选择公有云服务的五大法律风险

3. 搜查令

Dinkel称，公共云的一个令人担心的特点是不同客户的数据可能会存储在同一个服务器内。她解释称：“如果提供商得到了有关其中一个客户的搜查令，而碰巧其他客户的数据也在同一台服务器上，那么所有的数据都会被查封，即使不是搜查目标的公司也无法访问他们的数据。”

数据的相互混合在2009年导致了一个严重的问题。当时FBI搜查了位于德克萨斯的两个数据中心，以调查某一数据中心用户。FBI特工查封了大约220台服务器，以及数量众多的路由器、交换机、服务器机架和电源。新闻媒体报道称，这一查封行动导致该数据中心损失了数百万美元的营收。此外，还导致数据中心的许多客户业务中断，甚至面临破产的危险。

你是如何规避这类风险的呢?私有云当然可以解决数据混合问题。但是如果无法选择私有云，你应当就客户数据如何分区存储问题从云服务提供商那里得到保证，以确保搜查令或查封行动不会影响你的数据。

4. 电子数据取证

被传唤的数据拥有者有义务保留所有涉及诉讼的信息，也有义务为取证收集数据。如果数据在你的“保管、控制或持有下”，保留数据的要求将适用。对于那些拥有数据的云用户，Dinkel称：“这一点已经非常明确，如果在云上，还需要考虑这些数据在你的保管、控制或持有下。”如果服务商在取证期限内没有保留这些数据或是无法提供这些数据，那么云用户将因此受到处罚。

重要的是，对方当事人可以直接去云服务提供商那里调取相关记录。Dinkel称：“在这一点上，数据拥有者失去了对形势的控制权。”

更麻烦的是，不同的云服务提供商有着不同的存储程序，如果数据没有正确映射，恢复这些数据十分困难，并且费用昂贵。

当电子取证请求书被送到你的手中，你必须能够及时提供相关文件。如果无法及时提供，那么你将面临巨额罚金(在一起案例中，罚金数额为每天5万美元)。重要的是，由于案件递交到法庭时已过去数年时间，因此公司可能不得不回溯三至五年前的相关数据。

大型云服务提供商意识到他们必须要对电子取证请求书做出快速回应，因此为了能够快速追踪和恢复数据，他们会维持附属于记录的最初元数据

律师表示，云服务合同应当要求服务提供商维护元数据，以使其能够被容易恢复，同时要求提供商应在请求书的截止日期前提供电子文档。

5. 数据安全

在云计算环境中保护数据安全的方法有很多种，如加密。但是将公司的记录存储在一处的做法存在着安全风险。因为这为黑客提供了一份信息大餐。一些云服务提供商已经开始着手解决这一隐患。

比如，谷歌应用的安全模式是将存储的数据拆分成比特级，然后再分别存储在不同的数据中心。作为谷歌应用用户的Menefee称：“我们发现这非常有效。如果数据泄露了，黑客也仅能得到一部分组件，这只能算得上是庞大拼图中的一片而已。”

另一个问题是：谁应当为云计算的安全违规行为买单?Dinkel称：“你希望服务提供商为此买单——因为可能是他们那边的失误导致数据泄露的。”

在许多国家，如果云服务提供商发生数据泄露，那么在公共云中存储客户数据的机构有责任通知他们的客户。她称，“除非合同中明确注明应当及时通知，否则如果发生了数据泄露事件，你可能无法及时知道。”

Menefee将与这些涉及安全的条款列入到了Schumacher集团所有的云服务合同。他称：“如果发生了数据泄露事件，那么应当对此负责的是他们，而不是我们。”

风险一直在发生着变化。当合同做好更新的准备以确保能够解决新问题时，咨询法律顾问非常重要。比如，Menefee准备在未来的合同中增加退出条款，以便在服务提供商的所有权发生变更时保护Schumacher集团。

Menefee 称：“我们在过去六个月里经历了一个‘顿悟时刻’。我认为云服务市场内部将会出现大规模整合。我正在寻求能够退出合同的能力，以防服务提供商所有权发生变更，以及提供商在变革中无法满足服务级协议。对于我来说，这是我们标准化管理中的一部分。”(范范编译)

相关链接

关键的云服务合同条款

可通过起草包含有下列条款的合同规避云计算中的法律风险：

● 要求服务提供商在收到了关于信息的搜查令或传票时告知你。

● 明确安全控制措施，以及这些数据将存储在哪个国家。

● 明确服务提供商对电子数据取证请求的反应速度，确保信息能够被很容易的恢复。

● 要求服务提供商在雇佣新的次承包商或将数据转移至新的司法管辖区时告知你。

● 提供一个退出条款，以在协议无法履行或服务提供商停止服务时保护自己的权益。条款应当确保你能够在规定的时间内以规定的形式取回你的数据。

云环境下的隐私保护法案与法规

● 欧盟委员会正在修订1995年版《欧盟个人资料保护指令》

● 墨西哥实施了一个内容更为广泛的联邦隐私法，该法将影响到众多总部位于美国的大型公司在该国的经营活动。

● 在美国，如果信息由第三方持有(如云服务提供商)而不是由最初收集这些数据的公司持有，那么传唤或强迫公布信息将更为容易。

● 在某些情况下，《爱国者法案》允许美国政府无需告知数据收集方即可获取由云服务提供商持有的个人信息或是受调查的东西。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友