新立法下云服务企业的网络安全与数据合规问题
【数据猿导读】 在云服务应用越来越广泛的今天,社会对云服务企业和立法监管都提出了更高的要求。在CII新规及网络安全法下,云服务企业也应及时厘清企业内部网络安全制度体系,对照法条各项规定进行调整,时时关注立法执法动态,确保企业合法合规运营
在7月25日日召开的“可信云”大会上,对于业界一直关心的云服务牌照问题,工业和信息化部信息通信管理局市场处处长张建华给出了明确的答案。张建华表示,云计算是一种商业计算模型,它的计算任务分布在网络上大量计算机构建的资源池上,使各种应用系统能够根据需要授权获得计算力、存储空间和信息服务。目前市场上通常将云计算分服务模式分为三个层次,分别是IaaS、PaaS和SaaS。IaaS指的是基础设施及服务,也就是利用数据中心提供相应的资源租用型服务,包括云主机等,在业务模式上属于传统IDC业务范畴。而PaaS服务指的是平台型服务,企业在IaaS层的基础上建设自有平台,为客户提供开发、测试环境等服务。SaaS则指的是软件应用及服务。
在2015年底,工业和信息化部出台新版《电信业务分类目录》(以下简称“目录”),《目录》中对互联网数据中心(IDC)业务进行了定义。互联网数据中心业务是指利用相应的机房设施,以外包出租的方式为用户的服务器等互联网或其他网络相关设备提供放置、代理维护、系统配置及管理服务,以及提供数据库系统或服务器等设备的出租及存储空间的出租、通信线路和出口带宽的代理租用和其他应用服务。
根据《目录》的要求,提供IaaS、SaaS服务的云服务企业必须持有互联网数据中心(IDC)牌照。但是由于PaaS服务并非传统的IDC业务,而是存储、在线备份、托管等互联网基础设施服务,具体业务以主机租用与虚拟专用服务器为主,部分是托管服务。以及在2015新版《目录》增加了互联网资源协作服务业务的描述,互联网资源协作服务业务是指利用架设在数据中心之上的设备和资源,通过互联网或其他网络以随时获取、按需使用、随时扩展、协作共享等方式,为用户提供的数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务。PaaS服务属于“互联网资源协作服务业务”,也属于“互联网数据中心(IDC)业务”,因此,提供PaaS服务的云服务企业也应当领取IDC牌照。
在我们团队对国内一些云服务企业提供法律服务过程中发现,云服务企业面临诸多网络安全、数据合规困惑。其中,有个人数据信息安全、云平台应用程序安全、海量用户的身份认证与访问控制、云服务运维和管理、平台内容合规审查、知识产权侵权等传统问题,也有在新的《网络安全法》及其配套法规下的网络安全等级保护、数据跨境传输合规、网络安全应急处置等问题。以下将从与云服务企业密切相关的网络安全等级保护、个人信息保护制度、数据跨境传输、知识产权侵权等四个方面来说新立法下云服务企业的合规问题。
网络安全等级保护
依据《网络安全法》规定,云服务企业作为网络运营者,应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施。
云服务企业,不管是IaaS、SaaS还是PaaS都存在应用程序安全问题,比如恶意程序、应用程序接口安全、代码安全与测试。软硬件故障造成云服务中的数据丢失也是用户数据面临的客观威胁。鉴于目前网络安全等级保护制度的具体实施办法尚未出台,建议云服务企业按照现行信息系统安全等级保护制度采取技术措施。
个人信息保护制度
云服务场景下,托管于云服务企业处的个人信息等数据被泄露、恶意使用是用户最大的担心。个人信息数据面临的人为威胁主要来源于云服务企业、黑客、恶意用户。
根据《网络安全法》规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守有关法律、行政法规关于个人信息保护的规定。网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
云服务企业对存储于其设备上的个人信息数据具有优先访问权,在个人信息收集上,应注意明示收集,公开使用信息的目的、方式、范围,与用户签订用户协议、隐私政策等。在个人信息处理上,应严格保密,不超出范围使用。在个人信息使用上,不得非法出售或提供,注意脱敏清洗。另外,如何防范云服务企业内部人员对个人信息数据的非法访问和泄露是一个重要的问题。
数据跨境传输
新生效的《网络安全法》第一次对数据跨境传输做出了规制,其配套法规《个人信息和重要数据出境安全评估办法(征求意见稿)》规定,网络运营者应报请行业主管或监管部门组织安全评估的出境数据有:
(一)含有或累计含有50万人以上的个人信息;
(二)数据量超过1000GB;
(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(五)关键信息基础设施运营者向境外提供个人信息和重要数据;
(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。
不得出境的数据有:
(一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;
(二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;
(三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
鉴于云服务企业通常储存了海量的数据、其中不乏个人信息及可能影响国家安全和社会公共利益的信息,甚至可能是绝对禁止出境的信息。这就要求云服务企业在将服务器设在境外或采购境外网络产品和服务时,都要事先谨慎考虑用户安全评估的成本问题。另外,根据CII新规《关键信息基础设施安全保护条例(征求意见稿)》,关系国家安全、国计民生、公共利益的云计算企业将被纳入CII关键信息基础设施范围,《保护条例》第三十四条首次对CIIO关键信息基础设施运营者跨境运维进行了规制,规定关键信息基础设施的运行维护应当在境内实施。因业务需要,确需进行境外远程维护的,应事先报国家行业主管或监管部门和国务院公安部门。
知识产权侵权
云服务企业对平台内容的合规性审查十分困难,对于涉黄、涉暴等内容审查虽然有技术支持手段,但成本高昂,对于平台储存内容的知识产权侵权审查,更是无从查起,诸多云服务企业不免有担心侵权的顾虑。
我国《侵权责任法》第三十六条规定了通知删除规则,网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。
值得关注的是,在近日一审宣判的阿里云侵权案的判决书来看,法院判定阿里云公司侵权的理由是:权利人发出了侵权通知,阿里云公司在长达8个月的时间里没有采取删除等措施。阿里云公司作为服务器提供商,虽然不具有事先审查被租用的服务器中存储内容是否侵权的义务,但在他人重大利益因其提供的网络服务而受到损害时,其作为服务器提供商应当承担相关义务,采取必要、合理、适当的措施积极配合权利人的维权行为,防止权利人的损失持续扩大。
因此,云服务企业不具有事先审查用户储存内容是否存在知识产权侵权的义务,但如果他人确实有证据证实其被侵权,云服务企业有义务采取删除、屏蔽、断开链接等必要措施积极配合被侵权人,以免与侵权人承担连带责任。
在云服务应用越来越广泛的今天,社会对云服务企业和立法监管都提出了更高的要求。在CII新规及网络安全法下,云服务企业也应及时厘清企业内部网络安全制度体系,对照法条各项规定进行调整,时时关注立法执法动态,确保企业合法合规运营。
注:
本文由 观韬中茂(上海)律师事务所 投稿数据猿发布。
欢迎更多大数据企业、爱好者投稿数据猿,来稿请直接投递至:tougao@datayuan.cn
来源:数据猿
我要评论
活动推荐more >
- 2018 上海国际大数据产业高2018-12-03
- 2018上海国际计算机网络及信2018-12-03
- 中国国际信息通信展览会将于2018-09-26
- 第五届FEA消费金融国际峰会62018-06-21
- 第五届FEA消费金融国际峰会2018-06-21
- “无界区块链技术峰会2018”2018-06-14
