隐私顾虑对信息保护原则的影响分析

信息在云计算中会经历生成、使用、传输、变换、存储、归档、销毁这七个阶段。^[37]这七个阶段展示的是信息生命的周期。基于云计算模式、机构的性质及云计算中个人信息所处阶段的不同，云计算的影响会有所不同。下面将分析，云计算中信息生命周期里个人信息保护的主要顾虑及其对常见个人信息保护原则的潜在影响。

（一）信息访问对安全原则的影响

云计算最终是否能得到成功运用，最大的挑战源于如何确保云中数据的安全。当敏感的应用与信息传输到云数据中心时，往往会引发很多安全问题。例如，黑客会花费大量的时间与精力，寻找渗透到云中的方法。在云计算基础架构中，如果存在一些致命漏洞，会使得黑客乘虚而入。当成百上千的公司将其数据信息存储在一个大型云计算服务器上时，理论上分析，黑客可以通过一次单一的攻击，获得对庞大信息的控制。黑客攻击造成海量用户数据泄露的事件包括2014年发生的Dropbox安全漏洞事件、苹果iCloud信息泄露事件等。^[38]Dropbox的安全事件，导致700万用户的账号与密码被黑。黑客一旦掌握了用户的个人验证信息，如账号与密码，就能读取用户的私人数据，同时，也能将这些信息在网络上公开。^[39]

安全原则是对个人信息保护的关键要求之一。此原则要求应当采用合理的安全措施对个人信息进行保护，避免数据信息遭受丢失、未经授权的访问、销毁、使用、篡改或公开等风险。这不禁使人产生疑问，如何防范云服务提供商对自身拥有的访问权限的滥用？相应地，云计算服务商是否有能力为用户提供实时、安全的信息访问控制，并遵从已声明的规定？当个人验证信息存储在云计算中时，如何对个人验证信息进行恰当的访问控制，以保证信息访问的合法性？

（二）信息的存储、归档、销毁对控制原则的影响

当用户使用云计算服务提供商的平台时，可能会出现归属于不同用户的信息同时储存于一个数据服务器上的情况。因此，本来属于一个用户的信息，可能会因为共享技术漏洞，被错误地传递给另一个人，由此引发信息泄露。

传送到云计算中的个人信息能保留多久？云服务提供商保留信息的时间是否超过了规定的时间，从而使得云计算服务提供商可以为达到自己的目的进行数据挖掘与二次使用？^[40]

用户如何判断云服务提供商是否对信息保留额外复本？当云服务提供商跨越多个系统和站点复制数据时——这个被视为云计算服务提供商增加信息可用性的优点，在机构、数据所有者试图销毁数据时，转变为挑战。

云计算提供商在数据保留阶段结束后，机构如何确保云服务提供商正确销毁个人验证信息，并确保这些信息不被其他用户利用？如果数据所有者行使权利，要求机构删除其数据，如何确保进入云中的数据所有者的信息被真正销毁？云服务提供商是真正销毁了信息还是使得信息无法被访问？销毁的信息是否在技术上可以被恢复？

事实上，删除一个文件仅是将文件占据的空间（块）标记为可用。数据依然在那块空间并可恢复，直到相应的空间被覆写。^[41] 被删除的文件所占用的磁盘空间必须使用其他数据覆写七次以后，这些文件才可能是完全无法恢复的。很多情形下，磁盘及存储介质常常会用于重新存储其他的数据信息。因此，这一般不会对数据删除构成大的问题。但当用户必须归还租用的资源时（如磁盘阵列、服务器）或废弃的系统被取代，或存储介质已达使用寿命时，必须确保曾经储存过的数据信息是不可恢复的。

要实现个人对自身信息的控制，在考虑解决方案时，可以尝试赋予用户储存数据的选择权。^[42]另外，用户可以对自己储存在云端的信息进行加密，以阻止那些未经授权对其信息进行的访问。^[43]云中加密能在销毁程序中起到不可或缺的作用。即便用户不清楚信息存放是否安全，也可以通过销毁秘钥来销毁加密的数据。因为，此时数据将因为无法解密而处于不可访问的状态。当数据储存在云中时，这将变得对用户非常有利，用户可以在云服务商未参与的条件下销毁加密的数据信息。^[44]

（三）信息传输对法律适用与透明度原则的影响

云计算环境下，数据是远程存储与处理的，因此必将产生与此相关的安全威胁。随着用户间共享平台的增长，保护存储于云计算中的数据需求也在增长。云计算是一个动态环境，个人的数据信息可能在单个云计算服务提供商的基础设施内流动，也可能跨越云计算服务提供商的机构边界移动，这会涉及数据向第三方的传输与转移。

通常状态下，用户与云服务提供商在服务标准条款的确定上是没有谈判余地的。这类条款通常都偏向于保护云服务提供商的利益。因此，法律层面上，可以要求信息控制者不断提升信息处理的透明度。当数据信息传输到第三方时，不仅应进行事前披露，还应得到数据所有者同意。用户有权以简单易懂的方式获取此类信息。(www.xing528.com)

另外，数据传输到第三方，可能会跨越国界。数据储存在服务提供商或与服务提供商合作的第三方的服务器上，而服务器可能在世界上的任何地方，因此，使用云计算的用户，往往并不知道数据在特定的时刻位于哪个位置。物理数据储存在哪里、运行在哪里以及在哪里获取数据变得不确定与不透明。这加剧了云中问题的复杂性。用户可以选择云服务商，但由于云计算的动态特性，使得服务器或存储设备的确定变得非常困难。还应看到，在法律管辖范围的确定方面，有些法律是依据数据中心的物理位置，有些是根据数据所有者的位置，还有一些是根据机构的位置来确定的。不同司法管辖区可能会有不同的处理态度，这也常常引发管辖纷争。

这一问题涉及国际间的政府管辖区，而不同国家的法规冲突使得此问题变得复杂。信息跨境传输时，不仅判断应当适用的隐私条款与法规比较困难，而且信息的跨境传输也很有可能违反当地保护个人信息的法律。

（四）信息的二次使用对目的限制原则的影响

信息使用的目的限制原则是指，个人信息不应被用到信息所有者同意以外以及法律授权以外的其他方面。

云计算将各类用户信息、业务信息储存在一个特定的空间。由于云计算中的数据信息会流动，因此为了保证数据只用于收集的原始目的而不被滥用，需要很强的数据治理。当机构创建集中的数据库时，这一点尤为重要，因为将来的应用程序能够轻易地通过功能扩展整合数据，并将数据信息用于未经数据所有者授权的新用途上。

整合多种来源的数据能力，将增加数据滥用的风险。对数据的治理应当要求云服务商对特定类型的行为进行报告，或对特定类型或用户类别的行为进行监测。同时还应看到，云服务商可以有意或无意地篡改用户的数据，甚至删除用户的信息。^[45]不仅如此，云服务商还陷入到一种无法令用户感到满意的尴尬境地。因为，他们几乎不能保证他们的用户能免受政府的监控。一方面，公共利益团体和活动家常常批评这些公司未能保护他们客户的隐私，另一方面，政府固有的强制权力可以悄悄地强迫他们规避自身部署的任何隐私增强技术，通过云服务商的后门程序，规避加密，获取用户信息。^[46]这会严重削弱云服务商对云中信息的控制，损害消费者的信任。

（五）信息的收集处理对问责原则的影响

当机构将数据信息存放在云计算中时，怎样确保并监管云服务提供商提供的服务满足信息保护的要求？当个人信息遭到侵害之时，如何确保云计算服务提供商会通知个人，谁来负责管理侵害个人信息的通告程序。根据云安全联盟的统计数据，如果云计算服务合同中拟定了云服务提供商过失侵害个人信息的责任，合同该如何执行，如何确定是谁的过失？

另外，在云环境中，个人数据安全风险存在于数据生成、使用、传输、变换、存储、归档、销毁的全生命周期中。这涉及政府、信息控制者、信息处理者、信息主体等多方主体参与者。责任主体的多元化使得责任认定难度增加。而越来越多的企业聚集成为共同利益集团，在集团内部进行数据的共享，同一数据需要供给多个主体使用，呈现“多对多”的模式。在这一模式下，由于数据接口的多样性，往往会被多个主体访问和使用，使责任主体难以辨识。

谁应当为云计算中的信息安全与隐私负责，存在相互冲突的意见。有观点认为，当用户将个人信息储存在云端时，他们丧失了对自身敏感信息进行控制的能力。避免信息遭受来自黑客的攻击与内部的威胁，这一责任应落到云服务商身上。^[47]也有观点认为，从公众与法律的角度来看，数据安全与信息保护的责任应落到最先收集信息的机构身上。如果个人用户并未直接与云服务商订立协议，而是通过商业机构使用云服务商提供的服务，那即便商业机构没有技术能力确保实现与云服务商之间的合同要求，也应由商业机构来承担责任。商业机构可以转移债务，但不能转移责任。持有此观点的学者认为，数据侵犯具有级联效应，完全依赖第三方来保护个人信息是不负责任的，将导致负面的后果。^[48]

一般来讲，信息控制者决定着信息处理的目的与方式，信息控制者应当确保信息的处理、使用、存储与分享满足信息保护的要求，即便这当中存在外包与分包合同关系。这当中，不应排除信息控制者与具体的信息处理者被一同认定为联合的信息控制者，需一同对外承担责任的可能。

现阶段，云计算中的信息保护与其内在的风险等级是不相称的。公共云计算中的基础设施和数据安全的发展远远不如云计算当前业务功能的发展。在安全性较弱而风险性较高的安全形式下，个人信息遭受破坏的风险也非常显著。现阶段，云计算领域缺乏有效保护隐私的法律应对措施，这个情况在短期内不太可能得到解决。云计算中，上述个人信息保护方面存在的顾虑，有些是技术层面需要解决的问题，有些是法律层面需要予以解决的，还有一些问题很难一时找到恰当的解决方案，需要进一步研究与 探索。