在网络社会不断深化和大数据技术广泛运用的背景下,云计算产业已成为我国发展最快、创新最活跃、潜力最大的新兴领域之一。随着云计算产业对我国社会重要性的日益提升,云计算领域的立法需求也同步彰显。习近平总书记指出,加快数字经济、互联网金融、人工智能、大数据、云计算等领域立法步伐。如何在确保整体安全的前提下,积极推动云计算技术在创新引领、产业变革等方面培育新增长点、形成新动能,是我国立法更新的紧迫问题。
云计算并不是一个传统的法律术语,其早期是指将数据处理任务上传到网络进行分布式存储和分解计算的一种网络技术。由于云计算技术同网络社会的无边界性、虚拟性和技术性具有高度契合性,其迅速成为网络社会的新兴产业模式。云计算技术在我国得到了迅速的应用和推广,成为数字经济时代的基础性产业。
在云计算广泛应用的同时,社会生产生活各个领域的海量数据也开始在网络云空间流转和处理,而其中蕴含着大量的公民个人信息、公共信息甚至国家秘密等信息。数据是新时代的“石油”,具有独立的高价值属性。有人把将数据上传到网络云空间与将钱存入银行来类比,用来宣传云计算的安全性。然而,层出不穷的云数据泄露和云数据滥用事件,已充分说明仅靠行业自律和技术防护,不足以为云计算产业提供充分的安全保障。当前,我国云计算领域的相关立法还不完善。虽然我国近几年颁布的数据安全法、个人信息保护法等立法中的部分原则性规定可以适用于云计算领域,但由于缺乏专门立法,云计算领域的大量行为规范依然处于模糊的状态,不仅会对云计算产业健康发展带来阻碍,更可能对我国整体数据安全带来风险。
兼顾“有效保护”和“合理发展”。云计算是随着信息时代不断深化发展的新兴产业领域,要保证云计算领域的立法质量,就必须要结合产业的现状和发展趋势,通过立法防控云计算产业的安全隐患、推动云计算产业的合理发展。
当前,云计算产业的安全隐患主要体现在云数据的安全保护层面。云计算的本质就是数据的去中心化储存和处理,数据打破本地存储处理的限制,在网络社会生产、生活中高度共享、自由流动、充分利用。因此,在一定程度上,数据从“本地化”向“云端化”发展,是云计算产业发展的必然要求。然而,数据的“云端化”必然会伴随着更多的数据泄露和数据非法利用风险。传统的本地数据系统是封闭的,只有少数接口对外连接。在云环境下,数据将在公开的网络云之中流转,任意的网络节点都可能受到网络攻击。因此,必须通过立法对攻击云数据的行为进行制裁。同时,云计算服务商也将掌控海量的公民个人数据、公共数据,甚至国家数据。如何规范云计算服务商对云数据的管理和利用,也密切关系到数据安全的实现。更值得注意的是,云计算的无边界特性,使云数据可以轻松地实现跨境流转。当云数据跨境流转时,保障我国的个体数据、公共数据、国家数据不被他国非法利用、控制,亦直接关系到国家数据安全,必须通过立法进行强有力的保护。
云计算领域的立法不能仅着眼于防控和限制,同样也要关注如何通过立法破解云计算产业的发展障碍。而目前云计算产业的发展阻碍主要来源于两方面。其一,“个体数据孤岛”效应阻碍云数据共享。由于云数据泄露、滥用事件的频繁出现,越来越多的个体为避免数据暴露在云端,开始拒绝数据共享到云端。然而,从数据产业发展的视角来审视,禁止在云端收集、利用个体数据,将会使每个个体成为“数据孤岛”,严重阻碍数据产业的发展。其二,“国际数据壁垒”效应阻碍云计算产业国际化发展。在数据经济领域,我国正从最初的“跟跑者”向“领跑者”角色转化,我国已有大量的跨境数据云计算业务需求,云计算迅速被运用到国际金融、跨境电商贸易等领域,形成相互联结的“金融云”“电商云”等新业态。然而,在技术上可以轻易实现的跨境数据云计算,受到各国国内法越来越严格的限制,部分国家甚至恶意操纵数据安全概念,专门针对我国的数据产业进行打击,国际数据法律壁垒逐渐显现。因此,云计算领域的立法目标,要兼具“有效保护”和“合理发展”两方面内容,既要加强规范确保云计算的整体安全状态,亦要充分发挥云计算的基础资源和创新引擎作用。
兼顾国家安全与个体权利。强化云数据安全的法律保护同减少“个体数据孤岛效应”二者并不冲突,而是相辅相成。数据主体将自身的数据封闭起来,禁止云计算服务商收集和利用,不仅在宏观层面阻碍云计算产业的发展,在微观层面亦会使公民个体的自由受限,难以享用信息时代的技术福利,甚至成为数据时代的“信息弱势群体”。因此,破解“个体数据孤岛”,不应是从外打破“孤岛”,而是引导数据主体从内走出“孤岛”。国内云计算的法律规范,应当保障个体依照法律控制自己的相关数据并决定是否被收集和利用的权利。在云计算产业对个体数据的收集、储存、加工、使用、提供、交易、公开等数据活动中面临价值冲突和价值选择时,应当强化对个人权利的保护,强化数据主体的数据安全感、数据价值实现感,推动云计算产业健康发展的同时,满足数据安全公共利益和社会管理需求。例如,电子商务服务者要对用户数据进行云计算,必须清楚告知,并明确获得用户对数据上传到云端进行储存和处理的许可;又如,利用公共场所摄像头对个体的生物识别信息进行云计算,用于刑事侦查的活动必须由法律明确授权,遵循严格的程序规则,并且应当赋予数据主体对公权力主体实施非法云计算活动时的救济权利和救济途径。
但要注意到,数据蕴含着巨大价值,特别是规模化云数据,同公共利益和国家安全紧密相连。因此,世界各国对跨境数据进行管理时,国家数据安全都是首要考量的要素。我国亦坚决将国家数据安全摆在关键位置,可建立跨境云计算安全审查制度,在确保国家数据安全的基础上,保障云数据安全、有序跨境。同时,尊重各国对国家数据安全的合理关切,凝聚跨境云计算规范的最大共识,反对少数国家的数据霸权,主动参与全球数据安全规则的建立。具体来看,在跨境云计算法律保护体系中,应当坚持以下基本立场:一是尊重各国的数据主权,承认数据生产、获取地所在国的最高控制权,无论相应云计算服务者是国内企业还是国外企业;二是尊重各国对数据的排他性管理权,外国政府未经数据主权国的法律允许,不得对位于数据主权国的数据进行云计算活动;三是在确保安全的基础上,推动数据通过云计算自由跨境流动,积极缔结跨境云计算双边、多边条约的同时,排斥恶意操纵数据安全问题,通过立法有力回应外部恶意的数据歧视,充分维护自身数据主权。
