黄国彬 郑 琳（北京师范大学政府管理学院 北京 100875）

基于服务协议的云服务提供商信息安全责任剖析*

黄国彬 郑 琳
（北京师范大学政府管理学院 北京 100875）

〔摘 要〕文章从隐私政策、免责声明、协议终止、以及法律适用4个角度对15家主要云服务提供商服务协议中的信息安全责任进行了剖析，指出了现有云服务协议存在的主要问题，就用户如何选用云服务给出了相应的建议，力图使用户在接受云服务时更为全面深入地知晓自身的信息安全风险。

〔关键词〕云服务 服务协议 信息安全 责任认定

1 引言

云计算的出现给产业界和学术界带来了一场全新的革命。云计算将许多服务器连接起来，充分实现了服务器所需要的庞大的计算能力[1]，这使得计算能力能够作为商品流通，使人们能够像使用水、电、煤气和电话那样使用网络信息资源。[2]因此，越来越多的用户开始关注、并且使用云服务。然而，由于用户与云服务提供商所签订的服务协议是由云服务提供商单方面提供的，用户可选择的余地很小。因此，二者签订的服务协议从本质上来说是云服务提供商将自己的意志强加给用户的结果。这就造成，在二者交易的过程中，云服务提供商逐渐成为掌握巨大资源与权力的一方。尽管二者在法律上处于平等地位，但是权力的天平已然向云服务提供商的方向倾斜，而服务协议则是这场权力较量当中最为重要的砝码。

可见，云计算服务提供商的行为实质上是滥用了契约自由原则，进而单方面提出服务协议，导致服务协议上负担及风险的不合理分配，使得服务协议成为经济强者压迫经济弱者的工具，从而破坏了服务协议签订过程中应有的平等互惠原则。[3]如果是其他类型的服务，这种服务协议也许只会导致用户权限的受损，给用户使用服务带来不便。但是鉴于云服务的特殊性——用户将大量的信息资源与应用存储或部署在云端，这些信息资源与应用，不仅拥有巨大的经济价值，还可能拥有无可比拟的情感价值，一旦其信息安全受到侵害，将造成不可估量的损失。因此，云服务协议中有关信息安全的相关规定值得我们去费心思量。

鉴于此，文章试图对现有云服务提供商的服务协议中有关信息安全的条款进行调研与分析，进而探知在用户信息安全遭受侵害时，相关责任的归属问题。在此基础上，指出现有云计算服务提供商服务协议中存在的不足和潜在信息安全责任风险，并给出相应的建议，以期为用户选用并且判断云服务提供有益的借鉴和参考。

2 云服务提供商服务协议的信息安全责任剖析

选择15家云服务提供商的服务协议作为分析的对象，如表1所示。之所以选择这15家云服务提供商，是由于这15家云服务提供商是当前用户使用最多、影响力最大的云服务提供商，具有一定的代表性。

通过对上述15家云服务提供商的服务协议内容进行梳理和分析，将云服务协议中与信息安全有关的内容提取出来，具体分为以下几个方面：隐私政策、免责声明、协议终止、以及法律适用。

表1 15家主要云服务提供商及其云服务

2.1 隐私政策

云服务协议中的隐私政策意在使用户明确，云服务提供商将从哪些方面收集用户信息、收集有关用户的哪些信息、如何收集、如何使用，以及如何保护这些信息。主要包括三个方面：信息收集、信息披露、以及信息删除。

2.1.1 信息收集

信息收集包括用户主动向服务提供商提交的信息以及服务提供商未经用户同意自行收集的用户信息两种类型。前者主要指用户注册时提交的个人资料，后者则主要指云服务提供商通过Cookies、匿名标识符等技术手段对用户的信息和行为进行跟踪收集。

可见，在信息收集过程中，云服务提供商将掌握大量用户的私密性信息。但是现有云服务协议中，针对这些信息安全受到侵害时的责任认定情况总体并不乐观。主要分为两种类型：①服务协议中没有提及；②撇清云服务提供商的责任。前者如百度云的服务协议：“以上数据信息都采用匿名的方式。同时，我们也会对信息采取加密处理，保证信息的安全性”[4]，并没有提及如果用户信息遭受侵害，相关责任的归属问题。后者如阿里云的服务协议中：“该账户和密码因任何原因受到潜在或现实危险时，您应该立即和阿里云取得联系，在阿里云采取行动前，阿里云对此不负任何责任”[5]，明确表明一旦用户信息遭受威胁，责任由用户承担。

2.1.2 信息提供

信息提供是指云服务提供商将收集到的用户信息提供给第三方的行为。现有云服务协议对信息提供的相关规定十分明确，且大致相同：将依据法律的有效令来提供用户的数据信息，或是有充分的理由保护己方和他人的利益。如RackSpace在服务协议中提到：“在以下情况，本公司会将用户信息提供给第三方：执行法律规定、保护他人安全和权利、抑制欺诈和垃圾邮件等不良行为。”[6]盛大云在服务协议中提到：“未经用户许可甲方不得向任何第三方公开或共享用户注册资料中的姓名、个人或单位有效证件/照号码、联系方式、住址等个人或单位身份信息，但下列情况除外：a）用户或用户监护人授权甲方披露的；b）有关法令要求甲方披露的；c）司法机关或行政机关基于法定程序要求甲方提供的；d）甲方为了维护自己合法权益而向用户提起诉讼或者仲裁时；e）为维护社会公众的利益。”[7]

可见，在某些情况下，云服务提供商还是会将用户的信息提供给第三方。尽管其目的是出于遵守法律、维护公众利益，看起来也似乎很有道理。但是仍侵犯了用户的信息安全权益。《消费者权益保护法》第7条规定：消费者在购买、使用商品和接受服务时享有人身、财产安全不受损害的权利。云服务提供商将用户信息提供给第三方，显然与上述规定相违背，构成了对用户信息安全的侵犯，由于有服务协议保驾护航，而无需承担相应责任。

2.1.3 信息删除

信息删除是指云服务提供商会在特定情况下对用户存储在云端的信息进行删除。现有云服务协议有关信息删除的约定十分明确：如果用户出现上传非法信息，如反动、色情以及其他违反法律法规的、接触会使人产生不快的、不适当的内容，或是用户没有按时交纳费用等情况，云服务商将对其上传信息予以删除。如iCloud的服务协议中提到：“您确认，对于由他人提供的任何内容，苹果公司在任何方面均不承担任何责任，且没有义务对该等内容预先进行审查。但是，苹果公司始终保留确定内容是否适当并符合本协议的权利，并且，如果苹果公司认定，内容违反本协议或在其他方面令人反感，则苹果公司经自行决定随时可以对内容进行预先审查、将内容移至他处、拒绝、修改和/或删除内容，而无需事先发出通知。”[8]

但是现有云服务协议中却没有提及，一旦云服务提供商判断错误，发生误删用户信息的情况，应该如何界定责任归属。可见，现有云服务协议只赋予了云服务提供商删除用户信息的权利，却没有提及一旦误删的情况出现，云服务提供商应该担负什么样的责任。这会导致误删发生后，云服务提供商借口服务协议没有相关规定而逃避责任，这对用户来讲是很不公平的。

综上，可以看出，现有云服务协议的隐私政策并不能完全保证用户的隐私不被泄露，且云服务提供商将收集、披露以及删除用户信息看作是一种合理行为，无需为此付出任何代价。

2.2 免责声明

免责声明意在使用户明确，在什么样的情况下，云服务提供商没有履行服务协议有关规定却无需承担违约责任。现有云服务协议的免责声明主要包含以下几个方面：不可抗力、基础设施、技术漏洞、以及升级维护。

2.2.1 不可抗力

现有云服务提供商提供的服务协议中规定，因不可抗力（如自然灾害等）造成用户存储在云端的信息丢失，云服务提供商将不会对此负责。如华为云的服务协议中提到：“不可抗力是指本协议任何一方不能预见、不能避免且不可克服的事件，包括但不限于：自然灾害、灾难性气候、火灾等；战争或准战争状态、敌对行动、恐怖活动、骚乱、罢工、行业纠纷等。”[9]

可见，一旦由于不可抗力的原因导致用户存储在云端的信息受到安全威胁，甚至是遭受损失，云服务提供商是不承担任何责任的。那么此时，信息的损失、甚至是丢失的后果就只能由用户单方承担。

2.2.2 基础设施

现有云服务提供商提供的服务协议中规定，由于基础设施发生故障导致用户信息的泄露和丢失等情况，云服务提供商无需承担责任。如Microsoft的服务协议中提到：“Microsoft及各关联公司、经销商、分销商和供应商不提供与您使用服务相关的任何明示或默示的保证、保障或条件。您已了解，您应自担服务使用风险，并且我方将按“现状”提供服务，服务‘可能存在各种缺陷’且只提供‘目前可用功能’。您承认计算机和电信系统可能会出现故障或偶尔会发生停机。我们不能保证服务无中断、及时、安全或无错误，也不保证不会发生内容丢失情况。”[10]

可见，一旦由于基础设施发生故障、停机、宕机等原因导致用户信息安全遭受损失，云服务提供商无需对此承担责任。而此时，信息的泄露、损毁、甚至丢失的后果只能由用户独自承担。但是现实情况是，因自然灾害、基础设施更新不及时、通信系统故障等原因导致的停机、宕机现象是较为常见的，并且一旦发生，其影响范围也更大。云计算服务提供商将其纳入免责声明，无疑增加了用户的信息安全风险与责任。

2.2.3 技术漏洞

现有云服务提供商提供的服务协议中规定，由于技术漏洞、黑客攻击等技术原因导致用户信息安全遭受威胁甚至受到侵害时，云服务提供商无需为此承担责任。如腾讯云的服务协议中提到：“尽管康盛对您的信息保护做了极大的努力，但是仍然不能保证在现有的安全技术措施下，您的信息绝对安全。您的信息可能会因为不可抗力或非康盛过错造成泄漏、被窃取等，由此给您造成损失的，您同意康盛可以免责。”[11]

然而调查显示，当前，只有35%的企业有能力在几分钟之内监测到数据的安全漏洞，22%的企业需要一天时间才能监测到，还有5%的企业需要一个星期的时间才能监测到。平均下来，每个企业监测到数据的安全风险需要花费10个小时的时间。[12]可见，当前的信息安全技术仍然存在较为严重的漏洞与滞后问题。云计算服务商将其纳入免责声明，不仅增加用户的信息安全风险与责任，也使得在信息泄露发生的时候，云计算服务提供商由于可以凭借免责声明而独善其身，从而打消了云计算服务提供商积极更新信息安全技术的热情与积极性。

2.2.4 升级维护

现有云服务提供商提供的服务协议中规定，由于云服务设备、平台或是系统进行升级、维护、更新、检修等原因导致的用户信息丢失、损毁、或是泄露，云服务提供商将无需为此承担责任。如百度云的服务协议中提到：“用户理解，百度云服务需要定期或不定期地对提供网络服务的平台或相关的设备进行检修或者维护，如因此类情况而造成收费网络服务在合理时间内的中断，百度云服务无需为此承担任何责任，但百度云服务应尽可能事先进行通告。”[13]

可见，一旦由于云服务提供商进行设备的维护、升级所导致的用户信息丢失、损毁、或是泄露，云计算服务商可以不承担任何责任。此时，用户只能独自承担相应的损失。

综上，可以看出，现有云计算服务协议将可能导致用户信息安全受到威胁，甚至损失的情况全部纳入免责声明。也就是说，绝大部分情况下，云服务提供商无需为用户的信息安全承担责任，更不会为此付出代价。由此可见，现有云服务协议在免责声明方面的规定存在严重的不公平、责任分配不均衡的问题。

2.3 协议终止

协议终止意在使用户明确，在什么样的情况下，云服务提供商可以无条件地结束与用户的协议，即结束向用户提供相应的云服务。现有云服务协议大多规定，在用户拖欠费用、或是用户出现云服务协议事先明确告知的应被终止服务的禁止性行为的情况下，云服务提供商可以无条件结束向用户提供服务，甚至不返还剩余款项。如Joyent的服务协议中提到：“如果用户出现拖欠费用的情况，我们有权终止对用户的云服务。”[14]相比之下，Amazon的态度则更加“霸道”，没有说明何种情况下会终止服务，仅提到“有权拒绝向用户继续提供云服务，并相应地删除和编辑用户存储在云上的信息资源”[15]。可见，现有云服务协议对云服务提供商能否单方面结束合作给予了很大的权力，而用户只能被动承受。那么，由此就会引发一个非常重要的问题：云服务提供商单方面结束合作并就用户存储在云上的信息进行删除，用户如果来不及对数据进行备份，那么数据丢失的责任谁来承担？

针对这一问题，现有云服务提供商的服务协议规定，由于云服务提供商停止服务造成的用户信息丢失，云服务提供商将不会就此承担责任。如Salesforce的服务协议中提到：“在服务终止生效的30天内，我们将为用户提供存储于云端的数据的下载与备份。30天后，我们没有义务再维护或提供您的数据，并将删除或销毁您存储在我们系统中的所有副本以及文档、数据。”[16]华为的服务协议中提到：“你方应自行备份云服务产品中的你方内容。在本协议终止后，本公司有权清除云服务产品上的你方内容。因你方怠于备份数据造成信息丢失的，本公司不承担任何责任。”[17]

综上可知，当云服务提供商决意停止向用户提供相应的云服务时，通常有两种做法：通知用户在一定的期限内进行备份后对用户的信息进行删除，以及不通知用户直接对信息进行删除。无论哪种情况，云服务提供商都无需为用户信息的丢失负责。那么，一旦云服务提供商对用户存储在云上的信息进行删除，而用户没有来得及对信息进行备份或下载导致的信息丢失，只能由用户单方买单。

2.4 法律适用

法律适用意在使用户明确，在具体的法律事实出现后，应将其归入哪个相应的抽象法律事实，然后根据该法律规范关于抽象法律关系之规定，形成具体的法律关系和法律秩序。[18]

现有云服务协议通常规定云服务提供商受主要营业所在地的法律的管辖。如iCloud的服务协议中提到：“除了下一段中明确规定的以外，本协议及您与苹果公司的关系将受加利福尼亚州法律管辖，但不包括其冲突法规范。您和苹果公司同意服从加州圣塔克拉拉郡（Santa Clara）法院的属人和专属司法管辖，由其解决因本协议而产生的争议或索赔。如果a）您不是美国公民；b）您并非在美国居住；c）您并非从美国获得本服务；及d）您是以下国家的公民，您在此同意因本协议引起的任何争议或索赔将由以下适用法律管辖（但其冲突法规范除外），而且您在此不可撤销地服从以下州、省或国家的法院的非专属司法管辖：如果您是任何欧盟国家或瑞士、挪威或冰岛的公民，即以您通常居住地的法律和法院为管辖法律及法院。”[19]阿里云的服务协议中提到：“本服务条款之效力、解释、变更、执行与争议解决均适用中华人民共和国法律。因本服务条款产生之争议，均应依照中华人民共和国法律予以处理，并提交浙江省杭州市西湖区人民法院审判。”[20]

可见，尽管这类条款由于当地消费者保护法一般不具有强制性，但是这类条款无疑大大加重了使用云计算国际服务的用户的责任。[21]一旦用户与云服务提供商发生纠纷，且二者不在同一个国家，将按照云服务提供商所在地区的法律予以处理，这将无形中导致云服务商及用户之间的责任认定更加复杂。

3 给用户的建议

通过对云服务商提供服务协议的信息安全责任剖析可知，现有云服务协议处于对用户不平等，责任分配不均衡的状态，会导致用户信息一旦遭受损失，云服务提供商完全可以从纠纷中全身而退，无需负责，独留用户承担所有的风险与责任的状况。鉴于此，用户有必要认真了解云服务协议的内容，即使不能使得自身完全免责，至少可以保证在数量繁多的云服务中选择一个最有利于自己权益的云服务。具体可以从两个方面着手。

3.1 仔细阅读云服务协议

通常情况下，用户很少在注册云服务时阅读云服务的服务协议。即使阅读，也不会十分认真，多是点到即止的大致浏览。之所以出现这种情况，一方面是由于用户本身对云服务协议不够重视，没有认识到其中可能存在的信息安全责任。另一方面也与云服务提供商的刻意引导有关：通常情况下，服务协议可以分为点击式和浏览式两种类型。点击式是指用户在注册时，需通过点击“我同意”才能完成注册的服务协议形式；浏览式是指用户需要主动查找服务协议并单击进入相应界面浏览的服务协议形式。

可见，点击式服务协议具有较好的通知性，即能够在一定程度上起到提醒用户阅读服务协议的作用。而浏览式服务的通知性则较差，除非用户主动查找，否则直接默认用户已经阅读了服务协议并且没有丝毫异议。并且，浏览式服务通常将链入服务协议内容页面的按钮设置在网页最不明显的位置，更加导致用户对服务协议的忽视。

因此，用户在选择使用某一项云服务时，应该对其服务协议加以重视。认真仔细地阅读云服务协议，以便将不同的云服务协议进行比较分析，选择最有利于自身的云服务。

3.2 学会阅读云服务协议

用户不仅应该仔细对云服务协议的内容进行阅读，还应该学会对云服务协议的内容进行分析，进而探知其中蕴含的信息安全责任归属，以便选用服务协议相对公平的云服务。具体可以按照本文第二部分中提到的四点内容加以分析。

（1） 知晓隐私协议。了解云服务协议约定的隐私保护承诺，进而对云服务提供商怎样收集、利用自身的信息加以掌握。以便对云服务提供商的行为加以限制或是纠纷发生时进行责任认定。

（2） 知晓免责声明。了解云服务协议规定的免责声明情况，进而选择免责声明相对较为宽松的云服务。以便在信息丢失、损毁的情况下，要求云服务提供商承担相应责任。

（3） 知晓协议终止。了解云服务协议规定的协议终止情况，以便了解自己的行为是否可能导致服务被终止。同时，也可以保证，一旦云服务提供商单方面终止了与自身的合作，可以在规定的时间内对存储在云端的信息资源进行备份或下载，以防止信息的丢失。

（4） 知晓法律适用。了解云服务协议规定的法律适用情况，以便有针对性地选择与自身适用统一法律与司法管辖的云服务，或是选择适用法律最有利于自身的云服务。

总而言之，认真阅读并分析云服务提供商的服务协议，可以使用户防患于未然，将具有潜在信息安全风险的云服务排除掉，进而选用最适合、最有利自身的云服务。同时，提前了解了云服务协议的有关内容，也可以防止一旦纠纷发生，用户自乱阵脚、无所适从。因此，用户有必要在选用云服务前，仔细地对服务协议内容进行阅读和信息安全责任进行剖析。

4 结语

云服务的普及所带来的不仅是对经济的促进、资源的集中、或是用户的便利，还产生了许多的副作用。其中之一就是一旦用户的信息安全遭受损失，相关责任的认定问题。现有云服务提供商为保证其规模化的服务能够正常高效的运转，其与用户之间不可能以一对一协商的方式来订立合同。[22]这导致云服务提供商提供给用户的合同由云服务提供商单方面制定，许多规定都存在风险与责任的不均衡分配问题。一旦用户的信息资源遭受损失，云服务提供商将凭借服务协议的帮助独善其身，而用户只能独自承担相应损失。这是不公平、不合理、也是违背服务协议签订过程中应有的平等互惠原则的。本文以15家云服务提供商的服务协议为例，对其内容进行了信息安全责任的剖析，试图为今后用户选用云服务提供有益的借鉴与帮助。但是应该认识到，目前对于此问题的关注力度还远远不够，并且随着云服务的不断发展以及社会环境的不断变化，其服务协议中所涉及到的信息安全责任问题也会愈加复杂，产业界与学术界都需为此做出努力，任重而道远。

（来稿时间：2015年2月）

参考文献：

1.杨明芳,袁曦临. 云计算环境下的数字图书馆.图书馆建设，2009（9）：7-9,12

2, 22.高阳. 云计算环境下合同问题研究.公民与法（法学版），2011（12）：43-45

3.高圣平.试论格式条款效力的概括规制——兼评我国合同法第39条.湖南师范大学社会科学学报，2005（3）：73-76

4, 13.百度.百度隐私权保护声明.[2014-10-04]. http:// m.baidu. com/l=3/tc?srd=1&dict=2 0&src=http://www.baidu.com/ duty/yin siquan.html

5, 20.阿里云. Aliyun.com服务条款.[2014-10-04]. https://account. aliyun.com/common/a greement.htm?spm=0.0.0.0.eifQ9b&fromSite=6

6.RackSpace.Privacy Statement.[2014-10-04]. http://www. rackspace.com/information/ legal/privacystatement

7.盛大.盛大云用户服务协议.[2014-10-04].http://www. grandcloud.cn/index/rule

8, 19.Apple. iCLOUD条款和条件.[2014-10-04]. http://www. apple.com/legal/internet-ser vices/icloud/cn_si/terms.html

9, 17.华为云.华为云用户协议.[2014-10-04]. http://www. hwclouds. com/declaration/user Agreement.html

10.Microsoft. Microsoft-Information on Terms of Use.[2014-10-04]. http://www.ibm.c om/legal/us/en/

11.腾讯云. 微信服务市场用户协议.[2014-10-04]. http:// wiki.qcloud.com/wiki/%E 5%BE%AE%E4%BF%A1%E6%9C%8 D%E5%8A%A1%E5%B8%82%E5%9C%BA%E7%94%A8%E6 %88%B7%E5%8D%8F%E8%AE%AE#top

12.Business Spectator. Big data mismanagement a security risk: McAfee.[2014-05-02] . http://www.businessspectator.com.au/ news/2013/6/19/technology/big-data-misma nagement-securityrisk-mcafee

14.Joyent.Terms of Service.[2014-10-04]. https://www.joyent. com/company/policies/t erms-of-service

15.Amazon. AWS Site Terms.[2014-10-04].http://aws. amazon.com/cn/terms/?nc1=f_ls

16.Salesforce. Master Subscription Agreement.[2014-10-04]. https://www.salesforce.c om/assets/pdf/misc/salesforce_MSA.pdf

18.百度百科.法律适用.[2014-10-04]. http://baike.baidu. com/view/759011.htm?fr=al addin

21.彭江辉,杨婷洁.云服务格式合同的应用问题及对策研究.科技与法律，2013（6）：10-20

* 本文受国家社科基金项目“云计算环境下图书馆信息资源安全政策法律研究”（编号： 11CTQ004）和北京市青年英才计划项目“云计算环境下我国信息安全政策与法律体系研究”（编号： YETP0241）资助。

〔分类号〕G250.7

〔作者简介〕黄国彬，男，北京师范大学政府管理学院信息管理系副教授、硕士生导师，发表论文110篇，研究方向：信息法学、信息分析； 郑琳，女，北京师范大学政府管理学院信息管理系硕士研究生，研究方向：信息法学。

Analysis on Information Security Responsibilities of Main Cloud Service Providers Based on Service Agreement

Huang Guobin Zheng Lin
( School of Government, Beijing Normal University )

〔Abstract〕Based on the service agreement, the article analyzes the information security responsibilities of 15 main cloud service providers from four perspectives: private policy, service disclaimer, service termination, and information laws and policies. Then, the article points out the shortcomings of existing cloud service agreement therefore gave corresponding suggestions to users, in order to provide beneficial help for users on how to choose cloud service.

〔Keywords〕Cloud service Service agreement Information security Confirmation of responsibility