郑梦远 | 云计算与数据调查的全球挑战
2023年3月8-10日,在众多信息通信知识产权界专家、IPR、律师朋友的关心与支持下,由知产前沿新媒体主办的“全球信息通信知识产权峰会(GIIPS)”在深圳凯宾斯基酒店顺利召开,本次大会吸引了线上与线下近600位信息通信IP人士参加。

3月10日下午,阿里云诉讼部负责人郑梦远老师为大会带来“云计算与数据调查的全球挑战”的主题发言分享,知产前沿现将郑梦远老师发言内容整理成文,供产业界知识产权从业人员学习交流。

目次

一、背景:云计算与数据调查“蔓延”全球

二、挑战:云计算与数据调查之于全球数据治理

三、实践:美国公司如何应对

乌克兰战争中,美国的亚马逊云公司利用Snow Edges数据存储单元,帮助乌克兰政府、银行和税务等数据打包上云,存储在亚马逊分布在全球服务器中,使得乌克兰不再惧怕战争中遭受物理攻击。云计算的应用已经深入到国家安全层面,全球面临着云计算技术与数据调查的挑战,这些挑战会影响所有行业和公司。

一、背景:云计算与数据调查“蔓延”全球

云计算与数据调查已经逐渐“蔓延”至全球范围,影响世界各地的各领域。这样的趋势发生的原因主要有三个方面:

第一,数据上云已经成为主流做法,公司不再需要自己搭建机房和服务器。特别在2021年作为分水岭,公共云数据量正式超越传统数据中心。

全球八大云服务商巨头,占据了全球80%的市场:

云计算已经覆盖至各领域,下至人们的日常生活,上至国家治理,各种行业、应用的数据存储越来越倾向于专业服务商。

第二,监管与司法对客户存储在云端的数据的调查需求增加。云服务商被越来越频繁地要求提供数据。2019下半年与2022下半年,AWS面临法院数据调查的同比增长如下图所示,数量翻了一番:

司法调查追求便利,数据上云后,执法机构或法院无需自行前往目标公司取证,而仅需要直接与云服务企业取得联系即可快捷调取数据。

2022年上半年,来自53个国家因刑事案件对微软云的数据调查数量如下表所示:

第三,全球数据立法方兴未艾,各国立法频率增加,近年来各国数据立法概况如下表所示:

二、挑战:云计算与数据调查之于全球数据治理

云计算与数据调查的全球“蔓延”态势给全球数据治理带来了新的挑战,特别是在数据调查需求增加的同时,企业还肩负数据、隐私保护的义务,如何平衡则成为了难题。

首先,数据需求与商业前景之间会发生矛盾。客户要求数据存储和计算都要在保密环境中进行,而数据调查可能导致客户数据被披露,进而使得客户认为云服务商的存储不安全。那么数据存储情况可能倒退到传统的数据中心。

其次,数据披露与隐私保护之间的矛盾。该矛盾使得云服务商时长面临法律矛盾。一个典型的例子时,美国云法案(Cloud Act)明确了美国执法机构拥有调取美国公民存储在域外服务器中的信息的权力。

同时,在Aws Sarls数据保护措施案中,法国原告认为基于美国的云法案,亚马逊云可能向美国披露存储在法国境内的数据,这是违反GDPR的。如果该主张被法院所支持,亚马逊云就会被从欧盟市场清退。最终亚马逊云通过举证其积极拒绝美国政府的数据调查要求,最终赢得了诉讼。

最后,数据主权与市场准入之间的矛盾。各国数据出境规则都很严格,也间接导致了企业能否出海问题。

三、实践:美国公司如何应对

应对云计算与数据调查的挑战,全球云计算公司从诉讼、规则和商业化三个视角来考虑。

首先,美国司法部向微软云调取大量数据,在2016年4月,微软在西雅图起诉美国司法部,认为调取数据违宪。该诉讼得到了亚马逊、苹果、谷歌、Dropbox和Salesforce等公司的支持。微软云认为,如果用户对自身数据的隐私保护没有信心,那么云计算产业的未来就将处于不利的境地。美国司法部后续内部出台了调取数据的职权范围和限制后,微软云撤回了起诉。

在此之后,微软向用户明确,基于微软实行的经过了时间考验的隐私保护方式和承诺,用户可以控制自己的数据,微软通过合同承诺来保证这一点。政府向用户要求提供数据必须直接与用户对接,微软不允许任何政府直接或不受限制地访问客户数据。之后也有其他公司起诉美国司法部,限制司法部过度宽泛地调查客户的数据。

其次,从规则上来看,AWS应对政府机构的会引导政府机构直接向用户要求提供数据;向用户发出合理的通知,以便用户可以寻求保护令或其他适当的救济;对过于宽泛或不恰当的指令提出异议。谷歌云隐私提示同样明确云服务商有尊重用户存储的数据的隐私和安全、通知用户和考虑用户异议的义务。

AWS数据分披露分层实践值得借鉴。面对不同调取的文件、数据,选择不同的应对方式。先把数据分为身份数据和内容数据,谁在使用云服务是身份数据,可披露。内容数据就是客户存储在云服务商的数据,需要严格保护,一般不予提供。

分层主要是根据调取者性质和调取内容来划分,同时对象不同义务主体也不同,例如向数据控制者调取、转数据控制者决定、通知数据控制者。调取者的保密责任是全球都缺失的内容,调取者如何遵守保密规则,如何追究调取者违反保密义务的责任,还有待全球各国积极探索实践。

最后,主权云是以危为机的商业化表现形式。2022年,微软发布Microsoft Cloud for Sovereignty(主权云)。作为一套面向公共部门的新解决方案其旨在满足客户在特定区域存储和处理数据的需求。

从来没有一个行业,面临云计算今日的“囚徒困境”,目前还未有最优解,需要法律人集体智慧解决。

作者:郑梦远

编辑:Sharon

分享到微博
分享到微信
    分享到领英

相关文章