收藏我们|设为首页
首页>互联网研究所>赛迪观点
美国CLOUD法案给数据安全带来新挑战
发布时间:2018-06-29 14:41  来源:互联网所  作者:hlw

 近期,美国国会出台了一项《海外数据使用权明确法》(Clarify Lawful Overseas Use of DataCLOUD),旨在解决云计算时代下跨境执法请求引发的数据争端问题。该法案的出台起因于微软与美国执法部门之间的法庭斗争。2018323日,美国总统特朗普正式签署意见通过该法案。从此,美国联邦调查局将凭借一纸传票,就可收集来自海外的电子邮件和其他个人信息,并避开外国相关隐私保护法和法律制度。认真分析CLOUD法案的出台背景及其可能造成的影响,积极应对可能到来的数据安全领域新挑战,意义重大。

一、美国CLOUD法案出台的背景

(一)云计算数据中心全球化部署态势愈发明显

云计算服务的蓬勃发展和经济全球化的加速演进,使得云计算数据中心呈现全球化分布态势。包括跨国公司在内的各种企业越来越多地采用云计算来提升业务运营效率。截至2016年底,全球超大规模数据中心数量已有近300个,其中45%位于美国。IDC预测,到2020年,全球公有云服务和基础设施支出将达到2034亿美元,几乎是IT支出增长率的7倍。美国作为云计算的发源地,其云服务公司占据了全球云计算市场的大部分份额。据市场研究公司Synergy统计,美国云计算巨头在全球云计算市场的占比已超过60%,全球排名前四位的亚马逊、微软、IBM、谷歌都是美国公司。美国云服务巨头的数据中心遍布全球。市场份额最大的亚马逊AWS,在欧洲、亚洲、拉美、大洋洲等地区都部署了数据中心。微软数据中心分布范围最广,已经部署到全球42个区域,且在欧洲市场占据了主导地位。IBM的数据中心分布在全球六大洲的19个国家,16个数据中心位于欧洲,其中6个位于英国。此外,一些美国科技公司为了自身运营便利,也纷纷在海外建立数据中心,例如,全球最大的在线软件提供商美国Zoho公司分别在荷兰和爱尔兰建立了两个数据中心。

(二)美国科技公司就数据问题与政府纠纷不断

近年来,美国科技公司与美国政府多有数据纠葛,特别是棱镜门后隐私保护受到了公众空前的重视,科技公司对数据安全高度敏感。2016年,美国政府曾两次要求苹果协助破解目标疑犯的iPhone,均被苹果拒绝。同年,微软针对美国司法部对获取存储在云端的数据下达“对客户保密命令”,向联邦地区法院提起诉讼。跨境数据传输的场景,为美国司法机构向数据“伸手”带来了新的阻力,矛盾聚焦于跨境调取数据的法案条款。FBI曾在2013年向法院提出索要微软某客户数据的诉求,但微软认为,数据存储在爱尔兰的服务器上,根据1986年美国国会通过的《电子通讯隐私法》,该请求无效。经过近5年的争论,2018228日,美国最高法院开庭重新审理这桩跨境数据隐私案,此案直接推动了CLOUD法案的出台。基于该法案,微软应当向FBI提交其存储于爱尔兰的电子邮件内容,但该法案也给了微软抗议的机会,前提是微软提供的相应材料能证明搜查令将迫使其违反别国法律,或者目标对象不是美国人。

(三)世界各国均高度重视数据主权和隐私保护

在大数据、云计算飞速发展的环境下,很多国家都在不断加强对数据主权的维护和对公民隐私的保护,力争实现数据本地化。有的注重禁止数据离境,尤其重视对核心、敏感数据的控制力。例如,澳大利亚出台的《个人控制电子健康记录法案》就明令禁止公民的个人医疗信息出境。有的是在特定条件下不反对数据跨境流动。例如,欧盟引入了数据跨境传输的安全评估机制和事先审核措施。还有的是原则上同意开放数据跨境流通,但必须事先在境内进行数据备份等操作。例如,印尼要求提供公共服务的电子系统运营商要把数据中心设置在印尼境内。此外,近年来欧盟对跨境数据流通也非常敏感。不仅由于斯诺登事件大大降低了其对美国网络跨境数据通信的信任度,Facebook等美国互联网公司对数据的掌控能力也越来越引起欧盟警惕。2015年,欧盟废除了2000年与美国签订的《安全港协议》,禁止Facebook等美国公司将收集到的欧洲用户数据传输至美国,其即将生效的新《通用数据保护条例》将监管对象延伸到了境外企业,对外国数据中心的管理空前严格。可见,美国政府也正面临着越来越不利于其“世界警察”身份的国际数据环境,要此时出台新法案,意在尽可能地绕开其它国家相关数据法律的限制。

二、美国CLOUD法案带来的影响

(一)在数据安全领域将引发新一轮国际争议

CLOUD法案的出台,在世界各国均高度重视数据安全的当今,必将引发新的争议。一是CLOUD法案赋予了美国执法机构极大的管辖权,其可调取美国服务商控制的存储于任何国家的数据信息。这将触及别国的数据安全底线,特别是那些要求数据跨境审查或是禁止跨境数据流通的国家,可能会出台类似欧盟废除《安全港协议》的对抗措施。二是CLOUD法案允许“合格”的外国政府向美国境内的组织直接发出调取数据的命令,而外国政府是否“合格”,则由美国总检察长与国务卿达成一致意见后具体做出认定。这种明显不对等的数据流通规则,可能会受到美国盟友的欢迎,更可能会遭到“不合格”国家的反对。目前,已经有不少国家和组织表明了对该法案的态度。一方面,英国等国家表示欢迎。英国首相特蕾莎梅公开表示支持该法案;澳大利亚声称,“鉴于总部位于美国的众多技术和通信公司具有的规模,CLOUD法案有可能对执法部门大有助益。澳大利亚欢迎美国在这个问题上发挥领导作用。”另一方面,一些国家政府和组织机构反对该法案。爱尔兰坚持通过国际司法协助协定解决跨境数据流通问题。人权和互联网权利组织认为,CLOUD法案基本上允许美国从世界任何地方获取任何数据,并使外国政府更容易监视自己的公民。

(二)给美国跨境云服务公司带来运营困难

CLOUD法案赋予美国政府跨境获取用户数据的权力,将会使得美国跨境云服务公司处于相对困难境地。一是CLOUD法案生效即默认美国与其它国家共享数据成为法律共识。如果某些国家反对该法案或是没能通过“合格”认定,美国云服务商在这些国家建设和运营数据中心便会面临一系列障碍。例如,CLOUD法案虽然赋予了美国企业提出抗议的权利,但是否提出抗议由企业自行决定,这势必会加剧其它国家对美国企业的不信任。二是其它国家很可能出台针对性政策使美国云服务公司面临更高的合规成本。欧盟新的《通用数据保护条例》即将正式生效,对数据中心实行严格监管,将会对美国企业施行更为严苛的标准控制。即使在支持CLOUD法案并与美国签署双边数据共享协议的国家,美国云服务商也将面临用户的质疑。多番价格战之后,云服务已趋于“薄利多销”的盈利模式,政府及大型企业、传统行业巨头等大客户成为云服务商们争夺的重点。这些大客户特别是以银行为代表的金融机构和政府相关机构对数据安全和数据主权都非常敏感,肯定不希望自身的用户数据被美国或其它国家执法者调走,很可能拒绝再使用美国公司的云服务,从而会使美国云服务公司在市场争夺中处于劣势。

(三)对我国数据安全和云服务市场的影响

美国CLOUD法案给我国数据安全和数据主权带来了新的挑战,也将影响我国的云服务市场。《网络安全法》明确规定,涉及到关键信息基础设施运营中收集或产生的个人信息,如确需向境外提供的,应报请行业主管或监管部门组织安全评估,CLOUD法案显然与我国的法律有冲突。近年来,美国云服务商进入中国市场均采用了与本地厂商合作的模式,微软和世纪互联、亚马逊AWS和光环新网等,通过多种合作方式在国内提供云服务。按照美国法律的基本原理,这类企业很可能会被纳入CLOUD法案的适用范围,我国的数据安全和主权势必将受到该法案的威胁。此外,该法案也将影响我国云计算市场的格局。一方面,尽管国内云计算市场的大部分份额掌握在中国企业手中,但据摩根士丹利数据,中美合资云服务商已占据我国20%的市场份额,而CLOUD法案有可能推动国内客户逃离美国云服务商,使美国企业在国内云计算市场的份额进一步萎缩。另一方面,也可能加快我国云服务企业“走出去”的步伐。目前,阿里云的数据中心已经拓展至美国、东南亚、中东等地区,腾讯云部署了6个国际数据中心,我国企业已经具备开拓国际市场的能力。CLOUD法案在给美国云服务商带来麻烦的同时,也会给我国云服务商带来机会。但是,也要警惕可能的威胁,当前中美贸易摩擦很可能波及我国云计算企业,据《华尔街日报》称,美国贸易代表办公室(USTR)正在考虑发起新的301调查,以反制中国在云计算与其他高科技服务领域的所谓“不公平限制”——中国限制美国云计算企业在华独立运营,而阿里云等中国企业在美运营不受限制。如果USTR付诸行动,设定针对性限制条款,阿里云可能将无法继续在美国提供云计算服务。不仅我国云计算企业的国际化发展将受到掣肘,采用阿里云服务的企业相关海外业务也将受到影响。

三、对我国的启示

(一)及时调整我国数据流通政策法规

一是有针对性地完善数据安全法规,加强对我国境内美国数据中心的安全监管,强制实行安全评估,并限制其对涉及我国公民个人信息等重要数据的跨境流通,确保我国数据安全不受该法案影响。二是合理调整与美、欧等国家和地区的网络、数据相关的国际合作协议,维护我国的数据管理权和数据控制权,确保数据主权不受美国等别国的侵蚀,避免国际争端。

(二)加强在数据流通领域的国际合作

一是顺应“网络强国”战略、“一带一路”倡议等,积极在数据流通领域提出正面倡议,向国际社会表达我国维护数据主权的决心,努力营造公平、清朗的国际网络空间,避免美国借该法案扰乱国际网络秩序。二是加强数据安全研究领域的国际合作,鼓励产业界、法律界专家进行深入研究,推动更安全的适合云计算时代的国际数据流通方案的诞生。

(三)鼓励我国云计算企业积极应对

一是鼓励我国的云计算企业把握好时机,进一步抢占国内市场,加快“走出去”的步伐,积极开拓国际市场,不仅提升自身竞争力,也助力其它行业企业加速出海,形成中国企业在海外的合作发展生态。二是鼓励“走出去”的中国云计算企业在严格遵守我国数据安全法律的基础上,注意不触犯美国的相关法规,不给美国政府借机发难的理由。

智库介绍

        赛迪智库是中国工业和信息化领域的知名思想库,直属于国家工业和信息化部中国电子信息产业发展研究院。自成立二十余年以来,秉承“面向政府,服务决策”的宗旨,赛迪智库专业从事软科学研究工作....[详细]

免费空间赞助商: VPS测评 | VPS技巧 | LocVPS | 51IDC | YardVPS | SEO | MD5 | 网赚 | HHVM | DreamSpark | SiteMap | noFrev |
组织机构