“云端”信息安全嗎

張苗

云服務(wù)允許用戶將所需的數(shù)據(jù)信息和軟件等存儲在網(wǎng)絡(luò)空間，以便在任何時間、地點都可以使用不同的信息技術(shù)設(shè)備進(jìn)行訪問，實現(xiàn)數(shù)據(jù)存取、運算等目的。在這個隨時需要存儲、調(diào)用和處理海量信息的時代，云服務(wù)提供了極大的便利，與此同時，安全問題隨之而來。

關(guān)于個人用戶

云服務(wù)商向用戶提供運行在云計算基礎(chǔ)設(shè)施之上的應(yīng)用軟件。用戶無須購買、開發(fā)軟件，可利用不同設(shè)備上的客戶端或程序接口，通過網(wǎng)絡(luò)訪問和使用云服務(wù)商提供的應(yīng)用軟件，比如協(xié)同辦公系統(tǒng)等。要享受這樣便捷的服務(wù)，首先要實現(xiàn)信息“上云”。對于個人用戶來說，可能涉及隱私信息。

筆者做了一個試驗：將一張圖片分別上傳到某平臺的空間相冊和網(wǎng)盤。幾天后，相冊里的圖片竟然消失了，且沒有給予筆者任何信息提示，而網(wǎng)盤中的圖片依舊完好。對此，筆者不禁疑惑，信息“上云”后發(fā)生了什么？

信息“上云”的安全可分為兩部分：一是數(shù)據(jù)傳輸過程中的安全，二是數(shù)據(jù)存儲在“云端”的安全。由于個人在數(shù)據(jù)傳輸過程中受到安全威脅的可能性較小，故不多探討。個人數(shù)據(jù)存儲在“云端”后的安全問題，例如會不會被監(jiān)視、遭到泄露，數(shù)據(jù)丟失了如何維權(quán)，等等，讓很多人感到困擾。

這樣的例子可以說比比皆是：青年A擔(dān)心，如果有一天與網(wǎng)戀多年的女友的聊天記錄消失了該怎么辦；企業(yè)老板B憂慮，云存儲的客戶信息是否需要紙質(zhì)版?zhèn)浞?；社區(qū)老人C擔(dān)心，每天通過手機(jī)上傳“云端”的心跳、血壓記錄如果丟失了，該怎么調(diào)整用藥；文藝青年D在地鐵通道中寫了一首新歌，用手機(jī)上傳到“云端”，第二天當(dāng)他準(zhǔn)備修改新歌的時候，發(fā)現(xiàn)音樂文件不見了；全職媽媽E發(fā)現(xiàn)，“云記錄”中自己給寶寶喂奶的規(guī)劃方案找不到了；專車駕駛員F一周的駕駛記錄丟失了，不知該如何統(tǒng)計收入……

現(xiàn)如今，太多的人離不開云服務(wù)?！霸啤钡膬r值之一是數(shù)據(jù)在線，而“云”受到質(zhì)疑的一個重要方面，就是數(shù)據(jù)信息的安全性存在問題。

關(guān)于云服務(wù)企業(yè)

人民數(shù)據(jù)管理有限公司副總經(jīng)理、總編輯劉暢表示，“數(shù)據(jù)作為數(shù)字時代的生產(chǎn)要素，是重要的資源，事關(guān)國家安全和經(jīng)濟(jì)社會發(fā)展穩(wěn)定等重大問題”。除了個人用戶，眾多企業(yè)用戶對于“云端”安全的要求也很高。

數(shù)字化時代，企業(yè)爭相“上云”，產(chǎn)生了一些安全問題。首先要關(guān)注的是云服務(wù)企業(yè)本身的安全。

互聯(lián)網(wǎng)企業(yè)經(jīng)常面臨安全威脅，云服務(wù)企業(yè)也不例外，主要涉及非法獲取企業(yè)數(shù)據(jù)、控制企業(yè)計算機(jī)信息系統(tǒng)等多種形式。近年來，此類事件呈不斷上升趨勢，原因是網(wǎng)絡(luò)攻擊行為的隱蔽性和低成本化。以DDoS攻擊（黑客遠(yuǎn)程控制服務(wù)器或計算機(jī)等資源，對目標(biāo)發(fā)出高頻服務(wù)請求，使目標(biāo)服務(wù)器因來不及處理海量請求而癱瘓）為例，攻擊成本僅為500元/次，且可以隨機(jī)發(fā)動，難以追溯和防范。

數(shù)據(jù)是“數(shù)字時代的石油”，也是互聯(lián)網(wǎng)企業(yè)爭相追逐的對象。實踐中，企業(yè)通過合法渠道獲取數(shù)據(jù)的成本較高。有企業(yè)為了降低成本，快速獲取數(shù)據(jù)，就利用非法技術(shù)手段侵入云服務(wù)企業(yè)的數(shù)據(jù)庫，直接截留系統(tǒng)傳輸?shù)臄?shù)據(jù)，或者以非法收購數(shù)據(jù)等方式實現(xiàn)企業(yè)業(yè)績短期內(nèi)的快速增長。

我們可以通過案例了解云服務(wù)企業(yè)面臨的安全威脅。

2017年初，姚某某等人受王某某雇傭，招募多名網(wǎng)絡(luò)技術(shù)人員，在境外成立“暗夜小組”黑客組織?！鞍狄剐〗M”從丁某某等3人處購買了大量服務(wù)器資源，再利用木馬軟件操縱控制端服務(wù)器實施DDoS攻擊。2017年2月至3月間，“暗夜小組”三次利用14臺控制端服務(wù)器，對某互聯(lián)網(wǎng)公司云服務(wù)器上運營的三家游戲公司的客戶端IP進(jìn)行DDoS攻擊。攻擊導(dǎo)致三家游戲公司的IP被封堵，出現(xiàn)游戲無法登錄、用戶頻繁掉線、游戲無法正常運行等問題。為恢復(fù)服務(wù)器的正常運行，某互聯(lián)網(wǎng)公司組織人員對服務(wù)器進(jìn)行了搶修，為此支付4萬余元。

該案在2018年4月開庭審理，同年6月8日經(jīng)廣東省深圳市南山區(qū)人民法院判決。被告人姚某某等11人違反國家規(guī)定，使用DDoS攻擊對計算機(jī)信息系統(tǒng)功能進(jìn)行干擾，造成計算機(jī)信息系統(tǒng)不能正常運行，后果嚴(yán)重，其行為構(gòu)成破壞計算機(jī)信息系統(tǒng)罪。該案作為最高檢發(fā)布的第十八批指導(dǎo)性案例之一，也是最高檢推行指導(dǎo)性案例制度以來，首個涉及云服務(wù)的網(wǎng)絡(luò)犯罪案件。

關(guān)于企業(yè)用戶

當(dāng)前，網(wǎng)絡(luò)空間高速發(fā)展讓眾多企業(yè)享受著在數(shù)據(jù)海洋中沖浪的樂趣。但是，作為云服務(wù)的用戶，一旦遭遇云數(shù)據(jù)泄露，如何追究侵權(quán)責(zé)任就成了大問題。

通過下面這則案例，可以了解云服務(wù)商侵權(quán)責(zé)任認(rèn)定的難度。

北京樂動卓越科技有限公司（以下簡稱“樂動卓越公司”）是游戲《我叫MT online》的著作權(quán)人。2015年8月，樂動卓越公司接到玩家投訴稱，網(wǎng)址為“www.callmt.com”的網(wǎng)站提供《我叫MT暢爽版》的下載及游戲充值服務(wù)。樂動卓越公司經(jīng)比對發(fā)現(xiàn)，該款游戲涉嫌非法復(fù)制己方游戲的數(shù)據(jù)包。公司利用技術(shù)手段發(fā)現(xiàn)，該款游戲內(nèi)容存儲于由阿里云計算有限公司（下稱“阿里云公司”）作為云服務(wù)器租賃服務(wù)商提供的阿里云服務(wù)器上，并通過該服務(wù)器向客戶端提供游戲服務(wù)。樂動卓越公司兩次致函阿里云公司，要求其刪除涉嫌侵權(quán)的內(nèi)容，并提供服務(wù)器租用人的具體信息。但阿里云公司僅對前述通知進(jìn)行了“轉(zhuǎn)通知”，而沒有采取其他措施。樂動卓越公司認(rèn)為，阿里云公司未及時刪除侵權(quán)游戲，致其損失擴(kuò)大，構(gòu)成侵權(quán)。

本案二審法院最終沒有支持樂動卓越公司對阿里云公司的訴訟請求。法院認(rèn)為，根據(jù)特別法優(yōu)于一般法的原則，涉及網(wǎng)絡(luò)著作權(quán)侵權(quán)，應(yīng)優(yōu)先適用《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》，而非《侵權(quán)責(zé)任法》。

《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》（以下簡稱《條例》）中的網(wǎng)絡(luò)服務(wù)提供商，為自動接入或自動傳輸服務(wù)提供商（第20條），自動緩存服務(wù)提供商（第21條），信息存儲空間服務(wù)提供商（第22條），搜索或鏈接服務(wù)提供商（第23條）?！肚謾?quán)責(zé)任法》規(guī)定的網(wǎng)絡(luò)服務(wù)提供者，除《條例》規(guī)定的以外，還包括其他網(wǎng)絡(luò)技術(shù)服務(wù)提供者。

信息“上云”成為人們?nèi)粘９ぷ骱蜕畹囊徊糠?/p>

《條例》規(guī)定的“通知—刪除”規(guī)則僅適用信息存儲空間服務(wù)提供商和搜索鏈接服務(wù)提供商。而自動接入或自動傳輸服務(wù)提供商、自動緩存服務(wù)提供商不受該規(guī)則約束，只要符合《條例》規(guī)定的條件即可免除賠償責(zé)任?！肚謾?quán)責(zé)任法》第36條規(guī)定的“通知加采取必要措施”規(guī)則，則可能既適用于信息存儲空間、搜索或鏈接服務(wù)提供者，也適用于其他網(wǎng)絡(luò)技術(shù)服務(wù)提供者。

《條例》中受“通知—刪除”規(guī)則約束的網(wǎng)絡(luò)服務(wù)提供者，在接到通知后應(yīng)采取刪除、斷開鏈接的措施。根據(jù)《侵權(quán)責(zé)任法》的規(guī)定，網(wǎng)絡(luò)服務(wù)提供者所應(yīng)采取的措施除了刪除、斷開鏈接外，還包括屏蔽等必要措施。

另外，法院認(rèn)為樂動卓越公司的三次通知，均無法構(gòu)成法定合格有效的通知，同時法律也并未規(guī)定網(wǎng)絡(luò)服務(wù)提供者在收到不合格、不清楚、不完整的通知后，應(yīng)承擔(dān)聯(lián)系、核實、調(diào)查等責(zé)任。

如果網(wǎng)絡(luò)服務(wù)提供者收到了通知，則其應(yīng)當(dāng)依法采取“必要措施”。但該“必要措施”同時應(yīng)當(dāng)遵循審慎、合理的原則，根據(jù)所侵害權(quán)利的性質(zhì)、侵權(quán)的具體情形和網(wǎng)絡(luò)服務(wù)提供者的技術(shù)條件、能力等綜合確定，實現(xiàn)權(quán)利保護(hù)、行業(yè)發(fā)展與網(wǎng)絡(luò)用戶利益的平衡。

在該案中，根據(jù)云服務(wù)器租賃服務(wù)的性質(zhì)，將“刪除、屏蔽或者斷開鏈接”作為云服務(wù)器租賃服務(wù)提供商應(yīng)采取的必要措施和免責(zé)事由，與行業(yè)實際情況不符。