2.3 法律法规风险_云计算安全-QQ阅读男生科幻网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

2.3 法律法规风险

2.3.1 隐私保护

在云计算中，用户数据存储在云中，加大了用户隐私泄露的风险，保护用户隐私成为国内外热门议题。云计算对各国数据保护法、隐私保护法的影响也成为目前的热点问题。在云计算中，云服务提供商需要切实保障用户隐私，不能让非授权用户获取用户的隐私信息，然而一些国家的隐私保护法却明确规定允许一些执法部门和政府成员在没有获得数据所有者允许的情况下查看其隐私信息，以切实保护国家安全。因此云计算中的隐私保护策略和某些国家的隐私保护法的相关规定可能产生矛盾。

美国有爱国者法、萨班斯法以及保护各类敏感信息的相关法律。其中，爱国者法案授权美国的执法者为达到反恐目的，可以经法庭批准后，在没有经过数据所有者允许的情况下查看任何人的个人记录。这意味着，如果用户的数据存储在美国境内，那么美国的执法者可以在经过法庭批准后，在用户毫不知情的情况下获取用户的所有数据，查看用户的所有隐私信息。另外，加拿大的反恐法案和国防法也赋予了国防部长检查存储在本国境内的任意数据的权力。

2.3.2 犯罪取证

在云服务提供商持续性地提供云服务时会面临来自各方的攻击，会使云服务提供商和用户的利益受到损害。另外，有一些攻击者可能利用云计算地域性弱、信息流动性大等特点，进行不良信息的传播。在云计算中的犯罪行为可能频频发生，为了能够对攻击者进行相应的惩处，需要进行犯罪证据的获取、保存、分析，然而云计算所具有的多用户、虚拟化等特征增加了在云计算中进行犯罪取证的难度，在一定程度上阻碍了执法的顺利进行。

在云计算中进行犯罪取证时，首先要进行数据采集，即在可能存有证据的数据源中鉴别、标识、记录和获得电子数据。由于云计算中的数据不是保存在一个确定的物理节点上，而是由云服务提供商动态提供存储空间，因此数据源可能存储在不同的司法管辖范围内，使执法人员难以采集到完整的犯罪证据^[14]。

2.3.3 数据跨境

云计算具有地域性弱、信息流动性大等特点，一方面，即使用户选择的是本国的云服务提供商，但由于该提供商可能在世界的多个地方都建有云计算数据中心，用户的数据可能被跨境存储；另一方面，当云服务提供商要对数据进行备份或对服务器架构进行调整时，用户的数据可能需要迁移，因而数据在传输过程中可能跨越多个国家，产生跨境传输问题。对于是否允许本国的数据跨境存储和跨境传输，每个国家都有相关的法律要求，如表2.12所示^[15]，而云计算中的数据跨境可能会违反用户所在国家的法律。

欧盟拥有世界上最全面的数据保护法，并被很多国家作为立法的参照。欧盟在2018年出台的《通用数据保护条例》中明确指出了对数据跨境流动的相关规定。按照条例规定，欧盟公民的个人数据要流动到欧盟外的国家、地区或国际组织，若该国家、地区或国际组织通过欧盟的“充分保护水平”^[1]的评估，数据便可无须经过特别授权自由向其流动；而对于没有通过“充分保护水平”的评估的国家、地区或国际组织，数据也可以向其流动，但必须提供充分保障措施。充分保障措施包括^[16]：

表2.12 一些国家关于数据跨境存储和跨境传输的相关规定

（1）标准合同：数据输出者和接收者可以以签订合同的形式进行数据跨境转移。

（2）约束性公司规则：跨国公司的内部机构间要跨境转移个人数据，必须根据其自身需要及特点制定数据保护政策，并得到欧盟的授权。

（3）行为准则和认证机制：对于未达到“充分保护水平”的国家、地区或国际组织，其数据控制者或处理者可做出有约束力的承诺，承诺遵守行为准则的规定，进而可向其转移数据。

虽然《通用数据保护条例》在数据跨境流动方面的规则更加清晰、细化、可操作，但是这些规则只解决了云服务提供商的部分问题。《通用数据保护条例》对于个人数据隐私的保护规定十分严格，云服务提供商想要达到合规标准并通过欧盟的认定存在着一定的困难。另外，《通用数据保护条例》中的规则与云计算商业模式之间可能存在冲突，例如，《通用数据保护条例》中规定数据处理者必须在收到数据控制者书面通知后才可以处理数据，这就意味着得不到上层应用的书面通知，底层的基础设施和平台就不能对数据进行处理，这与云服务的实际应用场景是矛盾的^[32]。云服务提供商面临的问题很复杂，可能因为《通用数据保护条例》中的其他规定而无法进行数据跨境传输，或者面临违规的风险。

2.3.4 安全性评估与责任认定

目前，云计算安全标准及测评体系尚未健全，在发生安全事故时也无法根据统一的标准进行责任认定；再加上目前国际社会对云服务中的跨境数据存储、流动和交付的监管政策尚未达成一致，也没有专门针对云计算安全的相关法律，因此云服务提供商和用户之间签订的合同的合规性、合法性是无法得到认定的，一旦发生安全事故，云服务提供商和用户可能会各持己见，根据不同的标准来进行责任认定，确保自己的利益最大化，由此会产生许多争议和纠纷。

云计算安全标准既需要支持用户描述安全保护的范围和程度，还需要支持用户尤其是企业用户的安全管理需求，如使用一定的手段、在特定的程度和范围内，在不触犯其他用户权益的前提下，分析查看日志信息，了解数据使用情况，以及开展违法操作调查等。此外，云计算安全标准应支持对灵活、复杂的云服务过程的安全评估，还应规定云服务安全目标验证的方法和程序^[17,33]。因此，建立以安全目标验证、安全服务等级测评为核心的云计算安全标准及其测评体系是极具挑战性的。