张苗

云服务允许用户将所需的数据信息和软件等存储在网络空间，以便在任何时间、地点都可以使用不同的信息技术设备进行访问，实现数据存取、运算等目的。在这个随时需要存储、调用和处理海量信息的时代，云服务提供了极大的便利，与此同时，安全问题随之而来。

关于个人用户

云服务商向用户提供运行在云计算基础设施之上的应用软件。用户无须购买、开发软件，可利用不同设备上的客户端或程序接口，通过网络访问和使用云服务商提供的应用软件，比如协同办公系统等。要享受这样便捷的服务，首先要实现信息“上云”。对于个人用户来说，可能涉及隐私信息。

笔者做了一个试验：将一张图片分别上传到某平台的空间相册和网盘。几天后，相册里的图片竟然消失了，且没有给予笔者任何信息提示，而网盘中的图片依旧完好。对此，笔者不禁疑惑，信息“上云”后发生了什么？

信息“上云”的安全可分为两部分：一是数据传输过程中的安全，二是数据存储在“云端”的安全。由于个人在数据传输过程中受到安全威胁的可能性较小，故不多探讨。个人数据存储在“云端”后的安全问题，例如会不会被监视、遭到泄露，数据丢失了如何维权，等等，让很多人感到困扰。

这样的例子可以说比比皆是：青年A担心，如果有一天与网恋多年的女友的聊天记录消失了该怎么办；企业老板B忧虑，云存储的客户信息是否需要纸质版备份；社区老人C担心，每天通过手机上传“云端”的心跳、血压记录如果丢失了，该怎么调整用药；文艺青年D在地铁通道中写了一首新歌，用手机上传到“云端”，第二天当他准备修改新歌的时候，发现音乐文件不见了；全职妈妈E发现，“云记录”中自己给宝宝喂奶的规划方案找不到了；专车驾驶员F一周的驾驶记录丢失了，不知该如何统计收入……

现如今，太多的人离不开云服务。“云”的价值之一是数据在线，而“云”受到质疑的一个重要方面，就是数据信息的安全性存在问题。

关于云服务企业

人民数据管理有限公司副总经理、总编辑刘畅表示，“数据作为数字时代的生产要素，是重要的资源，事关国家安全和经济社会发展稳定等重大问题”。除了个人用户，众多企业用户对于“云端”安全的要求也很高。

数字化时代，企业争相“上云”，产生了一些安全问题。首先要关注的是云服务企业本身的安全。

互联网企业经常面临安全威胁，云服务企业也不例外，主要涉及非法获取企业数据、控制企业计算机信息系统等多种形式。近年来，此类事件呈不断上升趋势，原因是网络攻击行为的隐蔽性和低成本化。以DDoS攻击（黑客远程控制服务器或计算机等资源，对目标发出高频服务请求，使目标服务器因来不及处理海量请求而瘫痪）为例，攻击成本仅为500元/次，且可以随机发动，难以追溯和防范。

数据是“数字时代的石油”，也是互联网企业争相追逐的对象。实践中，企业通过合法渠道获取数据的成本较高。有企业为了降低成本，快速获取数据，就利用非法技术手段侵入云服务企业的数据库，直接截留系统传输的数据，或者以非法收购数据等方式实现企业业绩短期内的快速增长。

我们可以通过案例了解云服务企业面临的安全威胁。

2017年初，姚某某等人受王某某雇佣，招募多名网络技术人员，在境外成立“暗夜小组”黑客组织。“暗夜小组”从丁某某等3人处购买了大量服务器资源，再利用木马软件操纵控制端服务器实施DDoS攻击。2017年2月至3月间，“暗夜小组”三次利用14台控制端服务器，对某互联网公司云服务器上运营的三家游戏公司的客户端IP进行DDoS攻击。攻击导致三家游戏公司的IP被封堵，出现游戏无法登录、用户频繁掉线、游戏无法正常运行等问题。为恢复服务器的正常运行，某互联网公司组织人员对服务器进行了抢修，为此支付4万余元。

该案在2018年4月开庭审理，同年6月8日经广东省深圳市南山区人民法院判决。被告人姚某某等11人违反国家规定，使用DDoS攻击对计算机信息系统功能进行干扰，造成计算机信息系统不能正常运行，后果严重，其行为构成破坏计算机信息系统罪。该案作为最高检发布的第十八批指导性案例之一，也是最高检推行指导性案例制度以来，首个涉及云服务的网络犯罪案件。

关于企业用户

当前，网络空间高速发展让众多企业享受着在数据海洋中冲浪的乐趣。但是，作为云服务的用户，一旦遭遇云数据泄露，如何追究侵权责任就成了大问题。

通过下面这则案例，可以了解云服务商侵权责任认定的难度。

北京乐动卓越科技有限公司（以下简称“乐动卓越公司”）是游戏《我叫MT online》的著作权人。2015年8月，乐动卓越公司接到玩家投诉称，网址为“www.callmt.com”的网站提供《我叫MT畅爽版》的下载及游戏充值服务。乐动卓越公司经比对发现，该款游戏涉嫌非法复制己方游戏的数据包。公司利用技术手段发现，该款游戏内容存储于由阿里云计算有限公司（下称“阿里云公司”）作为云服务器租赁服务商提供的阿里云服务器上，并通过该服务器向客户端提供游戏服务。乐动卓越公司两次致函阿里云公司，要求其删除涉嫌侵权的内容，并提供服务器租用人的具体信息。但阿里云公司仅对前述通知进行了“转通知”，而没有采取其他措施。乐动卓越公司认为，阿里云公司未及时删除侵权游戏，致其损失扩大，构成侵权。

本案二审法院最终没有支持乐动卓越公司对阿里云公司的诉讼请求。法院认为，根据特别法优于一般法的原则，涉及网络著作权侵权，应优先适用《信息网络传播权保护条例》，而非《侵权责任法》。

《信息网络传播权保护条例》（以下简称《条例》）中的网络服务提供商，为自动接入或自动传输服务提供商（第20条），自动缓存服务提供商（第21条），信息存储空间服务提供商（第22条），搜索或链接服务提供商（第23条）。《侵权责任法》规定的网络服务提供者，除《条例》规定的以外，还包括其他网络技术服务提供者。

信息“上云”成为人们日常工作和生活的一部分

《条例》规定的“通知—删除”规则仅适用信息存储空间服務提供商和搜索链接服务提供商。而自动接入或自动传输服务提供商、自动缓存服务提供商不受该规则约束，只要符合《条例》规定的条件即可免除赔偿责任。《侵权责任法》第36条规定的“通知加采取必要措施”规则，则可能既适用于信息存储空间、搜索或链接服务提供者，也适用于其他网络技术服务提供者。

《条例》中受“通知—删除”规则约束的网络服务提供者，在接到通知后应采取删除、断开链接的措施。根据《侵权责任法》的规定，网络服务提供者所应采取的措施除了删除、断开链接外，还包括屏蔽等必要措施。

另外，法院认为乐动卓越公司的三次通知，均无法构成法定合格有效的通知，同时法律也并未规定网络服务提供者在收到不合格、不清楚、不完整的通知后，应承担联系、核实、调查等责任。

如果网络服务提供者收到了通知，则其应当依法采取“必要措施”。但该“必要措施”同时应当遵循审慎、合理的原则，根据所侵害权利的性质、侵权的具体情形和网络服务提供者的技术条件、能力等综合确定，实现权利保护、行业发展与网络用户利益的平衡。

在该案中，根据云服务器租赁服务的性质，将“删除、屏蔽或者断开链接”作为云服务器租赁服务提供商应采取的必要措施和免责事由，与行业实际情况不符。