隐私“保护法”

　　2013年6月，爱德华·斯诺登所曝光的美国国家安全局“棱镜”项目，引起世界舆论一片哗然。这名前中情局（CIA）职员向世界公布了该秘密项目的内容，这其中包括要求电信巨头威瑞森公司，必须每天上交百万用户的通话记录。据《华盛顿邮报》披露，过去6年间，美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器，监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。

　　在如今崇尚自由的社会里，个人、集体对于隐私的保护愈加重视。另一方面，我们所处的大数据时代又将信息管理与服务的潜力进一步挖掘，隐私信息正逐渐以一种“共享”的形式被存储。对个人来说，人们的分享欲被提升到了极致，越来越多的个人信息被经过各种渠道分享到网络；于企业而言，云计算环境下的数据对网络和服务器的依赖，令客户对云计算的安全性和隐私保密性存在质疑。

　　2012年1月，亚马逊旗下美国电子商务网站Zappos遭到黑客网络攻击，2400万用户的电子邮件和密码等信息被窃取。2012年3月，东软集团被曝商业秘密外泄，约20名员工因涉嫌侵犯公司商业秘密被警方抓捕。此次商业秘密外泄，造成东软公司损失高达4000余万元人民币。时下，类似的安全事件屡见不鲜。

　　定义隐私

　　关于隐私的定义，最早可以追溯到美国法学家沃伦（SamuelD·Warren）和布兰戴斯（LouisD·Brandeis）于1890年在《哈佛法律评论》发表的一篇文章《论隐私权》，它是指自然人自身所享有的与公众利益无关，并不愿他人知悉的私人信息，这一定义在后来逐渐得到全世界各国的普遍认同。

　　从网络隐私权的角度来说，法学界至今没有形成统一的看法。有学者认为这是指公民在网络上的个人数据信息、隐私空间和受法律保护，禁止他人非法知悉、侵扰、传播或利用的权利。但受制于网络环境的开放性、虚拟性、交互性、匿名性等特性，当我们将隐私保护的概念放置在互联网的情境中之后，一般的保护手段常常显得无能为力。

　　在云时代，正如美国军事安全专家雷格·康蒂（Greg·Conti）所担心的：云计算在给人们带来巨大便利的同时，该服务中所存在的不足，也将危及企业用户和普通网民的隐私安全。我们也可以看到，目前，各IT公司都把安全和隐私的问题置于比较重要的位置。2008年底，谷歌宣布其应用程序通过安全流程审查，IBM也在管理和技术上致力于研究解决云安全的问题。

　　2010年，世界隐私论坛发布一份报告称：倘若企业期望通过利用云计算服务来降低IT成本和复杂性，那么首先应保证这个过程中不会带来任何潜在的隐私问题。IDC对CIO和IT主管的调查也显示，安全仍是云计算主要关注的问题。约75%的受访者表示，他们担心云计算安全问题（包括隐私安全）。于企业而言，如何管理隐私，保护隐私，也成为基层员工及企业领导者关心的问题。

　　云计算的隐私威胁

　　此前，据美国科技类博客TechCrunch报道，谷歌曾向部分在线文档和电子表格服务用户发送通知称，曾在未经用户许可的情况下，误将用户的部分文档进行共享，这也为云计算的安全问题敲响了警钟。

　　英国电信认为云计算是这样一种设施和能力，即通过搭建一个融合的网络和系统平台，将所有应用，无论是自主开发的或是与第三方合作伙伴共同开发，都放置于其中，然后以服务的形式提供给用户。

　　从资源管理的角度来看，云计算的特点可以概括为动态、智能、随需、即对资源合理的掌控与分配。这种“智慧化”资源管理模式（云计算模式）的重要核心之一是，数据的存储和安全完全由云计算提供商负责。

　　目前，云计算的标准尚未统一，这也为其带来了无法预料的风险性。国外研究机构Gartner发布的一篇名为《云计算安全风险评估》的报告中，列出了云计算技术存在的七大风险，即：特权用户的接入；可审查性；数据位置；数据隔离；数据恢复；调查支持；长期生存性。

　　从《云计算安全风险评估》报告所罗列的七大风险也可以看到，云计算的隐私安全问题大部分在服务器端。倘若将数据存储在内网中，进行物理隔离或其他手段进行保护，是可以较好地避免隐私外泄的，对于隐私保护来说云计算提供商完全负责数据的存储和安全，存在更大的风险。倘若有效的安全保护缺失，“云”中的每一台计算机都可以通过一定的手段访问到其他节点，实现对其他电脑的控制。

　　云计算模式下，安全很难再依靠机器或网络的物理边界得到保障。数据集中存储，物理资源共享为企业或个人带来了新的数据安全和隐私危机，增加了服务器端数据和用户管理的困难，令其存在用户管理、存储安全、提供商的监管和审计等方面的隐私安全风险。

　　隐私保护对策

　　对于隐私权的保护，通过单一的手段是远远不够的，需要有一个完备的体系，涉及法律、技术、监管等多个层面。

　　虽然互联网早已走进了人们的生活，但我国关于网络隐私权保护的法律，依然没有明确的规定和条文说明，网络隐私保护相关的法律只是零星分布于其他法律中。如《民事案件案由规定》首次将“隐私权纠纷”设为独立民事案由；我国宪法、民法、刑法、诉讼法及《未成年人保护法》、《统计法》、《银行管理暂行条例》等法律、法规中有关于隐私权保护的零散规定。

　　对于隐私管理，中国人民大学计算机系副教授梁彬认为应该着力加强“防患于未然”的举措。在梁彬看来，隐私保护问题已经不可避免，应当靠行业自律和法律来规范和解决，“安全隐私问题未来会更复杂，智能手机会遇到的问题比桌面端更大。”他建议，“安全行业要向前发展，必须要靠行业自律和相关法律的威慑。”

　　从技术层面来说，传统的技术也可以在一定程度上保障云环境用户网络隐私权，这些技术主要包括加密机制、安全认证机制、访问控制策略等。此外，云计算与可信计算的结合，也是一项保证云安全的有效措施。

　　要实现对云计算服务的有效监管，也可设立以政府为主导的可信的第三方监管机构。监管机构对云计算的可用性，安全性进行监督和管理，以保证云计算提供商提供的服务的质量。第三方监管机构除了进行监督与管理外，还需要对云服务提供商进行审计、评估等等。

　　服务等级协议(SLA，ServiceLevelAgreement)是明确各方权利与责任的较好机制。服务等级协议在保证服务质量的同时，另一方面，确定了双方的经济关系和赔偿机制。监管机构应该根据协议的要求，对云服务进行各方面的监督，以保证用户和服务提供商的权利和利益。一旦出现违反服务等级协议的行为，监管机构可以为其要求合法赔偿。

　　隐私管理闭环

　　从企业角度来看，采取适当的手段进行隐私管理，可以大大减小隐私曝光的风险。武汉志欣合众网络科技有限公司CEO金欣提出，要最大程度上减小因管理漏洞带来的隐私风险，需要着眼于四方面，我们暂且称之为隐私管理闭环。

　　隐私管理需要遵循技术管理的相应原则。在数据安全和个人隐私方面，可借鉴美国的立法、管理和技术等系统化的保障体系。美国国家标准与技术研究院(NIST)在云计算基本概念、技术路线图、标准路线图方面的sp800和sp500文件已经成为全世界研究这一领域的蓝本。而在标准蓝图中所涉及的云计算用例、可交互性标准、可移植性标准和云计算安全标准也引导了这一领域的创新和应用。

　　另一方面，也要看到企业技术能力是否与管理要求相匹配，这需要长期严格的制度执行。在确保制度无问题的情况下，严格执行流程，同时建立相应执行监督机制。在各项管理措施得到落实后，则需要建立完善的事后追溯流程，对于事件造成的起因、经过、结果进行记录和总结，以预防类似事件再次发生。

　　在Forrester的《数据安全和隐私指南》中提出了构建隐私管理框架的五个步骤。

　　第1步：定义数据隐私的范畴。企业需要根据企业业务的延伸范围，了解相应国家、地域的相关法律条文。另外，个人数据的定义在不同地区之间也有很大差异，如果企业或个人对于所要处理的数据的类型和划分理解不当，就无法辨识其是否为个人信息，更谈不上加以适当地保护了。

　　第2步：明确企业的角色和责任。有些被误导的企业经常将数据和隐私保护的所有责任交给安全专家。由于专家们负责管理并保护企业的数据，因此通常就被认为也应该负责兼顾相应的法规条例。事实上，根据Forrester在2012年对2383位IT经理和技术负责人的调查，有77%的受访者认为至少应该负有一半的责任。由于法律相关知识的缺乏，技术出身的安全专家们必然会将一部分责任转移。但是，要注意防止这造成企业中的另一个藩篱，正如一家咨询公司的高级合伙人所描述的，“人们一听到个人数据，就认为是IT的责任所在，而IT又认为这是属于安全方面的事务。实际上，这其中很多事情超出了数据保护、IT或者安全的范畴。”作为应对，应该考虑雇佣一位专业的隐私专家或者首席隐私官（chiefprivacyofficer），以确保整个企业都在合规方面举措得当。

　　第3步，建立法规和业务要求之间的映射。根据客户的反馈，隐私管理最常见的挑战是将各项标准转化为实际业务中的要求并贯彻到实践中。对大多数企业来说，要达成法规和业务的一致是相当复杂的。因此应该首先创建内部控制的映射工具。一家全球著名企业的首席隐私官透露，该企业于近期采用了一种在线工具来完成法规到流程的映射。在全球各地律师的协助下，他们梳理了相关的法规要求并把工具内嵌到业务流程中。尽管有时还需要人工的干预，该工具已经可以让项目进行自决策，仅在特殊情况下才需要借助外部的法律援助。

　　第4步：让隐私保护成为企业的文化。隐私保护必须成为企业的一种内在文化。首先企业需要认识到当前存在的缺陷，然后制定计划进行纠正，最后以政策和流程的方式加以落实。在整个过程中，坚持显得尤为重要。

　　第5步：跟上变化的步伐。在梳理清合规要求并有明晰的框架构建理念之后，随之而来的是，管理者可能要应对法规条例的不断变化。毕竟，对隐私的保护是一个相当复杂的过程，无论对政府或者企业来说，目前都尚处在不断完善的过程中。

　　隐私保护问题虽是云计算普及过程中需要解决的一大难题，但随着云计算的发展及相关标准的成熟，隐私保护的相应措施将会更加完善，云计算也将像互联网上的其他应用环境一样，深刻地影响我们的生活方式。

　　张燕