2018年3月21-22日，由中国信息通信研究院主办、中国通信标准化协会支持的"OSCAR云计算开源产业大会"在国家会议中心举行。

随着云计算技术的日益发展，并开始进入“深水区”，开源技术与云计算融合的程度进一步加深，并开始成为产业发展的重要支撑。"OSCAR云计算开源产业大会"将邀请行业内多位大咖与权重人物共同探讨、交流云计算开源技术、研发、治理、产业化方面的经验，探索开源与云计算的创新发展新路径。

北京浩天安理律师事务所管理合伙人王新锐《云服务中数据保护相关的法律问题》演讲全文：

感谢刚才主编的介绍，提到了这个案子，我稍微也会讲讲，我觉得非常有意思，因为它并不是我们前段时间关注的facebook的案子，据我所知，中国的监管部门在一年以前就开始关注这个事情，后面我会讲讲跟今天的主题有什么关系。我想在个人信息保护问题上，跟我们云服务提供商关系是非常大的，而且关系会越来越大。

先讲一个题外话，我自己接触到这块是在2008年，当时我在一家美国律师事务所的中国办公室工作，当时外资很多大型的跨国公司都向我咨询说中国关于个人信息的立法、中国关于隐私的立法。当时我们看到这个问题的时候两眼一抹黑，在2008年的时候，当我们提到中国个人信息保护的时候，我们是说不出什么东西来的，我们找不到太多的法律依据，只能模糊的从隐私权的角度来讲，并且也会去保护。但实际上在2008年的时候，中国法律连隐私权保护也是很不充分的。

但是到了2018年这个时间点，中国在立法上关于个人信息的保护是比较全面的。我们之前在协助中国人民银行、包括跟网信办、工信部都有一些合作，研究了很多国家关于个人信息保护的立法，实际上中国在个人信息保护立法目前来说是比较全面、比较细致的。甚至我要讲讲可能中国有一些立法上的规定，目前来看是全世界最严格的。比如说两高的司法解释中关于个人信息的界定，你发现是全世界最严格的之一。所以对于我们整个服务商接下来会有很大的影响。这十年内的变化，为什么中国对个人信息保护、对用户数据的保护提升到这样的高度，提升到总书记批示的高度，很大程度上是跟中国互联网行业的高速发展有关。现在是一个重点节点，facebook事件出来以后，我相信对于我们的数据保护会产生重大的影响。

我今天会讲三块内容，第一部分是风险，第二部分是合规的法律规定，第三部分是合规的建议。风险部分，前面几位嘉宾都有提到，刚才付处提到了风险中最大的一块是关于用户数据，我觉得对于云服务商是很尴尬的，云服务商在中间提供的对用户数据的掌握不是一个完全的掌握，是数据在我这儿，但是对用户数据的细节是不掌握的。我不知道大家做这个业务有没有听说过一个案子，之前《我叫MT》游戏开发商起诉阿里云，阿里云败诉，当时讲的是作为游戏服务商起诉阿里云，说你上面有一个侵权，你应该把这个删除。阿里云当时说我作为云服务提供商，我不能进入到用户的具体数据，这些用户数据只有看到司法判决，我才能提供给你。但这个案子在法院一审阿里是败诉了，当然这个案子我自己认为会对云服务提供商都有一定的影响。这就是作为云服务提供商对用户数据的掌握不是一个完全掌握，他的掌握是部分存储在我这儿，比如说iCloud的数据，作为苹果来说，这个数据是在上面的，但是你能随便利用这些数据吗？讲到网安法规定的时候，这里有很多法律规定的冲突问题，我觉得可能对我们云服务提供商是矛盾交织的。简单来说，你作为网络运营者你有很多的义务，比如说对于防范有害信息传播，这是一个很强的义务，对于腾讯、新浪、百度都受到了处罚。但是我作为服务商，我在上面存储的有害信息，我怎么碰它？所以这又是一个法律解释上的冲突问题。当然我们也会讲讲我们的看法。

我今天列了几条，第一，数据控制者对于个人数据缺乏有效的控制。最开始的时候，封莎也提到了，在云服务中用户数据的所有者和控制者是分离的，控制者对于这个数据的控制其实是局部的，不是完全的，他缺乏对数据的控制。这个过程中会产生一旦数据泄露，比如像facebook这个例子特别明显，facebook的这些用户在不知情的情况下，或者在不完全理解这件事情的情况下，他的数据就会传播出去。

大家可以看到一个细节，facebook这个案子下载的程序是26万人下载那个CA公司提供的一个APP，但是它产生了有可能是5000万的用户数据泄露，那些人完全是躺着中枪，那些好友在完全不知道的情况下，自己的数据就产生了泄露。所以，作为中间做服务的，包括云服务提供商也有同样的问题。数据处理缺乏透明度这个其实是相关的，对于服务提供商你在过程中怎么样去进行数据处理，要不要进行数据处理，如果你不进行数据处理，假如国家对于平台、对于运营者的安全上有些义务，比如说有害信息的处理，你怎么办？数据的泄露和滥用，这个大家都好理解，在这个时代我们再提数据的滥用，我觉得大家已经都有一个认知了，但是之前我们听到一些云的服务提供商，在他的商业模式中包含了用大量的数据挖掘，到一个程度其实是能够把很多用户存储在上面的信息挖掘出来使用的。这种挖掘合法性和正当性在什么地方，这里涉及到了用户、云服务商，很多云服务在上面有很多接口，是有其他第三方的，比如图象识别、云识别，他是把很多服务集成在云上的。这些第三方服务商，比如说人工智能技术的处理方，它跟云是什么关系。数据删除不彻底这个好理解，如果中间该停止这个服务，我的数据删除掉了，他要继续使用有什么样的问题。跨界传输对于大家是一个越来越大的问题，随着配套措施现在正在征求意见，对于大的平台来说都会涉及到这个问题。但是如果你现在运行的说我就是提供给中国境内的商户，我就是来给他们提供服务，其实这个问题还好。

第二部分，合规要求主要是来自于网安法，我想把有关于这部分稍微梳理一下。网安法对于大家来说，其实是一个相对抽象的法律，这个法律的特点是它比较有原则性。网安法在立法过程中也提到把一些具体的制度要去跟一些后续的法规去进行衔接，意味着大家看到网安法的时候会有些疑惑，有些规定在落地时怎么执行，可能会有这样一些问题。我觉得我们作为云服务提供商，您肯定毫无疑问要受到网安法的管理，一个是网络安全保护制度和核心网络运营保护者的义务，一方面你要保证安全，另一方面你跟用户数据和隐私保护之间的冲突。在网安法中专门有一章是关于用户个人信息的部分，当然我觉得可能还是一个技术创新，其实有很多时候对于一些文件的识别，对于一些有害信息的识别，到时候怎么样把它识别出来，同时又能脱离用户信息。

有一段时间大家可能注意到了网盘脱离服务，还有你存在云盘的信息可能没有了，比如说盗版的视频，包括一些淫秽色情信息或者有害信息。这一部分就涉及到了如果将来有用户去挑战说你凭什么把我的信息删了，到底你是从有害信息的角度是更高的，还是说用户的个人信息。刚才我提到的阿里云的案子其实就是一个问题，作为平台来说，当我去完成我的安全保护义务时，我跟用户个人信息这部分是怎么样的一个关系。

个人信息这块我多讲两句，这一块之前是全国人大有相应的规定，之后比较大的一个变化实际上就是《网络安全法》中关于个人信息的规定，之后出了一个非常非常重要的目前还没有引起大家注意的就是个人信息安全规范，作为企业来说，尤其是作为云服务提供商来说，我觉得完全适用于拿来作为合规指南使用。因为这有关在网安法颁布以后，个人信息怎么处理的问题。大家注意到十家大的网络安全公司做了个人信息保护的修改，就是根据这个个人信息安全规范，今年5月份会生效。这里面很多东西就涉及到前面说的这些具体的个人信息合规的角度，实际上这个角度特别简单，我觉得我们可以把它归结为非常简单的原则，个人信息的保护首先就是用户知情，如果用户不知情，要让用户明示同意。所以在收集用户信息过程中，是要让用户同意的。这里对于云服务商来说有什么建议呢？当你跟第三方商户合作的时候，他去收集信息的时候是不是在通过什么样的方式能够获得用户的授权，而且非常明确的一点，如果你的行业比如说你是做跟医疗有关的，医疗云、金融云、教育云，这些云里其实有很多很明显的行业涉及到用户的敏感信息，比如金融类、医疗类的信息，包括未成年人，这些信息都是敏感信息，这个过程中一定要获得用户的明示的授权同意。

个人信息的规定口子是什么？要不然就做匿名化，要不然就去获得用户的同意。其实我觉得这个事情的法律规定非常复杂，规范涉及到很多细节，但作为律师来说，我们给企业提供建议就两大点，要么获得用户授权，要么匿名化。因为个人信息核心的原则就是可识别性，什么叫个人信息？这个概念就是强调我直接或者间接结合其他信息识别你。比如说在会场这些人，最后能精确识别到一个人，这就是个人信息，如果识别的是这三五个人中的一个，它就不是个人信息。我们在处理上会宽泛一些，数据的敏感性和要求会低一些。如果做到匿名化也很好，就意味着它不再是个人信息，匿名化的意思是当它匿名化以后，我们就识别不了了。比如说我们在很多场景下涉及到对一群人的营销，其实你是把身份去掉了，所以个人信息的合规归结起来很简单，要不然就是获得用户的同意，要不然就是匿名化。中间地带，我在一些情况下，例如用户对这个信息不敏感的情况下，用户的默示行不行？业界现在有一定的争议，可能看起来也是合理的，因为这里面就涉及到立法考量的问题。

所以，第二条我们在里面提到也是网安法第22条提到的网络产品的服务具有收集用户信息功能的必须要向用户明示。我刚才提到的默示问题是在特定的场景下，现在大家也在讨论有些场景下是不是能够适用，但是只要涉及到商业敏感的数据，我们是一定要做到明示同意。而且这个不是数据的收集者有义务，你作为服务方，很多时候我们云服务的提供方都是服务的整合者，这种情况下你要考虑到在过程中不能睁只眼、闭只眼，也要尽自己的义务。关键是涉及到个人信息和重要数据的本地存储和跨地传输的评估要求，这是不是涉及到跨境问题，涉及到你服务的提供者你提供服务的用户是不是在境外。这个问题就不展开讲，大多数云服务的提供商普遍还是在向境内用户提供服务，如果涉及到跨境的问题，可能要关注一下今年新出的跨境规定。

个人信息保护刚才已经提到了几点，我觉得整体是一个制度的问题，这里面提到知情同意原则和最少够用原则，这是在整个世界范围内主要的国家，不管是欧洲、还是东亚、包括日本、还有新加坡、香港地区都适用的，你使用的数据要跟你的目的性相关，我为用户提供什么样的服务。比如我为他提供地图服务，我收集的数据、我获得地理位置数据就很正常。比如说我提供一个打车服务，我获得你的地理位置就非常正常。但如果我是一个跟这个没关系的，我获得了地理的数据，那恐怕就有问题，所以这里面其实涉及到了说我收集数据时一定是要跟目的是相关的。

对于我们云服务提供商有个问题，你在过程中刚才提到以前有公司的商业模式是通过对我这上面存储大量海量的数据进行挖掘并进行利用。比如我是金融云解决方案提供者，我上面对大量的金融数据，甚至有些公司要做营销，这时候就要谨慎。比如你是云服务提供商，你通过数据挖掘向用户推送一些信息，你就要考虑到这个过程中你有没有识别用户，是不是用到了用户的个人信息。

我们过去给企业做咨询的过程中经常遇到这样的问题，企业自认为根本就没有用户的个人信息，但最后实践发现他还是用到了。不管是上网轨迹还是个人号，他不认为这是个人信息。如果我们看中国的两高关于个人信息犯罪的司法解释，大家可以看到，中国在个人信息的界定范围上是最世界最广的之一。为什么有这个结果？是因为中国的互联网、大数据行业发展是在世界上领先的，使得在立法部门在考虑的时候就要尽量全面不要遗漏，包含了一些直接信息，比如说手机号，还包括一些间接的个人信息。大家了解了这个以后就会发现在做业务的过程中有一些行为是受到了限制。

我们回到facebook的案子，其实facebook案子就是一个间接的通过收集用户的个人信息，来判断政治倾向，去做一些信息推送。这种模式在整个大数据行业里是很普遍的，很多时候也会运用到云服务尤其是云计算的一些手段。所以这块我觉得大家在做业务模式的时候，尤其是一些创新业务模式时要特别谨慎的一点。一旦大量用户的个人信息去做一些事情的话，这里面还是有一定的风险的，而且这种风险如果被放大，假如说是一个海量的，是几千万用户的，还是比较可怕的事情。

当然包括像删除权和更正权和欧洲的被遗忘权还是有差别的，删除权和更正权是个人信息出现错误后，我要求你删除或者更正，未来不排除用户向云服务提供商发出一些要求说你要把跟我相关的信息进行删除和更正。因为实际上据我们了解到的情况，删除这个问题在很多云服务提供商做得是不干净的，部分删除掉了，但很多信息他为了考虑到将来的安全不要有纠纷，他还会继续保存，所以以至于我们了解到一些云服务提供商最后积累了大量的数据，他把这些数据存下来了，还是有比较高的风险。

第三部分合规分析，有把端和云放在一起的。现在我觉得讲云不能光讲云，还要考虑到端。比如手机就是个端，我觉得这里还是一个整体的考虑因素。像端的很多处理风险相对云来说，有的时候利用它的计算能力和处理能力，我觉得是一个可以考虑的思路，我们一些数据的处理就放在端完成。当然，大家作为云，这是一个云服务中的环节，如果所有的数据都归总到云上，就是刚才说到的问题，在美国手机这个行业，不管是苹果、三星、谷歌、包括亚马逊他们都有这个争论，用户的数据我是在本地用siri把它处理掉，还是把它上传到服务器，在云端操作，所以这是一个应用模式讨论的问题，相对来说放在本地比放在端可能在合规上要好一些。整体就云的合规来说，首先是要尊重和维护数据主体权，数据主体属于个人的，一定要尊重他的权利。当他发现一些问题时，毕竟我们前面提到用户所有权和控制权分离，是不是用户产生的数据就完全被用户所有？这本身在法律上也是有争议的，但是至少他的基本权要尊重。

数据处理的透明度，目前在中国的云服务里面我觉得做得还是比较差的，大家对于数据怎么处理其实并没有太多研究，但是如果要安全，恐怕还是要把流程在一些环节，包括整个在云的过程中让大家觉得可信，可信在什么地方，透明度其实也是一个很重要的一点。这样的话，能够让大家知道整个数据生命周期具体环节上的事情怎么样处理的。相对网安法来说，这也是一个更加合规的方式。有些合同上，比如我们跟供应商的合同、跟用户的合同，涉及到用户数据采集的问题，涉及到权利义务问题在合同上还是要写得更清楚一些的，尤其是涉及到个人信息的问题一定要写清楚，获得什么样的数据，我怎么样使用这个数据，我觉得这也是透明度的一部分，也是需要告诉用户的，我不会触及你的哪部分数据。

数据安全保护措施，这里面涉及到内部员工的制度建立，这些制度的建立其实很复杂，但核心是我的数据要做分层，不能说我作为云服务提供商都很容易接触到所有的数据。前段时间苹果iCloud一个事件引起了争议，还在调查中，有人用iCloud的技术进行敲诈，假设这个事被查证是事实，对于整个苹果的服务大家会产生严重的不信任，如果发生在国内的云服务提供商也会有同样的问题。能不能一个员工就接触到用户的个人信息，接触到信息必须要什么样的层级和程序，包括泄露是需要有一个用户机制向有关部门去举报的。涉及到数据将来怎么样做删除，对于企业来说，我删除掉，内部人又拿这个数据去其他地方使用，大家想一想，现在很多时候一个云上的数据从敏感度来讲、从量级来讲，如果泄露的时候，风险是比很多大的互联网公司本身还要更严重，因为你是处理多家互联网公司的工作。

数据跨境传输就不展开讲的，大家已经有这方面的意识了，在跨境问题在未来发展来说，对于中国企业走出去这方面，可能是要属地去做部署的，尽量避免的一些事情。

我就讲到这里，谢谢大家！