云平台数据保护与内容审核义务关系分析

2022-12-17许皖秀左晓栋

信息安全研究 2022年11期

许皖秀左晓栋

(中国科学技术大学公共事务学院合肥 230026)

传统上，数据安全与信息内容安全属于不同的领域.在云平台语境下，数据安全与信息内容安全的关注对象很可能重合.随着信息化的发展，数字经济不断创造新的经济增长点，数据安全风险日渐凸显，因数据纠纷引发的法律案件越来越多[1].与此同时，既有的一些互联网监管法律条文不但显现出与当前数字经济发展的某种不适应性，有的甚至还与维护数据安全的需求相矛盾[2].如何精准把握立法意图、准确履行法律义务成为云安全[3]、数据安全保护[4]中重点关注的问题.近日发生的企业用户将企业内部文件上传至某平台，该平台员工未经允许而浏览其文件的案例，引发了云平台数据保护与内容审核义务之间的关系问题，下面对该问题进行剖析.

1 某平台信息内容审核纠纷事件

1.1 基本情况

某平台的“××文档”是一款可多人协作的在线文档服务.用户能够同时编辑Word,Excel,PPT等文档，并在云端实时保存.用户可以自主设置文档可查看范围，具体分为“仅我可查看”“指定人”“所有人可查看”“所有人可编辑”4类.近日，某网友W在微博发文称，其所在创业公司的工作文档使用了该平台的“××文档”服务，却被平台方的员工“偷看”.爆料截图显示，该文档浏览者中，有2人被标识为该平台的员工.W质疑：“如果官方没有任何底线地去查看、借鉴大家的工作成果，在面对资源不占优的情况下，还如何安身立命”.该网友表示，平台方有员工就此事回应称，浏览该文档的2位员工均属于审核组，与“××文档”分属不同事业群，可能是因为文档中的关键字触发了审核机制，使得审核组的员工介入.

也有网友指出，W晒出的文档截图右上角显示权限为“所有人可编辑”，并非其所称的“权限不公开”.针对网友的质疑，W表示：“当时因为是大家一起评估填写文档，权限应该是开放给所有人，但链接未分享给外部”.其认为，“××文档”并不具有公域搜索功能，即使文档处于公开状态，在没有分享链接的情况下，文档也应仅限于公司内部人员查看和编辑.

最终，此事以W删除了当初爆料的微博信息为结局，但带来一个严肃的话题：云平台既要保护客户数据，又要履行信息审核义务，两者是否存在冲突[5].这里需要指出，在云环境下，“客户”与“用户”的概念是不同的，但在互联网监管的政策法规中并无“客户”的概念.鉴于这2个概念的区分不影响本文论述，故本文根据不同语境的需要同时使用了以上2个概念.

1.2 事件引出的数据安全思考

“××文档”事件是一起偶发事件，当事人采取了低调处理，媒体也未作过多渲染，但对云平台数据安全提出了以下思考：

一是如何理解我国云安全管理制度中对云服务商所提出的数据保护要求；

二是如何理解《网络安全法》第四十七条所提出的“信息审核义务”；

三是如何理解《网络安全法》第四十七条与云安全管理要求的关系；

四是如何理解信息审核义务与《中华人民共和国宪法》所提出的通信自由、通信秘密的关系；

五是如何理解访问控制措施(包括访问控制的强度)与信息公开的关系；

六是如何区分“个人信息”和“个人的信息”；

七是如何理解“公开”与“公众”.

厘清以上问题有利于云平台更好地执行对信息内容审核的规定，否则很可能出现滥用审核权和因担心数据安全问题而怠于审核2种极端情况.

2 我国对云平台数据保护提出的管理要求

互联网信息内容审核义务与数据保护要求本来并不交叉，但“平台化”趋势使两者“相遇”.出现这种情况的主要原因有2点：一是立法活动不断强化网络平台责任；二是大量数据迁移到云平台上.当互联网信息内容审核义务与数据保护工作面对的是同一个平台时，冲突便由此产生.本文着重从3个方面梳理我国对云平台数据安全提出的管理要求.

2.1 云计算服务安全评估制度

我国官方建立的云计算服务安全管理制度可以追溯到2014年.2014年12月30日，中央网信办发布了《关于加强党政部门云计算服务网络安全管理的意见》[6].文件第二条规定党政部门提供给服务商的数据、设备等资源，以及云计算平台上党政业务系统运行过程中收集、产生、存储的数据和文档等资源属党政部门所有.服务商应保障党政部门对这些资源的访问、利用、支配，未经党政部门授权，不得访问、修改、披露、利用、转让、销毁党政部门数据；在服务合同终止时，应按要求做好数据、文档等资源的移交和清除工作.

上述文件规定党政部门使用的云计算服务必须通过安全审查，且云服务商不得未经授权访问党政部门数据.这是我国首次对云平台数据安全提出要求，虽然不是面向全社会，但技术原理是通用的.

根据形势发展需要，2019年7月2日，国家互联网信息办公室、国家发展和改革委、工信部、财政部联合印发了《云计算服务安全评估办法》[7].该文件将此前的党政部门云计算安全审查制度发展为云计算服务安全评估制度，规范对象不再限于党政部门.文件要求客观评价、严格监督云计算服务平台的安全性、可控性.

2.2 云计算服务安全国家标准要求

为了落实《关于加强党政部门云计算服务网络安全管理的意见》，我国制定了国家标准《信息安全技术云计算服务安全能力要求》[8](GB/T 31168—2014)，明确要求云服务商“严格保护云计算平台的客户数据”.此后，为了支撑《云计算服务安全评估办法》的实施，对该国家标准进行了修订，目前正处于送审稿阶段.送审稿根据《中华人民共和国数据安全法》的要求，增加了“数据安全保护”章节，并要求云服务商“通过与客户签订合同等形式，声明未经客户授权不得收集、使用或处理客户数据”.

2.3 信息内容审核与数据保护义务的“冲突”实质

面对云平台上的信息，云服务商既要履行信息内容审核义务，也要履行数据保护义务.前者需要对用户上传的信息进行主动审核，后者需要承诺在授权情况下方可访问客户上传的信息(数据).两者看似冲突，实则并不矛盾.理解两者关系的关键在于区分以下3点：一是主动审核的信息与需要保护的数据是否为同一类数据；二是在何种情况下信息需要审核；三是在何种情况下数据需要保护.这3点如果区分不清，就会产生类似于“××文档”事件的纠纷.

3 法律法规规定的互联网信息内容审核义务

在众多涉及互联网信息内容的法律法规中，很多对网络平台信息内容审核义务进行了规定.2000年9月25日通过的《互联网信息服务管理办法》第十五条规定了互联网信息服务提供者禁止制作、发布、传播的信息类型；同时第十六条规定：互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的，应当立即停止传输，保存有关记录，并向国家有关机关报告.2012年12月28日通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》[9]第五条规定：网络服务提供者应当加强对其用户发布的信息的管理，发现法律、法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，保存有关记录，并向有关主管部门报告.2016年11月7日通过的《网络安全法》第四十七条规定：网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告.

此外，国家互联网信息办公室发布的一系列部门规章和规范性文件，进一步细化了网络运营者的信息内容审核义务，增强了法律法规的可操作性.

4 数据保护与内容审核义务要点分析

4.1 厘清信息“发布”行为特征是关键

《网络安全法》的层级较高，出台时间相对较晚，故目前一般将其作为信息内容审核的主要上位法依据.《网络安全法》第四十七条规定的主动审核对象是“用户发布的信息”，并赋予了网络运营者对违法信息的停止传输、消除等处置权利[10].因此，如何理解“发布”成为解决问题的关键.从立法目的看，对网络运营者规定信息内容审核义务是如果发布有害信息，就有可能被公众浏览，从而造成违法有害信息扩散，危害社会公共利益.故信息“发布”的行为特征需要通过违法有害信息扩散的具体范围来界定.

首先，“发布”一定是面向多人.什么是“多人”，根据相关法律规定，3人(含)以上即可视为“多人”.根据《宪法》第四十条，公民的通信自由和通信秘密受法律保护，除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密.用户将信息上传到平台是面向多人的信息发布，如果设置相应的技术措施，只允许另外一人浏览，则这种面向单人的信息发布成为一种广义上的“通信”，符合《宪法》第四十条的情形[11].这种情况下，网络运营者不能对信息内容进行审核.

其次，“发布”一定是面向非特定人.如果简单地认为，只要浏览人数等于或多于3人，网络运营者便可以对其审核，则与前述云安全管理的政策和标准产生直接冲突.在云环境下，一个组织的某个用户将信息上传到云平台后，可能是为了供本组织内的多人浏览，这可能就是组织的一种工作方式(如“××文档”提供多人在线协同编辑功能).如果仅限于组织内人员浏览，网络运营者的审核显然违反了云安全管理规定.那么，如何调和信息内容审核与数据保护之间的矛盾呢，这就需要给出“发布”的第2个行为特征：面向非特定人.如果面向特定人，则信息的扩散是有限的、可控的，相当于公司把会场从公司内部办公区间搬到广场上，但其他人听不到.从《网络安全法》第四十七条的立法目的看，这种场景下网络运营者不必对信息内容进行审核，因为单纯的信息发布场合变化没有增大信息扩散的风险.

需要指出的是，这里的“特定人”一定是事先可确定的、不易变的，否则不能认定为“特定人”.例如，某色情网站对付费用户开放色情内容，这些付费用户可以被认为组成了一个“组织”，信息仅限于这个“组织”内的人员浏览.但这个组织内的“张三”随时可以是公众中的任何一个人，只要该人经过简单的付费程序.这种情况下，云平台的网络运营者有权审核信息.

4.2 访问控制与判定“发布”行为有直接关系

在“××文档”事件中，W最初称仅公司内部人员拥有对文档的访问权限，被网友指出其访问权限为“所有人可编辑”后，又称文档的访问链接并未向外界共享，故仍属于非公开文档.该事件中，不向外界共享访问链接固然可以减少文档暴露给公众的可能性，但完全不能阻止公众主动搜索或偶然看到，故“不向外界共享链接”的举措不具有任何访问控制功能[12]，不能改变文档的“公开”属性.

同理，客户使用了云平台服务，但对上云数据没有采取访问控制措施[13]，则也不能援引云安全管理规定限制云服务商对数据的访问.从这一角度来看，云平台本身并不构成判断云服务商是否可以审核信息的依据，关键要看是否设置了访问控制措施，以限制对信息的公开访问.

正如前面所论证的，即使存在访问控制措施，但如果被授权人员是色情网站场景下的非特定用户，也依然应当认定这属于“公开访问”.因此，访问控制措施是判断是否可适用云安全管理规定对数据进行保护的必要条件，而非充分条件.

4.3 云平台的隐私政策不是“万能”的

“××文档”事件发生时，一些人主张通过平台方的隐私政策来认定各方责任，这是不妥的.因为隐私政策针对的是个人信息保护，而客户上传到平台的文档属于客户“个人的信息”，不是“个人信息”，两者有着明确的区别.

首先，从定义看，“个人信息”有2个特点：能够识别出个人或者能够关联个人(如反映个人的行踪轨迹、购物习惯等)[14].这是全球公认的准则.但客户上传的文档显然没有这样的特点，虽然其可能含有客户的一些个人信息，但也有可能只是公司的一个产品说明书.

其次，从法律后果来看，在刑法上，与个人信息相关的罪名是侵犯公民个人信息罪[15]，而“个人的信息”强调属主概念，根据不同的侵权场景承担不同的法律后果.用户上传的文档被非法侵犯后，如果构成犯罪，涉及的罪名是非法侵入计算机信息系统罪或非法破坏计算机信息系统罪；如果未构成犯罪，则可能适用《中华人民共和国知识产权法》.显然，“个人信息”和“个人的信息”作为犯罪客体是不一样的，不能认定为等同.

5 对加强互联网治理和维护数据安全的建议

通过上述分析可知，云平台数据安全保护要求与《网络安全法》第四十七条规定的信息内容审核义务本身并不冲突，关键要对用户的信息“发布”行为进行详细区分，从而厘清不同的法律关系.就“××文档”事件而言，W上传的文档未部署访问控制措施，这属于《网络安全法》第四十七条下的公开发布行为，平台方应当积极履行信息内容审核义务，故平台方工作人员浏览文件的行为没有超出法律规定的权限.至于有人担心平台方可能借此获得其他公司的敏感知识产权，本文提供4种解决途径：一是拿起法律武器维护自身权益，因为法律对此早有明确规定，禁止网络运营者的该种行为；二是在使用云平台服务前，与网络运营者签订进一步的安全协议；三是部署强访问控制措施，规避网络运营者对信息内容的审核；四是自行判断风险，避免上传敏感文件.

此外，鉴于“××文档”事件所引发的种种思考，建议今后做好以下工作：

1) 云服务商完善审查机制，进一步规范自身审核行为.

“××文档”事件中，平台方虽未侵犯客户权益，但在现实网络空间中，由于其具备信息与技术的先天优势，很可能滥用自身优势实施侵权行为.为避免“瓜田李下”，云服务商应当充分尊重客户的数据安全诉求，建立流程更加科学、内控更加合理的信息内容审核制度，规范好自身的审核行为.

2) 明确云平台监管边界和执法细则，探索场景化的用户数据保护方法.

随着信息科技高速发展，数据来源日益多样且数据形态各异，数据访问和信息传播渠道不断增多、方式多变，无论是信息内容审核还是平台数据保护，原有的治理方式和保护方面的法律规定已显得粗放.从“××文档”事件也可看出，一些传统的术语、定义也可能产生新的解释，有必要给出更严格的条件，明确监管边界和执法细则，以减少法律法规条款的模糊性.因此，对原有法条要进一步澄清与细化，对不同场景进行法律区分，探索行之有效的场景化用户数据保护方法.

3) 深化互联网协同治理体系，构建多元主体的治理格局.

赋予网络运营者信息内容审核义务是我国互联网治理体系的重大创新，正被世界其他国家所借鉴.从目前来看，信息内容审核工作不但繁重且复杂，与数据安全保护的交集越来越多，共同构成互联网治理的主要任务.虽然我国互联网治理体系已经在政府主导下充分发挥了各方力量，但还没有反映数据本身的技术特性和应用特点，数据生产者、处理者和使用者的参与度和话语权不够，这是今后我国互联网协同治理体系的建设方向.