云服务商数据合规考虑要点
发布时间:2022-08-31
文 | 蒋虹 汇业律师事务所 律师
有了技术的支持,数据迅速化身为资源和财富代表。市场模式发生变化,共享模式深入人心,云服务是一种特殊的共享模式,物理服务器可以不再是客户自己购买的资产,租用分享(其实各自都是独立的)服务器使得各国的云服务商迅速增长。
数据成为市场重点,欧盟开始布局数据战略,发布了《Data Act》,《GDPR》,《Regulation on a framework for the free flow of non-personal data in the European Union》,组织成立了European Alliance for Industrial Data, Edge and Cloud联盟。此联盟发布了SWIPO Code of Conduct,SWIPO IaaS Code of Conduct;SWIPO SaaS Code of Conduct等,旨在对云服务商提供指引。严格的说,欧盟SWIPO的一系列规范只具有自治性和市场自我约束性。
一、一般性原则
为了部署欧盟的数据战略,欧盟公布了一系列法律来保护、促进数据市场,打破数据市场巨型企业对数据流动的阻碍。法律和SWIPO一系列的规章从不同的角度:即法律强制性和自治性规章来实现这个目的。
1. 背景法律
《Regulation on a framework for the free flow of non-personal data in the European Union》(以下简称Framework)《GDPR》
一般而言,Framework更多的是关于非个人数据的规定,《GDPR》是个人数据相关法律同时具有强制性,一系列code of conduct 不同于前面2部法律是属于自治规章。但是数据天然地和个人数据和非个人数据之间产生链接的时候,欧盟的《GDPR》是同样适用的,所以服务商需要同时考虑2部法律,并且规章如果和法律冲突的话,以法律为准。
2. 背景规范
SWIPO Code of Conduct,SWIPO IaaS Code of Conduct;SWIPO SaaS Code of Conduct
此规范并不能代替Cloud Service Agreement (CSA),并且不提供或者代表法律服务。即使完全符合本规范的建议,不代表能否合规。详细和具体的情况需要参照GDPR。
3. 规范的主体
服务提供商包括个人也包括企业,以上2个主体都需要受规范。SWIPO是Switching from provider and Porting non-personal data的简称,从名字就可以看出SWIPO关注的不是个人数据的传输,关注的是云服务商提供的服务和云服务商的客户的权益问题。在商业活动中,企业主体自然会拥有非个人数据和个人数据。所以在实践中此类规范,实际上是涵盖了个人数据和非个人数据。
4. 数据本地化
服务商如果对数据本地化是需要和委员会沟通协商,即只有法律法规规定的情况下,才能对数据进行本地化处理。
5. 惩罚体制
对于国家机构对数据的要求,在法律的授权范围下各个服务商应当配合。如果违反,会被罚款。
6. 过程透明化
在合约中详细的规定来反映符合此约束规范的合规要求,同时在在合约前发表自己符合此规范的透明化原则申明。
对于合同中的云服务消费者,服务商应该在技术规格、成本、过程、工具和服务上提供清晰、详细信息,来帮助消费者可以在数据迁移中高效,以较低的损失完成。
此法规提到在最晚2022年11月29日,委员会会对欧洲议会提交一份关于此法规的报告。届时将会有更多的信息,我们可以从欧盟的应用和实施中获得更多关于我们可以借鉴的经验。
二、涵盖技术模式
无论是multi-cloud 多个云(laaS 还是 SaaS ),组合云 hybrid cloud还是第三方集成部分的提供者。我国的根据客户范围不同分为:私有云、公有云、社区云和混合云。
基础的设备包括:虚拟机,拓扑结构,数据载体方。软件部分,元数据。
图表一:云服务模式
图表二:云服务对比图
(蓝色为客户自己部署管理,绿色为云服务提供。)
SaaS(Software as a service)基本可以理解为全套服务,给客户提供的功能和应用是最多的一种场景,常见的销售类型就是通过用户数量订购。最简单的例子就是邮箱。
IaaS(Infrastructure as a service)情况下,用户通常是根据CPU计算能力的使用小时来计算使用时间的。常见的例子比如google 的引擎、虚拟机、虚拟网络、以及存储。
PaaS(Platform as a service)就是给客户提供的能力是使用由云服务提供商支持的编程语言、库、服务以及开发工具来创建、开发应用程序并部署在相关的基础设施上。比如谷歌的图片、人脸识别平台,科大讯飞的语音识别平台。
通过图表二可以看出不同的云服务模式下客户不要自己部署的部分从而更好理解云服务。
三、业务模式
包括从云服务商导出到其他的云服务商,或者到用户自己的系统,反向也是一样的。即云服务商接收外部的云服务商数据。
四、规章效力
此规章并不具有强制性,云服务提供商可以申明自己的服务是符合此规范,由此来证明自己的服务无论从技术还是从服务细节都能给用户很好的服务。
合同附录含有此规范就等于明示自己的行为合规性。但是此协议或者附录或者合约前的协议是可以披露,也可以不披露(比如NDA)。
IaaS:可以通过第三方认证或者自我评估来评估自己的服务的合规性。
五、通用基本原则
数据的导出(porting of data)
无论是SaaS还是IaaS都应该提供数据导出的途径和方式并且提供结构化、通常的机器可读的标准数据格式,即数据接收方可使用的模式。在实践操作中要注意:
1)目前常见的格式有CSV, XML, JSON, RDF。
2)对数据传输过程注意义务:数据接收方或者用户提供的接收方的数据接收过程具体步骤、技术信息、时间线和收费的标准,包括对第二个数据接收方的发送的收费,或者对用户自己的数据系统的传送。
3)比较便捷的方式就是使用欧盟推荐的认证,通过选择同一的国际标准,从而避免双方的数据格式的差异,对系统的安全性的确认。
4)数据的导出要求在最小的价格代价和最小的数据损害下完成。
六、SaaS和IaaS的模式下的具体的合规要点
SaaS: code of conduct
(一)总则和推荐Overall Requirements and recommendations
1. 对于数据的权限,服务商应当提供明显的详细的说明,同时说明一旦服务商破产数据导出的政策,包括随机的木马程序的影响或者被并购下的处理。
2. 一般申明受此规则的约束,用户和服务商签订的合同中减少任何一方的责任并且不和本规则一致的情况下都属于无效情况。
3. 数据接口的问题可以通过使用调整技术或者提供另外的解决方案来解决。
4. 经过用户的授权,服务提供商可以提示出现有的客户系统或者源头系统存在的一些不兼容的问题。
(二)数据导出
1. 源头服务商应该明示清楚的数据导出的过程,包括数据管理需求的资料,比如截图,增量的获得,记录管理政策,流程和宽带带宽评估,还有相关的时间尺,通知要求,客户联系流程即联系人和加速处理的方式。应当提供对服务连续性的影响说明。同时对可以使用的数据导出的流程涵盖不仅在合约服务时间,而且超出之后的服务。通常通过签订SLA中的SLO和SQO来体现。应该涵盖技术,合同和许可证。
2. 服务商在导出数据之前应当明确指出任何服务商强制对用户的要求。
3. 源头服务商应当明确指出已知的合约后的许可证费用问题,或者其他的责任要求,比如关于专利和许可证费用:把收到的数据或者数据格式进行转化或者现在正在进行的案例。
4. 源头服务商应当明确指出任何在数据导出中会产生的额外的工具或者服务使用费用。
5. 源头服务商应当明确指出任何数据导出中提供的工具或者服务(包括中间件和对中间件的支持)和以上工具的费用。同时如果是第三方的工具或者服务也适用。
6. 源头服务商应当明示在数据移植的过程中如果不需要人工干预的话,是否允许用户完全的自主控制。
7. 源头服务商应当明示在约定的导出日期前可以导出数据的范围(程序化字段的值、图标、可视图等)。
8. 源头服务商应当明示如果有相关数据的话,安全相关的数据比如日志是否可以导出。(比如用户和云服务商互动的日志)。
9. 源头服务商应当明示何种数据格式标准或者文件格式是推荐用来做数据导出的。(比如,Binary, MIME, CSV, SQL, JSON, XML, Avro),在非结构化数据和结构化的数据中使用的形式。
(三)数据导入
1. 目的地服务商应该明示需要的输入数据的格式/结构,并明示在何种工业标准之下。同时明确验证方式和类型(结果、格式、存储类型、数量、链接)。
2. 目的地服务商应该明示在数据输入过程中使用的加密方式包括解密的方式和密码的保持方式。
3. 目的地服务商应该明示在数据导入时的安全控制方案(存取权)。
4. 目的地服务商应该明示数据导入和相关步骤的费用构成。
5. 目的地服务商应该明示用来维护数据整体性、服务的持续性和数据在导入的过程中防止数据丢失的手段(预先和事后数据的备份和验证,冻结期间和安全的传输以及回滚)。
6. 目的地服务商应该明示数据导入时可用的机制、协议和中间件(比如VPN LAN 到LAN,数据电源,SFTP,HTTPS,API,物理介质)。
7. 目的地服务商应该明示,作为合同开始前的披露,如果在导入过程中使用了任何第三方供应商。
IaaS Code of Conduct
(一)总则和推荐
1. 业务模式:包括从云服务商导出到其他的云服务商,或者到用户自己的系统,反向也是一样的。即云服务商接收外部的云服务商的数据。
2. 尽管设计的变量比较多,本规范的目的在于设置一个范围,同时云用户能够通过此文档增加对提供商的信心。
3. 数据的迁移,首要的是系统配置的可导性,可以确保系统的配置可以在新的环境中使用,可以会涉及到必要的转换和配置。
4. 通常情况下,云服务商会在自己的合约中说明数据的导出会需要同样的端口要求,但是对组件商没有要求必须是支持此端口除非合约明确说明。
(二)概念:构架组建部分(组件)
业务数据(结构化的和非结构化的,其他各种格式的)可配置的数据、日志、虚拟机、数据载体、源代码和可执行的、安全相关的数据,比如ID和密码,以及相关的元数据。框架组成部分包括数据库、图片、音频、短视频、软件等等。
云客户一般会通过服务商提供的虚拟机或者服务器来配置电脑、网络、存储。以上配置也属于客户数据。
本规范说的数据可导出性指组件的导出性,包括客户数据,构架相关的软件部件和元数据(比如虚拟机)。
(三)具体的要求
首先要强调这里的要求是针对IaaS模式的,对其他的云服务模式不适用。
1. 组件要求能接受外部云服务商提供的标准的数据。
2. 为了能够完成必要的数据转换,云服务商应当提供可配置的功能来实现上述目的。
3. 在用户向云服务要求获得数据时,云服务商或者部署服务的服务商可以获得应当信息来证明服务。比如,系统日志。
4. 建议用户在计算退出云服务商的服务前,和云服务商积极商定转移数据的相关事项。包括a.确定转出系统后数据迁移的计划;b.计划中确保迁出和迁入系统都能互相满足集合的要求来达到迁移的目的;c.一个三方协议是非常有必要的。
5. 虽然目的不在完全替代服务商和客户直接的协议,但是要求组件服务商需要提供一个合同前透明原则申明。这个申明应该指明:
5.1 可转移构架组件的范围;
5.2 云服务是否对客户的数据有知识产权相关权益,在转移之后这些权利要如何执行。
6. 云服务商的安全问题在本规范中不考虑,只有涉及到数据迁移的才会被规范到。
7. 各种不同的技术,通信协议和安装的方式,比如IP、网络协议、API、数据容器、存储和算力都可能会导致数据不兼容。一般而言,构架服务商是不负责转换和数据转换的,除非在合约中已经有约定。
8. 由于业务场景中天然的会产生个人数据,比如通过机器和感应器产生的数据,就导致云服务场景中会有混合的个人数据和,非个人数据,因此要考虑开篇的第一点《一般性原则》。合规就要符合此非强制性的行为规范也要符合GDPR。同时对导致法规适用的冲突,比如技术上是可以在不同的服务商之间传递数据和框架,但是本国的法律可能是禁止的。所以要审查法律,国家政治后谨慎行之。
9. 用户再选择一个云服务商时最好明确:
9.1退出的条件;
9.2服务合同中要包含数据迁移的相关条款,并且在类似操作手册里面有具体的迁移计划;
9.3确认目标和来源云可以符合客户的需求在目的云和来源云直接可以切换,并且明确在有三方主体的合同,来源云,第三方和目标云。
10. 由于业务场景中天然的会产生个人数据,比如通过机器和感应器,就导致云服务场景中会有混合的个人数据和,非个人数据,因此要考虑开篇的第一点《原则》。合规,就要符合此非强制性的行为规范也要符合GDPR。同时对导致法规适用的冲突,比如技术上是可以在不同的服务商之间传递数据和框架,但是本国的法律可能是禁止的。所以定要审查法律,国家政治谨慎行之。
11. 多个部分组成,首要部分负责。
12. 云服务可以申明具体自己的哪部分服务符合行为规范的哪部分要求。
我们来看看中国云服务相关规定:总体来说2者相差不多,EU的相关规范更为细节化。我国从事件的不同纬度规范了云服务商的市场规则,比如服务级别、服务交付的过程,服务商内部团队的规范等。
1. 国家标准化管理委员会发布的GB/T 36325-2018《信息技术 云计算 云服务级别协议基本要求》从不同的服务协议级别规定了注意事项,遗憾的是此规定更多的是从定义上释意了服务级别的含义和大概的具体内容。没有从细节上强制或者指导性的建议消费者应该注意服务具体内容。
2. 国家标准化管理委员会发布的GB/T 37734-2019《信息技术 云计算 云服务采购指南》对不同的模式IaaS,PaaS,SaaS从服务级别、服务管理、服务费用支出了应该考虑的风险点。
3. 国家标准化管理委员会发布的GB/T 36326-2018《信息技术 云计算 云服务运营通用要求》就是对运营商从总体的要求上,特别是内部服务团队的组建上做了基础的规定,类似SWIPO Code of Conduct。在考虑合约的时候,如果我们能结合2者的优点基本上扫清了盲点。
4. 国家标准化管理委员会发布的GB/T 37738-2019《信息技术 云计算 云服务质量评价指标》CSLA是云服务协议CSA的组成部分,CSA更多强调协议的生效/变更/终止,CSLA明确的是云服务的范围、内容、服务级别,是进行服务考核、改善服务质量的依据。
5. (GB/T 31167-2014)《信息安全技术 云计算服务安全指南》,通过列举方式,列举了在云服务模式下需要注意的安全要点。包括对安全的责任区分、定义了敏感信息和公开信息。划定了重要业务的时间线和优先级。对安全、保密、退出、数据迁移范围和客户的监督作用都给了清楚明晰的指引。
结合具体的案例来看,目前从法律主体来考虑,云场景下有四方权利主体。云服务商接受云客户企业A的数据,保存其云服务合同中约定的数据。不特定的客户可以通过云客户企业的授权直接获得云服务商中托管企业的数据。云客户企业B 属于云服务的客户。
实践中,有多种侵权场景。场景一B上传到云服务商的侵权数据,通过B的授权被不特定的客户下载造成对A的侵权。云服务商的责任怎么划定?云服务商是否负有对数据审核的责任?
进一步分析,云服务产家和一般的微博还有购物型网站有什么区别?
作为国内首例云服务器侵权案,北京乐动卓越科技有限公司(以下简称“乐动卓越公司”)将阿里云计算有限公司(以下简称“阿里云公司”)起诉至北京市石景山区人民法院,称阿里云公司在接到删除通知后,并未断开侵权链接,侵害了游戏作品的信息网络传播权。法院认为案件焦点就在于云服务器租赁服务与信息存储空间服务、自动接入、自动传输、自动缓存服务存在显著区别。
回头看这个案件再根据目前的法律法规,网络服务者、提供信息存储空间服务者和云服务商的区别从技术上看是泾渭分明的。
根据《信息安全技术 云计算服务安全指南》中对云服务商的服务模式的定义可以看出,如果云服务商主动删除,在三中模式下即破坏了云服务商和云客户企业的服务合同。因为云服务商需要当面突破云客户企业的安全屏障,即为侵权行为。
1) 在SaaS模式下,应用软件层的安全措施由客户和云服务商分担,其他安全措施由云服务商实施。
2) 在Paas模式下,软件平台层的安全措施由客户和云服务商分担。客户负责开发和部署的应用及其运行环境的安全,其他安全措施由云服务商实施。
3) 在Iaas模式下,虚拟化计算资源层的安全措施由客户和云服务商分担。客户负责自己部署操作系统、运行环境和应用的安全。云服务商负责虚拟机监视器及底层资源的安全。
科技走在了法律的前面,对我们律师来说挑战诸多,机遇随之而来。
参考文献
[1]《on a framework for the free flow of non-personal data in the European Union》Taichung来自https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018R1807&from=EN、
[2]EU SWIPO组织
https://swipo.eu/
[3]国家标准化管理委员会发布一系列技术规范
https://openstd.samr.gov.cn/bzgk/gb/index
[4]阿里云计算有限公司与北京乐动卓越科技有限公司二审民事判决书
https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=a4cb2c43307c42d5a272aa7b013716ac