个人信息“云存储”行为的法律规制
——从《个人信息保护法》第40条展开
2022-04-07张艺
张 艺
(对外经济贸易大学 法学院,北京 100029)
一、问题及其意义
随着互联网技术的迅猛发展,海量数据呈现爆炸式增长的趋势,传统的数据存储方式已经无法满足现实需要。“云存储”作为一种新兴信息存储方式,凭借其便捷、高效、低成本等优点,迅速成为大多数用户信息保存的重要途径。调查显示,59%的大型企业、41%的政府机构、35%的中小型企业,29%的高等院校在使用“云服务”[1]59。用户可以借助诸如平板电脑、智能手机等电子移动设备,来实现其个人数据的网络存取。这些云服务产品可以大大节省个人设备的本地存储空间,用户可以通过网络随时随地访问其存储在云端的各类数据。也正是基于“云存储”的便捷性和灵活性,为了节约日常运营成本,越来越多的公共部门以及金融机构更加倾向于将大量客户信息依托于虚拟服务器输送至云端。
但随之而来的问题是,即使经营“云存储”的运营商注册地在境内,其上传到“云端”虚拟服务器上的个人数据和信息并无法保证定位在境内,用户数据既有可能被存储在境内,也有可能被存储在位于境外的云端服务器中。2021年8月新出台的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第40条明确了“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内”,但对于“在境外收集和产生的个人信息”如何监管未置可否。一方面,随着中国公民境外消费能力的升级,越来越多的中国公民在境外开卡消费,致使其个人信息直接在境外产生;另一方面,数据信息化和“云”时代的到来,使得大量在境内收集的个人信息通过“云存储”的方式存储在境外服务器中。目前,大量的个人数据都逐步由硬件系统向“云端”过渡,国内如百度、阿里,国外如苹果、亚马逊等公司都开始打造其自身的云服务产品。伴随着数据“云存储”的推广,未来势必产生越来越多存在于境外的“云数据”,对这一部分“境外数据”究竟应当如何监管,成为亟待解决的一大重要问题。
二、个人信息“云存储”行为的法律界定及域外规制
(一)“云存储”行为的法律界定
顾名思义,云存储是基于云计算的存储方式。具体而言,就是通过云计算技术对高速分布式存储网络构建的存储池进行集合和协同,形成一个安全、便捷、高速、成本较低的数据存储和访问系统[2]39。“云存储”的显著特征在于其虚拟性和分散性,遍布世界各地的用户通过移动设备向虚拟云端传输数据,实现数据的远程网络存取,用户上传的数据将被分散地存储在不同国家或地区的云端服务器中。以亚马逊云科技(Amazon Web Services)为例,其数据中心遍布美国、欧洲、巴西、新加坡、日本等国家和地区,已经为全球190个国家及地区内成百上千家企业提供技术支持。可以看到,“云存储”涉及多方主体及不同区域。准确界定分布于不同地域的“云空间”及在其中存储数据的法律性质,是实现对存储在境外云端服务器中个人信息有效监管的前提和基础。
“云空间”中的个人信息属于数据资源的一种,在不同国家表述方式存在差异,但殊途同归。个人信息关涉个人人格,甚至涉及个人隐私,在数字经济时代更是演变为一种新型的网络生产要素被应用于各类商业活动。特别是云服务商在获得个人信息的基础上进行资本投入和人为干预,再通过技术手段加工处理从而实现商业利用,实现了个人信息的财产增量[3]76。欧盟以“个人数据(personal data)”来指代能够辨认或是可能被辨认出的自然人数据[4]85,美国则采用了“个人可识别信息(personal identifiable information)”的表述。两个概念的出现是各地区、国家法律传统和使用习惯所致,并无本质区别,可以相互替换使用[5]。我国一般以“个人信息”指代“与已识别或者可识别的自然人有关的各种信息”①参见《个人信息保护法》第4条:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”。从以上表述及定义可以看出个人信息本身就具有较强的人身及财产属性,再通过算法分析和挖掘等方式成为商业贸易和数据交易的重要来源,也使得不同国家对蕴含着巨大经济与社会价值的个人信息产生了越来越强烈的主权意识。传统意义上的管辖权划分以属地原则为基础,即使存在网络运营活动,也可基于属地领土上的网络基础设施行使对本国公民个人信息的管辖权。然而“云空间”与传统的领土空间不同,在数据流动性极强的云端,个人信息往往不可避免主动或被动地流出域外,同一“云空间”的数据可以关联到不同的物理空间,因此传统的属地管辖理论势必会带来“云存储”空间数据管辖权的冲突。而对于个人来讲,一旦个人信息上传至云端,也即通过与云服务商的服务协议转移了个人对数据的控制权。综上所述,个人信息“云存储”行为具有以下三个特点:一是个人信息具有可识别性,能够被存储、处理;二是该行为本质上属于用户与云服务商之间的服务合同关系;三是由于云端服务器可能涉及不同国家或地区间及不同法域间的网络主权[6]54-58,不可避免地会带来不同国家间境外数据管辖权冲突问题。
(二)“云存储”行为的域外规制
1.美国《云计算法案》的“数据控制者”标准
美国对于存储于境外云端数据的管辖主要依据的是《澄清域外合法使用数据法》(the Clarifying Lawful Overseas Use of Data Act,CLOUD Act),也称CLOUD法案(以下简称《云计算法案》)。《云计算法案》的颁布进一步强化了美国对域外数据的管辖权,根据该法案的规定,对于存储于境外云端的美国公民个人数据,可以通过适用“数据控制者”标准实现管辖①参见《云计算法案》第103节的规定:“电子通信服务提供者或者远程计算服务提供者应当履行本章规定的义务,保存、备份或者披露由其占有、保管或者控制的与客户或者用户有关的任何记录或者其他信息,无论此类通信、记录或其他信息是否位于美国境内或境外。”。即只要数据的实际控制者为美国公司,即便数据存储于境外的云端服务器,该数据控制者也应配合美国政府以获取全球范围内的数据信息。此外,美国还通过“足够联系”标准进一步巩固了其域外管辖权②美国司法部在白皮书中对“云法案”管辖范围作出了官方的解释:“美国对外国公司管辖权的法律限制是基于美国宪法中的约束,并且是美国法院多年来制定的。当公司位于美国时,属人管辖权是最容易确立的。位于美国境外但在美国提供服务的外国公司是否与美国有足够的联系且受美国管辖,是基于对个案中该公司与美国联系的性质、数量和质量的考查。公司越是有目的地将其行为引导到美国,法院就越有可能认定该公司受美国管辖。”,除注册地在美国的公司外,如果一个位于境外的公司在商业往来、互动程度等方面与美国有足够的联系,也会纳入《云计?算法案》的管辖范围内。
2.欧盟GDPR的数据本地化原则
欧盟的《通用数据保护条例》《General Data Protection Regulation》(以下简称“GDPR”)于2018年5月正式生效,主要针对于个人数据的保护。其中,对于“云存储”于境外的个人信息而言,GDPR作出了明确规定:“本法适用于在欧盟境内设立的数据控制者或处理者对个人数据的处理,不管其实际处理行为是否在欧盟境内进行。”③参见GDPR第3条:“GDPR适用于非欧盟组织处理欧盟境内个人的个人数据,只要此类处理行为涉及对这些个人的行为进行监控,且该处理行为发生在欧盟。”针对“云存储”中可能出现的跨地域数据存储情况作出了回应,即使欧盟居民的个人信息通过“云存储”保存在欧盟境外的云端服务器中,也可突破地域限制对该云端数据行使管辖权。同时,欧盟还通过“域内效力”原则将可能产生域内效果的数据存储、处理行为归入其管辖范围内,加强了欧盟对其管辖范围内居民云端境外数据的保护。
从美国及欧盟关于境外数据的监管立法现状可以看到:欧盟通过GDPR强调数据本地化,最大限度地保护欧盟居民的个人数据安全,扩大其境外“云空间”的管辖权。而美国则试图通过《云计算法案》确立的“数据控制者”标准对全球范围内“云空间”实施管辖,以实现对全球数据的掌控[7]59。我国应以《个人信息保护法》的出台为契机,在充分借鉴各国经验的基础上,加强对我国公民境外云端数据的保护。
三、我国个人信息“云存储”监管存在的不足
(一)个人信息“云存储”的相关法律规定亟待细化
出于对国内市场以及国家安全的保护,多数主权国家纷纷加高壁垒,筑起边界网络围墙,将数据作为一国私有财产封锁在本地服务器上。我国目前直接或间接规定个人信息“云存储”的法律规范较为模糊,大多规范性法律文件中仅原则性地强调“数据本地化”,以此来实现对境内数据的主权管控。如中国人民银行于2011年1月发布的《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第6条规定,“境内收集的个人金融信息在境内储存和处理并不得向境外提供”,原则上禁止个人金融信息出境。
然而,与金融资产类似,数据资产也只有在流动中才能最大限度实现其价值,资源在很多时候等同于利益[8]133,上述禁止个人金融信息出境的规定忽略了市场需求,更难以应对如今“云存储”的发展给数据跨境流动带来的冲击,仅从安全角度出发进行“一刀切”的监管与规制,无疑降低了中国企业在国际市场上的活跃度和竞争力。2016年11月发布的《中华人民共和国网络安全法》(以下简称《网络安全法》)第37条重申了“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”,但同时也指出确需出境的,需经过国家互联网信息办公室的安全评估。国家互联网信息办公室于2017年4月发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》第8条将“涉及个人信息情况”作为数据出境安全评估应重点评估的内容之一进行明确规定,采取了原则禁止、经安全评估为例外的监管模式。但由于上述条款均未涉及安全评估标准,仍存在较为笼统、可操作性不足等问题,数据“云存储”尚未得到有效法律规制,对于境外存储的“云数据”的监管亟需加强。
尽管近年来数据“云存储”发展势头日益迅猛,但相关法律规范并未及时跟进,主要内容仍然停留在原则性规定层面。无论是国家市场监督管理总局、国家标准化管理委员会于2019年10月发布的《信息安全技术个人信息安全规范(征求意见稿)》附录D“隐私政策模板”中提出的“数据处理者须在隐私政策中说明个人信息在使用过程中涉及的地理区域,如个人信息存储和备份的地域”,还是全国人民代表大会常务委员会于2021年6月发布的《中华人民共和国数据安全法》(以下简称《数据安全法》)中规定的“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”①参见《中华人民共和国数据安全法》第36条:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”,抑或是于2021年11月1日正式施行的《个人信息保护法》中第40条对有关个人信息运营和处理主体提出的“在中华人民共和国境内收集和产生的个人信息存储在境内”的要求,均未能对通过“云存储”保存于境外的数据管辖及使用问题作出针对性的监管。
解决个人信息“云存储”的数据保护问题不能单纯依靠此类原则性规定,上述法律规范虽提出了“境内数据,境内存储”的境内数据合规性存储要求,并可根据属地原则进行管辖,但是针对在境外产生或通过“云存储”保存在境外虚拟终端的中国公民个人信息缺乏明确的法律规范。在法律监管的模糊地带,该部分数据信息将如何保护,亟需相关部门出台法律法规予以明确。
(二)云运营服务商的数据安全义务及责任有待明确
“云存储”是借助网络,运用应用软件,为用户提供数据存储及访问功能的一个软硬件结合的数据集合系统[9]102。此种数据集合系统往往由专业的第三方运营机构负责运行和管理,即云运营服务商。在实践中,面对众多不同需求的客户,运营商一般会事先制定统一的格式合同范本,为用户提供数据的云端存储服务。然而作为格式合同的制定方,处于优势地位的运营商常常会在合同中通过设定一些格式条款不合理地加重用户义务,减轻其自身承担的责任,这些不公平的条款严重侵犯了用户的合法权益。《中华人民共和国民法典》中明确规定了“提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利,该格式条款无效”②参见《中华人民共和国民法典》第497条:“有下列情形之一的,该格式条款无效:(一)具有本法第一编第六章第三节和本法第五百零六条规定的无效情形;(二)提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利;(三)提供格式条款一方排除对方主要权利。”。该法律条文同样可以适用于“云存储”服务合同,但是其适用程度有限。“云存储”服务涉及多元化的存储模式,具体包括公共云、私有云和混合云几种主要类型,上述不同云的架构导致各方之间使用的合同条款具有很大差别①在云存储中,云的模式也有不同种类。通说认为包括:(1)公共云(Public Cloud),即云存储设备可供社会上所有愿意接受服务的档案机构使用,各种数字档案资源被放在一起进行保管,一般使用远程方式进行管理和操作;(2)私有云(Private Cloud),往往为大企业自行或委托第三方服务商建立和运维,仅供本机构的文件存储和利用;(3)社群云(Community Cloud),往往为多个具有共同文件档案管理标准的中小企业协议以合同联营的方式共同建立和使用,经常为委托其中一个联营企业进行运营管理;(4)混合云(Hybrid Cloud),即混合以上两种或三种方式的存储云。。比如对于“公共云”而言,由于云存储空间面向社会上所有用户,出于便捷交易的考量,服务合同大多以格式合同为主,有关“格式合同”的法律条文适用程度较高,可以实现对用户权益的法律保护。相反,对于“私有云”而言,由于合同双方当事人均为相对单一的法律主体,因此在实践中往往通过协商谈判的方式就某些条款的适用达成新的共识。然而云运营服务商相对用户而言在技术能力、信息占有度等方面都处于强势地位,在谈判中往往以运营商提供的合同为基础,导致协商后的服务合同既无法真正体现用户的真实意思,保障其合法权益,也难以通过适用法律关于“格式条款”的相关规定而获得正当保护[2]40。
一旦建立起相应的“云存储”服务合同,用户的数据便会通过采集、处理后被上传到云端虚拟服务器,进而丧失对数据的绝对控制权[10]6。随着用户的数据控制权转移至云运营服务商一方,其相应的数据安全义务与责任也应当被明晰。我国目前关于云运营服务商的相关义务与责任的法律规定过于原则,并且缺乏规制的针对性。2016年11月发布的《网络安全法》第22条、第40条至第44条规定了网络运营者收集、使用用户个人信息的基本原则和条件,保障用户合理行使个人信息的删除权与更正权。但法律条文的原则性以及法律概念的抽象性导致相应的义务内容在实践中存在较大的不确定性。不仅未能明确云运营服务商对于存储于境外的个人信息的安全保障义务,反而对违反《网络安全法》第37条的关键信息基础设施运营者“在境外存储网络数据,或者向境外提供网络数据的”行为设定了严格的行政处罚,导致通过“云存储”保存在境外虚拟终端的中国公民个人信息缺乏相应的安全保障。此外,2021年6月发布的《数据安全法》第27条也仅笼统地规定了“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全”,“相应的技术措施”和“其他必要措施”具体包含哪些内容,违反后应当承担怎样的法律责任,未置可否。即使是2021年8月最新颁布的《个人信息保护法》,也未能对上述内容予以进一步明晰。
(三)境外“云存储”数据管辖权亟需明晰
传统的管辖权以属地原则为主,但随着“云时代”的到来,网络主权已逐渐成为包括中国在内的整个国际社会广泛关注的问题。我国已通过《网络安全法》明确了“网络主权”原则,《个人信息保护法》第3章也专门对个人信息的跨境流动提供了规制依据,明确了个人信息处理者若向境外提供个人信息需满足“国家网信部门的安全评估、专业机构的个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方签订合同”等条件之一②参见《个人信息保护法》第38条:“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。”,第40条也强调了“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,确需向境外提供的,应当通过国家网信部门组织的安全评估”。然而上述法律条文的适用范围仅限于我国境内,即只能基于主权范畴进行规制。但在云计算时代,数据的“云存储”早已突破了地缘限制而拓展到网络虚拟空间,尤其是针对在境外产生或通过“云存储”保存在境外虚拟终端的中国公民个人信息,上述法律规定明显难以满足用户数据保护的现实需要。加之信息技术的发展导致数据存储管理的操作方分散在世界各地,而各国对于境外数据管辖的相关立法及其域外效力存在较大差异性,使得对于云端数据的管辖长期处于争议和冲突之中。国家安全固然是实施网络保护措施的合理理由,然而是否一定需要通过本地化手段进行规制仍然值得商榷[11]39。
以存储于云端服务器的数据流动管辖为例,云服务商在跨境数据流动中必须严格遵循数据流经地区的管辖规则,此种数据流动包括通过“云存储”被置于境外的中国公民个人信息。然而在个人信息的域外法律管辖问题上,各国尚未达成普遍性的共识,国际社会也未形成统一的国际惯例或规则,相关法律体系和规则的差异性对实践中的管辖权划分带来现实障碍。一方面,云运营服务商需尽可能地掌握不同数据所涉云端地域的法律规范,避免伤及其他云数据主体的合法权益。但是云服务商即便投入大量的成本,可能也无法掌握所有“云空间”的存储规范。另一方面,各国基于对数据主权的维护,纷纷实施数据本地化政策。强制性地将个人信息限制在境内显然无法满足云计算时代用户的数据存储要求,也与当前经济全球化带来的大量直接产生于境外的数据存储需求相悖。为规避这一限制,云服务商需要投入更多的成本在本地设立服务器或数据处理中心,或者将数据存储和处理的业务外包给本国数据服务公司,这变相阻碍了外国服务提供者进入本国市场,降低了数据资源的利用率。
四、完善我国个人信息“云存储”法律规范的建议
(一)细化个人信息“境外存储”的相关法律规定
“云计算”时代境外个人信息的保护不能仅停留于原则性规定,个人信息保护的不完整使得游离于法律之外的“境外数据”无法得到有效规制。《个人信息保护法》第40条明确了“境内数据境内存储”的数据本地化要求,目的是为了维护一国数据主权、守住境内数据监管的底线,但数据的价值蕴藏在其流动性之中,数据开放才有利于增加其价值,进而为整个市场创造更多福利。云服务商不仅可以利用其境内服务器实现数据的境内存储,还可以通过租用境外云服务器的方式扩大其业务范围,国内知名服务商诸如华为云、百度云、小米云等都已经在境外搭建了自己的机房,实现了用户个人数据的“云存储”。因此《个人信息保护法》第40条对于确需出境的数据也提出了安全评估要求。但是对于本身便在境外产生或通过“云存储”保存在境外虚拟终端的中国公民个人信息究竟该如何保护却尚未明晰。
为了应对“云存储”带来的境外数据安全保护问题,建议《个人信息保护法》第3章“个人信息跨境提供的规则”第40条后增设如下条文,规定境外“云数据”的存储规则:“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应对其使用的境外云服务器进行登记注册,并取得合法资质证明。对于境外存储的个人信息应当进行特殊加密管理,建立境外数据商业利用的分级分类管理及预警机制。”
具体而言,一是对云服务商的运营资质进行审查,将提供“云存储”服务的主体限定在境内,同时对于其使用的用于存储个人信息的境外云服务器进行注册登记管理,并要求其取得合法的资质及证明文件。二是设定明确的境外“云存储”监管规范。不同“云存储”环境所使用的安全存储技术可能有一定的差异性,但通常都会对数据目录、数据库、传输介质等予以加密,通过这些加密算法保证境外存储的“云数据”能够满足境内在数据的安全监管以及稳定性、适配性等方面的要求。因此监管应当根据具体行为的风险特征及运行模式,从数据信息保护、基础运营能力、运营环境安全、业务连续性保障等方面作出针对性规定。同时,在分级分类监管机制基础上,应进一步完善监管组织架构,明确监管机构职责[12]98。三是对“云存储”于境外的个人信息的商业利用问题予以规范,对于存储于境外的信息进行分级分类管理,划定各类信息的主管部门并明确责任,同时建立预警机制。如市场监督管理部门应当与公安机关密切配合,掌握境外“云数据”的动向,对故意危害国家安全、侵犯中国公民个人权益的行为及时介入和调查,加强对数据信息的安全保护。
在细化相关法律规定的过程中,应当注重对特定领域的专项立法,特别是针对网络安全和个人信息的立法。我国对个人信息的数据保护散见于各类法律规范中,《网络安全法》与《个人信息保护法》对数据本地化以及数据跨境转移的规定过于原则。零散甚至是冲突的法律条文难以应对云计算时代对个人信息“云存储”法律保护的现实需求,亟需专门立法为我国“云数据”的保护构建系统化的解决方案。在此基础之上,工信部也应尽快制定专门的部门规章,加强对境外存储“云数据”的监管。一方面,应当细化境内数据出境的安全审查标准,完善相关的评估流程。2021年10月29日国家互联网信息办公室发布的《数据出境安全评估办法(征求意见稿)》除了注重对数据出境全流程的监管外,还明确了“风险自评估+安全评估”的双层评估流程①参见《数据出境安全评估办法(征求意见稿)》第3条:“数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。”。应当以此为原则和基础,从源头上限制涉及国家安全及个人隐私的关键信息出境。另一方面,还应当强化违法责任追究,对“云存储”中涉及的包括云服务商、信息收集处理者等在内的相关责任主体的个人信息保护义务、信息泄露时的赔偿责任等进行明确,为境外“云数据”存储和使用的监管提供法律依据。
(二)强化云运营服务商的责任及义务规制
云存储服务提供商扮演的是超级用户角色,一定程度上掌控着攫取大量数据资源必经之门的“金钥匙”[13]103。绝大多数的用户面对相对强势的云服务商,只能被迫接受其事先拟定的格式合同,加之云服务商在技术操作、法律政策等方面掌握大量信息,从而为其规避本应承担的安全义务和责任创造了客观条件,导致“云存储”用户处于极其不利的法律地位。因此,为了保障用户数据安全,应当通过法律的形式明确云服务商的安全保障义务及责任,限制或禁止其未经个人授权而开展的数据挖掘及分析活动,明确其对第三方恶意破坏数据行为负有通知与禁止的义务,以此来实现对用户数据安全的切实保障。具体而言,包括以下几个方面:
首先,应当将安全保密义务设置为云服务合同中的必备条款。针对目前广泛应用于实践的公共云模式,格式合同是大多云运营服务商常用的方式。为避免云服务商利用优势地位或制定格式合同的契机规避其安全保障义务,应强制要求其在服务合同中作出“未经授权不得提取或开发个人用户的敏感信息以及企业用户的商业秘密”的安全保密承诺。同时,授权用户在上述条款的基础上增加提升其个人信息安全等级的需求性条件,例如,个人用户有权对其数据存储系统的安全性进行监督,在发现系统漏洞或系统改变的情况下,有权要求云服务商作出相应的安保承诺或采取相应的安保措施。如果经用户要求仍未能修复安全漏洞,用户有权行使合同的变更权、解除权。
其次,应当明确云服务商的协助存留数据义务,即对于用户因第三方欺诈或侵权造成的数据损害,云服务商有协助提供相关技术留存记录等证据的义务。选择“云存储”服务的用户一旦与云服务商达成相关服务协议,其数据控制权便相应地转移给了云服务商。此时,云服务商在一定程度上成为了数据风险的预防者和承担者。特别是针对产生于境外或保存在境外虚拟终端的个人信息,云服务商理应负担更为严格的安保义务。相比于存储于境内受网络主权原则保护的个人数据而言,这些位于境外云端的数据面临着更高的遭受第三方入侵及管辖的风险。因此,云服务商应当实施更为严格的数据访问准入标准,通过最小化第三方访问特权以及严控用户数据披露等方式,限制第三方对用户个人数据的访问和使用。这一方面要求云服务商从改进技术手段出发,确保整体层面的网络系统安全,防止遭受外来软件的攻击,比如设置安全系数较高的动态监测系统,及时化解和防范技术性风险;另一方面,云服务商也应当从完善内部治理机制出发,通过制定网络数据留存制度、重要数据分类及备份加密制度、内部人员安全管理制度等方式强化人事规章以及运作流程等方面的管理。
再次,完善云服务商滥用用户数据的处罚机制。《中华人民共和国刑法修正案(九)》对《中华人民共和国刑法》第253条进行了修改,强调了“违反国家有关规定,向他人出售或者提供公民个人信息”在情节严重情形下的刑事责任。虽然该法律条文明确了违规使用公民个人信息的刑事责任,但对于“出售、提供”之外的其他“采集、处理、传输、交易”等行为缺乏明确的规制依据,更未涉及云端数据存储的安全问题,使得个人信息“云存储”中相关责任主体的违法责任承担处于高度不确定性之中。对此,应当明确云服务商的责任承担方式,针对不同类型的违法违规行为设定相应的处罚机制。建议以云服务商违规行为的危害性为依据,限制直至禁止其在某一特定领域的业务开展,对其存储数据的服务规模以及用户数量进行限制,同时在官方平台进行信用信息公示,以此强化对云运营服务商的声誉约束与激励。
最后,建立健全“云存储”赔偿及纠纷解决机制。云服务商在与用户建立数据存储服务关系时,往往会在服务协议中明确约定赔偿方式。但基于其在事实上的强势地位,具体赔偿金额大多被限定在用户支付的费用范围内,即全额或部分退还佣金。然而,“云存储”本就以其高效、便捷、低成本而广受用户青睐。其中“低成本”意味着目前云服务费用较低,几乎是“超低支付或零支付”,这就决定了在服务协议中以“用户支付费用”为赔偿限额的约定,大幅减轻了云服务商的赔偿责任。因此,有必要通过法律的形式明确云服务商的最低赔偿额度,并设置专门的纠纷解决平台来应对在专业度和虚拟性较高的“云空间”中发生的数据争议和冲突。
(三)加强国际协作以推进个人信息“云存储”中的数据保护
在云时代来临之前,多数国家以属地管辖为基本原则,即一国国内的数据受该国法律的管辖,该原则的适用具有其合理性。一方面,本国居民的个人信息大多产生并存储于本国境内,加之绝大部分的数据存储公司都将其运营中心设在国内,相应的适用属地管辖更为便捷;另一方面,基于国家主权而进行的数据管辖在国际社会中一般不会引发各国的管辖权冲突。然而,随着数字经济时代的到来,越来越多中国公民在境外开卡消费,致使其个人信息直接在境外产生,大量在境内收集的个人信息也通过“云存储”的方式存储在境外服务器中。针对该类特殊“云数据”的监管,国际上尚未形成统一框架,各个国家都以本国利益为出发点设计各自的监管模式,对不同类型数据进行分级分类的差异化管理。通过“重要数据禁止流动、公共数据有条件流动、普通数据跨境流动”等安全认证制度,强化对不同等级数据的安全监管。面对各国对网络空间管辖权的争夺,我国有必要在坚持数据主权原则的基础上通过协商加强云涉空间的国际合作。
首先,对于确已通过“云存储”的方式保存于境外的个人数据信息,应当明确其管辖和使用原则。属地管辖是基于国家主权赋予本国政府对其境内数据的管辖权,而对于脱离地域“云存储”于境外的数据,应通过法律规范确立管辖和使用标准,突破地理区域的限制实现我国法律的域外适用。一方面,可以依据数据控制者模式打破固有的属地原则,对于由境内机构掌握的涉及我国公民个人信息的数据,即使其存储地不在我国境内,仍然可以依据数据控制者标准实现对境外“云端”数据的管辖,拓展相关法律规范的适用范围。建议通过立法明确“个人信息”和“重要数据”的范围,对于涉及国家安全和利益的数据要实现完全本地化控制;对于一些确需流动的数据要确立跨境流动的审查标准;对于涉及我国公民、企业等主体权利但不在我国境内的数据应尽快出台相关的专项立法明确对境外数据的管辖权[7]60。另一方面,为防止此标准的适用构成对其他国家数据主权的干预,应引入国际礼让原则[14]90,在数据使用过程中审慎处理相关冲突,如在使用前征得他国同意、限定“云端”数据使用范围、对于涉及他国国家安全或重要利益的关键数据予以排除使用等,在互相尊重的基础上实现对境外“云存储”个人信息的使用。
其次,应当建立健全个人信息保护协作机制。对于境内运营商通过“云存储”方式存于境外的个人信息,境内监管主体在依据数据控制者标准进行监管时,必然会面临境外存储地的监管主体依据属地原则而进行的本地管辖。虽然在市场层面,我国的个人信息存储规模和使用价值在跨境数据市场中具有较为明显的数量优势,但是我国目前尚未加入国际协作监管机制,也并未建立针对境外个人信息的数据保护体系。国内法律及国际协作的缺失导致我国在跨境数据监管中缺乏话语权和参与度,也使得我国公民及组织存于境外的“云数据”面临较大的风险。对此,应当借鉴欧盟等地区及国家的做法,建立“白名单”机制,与数据“云存储”的市场及监管均比较发达的国家共同建立个人信息保护协作机制,在境外“云数据”的保护和使用规则上达成共识。同时推动双边或多边协议的签署,制定更为细化的程序和规则,推动个人信息“云存储”跨境监管规则的形成与完善。
最后,积极参与制定全球化数字贸易规则。截至目前,尚缺乏统一的国际协定来规范个人信息“云存储”中的数据保护问题,各国基本还是依据其国内的各类数据保护规范来监管“云数据”的管辖和使用,这就容易在不同国家之间引发数据主权争端。其一,为了增强规则制定的话语权,我国应明确世界主要国家关于“云数据”监管的相关规则,在此基础上从各方分歧中寻求利益平衡点,结合本国国情对现有的“云数据”监管规则加以创新。其二,在强化监管合作方面,我国应当加强与其他同等发展水平国家的云端合作。在双边及多边贸易协定中,应适时加入境外“云数据”的流动规制,确保我国公民在境外云端的数据受到合理保护,并在遭受侵害时得到及时的救济。其三,在云计算时代,面对越来越多通过“云存储”保存于境外的个人信息,各国应努力推进有关数据保护国际公约的达成,建立协商合作机制。《区域全面经济伙伴关系协定》在金融领域达成的关于“信息转移与信息处理”的规定,就是很好的国际合作达成规则共识的范例[15]32-38。在涉云计算领域,各国也应当加强国际协作,达成多边协作共识,共同推进云计算时代数字贸易的全球化进程。
