必担忧升级、容错和优化的能耗,节省大量人力物力。b.打破时间与地域束缚。云环境是整合多种技术与商业方案的24小时动态存储与计算空间,大幅度地提高运作效率且不受地理位移限制。c.提高数据灾害的预防与恢复能力。数据泄露与损毁风险是云应用的最大隐忧,技术实力雄厚的云环境均配备强防杀病毒装置与数据资料备份系统。即便极端数据灾难导致主系统瘫痪,云端也能调取备用数据,用户甚至不会发觉数据资料曾有损毁。因之,国家机关、社会组织、商业机构和普通民众陆续将大量资料存于“云”中。云环境逐渐成为信息传递的基础平台,大幅度地降低社会良性运转的成本。2011年,全球经济与商业研究中心估计云服务在未来5年内可能为法国、德国、意大利、西班牙和英联邦的经济发展“贡献”7630亿增长额[2];经济学家指出,未来五年内云服务仅在欧洲就会创造高达百万就业机会[3]。
云功能的充分实现以信息全方位共存为前提,需要用户自愿提供敏感数据。任何数据隐私侵权事件均会沉重打击云用户的信任指数,阻碍云服务产业的发展壮大。美国CIO杂志的调查显示,“67%的受访者不使用云服务的首要原因是数据隐私侵权风险。”[4]满足数据交流需要的云平台往往与传统隐私权保障机制相冲突。旧规则不可避免地限制了云服务系统的良性循环,在云数据收集与使用、保留期限与披露条件、云数据主体存取与修正数据等方面暴露出庞杂的隐私侵权问题,矫正风险的呼声日渐高涨。一些政府机构颁布了政策文件[5],隐私专员[6]、行业委员会[7]、隐私保护组织[8]等分别出具研究报告,网络服务商[9]、新闻机构[10]和商业出版公司[11]等均开始关注侵害云数据隐私权的现象。
1 云数据隐私侵权风险的动因
云数据可以分为“云外数据”与“云生数据”。前者在加入云前已有明确所有权关系,但经由云服务商或云用户置于云中。其中直接或间接反映主体确定性信息的内容属于典型的云数据隐私。后者则指云环境中生成的数据信息。云用户在使用云计算处理信息并推演结果的过程中,创造出的“已被识别或可被识别含有用户人格利益因素的所有数据信息”[12]均是数据隐私。云数据隐私类型多样且成分复杂加大了数据存储与运行中的侵权风险。
在预设的理想状态中,所有活动均在云服务器中进行,掌握编码的云服务商通过账户管理有效控制用户群,提高对云数据隐私、敏感技术和知识产权等的保障力度。现实云环境却极端不稳定,云技术的不成熟与云数据隐私保障制度不健全促使很多追求利润最大化的云服务商参与或默许数据存储与流动中的泄露与损毁侵害(包括协助公权机构侵害云数据隐私权),严重威胁云用户数据隐私的保密性、准确性与完整性。迫切需要在探讨风险动因的基础上,适用一系列行之有效的矫正策略。
1.1 利益需求驱动侵权行为
存储于远程云端的云数据隐私使得权利人难以获知在云服务商协助下的第三方存取行为。很多公权机关从节约经费与省却“麻烦”的利益需求出发,直接向云服务商提取云数据隐私,使得云环境异化为公权侵害的温床。如美国联邦法院主张,基于个人对自愿披露给第三人的信息不享有隐私权,只要有法院传票,服务商可以不必告知云用户,就向政府披露其数据隐私[13],为政府机构节约了大笔费用[14]。少数以用户月租为主要收入来源的云服务商会为避免用户流失而消极应对。如瑞典要求服务商配合政府调查的新法颁布不久,很多收费云服务商就表示,“在用户的强烈要求下,我们将不再保留其网际协议地址数据”[15]。
但是,云服务主要以免费形式存在,如谷歌的办公套件、微软的hotmail、奥多比的在线图像处理、Facebook和MySpace等。他们的商业利润来自利用收集的数据隐私生成目标广告“创收”。云服务商凭借商业广告容忍条款,可以向云用户投放广告,但过量广告容易引起反感,甚至产生反效用。绝大多数云服务商不得不以目标广告为主要收入来源。投放的对象群越准确,广告效益越明显。对象的精准化依靠云服务商掌握云用户数据信息的翔实度。云服务商一再宣传云端是最安全的隐私保险箱,很多云用户也深信通过网络加密保存书签、浏览历史、密码等[16]的云环境。殊不知,大量云服务商以数据隐私为企业生命线,惯常通过数据挖掘提取并分类存储云数据隐私(如身份信息、兴趣偏好、商品需要与购物习惯等),以备定向商业广告所需或向第三方出售。同时,商业模式决定了云服务商在存储和传输加密中均采用单向密匙,即云服务商掌握着数据密匙,对云用户的数据隐私了如指掌。这为云服务商内部侵害数据隐私的违法行为创造了有利条件,也成为公权机关非法获取资料的重要来源。
1.2 法律保护机制缺失“激励”侵权行为 云服务商的经营选择以数据隐私侵权收益、受罚可能性和云用户流失率等的计算为基石,唯有侵权收益为正值时才会实施侵权行为。云数据隐私法律保护机制的缺失降低了云服务商因侵权行为受罚的机会成本,导致风险侵权因“低成本、高利润”而不断增多。
1.2.1 各主要国家和地区保障云数据隐私权的法律规范量少质低。目前,一些国家的《宪法》、《政府监管法》与《消费者权益保护法》中有少量勉强适合云数据隐私纠纷的条款。其域内调整主要依赖数据保护法或隐私法的抽象保障,如美国的《联邦电子通讯隐私权保护法案》(该法案对数据隐私的保护范围窄、内容少,不可视为联邦数据隐私保护基本法。美国的数据保护立法主要是针对特定主体或地区的调整规则,如儿童在线隐私保护法和加利福尼亚、佛罗里达、夏威夷等州的数据隐私识别规则等)、德国的《联邦数据保护法》、瑞典的《数据法》等。部分国家和地区出于电子商务发展的需要,偏重以行业自律方式保护数据隐私,如美国的《数据隐私保护框架》、加拿大的《个人信息保护示范法》等。从身份信息条款签署到云数据隐私获取与使用以及隐私收益分配等步骤的调整规则均模棱两可,且个案处理时往往不能严格遵循相关规定[17]。
1.2.2 缺少统一调整全球云数据隐私的规则体系。基于云环境实现最广域信息互通与降低数据流动成本的基本目标,绝大多数云系统的服务对象与云端路径遍布全球,云数据跨境流动是几乎所有云服务系统的重要组件。例如,某美国用户通过谷歌办公套件存取数据时,即便云数据始终处于国内谷歌控制之中,数据处理过程也常常在位于他国的云端完成。
“良性云环境的标志是数据安全与数据自由跨境流动”[18],很多国家和地区试图平衡两者,结果却形成离散化规则体系,完全不适合在数国间传递云数据流的状况。例如,各国有关基于密码的识别机制定期更新密码的时限要求从一月一次到一年一次不等,跨境云服务商符合某地区密码更新规则的行为可能违反另一地区规则。云数据隐私侵权问题是造成各国间法律冲突、云参与者无所适从与云规则执行不力的主要原因。云用户倾向于云服务商遵循其母国的数据隐私法,深恐因云环境中的违法错漏受到惩处。因之,跨境云数据流动必须分别遵循各流经国家和地区的相关规则。但云服务商即便花费大量成本也难以严格执行所有云涉地区的法律规范。例如,全球用户均可接入微软的Hotmail服务,微软公司若要了解云数据流经所有国家的法律,耗费的人力与物力足以拖垮这一经营项目(目前,由于各国的法律规范不够健全且诉讼量少,微软公司尚无过大压力)。
部分国家有关数据流向他国的法律规范不适用于云数据流入国。例如,虽然澳大利亚的《隐私法案》(第5条)[19]和《国家隐私原则》[20](第9条)已将数据主体限定为本国公民或在澳进行商业活动的组织机构,但该法对数据跨境流动的规制仍然由于变相确立治外法权,遭到绝大多数国家的坚决抵制,导致“云数据隐私侵权的受害人在侵权活动发生在国外时,难以获得救济”[21]。同时,共用计算资源的云服务平台的端点分配具有随机性,计算资源通常在不同时间从不同位置被提供给云用户,云服务协议往往语焉不详。“某些服务会由接收与处理您的数据的第三方运行,当您使用这些服务时,可能与第三方分享数据,并允许第三方处理您的数据”[22],却未指出具体存储地,“很多云服务商均未明确给出云服务所在地,这对数据保护和隐私保障造成很大影响”[23]。云用户不能确认云路径与云端的具体地理位置(在特殊情况下,云用户可以支付额外费用以指定某国、某地区或某数据中心等大致位置),又不可能掌握所有流经国的保护性立法内容,只能被迫选择信息量与技术能力均有限的“境内云”,严重打击云服务商完善全球数据流动系统的积极性,阻碍经济一体化的进程。
基于国际条约或协定的签署程序复杂、建议性国际宣言或倡议书的适用又需要“外转内”的过程,勃兴时日尚短的云数据隐私维权可适用的国际法律文件基本是围绕上位的“数据隐私权”展开的旧规则。一些国际人权公约是数据保护的基本法源,如《公民权利与政治权利国际公约》第17条、《欧洲人权公约》第8条以及首次将个人数据保护作为独立人权的《欧盟基本权利宪章》等,为全球云数据隐私统一立法提供了主旨基础。《经合组织隐私保护与个人数据跨境流动指导方针》(允许成员国之间免费数据流动以避免国家间信息与社会关系障碍)、《有关个人数据自动化处理的个人保护协定》(协调数据处理的隐私价值与信息自由流动之间的矛盾)、《欧盟个人数据保护指南》(系统保护个人隐私数据)、《亚太组织隐私框架》(强调数据控制者对于国内或国际间的数据流动均必须取得数据主体的同意,并采取合理步骤确保数据接收者能有效保障数据安全)等是云数据隐私多国和谐保护的基本依据与方针。
但是,这些现行国际法律文件存在两大弊端:一方面,具体规则在形式上均是区域性规范。《欧盟个人数据保护指南》要求所有进出欧盟成员国的数据主体均必须严格遵循指令规则,“保护了自然人的基本权利与自由,特别是个人数据处理中的隐私权”,已是全球最具影响力的数据隐私保护规则[24]。很多国家和地区的数据隐私法均沿用了《指南》的精神与内容。但《指南》的区域利益与逻辑弊病使其难以良性对接迅速成长的云服务产业,欧盟不得不组建专家组开展修订工作。专家组《欧盟个人数据保护的综合方法》研究报告的出台正在掀起数据隐私法的全球统一化浪潮。另一方面,具体规则在内容上过于抽象。目前有关数据隐私保护的国际规则往往只是数据保护国际法律文件中的某个章节,既未建立敏感数据分类、数据周期与安全等的国际标准,也未指明商业机构合规负担的范畴与数据跨境流动的权责范围,更因多以建议性文件为主而缺乏司法救济规定。
2 矫正策略
随着云平台的普及面逐渐扩大,技术监管者(如公权机关)、技术控制者(如云服务商)和技术使用者(如恶意第三人)的利益追求和规则体系不健全催生的痛苦教训日益突显,传统隐私保护的被动模式已不适应本领域纠纷解决的特殊需要。云服务商掌握着云数据隐私的存储与流动过程,恶意第三人的技术水平往往高于数据主体等现实情况加重了云数据隐私侵权认定与责任分配的难度。矫正策略的筑造应注重对云数据隐私侵权风险的事前预防、事中控制与事后救济等全方位保障制度的建立与完善。
2.1 形成云环境标准体系 标准问题一直是数据保护规范建设的核心,由多国数据保护机构签署的《马德里决议》就是由一系列数据保护和隐私标准构成[25]。云服务商与恶意第三人是否侵害云数据隐私权及相应程度的判定以是否符合云标准为前提。云环境标准体系的建立包括适用强化的ISO27001标准、制定敏感数据分类标准、出台复合型密钥认证标准等。
2.1.1 适用强化的ISO27001标准。国家立法、执法与司法机构掌握的信息安全知识有限、公权机关对云数据隐私的“兴趣”以及国家和地区间的利益冲突使得规制云服务商的系统安全、数据挖掘、存储与运作管理等的规范缺乏合理科学的统一标准,严重威胁云用户数据隐私安全。例如,云服务商对系统的全然掌控使其收集云数据隐私的渠道多样而巧妙,云数据挖掘活动很容易演变为侵害云用户数据隐私权的“寻租”盛宴,迫切需要详细规定挖掘人员任职条件与机构最低配置、云数据主体同意方式及有效凭证、云数据使用方法及元数据的保密措施等。一个第三方基准往往比内部控制更为有效,适用ISO27001标准作为云服务商信息安全管理体系评估的基础不失为有效的解决途径。已被7000多个组织认可并应用的ISO27001是国际认可的设立、实施、监控、保留与改进信息安全管理机制文件的标准。结合SSAE16[26]的新提议,形成适应云环境特殊需要的强化ISO27001标准体系,将督促云服务商形成保护云数据隐私的有效屏障,加快云数据全球一体化进程。
2.1.2 制定敏感数据分类标准。云数据隐私的范畴是相关纠纷的争议焦点。例如,欧盟法院将网际协议地址看作个人数据的当然组成部分[27],美国联邦法院却认为网际协议地址不属于依法保障的个人信息范畴[28]。制定敏感数据分类标准,正确区分普通数据隐私与敏感数据,明确需要重点进行安全保护的数据范围,要求云服务商按照公开、限制或高度机密等不同级别进行云数据归类并部署数据安全解决方案,保护各种形式的敏感数据(如关联用户、数据类型和流程等)并确保这些云数据隐私在存储、传输与使用的整个生命周期的安全。
2.1.3 出台复合型密钥认证标准。云服务系统的密钥框架惯例(如火狐浏览器加载的串联软件)是保护云用户数据隐私的重要技术基础,制定身份验证、密码认证与其他隐私内容的加密标准是避免云服务商和恶意第三人不为人知地侵害他人合法隐私权益的重要手段。美加等国相继出台数字签名证书规范,澳大利亚还制定了名为“守护者规划”的电子认证标准[29]。综观这些规范性文件,所涉内容均属单方密钥,即只要求加密水平达到避免第三方非法获取数据隐私的程度,不限制服务商掌握密钥。虽然能够有效保障信息访问与签署权限安全等,降低云数据隐私泄露给第三方的风险,却不足以对抗云服务商内部窥探云用户数据隐私和政府在云服务商协助下获得数据隐私的侵权行为。
云数据密钥的作用在于避免云数据存储与流动过程中的非法泄露与拦截。若没有更严格的密钥框架,即便云用户已删除的数据隐私也会掌握在云服务商手中,仍然可能被非法运用。双向加密方式中产生的编码排列经过双重嵌套,自动形成的表象数据与源数据间关联模型的开启密码仅由云数据使用者掌握。这种云服务商不知道云数据内容的加密方式是避免其侵害或协助第三人侵害云数据隐私权的最优形式,应当在云服务系统中广泛应用。但是,云环境中的数据信息可分为以存储为目的的静态数据和以传递为目的的动态数据。前者仅使用云系统的存储功能,并不参与运算;后者却需要同时使用流动功能,必须参与运算。尤为重要的是,云数据在运算过程中需要还原成明文形式。这意味着云服务商必须了解处于流动中的云数据隐私内容,即双向加密方式不可用于动态数据。因之,有必要从云数据隐私的不同状态着手,出台云存储双向加密与云流动单向加密共同构建的复合型密钥认证标准。
2.2 建立云隐私影响评估制度 有关“云”的隐私影响评估的立法要旨是从技术上降低侵害云数据隐私权的可能性,并强化云服务商与云用户对此类违法行为及其严重后果的正确认识。至少应当包括两个评估板块:一是云服务系统的隐私影响评估。处于稚龄的云服务系统存在的诸多技术漏洞是隐私侵权频发的重要诱因,有必要在云服务系统的规模化生产与应用前进行合理的隐私影响评估。对于评估未能达标的系统应限期进行技术整改,不得投入使用。二是云参与者的隐私影响评估。云服务商与云用户未自觉地提高云数据隐私防御能力是云安全风险系数居高不下的主因之一。“国家应当通过隐私立法,督促云服务提供商制定数据存储、使用与保护的内部规则[30],定期评测其提供的各项云服务的隐私安全指数,严惩不达标的经营企业;任何有意使用云服务的社会主体(包括商业机构、其他社会组织和个人)在使用云计算产品或将数据资料存储于云时,应当合理评估其安全风险意识与能力、同业操守等,并加强对评测结果不理想者的宣传教育与监督管理。
2.3 筑造云数据隐私法律保护的框架结构 “打破疆域限制”是云服务的重要特色,随着经济一体化的发展与云技术日新月异,云数据的跨境流动逐年增长。云服务商在多地区间进行数据转移必须分别遵循各管辖区域的相关规则。但是,全球离散化的数据隐私保护规则不适合云数据的跨境流动。虽然通过个案适用的“点对点”传输协议解决跨境云数据隐私侵权问题具有一定价值,却大幅度地提高云服务商的运营成本与云用户的投入、增加云数据隐私保障的复杂性与不确定性。国际合作应当成为解决云数据隐私侵权的主要途径,各国应加强隐私法的合作,尽快建立以国际法律文件为主,包括各国的数据隐私法、其他重要涉法文件以及部分国家的云数据隐私临时规章等在内的云数据隐私规则结构,在全球范围内统一调整云服务商、云用户与其他云数据主体之间的权责关系。
2.3.1 国际法律文件是云数据隐私保护的梁柱。国际法律文件(包括强制性国际条约和建议性国际宣言或倡议书)是解决跨境法律争端的最优选择。全球融通是云平台的发展趋势,云数据池规模的扩大与用户增长意味着计算服务成本不断降低与灵活性日益增高。由各主要国家共同制定保障云数据隐私的国际公约是发挥云平台经济增长工具效应的重要手段。21世纪是信息经济时代,社会主体的生产与生活实践正高速融入云环境。我国唯有在云数据隐私规则的全球化过程中积极发挥大国作用,才能确保最终形成的国际公约更有利于我国发展需要,并保证我国不被排斥在全球云整合队列之外。当然,缔约国众多的国际公约不能满足所有国家云数据隐私保护的全部需求,调整特殊云数据隐私流转关系的双边协定是云数据隐私保护的国际法律文件体系不可或缺的组成部分。修订并推广《欧美安全港协议》、《墨西哥与欧盟的全球协定》等将显著强化云数据隐私保护。对于那些暂时达不成统一意见的问题(如公权机关从第三方获取云数据隐私的合法性),应当以国际倡议书或建议文件的形式颁布,以便各主权国家自由选择。
2.3.2 国内法律规范是云数据隐私保护的配筋。即便保护云数据隐私的国际法律文件高度发达,也不能抹除国内数据隐私法和其他重要涉法文件基于本国社会与经济发展需要,颁布具有本国特色的保障规则的重要性。调整特定时期或特定地区云数据隐私关系的规章政策亦是规则架构的重要补充。欧盟成员国在遵循《宪章》、《指南》和《协定》的同时,均分别制定了本国特殊的数据保护法律规范。虽然各国针对云数据隐私的国内立法较少,但绝大多数国家已经制定、正在制定或准备制定数据隐私保护规则,连安提瓜岛、哥斯达黎加等拉美小国也颁布了个人数据保护法(我国和美国数据保护法律制度建设的速度落后于其他大国,尤其是在跨境数据流动与隐私数据保护领域等)。云环境的发展使得数据流出国、流入国和数据主体的母国等面临的云数据隐私保护问题更加复杂,加快国内立法与政策建设,对于促进科学技术、通信工具、物流形式与产业经济的飞速发展,加快全球一体化的步伐意义重大。
2.4 明确云服务协议必备数据隐私保护条款 云服务协议基于营利模式的不同,可分为付费服务使用协议与免费服务使用协议。前者一般是中规中矩的合同,几乎没有侵害或过分限制云数据主体的条款。后者往往有过度采集云数据、强制目标广告及允许云服务商为自身需要使用云用户数据的条款,且绝大多数云服务商(如Akamai、Amazon、Decho)声称保有修改合同内容的权利。尤为重要的是,很多云服务协议未明确界定协助进行云用户数据隐私披露的程序和范围。例如,Facebook的合约中写明:“在阻止违法或侵权活动必须时,我们会与其他公司、律师、法院或政府机构分享信息数据”。IBM的协议更为极端:“提交给IBM的所有资料均被视为非保密数据。IBM对内容本身及其修改和灭失风险不承担责任。”[31]云服务商在未通知云用户的情况下,按照公权机关或其他商业机构的要求,透露云用户的信息资料,严重侵害云数据隐私权。有必要将云数据隐私保护作为云服务协议的必要条款,要求云服务商唯有接到正式法律文件并事先向云用户通知的情况下,才能向有关部门披露云用户的信息资料,且还必须积极协助云用户的抗辩活动。
2.5 列明云数据隐私侵权的赔偿幅度 云数据隐私权的侵权主体在实施侵权行为前必然经过“成本——效益”分析过程。赔偿预期给侵权人造成的损失和侵权赔偿的概率是随不同纠纷改变的变量函数(预设云服务商侵害用户隐私数据的个案赔偿计算数值如下。不实施侵权行为的利润减少:B;侵权赔偿的概率:P;每次侵权赔偿预期造成的损失:L;侵权赔偿的概率乘以每次侵权赔偿预期造成的损失=侵权赔偿发生的预期成本:PL),侵权人仅在侵权收益为正值的情况下才会实施侵权行为。云数据主体是否寻求司法救济也取决于对机会成本的计算,唯有在不被追究的概率最小时,寻求救济的可能性最大。“如果让行为人承担其行为所导致的所有成本,那么就会在事实上减少事故或者降低事故的严重性。”[32]云数据隐私侵权的赔偿幅度必须以有效制止云服务商和恶意第三人的隐私侵权意图并保持其继续参与云服务的热情为准则,同时考虑云服务的运营风险且避免过高赔偿引发恶意请求,确立合理强调威慑、制裁与教育等功能的赔偿体系。基于云数据隐私的价值评估和精神损害赔偿的计算难度较大,应在立法规定赔偿幅度的基础上,在个案处理中根据侵权人的过错、侵权行为的情节与承担能力等,确定具体赔偿数额。
2.6 完善云数据隐私保护的专门监督制度 云数据隐私保护的监督管理需要大量时间与专家的全程介入。虽然有些国家(如英国、德国、美国等)的数据保护办公室和隐私专员可以处理云数据隐私保护事宜,却由于人员、经费与专业知识的匮乏而难以取得良好效果[33]。应当建立专门监督制度,配置相应机构和人员,对云服务商的隐私政策进行审查,在云服务参与主体要求下对云数据隐私的存储、采集、流动乃至销毁状况等进行全程监督。
3 结语
信息爆炸时代的数据流动“不再是点对点传送,而是作为能够随时产生商业后果的网络化数据处理的组成部分”[34],最大化发挥网络技术优势与节约成本的云环境是21世纪全球数据存储与运作的主要平台。云用户的数据隐私从上传云端到完全销毁的完整生命周期中,面临着云服务商盲目的数据挖掘和对云用户数据隐私的“商品化”、云服务商内部员工的恶意侵害和操作失误、公权机关在云服务商协助下的非法获取及其他形式的直接或间接攻击等持续不断的侵权风险。基于信任获取的信息不应被不当利用,寻求云服务有效运作与保障云数据隐私之间的动态平衡是增强社会信心与参与方责任感,带动云产业潜力最大化,实现云环境持续创新和扩展,维持社会稳定并促进经济增长的关键。
收稿日期:2012-03-13 修回日期:2012-04-14