云技术泛滥之忧.doc

云技术泛滥之忧 发表评论(0) 编辑词条 目录 云技术泛滥之忧 法律条文使云计算更规范 参考文献 云技术泛滥之忧编辑本段回目录目前监管部门对于云技术并没有明确的规范，云技术厂商应当按照现行的法律规定、公认的商业道德来规范自己的技术和行为文 本刊记者 吕斌中国互联网产业一向不缺乏“混战”，诸如360、百度、金山、搜狐、可牛、腾讯等等，恶战名单几乎囊括了所有一线的互联网企业。而近段时间以来，互联网产业最大的“战事”毫无疑问就是腾讯与360的大战。时至目前，这两家知名IT企业上演的恩怨纷争暂时已告一段落，但却留给外界诸多反思。与以往的纷争不同，“3Q大战”在一开始便演化为针锋相对的公开化对峙。虽然孰是孰非尚难下定论，但其中凸显的互联网行业在监管、客户服务、垄断、不正当竞争等方面的问题，均十分令人关注。此次恶战，或许是各界重新审视互联网产业发展模式的开始。360公司目前使用的安全技术号称“云查杀”，据说这一种新型的、功能极为强大的技术，360公司也将此项技术作为自己产品的一个重要宣传点。在“3Q大战”中，最初的导火索正是360基于“云查杀”技术推出的“扣扣保镖”产品，这款专门针对腾讯QQ软件开发的产品，被腾讯视为超级病毒和非法外挂。一位法律人士分析，360利用云查杀技术专门针对腾讯软件，其动机本身就值得怀疑。此外，“扣扣保镖”对于腾讯软件的所谓“优化”行为也涉嫌侵权。作为软件而言，无论集成了什么广告、新闻弹窗、周边软件等，都是该软件的一个组成部分，如果对于该部分进行修改即是侵犯了软件著作权。该人士认为，“扣扣保镖”不同于一般的优化软件，优化软件参数本身不构成侵权，但其所提供众多涉及软件本身一些功能中的包括去广告、去新闻弹窗功能等已经属于提供避开他人技术措施程序的行为，已属构成侵权无疑。11月3日晚，360宣布扣扣保镖下线，尽管360公司并未承认扣扣保镖存在安全问题，但“下线”行为本身还是令外界浮想联翩。除360宣传的云查杀外，我们还经常听到云计算、云搜索、云存储等名词，作为互联网领域的新一代技术，云技术的强大不容置疑，但功能强大之余，一些问题也随之而来。云端服务器的控制者或者指令发布者的行为会在很大程度上影响到用户的系统安全、数据安全和市场竞争秩序的正常。而在云技术应用普及的同时，其自身发展也还处于摸索状态，且截至目前，并未有相应的监管及规范出台，这一系列问题都亟待解决。“云泛滥”现状堪忧“据我所知，目前并没有一个比较权威的云技术标准。”知名互联网法律专家、北京盛峰律师事务所主任于国富律师在接受法人记者采访时表示，甚至有很多厂商为了“赶时髦”而将自己的技术与云技术扯上关系，目前“云泛滥”已经有明显的迹象。据于国富律师介绍，目前主要的互联网应用都已经走上了“云端”。甚至还出现了一款名为“云端”的软件，据说可以将本地电脑安装的所有软件也放到服务器上面和他人同步，达到云软件的部署，可谓“处处皆有云”。通常来讲，“云”是指通过网络以按需、易扩展的方式获得所需的服务。这种服务可以是IT和软件、互联网相关的，也可以是任意其他的服务。“云计算”将所有的计算资源集中起来，并由软件实现自动管理，无需人为参与。这使得应用提供者无需为繁琐的细节而烦恼，能够更加专注于自己的业务，有利于创新和降低成本。“与以往的互联网技术相比，云技术确有其先进之处。”于国富律师表示，这项随着互联网带宽的不断增加而得到广泛应用的新兴技术，一个最重要的特点在与云端和客户端之间的互动性，而这种互动性要求良好的互联网接入。在保证互联网接入畅通，带宽充足的情况下，云计算可以调动众多客户端和服务器之间进行协同计算、存储，从而大大提高运算速度和效率。同时，云存储也极大提高了我们数据的安全性，避免本机数据孤岛一旦出问题而发生的数据无法挽回的丢失。在资深互联网人士、北京奥兰德尔广告有限公司总经理周喜看来，360公司所使用的“云查杀”技术，只是一种针对计算机内的相关文件进行高速扫描和排除可疑病毒文件的技术，在杀毒软件领域，类似的技术并不罕见。“只是360公司把其作为了自己产品的重要宣传点。”周喜表示，互联网的安全只是相对的，几乎每一款杀毒软件都会对安装用户的终端所有文件进行扫描，如果从信息安全泄漏来说，也都存在着相应的风险。所以“云技术”本身并没有对错，关键看其使用者的目的何在。云技术是把“双刃剑”“任何事物都有好坏两面，云技术也是一把双刃剑。将其用在正当途径上，可以成倍的增加我们的效率；但是如果被用在不正当的用途，甚至是非法用途，同样可以带来更加严重的损害后果。”于国富律师对法人记者表示。鉴于安装有云查杀客户端的计算机会根据云端服务器的指令而查杀任何符合云端指令的程序或者文件，云端服务器的控制者几乎有着“生杀予夺”的大权。如果云端服务器的控制者希望通过自己的特权打击竞争对手的话，众多客户端所在的计算机就成了被控制的“肉鸡”，后果不堪设想。我国的互联网产业，在国家大力倡导和积极推动下得到日益广泛的应用，对于经济、科技的发展和社会服务信息化进程具有重要作用。但与此同时，如何保障互联网的运行安全和信息安全问题也引起了全社会的普遍关注。360公司是安全领域较早抛出“云安全”概念的企业，但很多用户对这项技术却是“云里雾里”，感觉其高深莫测。在腾讯公司看来，在巨大的商业利益面前，360推出的“扣扣保镖”发起了“云安全”打通“后门“的战役，“云查杀”沦为“扣扣保镖”上传用户隐私的“云盗窃”。11月15日，国内知名第三方反病毒机构瑞星最新发布技术分析报告表示，“扣扣保镖”除了拥有其宣称的11大类可见功能之外，至少还存在4个隐藏功能，这些功能仅针对QQ，且都具有用户不可见、不可控制等特性。这些隐藏功能随时处于活动状态，并且可由360公司远程开启。云计算是一种崭新的服务模式，它影响着传统的信息安全领域。特别对于传统的反病毒和入侵检测及防御厂商而言，他们利用云计算平台，大大提升了服务能力和水平。但用户的信息安全风险也由此加大，用户在选用这些服务时，首先应清楚地了解使用云服务的风险所在。“因此，云技术给现代法律制度提出了很多新的挑战。”于国富律师认为，从侵权法角度来看，一旦云端服务器控制者、云端指令发布者由于故意或者过失导致数据丢失、查杀失误、计算错误甚至客户端计算机软硬件损坏，就会构成侵权责任法中规定的侵权行为；从反垄断法角度来看，对于处于相关市场支配地位的经营者来讲，一旦使用云技术的巨大力量实施打击竞争对手的行为，将在很大程度上涉嫌垄断。监管比自律更重要2010年10月15日，第一届中国信息安全法律大会召开，来自工信部、公安部等监管机构的多位专家均表示，网络信息安全涉及政治、经济、文化、技术等多个领域，是必须引起高度重视的问题。国家工业与信息化部信息安全协调司欧阳武副司长在会上表示，网络是多属性的基础设施，信息安全领域的研究应把完善信息安全管理体制作为重点，建立健全信息安全协调机制。“目前监管部门对于云技术并没有明确的规范。”于国富律师认为，目前云技术厂商应当按照现行的法律规定、公认的商业道德来规范自己的技术和行为。“云技术也好，其他技术也好，都需要规范才可以被有效和正确的使用。”资深互联网人士、北京奥兰德尔广告有限公司总经理周喜也表示。于国富律师认为，对于云技术的规范问题，应从3个方面着手：1、云计算的技术安全性。考虑到云计算一旦出现技术缺陷，造成的影响将远远大于传统电子计算方式，所以首先要出台云计算的安全规范，保障参与者的数据安全。2、信息利用规范。云计算的重要特点是不同客户端与云端的大量信息交互。在交互的信息中，有很多是企业的重要商业秘密信息和个人的隐私信息，如何避免这些信息被非法获得或者滥用，也是一项非常重要的课题。3、垄断限制规范。某一项云技术的客户端足够多的情况下，云技术的经营者可能获得巨大的市场支配地位，如何规范其市场支配地位，避免其通过垄断地位攫取非法利益，是非常重要的命题。显然，这些问题的根本解决，不能仅仅依靠云计算提供商的自觉性，因为作为伴随市场竞争和商业利益出现的这一新技术，很难通过企业自律解决“硬伤”问题。在这种情况下，监管部门或相应权威技术部门的强制性规范就显得很有必要，比如由国家出台新规，要求云计算公司采用必要的措施保证服务的安全性，并对云计算企业强制进行合规性检查。“针对云技术的立法研究是非常有必要的，但我认为目前专门的立法并不可行。一方面，我国是成文法国家，立法和修法过程都会非常严谨漫长；另一方面，云技术是新生事物，我们对其理解和运用都还非常不成熟。”于国富律师表示，目前最可行的办法是，先通过出台相应的司法解释或者行业规章，甚至是行业协会的民间规范，通过实施积累较丰富的经验后再考虑专门立法，这才是最稳妥的规范途径。法律条文使云计算更规范编辑本段回目录云计算与传统应用模式相比有着突出的优势。除此之外我们也不能忽略云计算它的一些破坏性的价值。尤其是具有长期破坏能力的“公有云”。这正如云在经济上的帮助非常引人瞩目，因此，围绕它的安全和法律相关问题也将会得到最终的解决。但是，最近我们注意到，已经出现了一些有趣的法律纠纷，集中在公有云上的私有信息保护上。最新的一份来自Gartner的分析师AndrewWalls的研究报告指出，企业会非常简单的认定，能够自主管理的IT环境要比公有云环境安全多了。“当你建立起私有云并且开始思考，这就是我们旧数据中心的标准，我们现在只不过是改变了标准的操作方式，我们所做的并没有什么实质上的真正改变，这是一个很大的问题，也正因此，数据中心的经理常常会在安全节目上表态，虚拟化将会造成什么样的实际影响。”“他们认为这样会导致一些些的风险，因此不会去采用它。但是我从一个数据安全组织成员的丰富经验来看，公有云中的管理员遍布世界各地，在公有云中的数据犯罪案件并不会比在企业封闭的IT环境中高很多。”所以，Walls认为，许多(大多数)IT组织并不了解虚拟化会如何改变安全格局，至于云计算则更加茫然。所以这些组织不能很好的管理公有云服务供应商提供的基础设备。Walls认为，云计算的大规模推广现阶段可能性不大。对于企业而言，这里边有太多的变数。实际上，无论是从技术上还是企业组织的实际情况，有一个因素，对于企业和云服务商而言，都能增加安全风险的控制，这就是法律。如果忽视这个就意味着企业不能完整的评价IT环境的安全性。有些法律影响着数据的管理和控制这里有两个主要的“威胁”和法律以及云有关。首先是要明确法律用户，如何规定在数据存储上的安全问题和处罚措施，欧盟的数据隐私保护法可以作为一个参考。英国在1998年制定的数据保护法略有不同，而美国现行的出口管制法律则非常有意思，似乎可以作为一个参考标准。“风险”是云服务供应商无法保证用户留在云端的数据已经他们在数据的传输过程中不会违法这些法律之一。在IaaS模式下，用户通常在这方面具有很大的 责任，但在PaaS和SaaS的环境中，用户对于大部分数据，并不清楚它们的处理过程和存放的位置。归根结底，用户的数据是在法律约数的范围之外进行使用 的，这就很大程度上导致了用户对于数据的不可控，在公有云中，这样的风险还会继续增加。云计算缺乏判断第二类是风险法律面对云计算而设立，但是，未来在全国范围内会有更多更邪恶的安全威胁，诸如如何对待云、云服务的供需双方都有什么权力以及用户如何确保数据和知识产权的完整性等等问题都尚未解决。这里我们涉及到了美国宪法第四修正法案里关于禁止非法搜查的问题，在云计算上的安全问题我们可以参考下EMI和MP3之间的官司纠纷。三年前，百代唱片起诉它的创始人和CEOMichaelRobertson，称其在互联网上故意侵犯版权，百代唱片表示，MP3和它们的姐妹网站S(一个数字媒体搜索引擎)在设计上有误导消费者侵犯版权的嫌疑。Robertson辩护称，网站仅仅为最终用户提供了存储功能，根据之前的千年版数字安全版权保护条例，只要用户删除了包含有侵权的内容，就可以免于被起诉。在这个案例中，云存储服务商找到了一个让他们免于刑责的方法，就是及时删除侵权数据。即使我们能够确认是MP3tunes的发现并且推动了侵权活动的 进行，但是我们没有法律去证实这一点。发现问题没有，这里就出现了一个危机，云存储服务商可能因为规避法律问题而私自处理你的数据!而另一方面的危机来自于物理设备所有权的控制，你的数据可能会遭受到。想象一下，你的云服务供应商被发现违反了联邦法律中涉及的内容，FBI决定扣押他们的服务器和磁盘上的内容以进行进一步的调查，这时候，你的数据在这个假设的情况下，你有可能得到你的数据备份吗?你有什么权利?根据2009年德州托管商案件，其中200名被检系统其中绝大多数属于供应商的客户，而不是被调查供应商得到的数据将会很少，补偿就不要想了。没有单一的“更好的方案”云我不想在这里夸大云计算的风险。我们已经在和托管、外包打交道很久了，这其中鲜有法律方面的“灾难性”问题。供应商一般都会意识到这些问题，并提供架构或功能，以帮助符合法律要求。从长远来看，这些问题会自我解救出来，在公有云环境将日益普及之前就得到解决。然而，这