国外关于-云计算法律限制.doc

国外关于云计算的法律限制工业和信息化部电信研究院政策与经济研究所李海英今年4月,欧盟委员会副主席莉•克罗斯表示,云计算对欧洲的发展至关重要,现在我们需要做一些工作,最首要的就是法律框架,“它显然是国际层面的事情,包括数据保护和隐私保护,包括管辖权的分配、法律责任和消费者保护等。”云计算从诞生之日起就伴随着法律争议,很多国家已经开始讨论在法律上对其加以规范,适用原有的数据保护法、隐私法或者有针对性地制定相关法律。首先是跨境提供的问题。云计算与传统的外包服务不同,其主要区别在于借助云计算,数据通过互联网进行存储和交付,数据的拥有者不能控制,甚至不知道数据的存储位置,数据的流动是全球性的,跨越了国界、穿越了不同的时区。产生法律问题的关键是任何人很难知道数据在哪里共享和传送,数据跨境传送、即时性地在全球传播,而每个国家都拥有自己的法律以及管理要求,云计算服务的提供者显然无法做到与所涉及的所有国家的法律相符合,因此对各国管辖权之下的法律义务带来挑战。欧盟1995年通过了《数据保护指令》(即欧洲议会和理事会1995年10月24日关于涉及个人数据处理的个人保护以及此类数据自由流动的95/46/EC指令),通常称为“一般指令”,对于云计算,最主要的规定是,在缺乏特定的承诺机制的情况下,欧盟禁止欧盟居民的个人信息转移出欧盟到美国和世界上大部分国家。这对云计算意味着什么?如果你想将包含欧盟居民个人信息的数据放到云上(这些个人信息可能是简单如一个邮件地址或雇用信息),将这些数据从欧盟传送到世界上的几乎任何地方,你不能简单地将这些数据扔到云上,而是需要至少符合以下条件之一: 国际安全港认证(InternationalSafeHarborCertification),允许数据从欧盟传送到美国,但不包括到其他国家。格式合同,允许数据从欧盟传送到非美国的其他国家,但是由于云计算涉及多层次的供应商关系,格式合同并不总是有效; 有约束力的公司规则(即根据欧盟数据保护法制定的跨国公司、国际组织跨境传送个人信息的规则),该规则专门针对跨国公司设计,因此对于云服务提供商也不一定起作用。为了执行欧盟指令,每个成员国也制定了相应的法律。如德国的数据保护法,规定无论云计算服务提供商是否位于欧盟,使用云计算的公司必须采取必要的措施保护个人数据的完整性和安全。例如,公司必须与云计算服务提供商签订合同,以符合数据保护法的相关条款,如果不遵守这些法律,将面临罚款和民事诉讼。其次是数据保护和隐私权的问题。云服务与各国数据保护法、隐私法的关系是目前备受关注的话题。在美国,涉及到爱国者法、萨班斯法以及保护各类敏感信息的相关法律。爱国者法案授权美国的执法者为反恐之目的,经法庭批准后,不经允许地接触到任何人的个人记录。这意味着,如果你使用位于美国的服务器,或位于美国的云计算服务提供商,美国执法者为了反恐调查的目的,都可以通过取得一个法庭命令的方式,不经你的允许而检查你的数据。加拿大也有类似的规定,它的反恐法案(ATA)和国防法(NationalDefenseAct,NDA)赋予国防部长检查数据保存的权力。美国爱国者法的第326章还要求所有的金融机构(包括信用卡公司)获取、证明和记录每一个帐户中开户、变更和付费人的信息。萨班斯法案(Sarbanes-Oxley)的颁布也为数据保护提供了法律依据,适用萨班斯法案的企业