張苗
云服務(wù)允許用戶將所需的數(shù)據(jù)信息和軟件等存儲在網(wǎng)絡(luò)空間,以便在任何時間、地點都可以使用不同的信息技術(shù)設(shè)備進(jìn)行訪問,實現(xiàn)數(shù)據(jù)存取、運算等目的。在這個隨時需要存儲、調(diào)用和處理海量信息的時代,云服務(wù)提供了極大的便利,與此同時,安全問題隨之而來。
云服務(wù)商向用戶提供運行在云計算基礎(chǔ)設(shè)施之上的應(yīng)用軟件。用戶無須購買、開發(fā)軟件,可利用不同設(shè)備上的客戶端或程序接口,通過網(wǎng)絡(luò)訪問和使用云服務(wù)商提供的應(yīng)用軟件,比如協(xié)同辦公系統(tǒng)等。要享受這樣便捷的服務(wù),首先要實現(xiàn)信息“上云”。對于個人用戶來說,可能涉及隱私信息。
筆者做了一個試驗:將一張圖片分別上傳到某平臺的空間相冊和網(wǎng)盤。幾天后,相冊里的圖片竟然消失了,且沒有給予筆者任何信息提示,而網(wǎng)盤中的圖片依舊完好。對此,筆者不禁疑惑,信息“上云”后發(fā)生了什么?
信息“上云”的安全可分為兩部分:一是數(shù)據(jù)傳輸過程中的安全,二是數(shù)據(jù)存儲在“云端”的安全。由于個人在數(shù)據(jù)傳輸過程中受到安全威脅的可能性較小,故不多探討。個人數(shù)據(jù)存儲在“云端”后的安全問題,例如會不會被監(jiān)視、遭到泄露,數(shù)據(jù)丟失了如何維權(quán),等等,讓很多人感到困擾。
這樣的例子可以說比比皆是:青年A擔(dān)心,如果有一天與網(wǎng)戀多年的女友的聊天記錄消失了該怎么辦;企業(yè)老板B憂慮,云存儲的客戶信息是否需要紙質(zhì)版?zhèn)浞?;社區(qū)老人C擔(dān)心,每天通過手機(jī)上傳“云端”的心跳、血壓記錄如果丟失了,該怎么調(diào)整用藥;文藝青年D在地鐵通道中寫了一首新歌,用手機(jī)上傳到“云端”,第二天當(dāng)他準(zhǔn)備修改新歌的時候,發(fā)現(xiàn)音樂文件不見了;全職媽媽E發(fā)現(xiàn),“云記錄”中自己給寶寶喂奶的規(guī)劃方案找不到了;專車駕駛員F一周的駕駛記錄丟失了,不知該如何統(tǒng)計收入……
現(xiàn)如今,太多的人離不開云服務(wù)?!霸啤钡膬r值之一是數(shù)據(jù)在線,而“云”受到質(zhì)疑的一個重要方面,就是數(shù)據(jù)信息的安全性存在問題。
人民數(shù)據(jù)管理有限公司副總經(jīng)理、總編輯劉暢表示,“數(shù)據(jù)作為數(shù)字時代的生產(chǎn)要素,是重要的資源,事關(guān)國家安全和經(jīng)濟(jì)社會發(fā)展穩(wěn)定等重大問題”。除了個人用戶,眾多企業(yè)用戶對于“云端”安全的要求也很高。
數(shù)字化時代,企業(yè)爭相“上云”,產(chǎn)生了一些安全問題。首先要關(guān)注的是云服務(wù)企業(yè)本身的安全。
互聯(lián)網(wǎng)企業(yè)經(jīng)常面臨安全威脅,云服務(wù)企業(yè)也不例外,主要涉及非法獲取企業(yè)數(shù)據(jù)、控制企業(yè)計算機(jī)信息系統(tǒng)等多種形式。近年來,此類事件呈不斷上升趨勢,原因是網(wǎng)絡(luò)攻擊行為的隱蔽性和低成本化。以DDoS攻擊(黑客遠(yuǎn)程控制服務(wù)器或計算機(jī)等資源,對目標(biāo)發(fā)出高頻服務(wù)請求,使目標(biāo)服務(wù)器因來不及處理海量請求而癱瘓)為例,攻擊成本僅為500元/次,且可以隨機(jī)發(fā)動,難以追溯和防范。
數(shù)據(jù)是“數(shù)字時代的石油”,也是互聯(lián)網(wǎng)企業(yè)爭相追逐的對象。實踐中,企業(yè)通過合法渠道獲取數(shù)據(jù)的成本較高。有企業(yè)為了降低成本,快速獲取數(shù)據(jù),就利用非法技術(shù)手段侵入云服務(wù)企業(yè)的數(shù)據(jù)庫,直接截留系統(tǒng)傳輸?shù)臄?shù)據(jù),或者以非法收購數(shù)據(jù)等方式實現(xiàn)企業(yè)業(yè)績短期內(nèi)的快速增長。
我們可以通過案例了解云服務(wù)企業(yè)面臨的安全威脅。
2017年初,姚某某等人受王某某雇傭,招募多名網(wǎng)絡(luò)技術(shù)人員,在境外成立“暗夜小組”黑客組織?!鞍狄剐〗M”從丁某某等3人處購買了大量服務(wù)器資源,再利用木馬軟件操縱控制端服務(wù)器實施DDoS攻擊。2017年2月至3月間,“暗夜小組”三次利用14臺控制端服務(wù)器,對某互聯(lián)網(wǎng)公司云服務(wù)器上運營的三家游戲公司的客戶端IP進(jìn)行DDoS攻擊。攻擊導(dǎo)致三家游戲公司的IP被封堵,出現(xiàn)游戲無法登錄、用戶頻繁掉線、游戲無法正常運行等問題。為恢復(fù)服務(wù)器的正常運行,某互聯(lián)網(wǎng)公司組織人員對服務(wù)器進(jìn)行了搶修,為此支付4萬余元。
該案在2018年4月開庭審理,同年6月8日經(jīng)廣東省深圳市南山區(qū)人民法院判決。被告人姚某某等11人違反國家規(guī)定,使用DDoS攻擊對計算機(jī)信息系統(tǒng)功能進(jìn)行干擾,造成計算機(jī)信息系統(tǒng)不能正常運行,后果嚴(yán)重,其行為構(gòu)成破壞計算機(jī)信息系統(tǒng)罪。該案作為最高檢發(fā)布的第十八批指導(dǎo)性案例之一,也是最高檢推行指導(dǎo)性案例制度以來,首個涉及云服務(wù)的網(wǎng)絡(luò)犯罪案件。
當(dāng)前,網(wǎng)絡(luò)空間高速發(fā)展讓眾多企業(yè)享受著在數(shù)據(jù)海洋中沖浪的樂趣。但是,作為云服務(wù)的用戶,一旦遭遇云數(shù)據(jù)泄露,如何追究侵權(quán)責(zé)任就成了大問題。
通過下面這則案例,可以了解云服務(wù)商侵權(quán)責(zé)任認(rèn)定的難度。
北京樂動卓越科技有限公司(以下簡稱“樂動卓越公司”)是游戲《我叫MT online》的著作權(quán)人。2015年8月,樂動卓越公司接到玩家投訴稱,網(wǎng)址為“www.callmt.com”的網(wǎng)站提供《我叫MT暢爽版》的下載及游戲充值服務(wù)。樂動卓越公司經(jīng)比對發(fā)現(xiàn),該款游戲涉嫌非法復(fù)制己方游戲的數(shù)據(jù)包。公司利用技術(shù)手段發(fā)現(xiàn),該款游戲內(nèi)容存儲于由阿里云計算有限公司(下稱“阿里云公司”)作為云服務(wù)器租賃服務(wù)商提供的阿里云服務(wù)器上,并通過該服務(wù)器向客戶端提供游戲服務(wù)。樂動卓越公司兩次致函阿里云公司,要求其刪除涉嫌侵權(quán)的內(nèi)容,并提供服務(wù)器租用人的具體信息。但阿里云公司僅對前述通知進(jìn)行了“轉(zhuǎn)通知”,而沒有采取其他措施。樂動卓越公司認(rèn)為,阿里云公司未及時刪除侵權(quán)游戲,致其損失擴(kuò)大,構(gòu)成侵權(quán)。
本案二審法院最終沒有支持樂動卓越公司對阿里云公司的訴訟請求。法院認(rèn)為,根據(jù)特別法優(yōu)于一般法的原則,涉及網(wǎng)絡(luò)著作權(quán)侵權(quán),應(yīng)優(yōu)先適用《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》,而非《侵權(quán)責(zé)任法》。
《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》(以下簡稱《條例》)中的網(wǎng)絡(luò)服務(wù)提供商,為自動接入或自動傳輸服務(wù)提供商(第20條),自動緩存服務(wù)提供商(第21條),信息存儲空間服務(wù)提供商(第22條),搜索或鏈接服務(wù)提供商(第23條)?!肚謾?quán)責(zé)任法》規(guī)定的網(wǎng)絡(luò)服務(wù)提供者,除《條例》規(guī)定的以外,還包括其他網(wǎng)絡(luò)技術(shù)服務(wù)提供者。
信息“上云”成為人們?nèi)粘9ぷ骱蜕畹囊徊糠?/p>
《條例》規(guī)定的“通知—刪除”規(guī)則僅適用信息存儲空間服務(wù)提供商和搜索鏈接服務(wù)提供商。而自動接入或自動傳輸服務(wù)提供商、自動緩存服務(wù)提供商不受該規(guī)則約束,只要符合《條例》規(guī)定的條件即可免除賠償責(zé)任?!肚謾?quán)責(zé)任法》第36條規(guī)定的“通知加采取必要措施”規(guī)則,則可能既適用于信息存儲空間、搜索或鏈接服務(wù)提供者,也適用于其他網(wǎng)絡(luò)技術(shù)服務(wù)提供者。
《條例》中受“通知—刪除”規(guī)則約束的網(wǎng)絡(luò)服務(wù)提供者,在接到通知后應(yīng)采取刪除、斷開鏈接的措施。根據(jù)《侵權(quán)責(zé)任法》的規(guī)定,網(wǎng)絡(luò)服務(wù)提供者所應(yīng)采取的措施除了刪除、斷開鏈接外,還包括屏蔽等必要措施。
另外,法院認(rèn)為樂動卓越公司的三次通知,均無法構(gòu)成法定合格有效的通知,同時法律也并未規(guī)定網(wǎng)絡(luò)服務(wù)提供者在收到不合格、不清楚、不完整的通知后,應(yīng)承擔(dān)聯(lián)系、核實、調(diào)查等責(zé)任。
如果網(wǎng)絡(luò)服務(wù)提供者收到了通知,則其應(yīng)當(dāng)依法采取“必要措施”。但該“必要措施”同時應(yīng)當(dāng)遵循審慎、合理的原則,根據(jù)所侵害權(quán)利的性質(zhì)、侵權(quán)的具體情形和網(wǎng)絡(luò)服務(wù)提供者的技術(shù)條件、能力等綜合確定,實現(xiàn)權(quán)利保護(hù)、行業(yè)發(fā)展與網(wǎng)絡(luò)用戶利益的平衡。
在該案中,根據(jù)云服務(wù)器租賃服務(wù)的性質(zhì),將“刪除、屏蔽或者斷開鏈接”作為云服務(wù)器租賃服務(wù)提供商應(yīng)采取的必要措施和免責(zé)事由,與行業(yè)實際情況不符。