數據安全：云計算對數據主權的影響

云計算、云存儲就是指數據的處理和存儲遷移到了互聯網遠端的服務器集群上，用戶無需再像以前一樣購買固定的硬件系統來計算、保存數據，如圖1所示。由于云計算、云存儲的低成本性和靈活性，許多私營機構和公共部門如今更傾向于將其數據和信息系統都輸送到云端。

圖1 云計算和云存儲示意圖

雖然這些云服務產品提高了對數據的計算能力和存儲能力，但是在云存儲狀態下，用戶的數據所有權卻與數據控制權分離開來。在云計算、云存儲中，數據存取都通過網絡實現，用戶可以訪問自己存儲在云端的數據。但是，對數據的控制權卻真正掌握在提供云存儲服務的服務商手中，而云服務商往往在不同國家建立了不同的數據中心。這些數據中心可能位于數據主體所在的國家，也可能遠離數據主體被設立在境外，甚至部分網絡公司為了降低成本或滿足客戶需求會將其提供的云服務部分外包。云物理位置的分散性，以及云存儲、云計算中數據的流動性，使“國內數據”（domestic data）的定義越來越模糊，也為數據主權的界定帶來了極大的爭議。截至目前，并沒有一個統一的國際協議來規定云服務中的數據主權問題，各國所依據的還是本國制定的各類數據保護法，這很容易引起各國在云數據主權上的混亂。

出于保護本國數據的目的，很多國家都對本國的數據管轄權進行了擴張，主張本國享有完全的數據主權。因此，面對同一數據，按照不同國家的法案，其歸屬權和管轄權有所不同，難免導致圍繞各國司法管轄權而產生爭議。例如， 2013年的一項關于毒品的調查中，美國政府發布搜查令，要求微軟公司向美國聯邦調查局（FBI）提供某用戶的數據資料。然而，保存這些數據的服務器卻不在美國境內，而是位于愛爾蘭的都柏林。按照美國《云法案》的規定，無論數據的存儲位置和創建地點在哪里，美國執法機構對服務提供商控制的任何數據都享有無限的管轄權。因此，美國政府有權調用存放在愛爾蘭服務器中的數據。但是，這個決定與歐盟的《通用數據保護條例》（GDPR）產生了沖突。因為GDPR要求所有從歐盟公民收集數據的企業都必須遵守GDPR的規則。不過， GDPR第48條也進行了規定：“如第三國的法院、裁判所、行政機關要求數據控制者或數據處理者提供個人數據，則僅當該要求是基于國際協定時才有效。”因此，如果美國政府與愛爾蘭簽訂了雙邊司法協助條約等國際協議，就有權要求微軟向其提供存放在愛爾蘭服務器中的數據。由此可見，云計算、云存儲環境下雙方各有法律依據但未達成共識的數據對數據主權造成了很大的沖擊。

當前，越來越多的數據處理和存儲設備由固定的硬件系統轉變為“云”。谷歌、亞馬遜、蘋果等跨國公司，阿里巴巴、百度等國內公司，都推出了各自的云服務產品。隨著這些云服務在更大范圍、更多領域的使用，未來將會產生越來越多的云數據。可以想象，將來國與國之間圍繞這些數據產生的爭議也必不會少。如何解決這些爭議，已成為非常緊迫的一項任務。