張 藝

（對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué) 法學(xué)院，北京 100029）

一、問(wèn)題及其意義

隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，海量數(shù)據(jù)呈現(xiàn)爆炸式增長(zhǎng)的趨勢(shì)，傳統(tǒng)的數(shù)據(jù)存儲(chǔ)方式已經(jīng)無(wú)法滿足現(xiàn)實(shí)需要?！霸拼鎯?chǔ)”作為一種新興信息存儲(chǔ)方式，憑借其便捷、高效、低成本等優(yōu)點(diǎn)，迅速成為大多數(shù)用戶信息保存的重要途徑。調(diào)查顯示，59%的大型企業(yè)、41%的政府機(jī)構(gòu)、35%的中小型企業(yè)，29%的高等院校在使用“云服務(wù)”[1]59。用戶可以借助諸如平板電腦、智能手機(jī)等電子移動(dòng)設(shè)備，來(lái)實(shí)現(xiàn)其個(gè)人數(shù)據(jù)的網(wǎng)絡(luò)存取。這些云服務(wù)產(chǎn)品可以大大節(jié)省個(gè)人設(shè)備的本地存儲(chǔ)空間，用戶可以通過(guò)網(wǎng)絡(luò)隨時(shí)隨地訪問(wèn)其存儲(chǔ)在云端的各類(lèi)數(shù)據(jù)。也正是基于“云存儲(chǔ)”的便捷性和靈活性，為了節(jié)約日常運(yùn)營(yíng)成本，越來(lái)越多的公共部門(mén)以及金融機(jī)構(gòu)更加傾向于將大量客戶信息依托于虛擬服務(wù)器輸送至云端。

但隨之而來(lái)的問(wèn)題是，即使經(jīng)營(yíng)“云存儲(chǔ)”的運(yùn)營(yíng)商注冊(cè)地在境內(nèi)，其上傳到“云端”虛擬服務(wù)器上的個(gè)人數(shù)據(jù)和信息并無(wú)法保證定位在境內(nèi)，用戶數(shù)據(jù)既有可能被存儲(chǔ)在境內(nèi)，也有可能被存儲(chǔ)在位于境外的云端服務(wù)器中。2021年8月新出臺(tái)的《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法》）第40條明確了“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)將在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)”，但對(duì)于“在境外收集和產(chǎn)生的個(gè)人信息”如何監(jiān)管未置可否。一方面，隨著中國(guó)公民境外消費(fèi)能力的升級(jí)，越來(lái)越多的中國(guó)公民在境外開(kāi)卡消費(fèi)，致使其個(gè)人信息直接在境外產(chǎn)生；另一方面，數(shù)據(jù)信息化和“云”時(shí)代的到來(lái)，使得大量在境內(nèi)收集的個(gè)人信息通過(guò)“云存儲(chǔ)”的方式存儲(chǔ)在境外服務(wù)器中。目前，大量的個(gè)人數(shù)據(jù)都逐步由硬件系統(tǒng)向“云端”過(guò)渡，國(guó)內(nèi)如百度、阿里，國(guó)外如蘋(píng)果、亞馬遜等公司都開(kāi)始打造其自身的云服務(wù)產(chǎn)品。伴隨著數(shù)據(jù)“云存儲(chǔ)”的推廣，未來(lái)勢(shì)必產(chǎn)生越來(lái)越多存在于境外的“云數(shù)據(jù)”，對(duì)這一部分“境外數(shù)據(jù)”究竟應(yīng)當(dāng)如何監(jiān)管，成為亟待解決的一大重要問(wèn)題。

二、個(gè)人信息“云存儲(chǔ)”行為的法律界定及域外規(guī)制

（一）“云存儲(chǔ)”行為的法律界定

顧名思義，云存儲(chǔ)是基于云計(jì)算的存儲(chǔ)方式。具體而言，就是通過(guò)云計(jì)算技術(shù)對(duì)高速分布式存儲(chǔ)網(wǎng)絡(luò)構(gòu)建的存儲(chǔ)池進(jìn)行集合和協(xié)同，形成一個(gè)安全、便捷、高速、成本較低的數(shù)據(jù)存儲(chǔ)和訪問(wèn)系統(tǒng)[2]39?！霸拼鎯?chǔ)”的顯著特征在于其虛擬性和分散性，遍布世界各地的用戶通過(guò)移動(dòng)設(shè)備向虛擬云端傳輸數(shù)據(jù)，實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)程網(wǎng)絡(luò)存取，用戶上傳的數(shù)據(jù)將被分散地存儲(chǔ)在不同國(guó)家或地區(qū)的云端服務(wù)器中。以亞馬遜云科技（Amazon Web Services）為例，其數(shù)據(jù)中心遍布美國(guó)、歐洲、巴西、新加坡、日本等國(guó)家和地區(qū)，已經(jīng)為全球190個(gè)國(guó)家及地區(qū)內(nèi)成百上千家企業(yè)提供技術(shù)支持。可以看到，“云存儲(chǔ)”涉及多方主體及不同區(qū)域。準(zhǔn)確界定分布于不同地域的“云空間”及在其中存儲(chǔ)數(shù)據(jù)的法律性質(zhì)，是實(shí)現(xiàn)對(duì)存儲(chǔ)在境外云端服務(wù)器中個(gè)人信息有效監(jiān)管的前提和基礎(chǔ)。

“云空間”中的個(gè)人信息屬于數(shù)據(jù)資源的一種，在不同國(guó)家表述方式存在差異，但殊途同歸。個(gè)人信息關(guān)涉?zhèn)€人人格，甚至涉及個(gè)人隱私，在數(shù)字經(jīng)濟(jì)時(shí)代更是演變?yōu)橐环N新型的網(wǎng)絡(luò)生產(chǎn)要素被應(yīng)用于各類(lèi)商業(yè)活動(dòng)。特別是云服務(wù)商在獲得個(gè)人信息的基礎(chǔ)上進(jìn)行資本投入和人為干預(yù)，再通過(guò)技術(shù)手段加工處理從而實(shí)現(xiàn)商業(yè)利用，實(shí)現(xiàn)了個(gè)人信息的財(cái)產(chǎn)增量[3]76。歐盟以“個(gè)人數(shù)據(jù)（personal data）”來(lái)指代能夠辨認(rèn)或是可能被辨認(rèn)出的自然人數(shù)據(jù)[4]85，美國(guó)則采用了“個(gè)人可識(shí)別信息（personal identifiable information）”的表述。兩個(gè)概念的出現(xiàn)是各地區(qū)、國(guó)家法律傳統(tǒng)和使用習(xí)慣所致，并無(wú)本質(zhì)區(qū)別，可以相互替換使用[5]。我國(guó)一般以“個(gè)人信息”指代“與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息”①參見(jiàn)《個(gè)人信息保護(hù)法》第4條：“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！?。從以上表述及定義可以看出個(gè)人信息本身就具有較強(qiáng)的人身及財(cái)產(chǎn)屬性，再通過(guò)算法分析和挖掘等方式成為商業(yè)貿(mào)易和數(shù)據(jù)交易的重要來(lái)源，也使得不同國(guó)家對(duì)蘊(yùn)含著巨大經(jīng)濟(jì)與社會(huì)價(jià)值的個(gè)人信息產(chǎn)生了越來(lái)越強(qiáng)烈的主權(quán)意識(shí)。傳統(tǒng)意義上的管轄權(quán)劃分以屬地原則為基礎(chǔ)，即使存在網(wǎng)絡(luò)運(yùn)營(yíng)活動(dòng)，也可基于屬地領(lǐng)土上的網(wǎng)絡(luò)基礎(chǔ)設(shè)施行使對(duì)本國(guó)公民個(gè)人信息的管轄權(quán)。然而“云空間”與傳統(tǒng)的領(lǐng)土空間不同，在數(shù)據(jù)流動(dòng)性極強(qiáng)的云端，個(gè)人信息往往不可避免主動(dòng)或被動(dòng)地流出域外，同一“云空間”的數(shù)據(jù)可以關(guān)聯(lián)到不同的物理空間，因此傳統(tǒng)的屬地管轄理論勢(shì)必會(huì)帶來(lái)“云存儲(chǔ)”空間數(shù)據(jù)管轄權(quán)的沖突。而對(duì)于個(gè)人來(lái)講，一旦個(gè)人信息上傳至云端，也即通過(guò)與云服務(wù)商的服務(wù)協(xié)議轉(zhuǎn)移了個(gè)人對(duì)數(shù)據(jù)的控制權(quán)。綜上所述，個(gè)人信息“云存儲(chǔ)”行為具有以下三個(gè)特點(diǎn)：一是個(gè)人信息具有可識(shí)別性，能夠被存儲(chǔ)、處理；二是該行為本質(zhì)上屬于用戶與云服務(wù)商之間的服務(wù)合同關(guān)系；三是由于云端服務(wù)器可能涉及不同國(guó)家或地區(qū)間及不同法域間的網(wǎng)絡(luò)主權(quán)[6]54-58，不可避免地會(huì)帶來(lái)不同國(guó)家間境外數(shù)據(jù)管轄權(quán)沖突問(wèn)題。

（二）“云存儲(chǔ)”行為的域外規(guī)制

1.美國(guó)《云計(jì)算法案》的“數(shù)據(jù)控制者”標(biāo)準(zhǔn)

美國(guó)對(duì)于存儲(chǔ)于境外云端數(shù)據(jù)的管轄主要依據(jù)的是《澄清域外合法使用數(shù)據(jù)法》（the Clarifying Lawful Overseas Use of Data Act，CLOUD Act），也稱(chēng)CLOUD法案（以下簡(jiǎn)稱(chēng)《云計(jì)算法案》）?！对朴?jì)算法案》的頒布進(jìn)一步強(qiáng)化了美國(guó)對(duì)域外數(shù)據(jù)的管轄權(quán)，根據(jù)該法案的規(guī)定，對(duì)于存儲(chǔ)于境外云端的美國(guó)公民個(gè)人數(shù)據(jù)，可以通過(guò)適用“數(shù)據(jù)控制者”標(biāo)準(zhǔn)實(shí)現(xiàn)管轄①參見(jiàn)《云計(jì)算法案》第103節(jié)的規(guī)定：“電子通信服務(wù)提供者或者遠(yuǎn)程計(jì)算服務(wù)提供者應(yīng)當(dāng)履行本章規(guī)定的義務(wù)，保存、備份或者披露由其占有、保管或者控制的與客戶或者用戶有關(guān)的任何記錄或者其他信息，無(wú)論此類(lèi)通信、記錄或其他信息是否位于美國(guó)境內(nèi)或境外?！薄＜粗灰獢?shù)據(jù)的實(shí)際控制者為美國(guó)公司，即便數(shù)據(jù)存儲(chǔ)于境外的云端服務(wù)器，該數(shù)據(jù)控制者也應(yīng)配合美國(guó)政府以獲取全球范圍內(nèi)的數(shù)據(jù)信息。此外，美國(guó)還通過(guò)“足夠聯(lián)系”標(biāo)準(zhǔn)進(jìn)一步鞏固了其域外管轄權(quán)②美國(guó)司法部在白皮書(shū)中對(duì)“云法案”管轄范圍作出了官方的解釋?zhuān)骸懊绹?guó)對(duì)外國(guó)公司管轄權(quán)的法律限制是基于美國(guó)憲法中的約束，并且是美國(guó)法院多年來(lái)制定的。當(dāng)公司位于美國(guó)時(shí)，屬人管轄權(quán)是最容易確立的。位于美國(guó)境外但在美國(guó)提供服務(wù)的外國(guó)公司是否與美國(guó)有足夠的聯(lián)系且受美國(guó)管轄，是基于對(duì)個(gè)案中該公司與美國(guó)聯(lián)系的性質(zhì)、數(shù)量和質(zhì)量的考查。公司越是有目的地將其行為引導(dǎo)到美國(guó)，法院就越有可能認(rèn)定該公司受美國(guó)管轄?！?，除注冊(cè)地在美國(guó)的公司外，如果一個(gè)位于境外的公司在商業(yè)往來(lái)、互動(dòng)程度等方面與美國(guó)有足夠的聯(lián)系，也會(huì)納入《云計(jì)?算法案》的管轄范圍內(nèi)。

2.歐盟GDPR的數(shù)據(jù)本地化原則

歐盟的《通用數(shù)據(jù)保護(hù)條例》《General Data Protection Regulation》（以下簡(jiǎn)稱(chēng)“GDPR”）于2018年5月正式生效，主要針對(duì)于個(gè)人數(shù)據(jù)的保護(hù)。其中，對(duì)于“云存儲(chǔ)”于境外的個(gè)人信息而言，GDPR作出了明確規(guī)定：“本法適用于在歐盟境內(nèi)設(shè)立的數(shù)據(jù)控制者或處理者對(duì)個(gè)人數(shù)據(jù)的處理，不管其實(shí)際處理行為是否在歐盟境內(nèi)進(jìn)行?！雹蹍⒁?jiàn)GDPR第3條：“GDPR適用于非歐盟組織處理歐盟境內(nèi)個(gè)人的個(gè)人數(shù)據(jù)，只要此類(lèi)處理行為涉及對(duì)這些個(gè)人的行為進(jìn)行監(jiān)控，且該處理行為發(fā)生在歐盟?！贬槍?duì)“云存儲(chǔ)”中可能出現(xiàn)的跨地域數(shù)據(jù)存儲(chǔ)情況作出了回應(yīng)，即使歐盟居民的個(gè)人信息通過(guò)“云存儲(chǔ)”保存在歐盟境外的云端服務(wù)器中，也可突破地域限制對(duì)該云端數(shù)據(jù)行使管轄權(quán)。同時(shí)，歐盟還通過(guò)“域內(nèi)效力”原則將可能產(chǎn)生域內(nèi)效果的數(shù)據(jù)存儲(chǔ)、處理行為歸入其管轄范圍內(nèi)，加強(qiáng)了歐盟對(duì)其管轄范圍內(nèi)居民云端境外數(shù)據(jù)的保護(hù)。

從美國(guó)及歐盟關(guān)于境外數(shù)據(jù)的監(jiān)管立法現(xiàn)狀可以看到：歐盟通過(guò)GDPR強(qiáng)調(diào)數(shù)據(jù)本地化，最大限度地保護(hù)歐盟居民的個(gè)人數(shù)據(jù)安全，擴(kuò)大其境外“云空間”的管轄權(quán)。而美國(guó)則試圖通過(guò)《云計(jì)算法案》確立的“數(shù)據(jù)控制者”標(biāo)準(zhǔn)對(duì)全球范圍內(nèi)“云空間”實(shí)施管轄，以實(shí)現(xiàn)對(duì)全球數(shù)據(jù)的掌控[7]59。我國(guó)應(yīng)以《個(gè)人信息保護(hù)法》的出臺(tái)為契機(jī)，在充分借鑒各國(guó)經(jīng)驗(yàn)的基礎(chǔ)上，加強(qiáng)對(duì)我國(guó)公民境外云端數(shù)據(jù)的保護(hù)。

三、我國(guó)個(gè)人信息“云存儲(chǔ)”監(jiān)管存在的不足

（一）個(gè)人信息“云存儲(chǔ)”的相關(guān)法律規(guī)定亟待細(xì)化

出于對(duì)國(guó)內(nèi)市場(chǎng)以及國(guó)家安全的保護(hù)，多數(shù)主權(quán)國(guó)家紛紛加高壁壘，筑起邊界網(wǎng)絡(luò)圍墻，將數(shù)據(jù)作為一國(guó)私有財(cái)產(chǎn)封鎖在本地服務(wù)器上。我國(guó)目前直接或間接規(guī)定個(gè)人信息“云存儲(chǔ)”的法律規(guī)范較為模糊，大多規(guī)范性法律文件中僅原則性地強(qiáng)調(diào)“數(shù)據(jù)本地化”，以此來(lái)實(shí)現(xiàn)對(duì)境內(nèi)數(shù)據(jù)的主權(quán)管控。如中國(guó)人民銀行于2011年1月發(fā)布的《中國(guó)人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》第6條規(guī)定，“境內(nèi)收集的個(gè)人金融信息在境內(nèi)儲(chǔ)存和處理并不得向境外提供”，原則上禁止個(gè)人金融信息出境。

然而，與金融資產(chǎn)類(lèi)似，數(shù)據(jù)資產(chǎn)也只有在流動(dòng)中才能最大限度實(shí)現(xiàn)其價(jià)值，資源在很多時(shí)候等同于利益[8]133，上述禁止個(gè)人金融信息出境的規(guī)定忽略了市場(chǎng)需求，更難以應(yīng)對(duì)如今“云存儲(chǔ)”的發(fā)展給數(shù)據(jù)跨境流動(dòng)帶來(lái)的沖擊，僅從安全角度出發(fā)進(jìn)行“一刀切”的監(jiān)管與規(guī)制，無(wú)疑降低了中國(guó)企業(yè)在國(guó)際市場(chǎng)上的活躍度和競(jìng)爭(zhēng)力。2016年11月發(fā)布的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱(chēng)《網(wǎng)絡(luò)安全法》）第37條重申了“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)”，但同時(shí)也指出確需出境的，需經(jīng)過(guò)國(guó)家互聯(lián)網(wǎng)信息辦公室的安全評(píng)估。國(guó)家互聯(lián)網(wǎng)信息辦公室于2017年4月發(fā)布的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》第8條將“涉及個(gè)人信息情況”作為數(shù)據(jù)出境安全評(píng)估應(yīng)重點(diǎn)評(píng)估的內(nèi)容之一進(jìn)行明確規(guī)定，采取了原則禁止、經(jīng)安全評(píng)估為例外的監(jiān)管模式。但由于上述條款均未涉及安全評(píng)估標(biāo)準(zhǔn)，仍存在較為籠統(tǒng)、可操作性不足等問(wèn)題，數(shù)據(jù)“云存儲(chǔ)”尚未得到有效法律規(guī)制，對(duì)于境外存儲(chǔ)的“云數(shù)據(jù)”的監(jiān)管亟需加強(qiáng)。

盡管近年來(lái)數(shù)據(jù)“云存儲(chǔ)”發(fā)展勢(shì)頭日益迅猛，但相關(guān)法律規(guī)范并未及時(shí)跟進(jìn)，主要內(nèi)容仍然停留在原則性規(guī)定層面。無(wú)論是國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)于2019年10月發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范（征求意見(jiàn)稿）》附錄D“隱私政策模板”中提出的“數(shù)據(jù)處理者須在隱私政策中說(shuō)明個(gè)人信息在使用過(guò)程中涉及的地理區(qū)域，如個(gè)人信息存儲(chǔ)和備份的地域”，還是全國(guó)人民代表大會(huì)常務(wù)委員會(huì)于2021年6月發(fā)布的《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱(chēng)《數(shù)據(jù)安全法》）中規(guī)定的“非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)，境內(nèi)的組織、個(gè)人不得向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的數(shù)據(jù)”①參見(jiàn)《中華人民共和國(guó)數(shù)據(jù)安全法》第36條：“中華人民共和國(guó)主管機(jī)關(guān)根據(jù)有關(guān)法律和中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定，或者按照平等互惠原則，處理外國(guó)司法或者執(zhí)法機(jī)構(gòu)關(guān)于提供數(shù)據(jù)的請(qǐng)求。非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)，境內(nèi)的組織、個(gè)人不得向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的數(shù)據(jù)。”，抑或是于2021年11月1日正式施行的《個(gè)人信息保護(hù)法》中第40條對(duì)有關(guān)個(gè)人信息運(yùn)營(yíng)和處理主體提出的“在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)”的要求，均未能對(duì)通過(guò)“云存儲(chǔ)”保存于境外的數(shù)據(jù)管轄及使用問(wèn)題作出針對(duì)性的監(jiān)管。

解決個(gè)人信息“云存儲(chǔ)”的數(shù)據(jù)保護(hù)問(wèn)題不能單純依靠此類(lèi)原則性規(guī)定，上述法律規(guī)范雖提出了“境內(nèi)數(shù)據(jù)，境內(nèi)存儲(chǔ)”的境內(nèi)數(shù)據(jù)合規(guī)性存儲(chǔ)要求，并可根據(jù)屬地原則進(jìn)行管轄，但是針對(duì)在境外產(chǎn)生或通過(guò)“云存儲(chǔ)”保存在境外虛擬終端的中國(guó)公民個(gè)人信息缺乏明確的法律規(guī)范。在法律監(jiān)管的模糊地帶，該部分?jǐn)?shù)據(jù)信息將如何保護(hù)，亟需相關(guān)部門(mén)出臺(tái)法律法規(guī)予以明確。

（二）云運(yùn)營(yíng)服務(wù)商的數(shù)據(jù)安全義務(wù)及責(zé)任有待明確

“云存儲(chǔ)”是借助網(wǎng)絡(luò)，運(yùn)用應(yīng)用軟件，為用戶提供數(shù)據(jù)存儲(chǔ)及訪問(wèn)功能的一個(gè)軟硬件結(jié)合的數(shù)據(jù)集合系統(tǒng)[9]102。此種數(shù)據(jù)集合系統(tǒng)往往由專(zhuān)業(yè)的第三方運(yùn)營(yíng)機(jī)構(gòu)負(fù)責(zé)運(yùn)行和管理，即云運(yùn)營(yíng)服務(wù)商。在實(shí)踐中，面對(duì)眾多不同需求的客戶，運(yùn)營(yíng)商一般會(huì)事先制定統(tǒng)一的格式合同范本，為用戶提供數(shù)據(jù)的云端存儲(chǔ)服務(wù)。然而作為格式合同的制定方，處于優(yōu)勢(shì)地位的運(yùn)營(yíng)商常常會(huì)在合同中通過(guò)設(shè)定一些格式條款不合理地加重用戶義務(wù)，減輕其自身承擔(dān)的責(zé)任，這些不公平的條款嚴(yán)重侵犯了用戶的合法權(quán)益。《中華人民共和國(guó)民法典》中明確規(guī)定了“提供格式條款一方不合理地免除或者減輕其責(zé)任、加重對(duì)方責(zé)任、限制對(duì)方主要權(quán)利，該格式條款無(wú)效”②參見(jiàn)《中華人民共和國(guó)民法典》第497條：“有下列情形之一的，該格式條款無(wú)效：（一）具有本法第一編第六章第三節(jié)和本法第五百零六條規(guī)定的無(wú)效情形；（二）提供格式條款一方不合理地免除或者減輕其責(zé)任、加重對(duì)方責(zé)任、限制對(duì)方主要權(quán)利；（三）提供格式條款一方排除對(duì)方主要權(quán)利。”。該法律條文同樣可以適用于“云存儲(chǔ)”服務(wù)合同，但是其適用程度有限。“云存儲(chǔ)”服務(wù)涉及多元化的存儲(chǔ)模式，具體包括公共云、私有云和混合云幾種主要類(lèi)型，上述不同云的架構(gòu)導(dǎo)致各方之間使用的合同條款具有很大差別①在云存儲(chǔ)中，云的模式也有不同種類(lèi)。通說(shuō)認(rèn)為包括：（1）公共云（Public Cloud），即云存儲(chǔ)設(shè)備可供社會(huì)上所有愿意接受服務(wù)的檔案機(jī)構(gòu)使用，各種數(shù)字檔案資源被放在一起進(jìn)行保管，一般使用遠(yuǎn)程方式進(jìn)行管理和操作；（2）私有云（Private Cloud），往往為大企業(yè)自行或委托第三方服務(wù)商建立和運(yùn)維，僅供本機(jī)構(gòu)的文件存儲(chǔ)和利用；（3）社群云（Community Cloud），往往為多個(gè)具有共同文件檔案管理標(biāo)準(zhǔn)的中小企業(yè)協(xié)議以合同聯(lián)營(yíng)的方式共同建立和使用，經(jīng)常為委托其中一個(gè)聯(lián)營(yíng)企業(yè)進(jìn)行運(yùn)營(yíng)管理；（4）混合云（Hybrid Cloud），即混合以上兩種或三種方式的存儲(chǔ)云。。比如對(duì)于“公共云”而言，由于云存儲(chǔ)空間面向社會(huì)上所有用戶，出于便捷交易的考量，服務(wù)合同大多以格式合同為主，有關(guān)“格式合同”的法律條文適用程度較高，可以實(shí)現(xiàn)對(duì)用戶權(quán)益的法律保護(hù)。相反，對(duì)于“私有云”而言，由于合同雙方當(dāng)事人均為相對(duì)單一的法律主體，因此在實(shí)踐中往往通過(guò)協(xié)商談判的方式就某些條款的適用達(dá)成新的共識(shí)。然而云運(yùn)營(yíng)服務(wù)商相對(duì)用戶而言在技術(shù)能力、信息占有度等方面都處于強(qiáng)勢(shì)地位，在談判中往往以運(yùn)營(yíng)商提供的合同為基礎(chǔ)，導(dǎo)致協(xié)商后的服務(wù)合同既無(wú)法真正體現(xiàn)用戶的真實(shí)意思，保障其合法權(quán)益，也難以通過(guò)適用法律關(guān)于“格式條款”的相關(guān)規(guī)定而獲得正當(dāng)保護(hù)[2]40。

一旦建立起相應(yīng)的“云存儲(chǔ)”服務(wù)合同，用戶的數(shù)據(jù)便會(huì)通過(guò)采集、處理后被上傳到云端虛擬服務(wù)器，進(jìn)而喪失對(duì)數(shù)據(jù)的絕對(duì)控制權(quán)[10]6。隨著用戶的數(shù)據(jù)控制權(quán)轉(zhuǎn)移至云運(yùn)營(yíng)服務(wù)商一方，其相應(yīng)的數(shù)據(jù)安全義務(wù)與責(zé)任也應(yīng)當(dāng)被明晰。我國(guó)目前關(guān)于云運(yùn)營(yíng)服務(wù)商的相關(guān)義務(wù)與責(zé)任的法律規(guī)定過(guò)于原則，并且缺乏規(guī)制的針對(duì)性。2016年11月發(fā)布的《網(wǎng)絡(luò)安全法》第22條、第40條至第44條規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用用戶個(gè)人信息的基本原則和條件，保障用戶合理行使個(gè)人信息的刪除權(quán)與更正權(quán)。但法律條文的原則性以及法律概念的抽象性導(dǎo)致相應(yīng)的義務(wù)內(nèi)容在實(shí)踐中存在較大的不確定性。不僅未能明確云運(yùn)營(yíng)服務(wù)商對(duì)于存儲(chǔ)于境外的個(gè)人信息的安全保障義務(wù)，反而對(duì)違反《網(wǎng)絡(luò)安全法》第37條的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者“在境外存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)，或者向境外提供網(wǎng)絡(luò)數(shù)據(jù)的”行為設(shè)定了嚴(yán)格的行政處罰，導(dǎo)致通過(guò)“云存儲(chǔ)”保存在境外虛擬終端的中國(guó)公民個(gè)人信息缺乏相應(yīng)的安全保障。此外，2021年6月發(fā)布的《數(shù)據(jù)安全法》第27條也僅籠統(tǒng)地規(guī)定了“開(kāi)展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全”，“相應(yīng)的技術(shù)措施”和“其他必要措施”具體包含哪些內(nèi)容，違反后應(yīng)當(dāng)承擔(dān)怎樣的法律責(zé)任，未置可否。即使是2021年8月最新頒布的《個(gè)人信息保護(hù)法》，也未能對(duì)上述內(nèi)容予以進(jìn)一步明晰。

（三）境外“云存儲(chǔ)”數(shù)據(jù)管轄權(quán)亟需明晰

傳統(tǒng)的管轄權(quán)以屬地原則為主，但隨著“云時(shí)代”的到來(lái)，網(wǎng)絡(luò)主權(quán)已逐漸成為包括中國(guó)在內(nèi)的整個(gè)國(guó)際社會(huì)廣泛關(guān)注的問(wèn)題。我國(guó)已通過(guò)《網(wǎng)絡(luò)安全法》明確了“網(wǎng)絡(luò)主權(quán)”原則，《個(gè)人信息保護(hù)法》第3章也專(zhuān)門(mén)對(duì)個(gè)人信息的跨境流動(dòng)提供了規(guī)制依據(jù)，明確了個(gè)人信息處理者若向境外提供個(gè)人信息需滿足“國(guó)家網(wǎng)信部門(mén)的安全評(píng)估、專(zhuān)業(yè)機(jī)構(gòu)的個(gè)人信息保護(hù)認(rèn)證、按照國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同與境外接收方簽訂合同”等條件之一②參見(jiàn)《個(gè)人信息保護(hù)法》第38條：“個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)具備下列條件之一：（一）依照本法第四十條的規(guī)定通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估；（二）按照國(guó)家網(wǎng)信部門(mén)的規(guī)定經(jīng)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；（三）按照國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；（四）法律、行政法規(guī)或者國(guó)家網(wǎng)信部門(mén)規(guī)定的其他條件。中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定對(duì)向中華人民共和國(guó)境外提供個(gè)人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。個(gè)人信息處理者應(yīng)當(dāng)采取必要措施，保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)?！?，第40條也強(qiáng)調(diào)了“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者，確需向境外提供的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估”。然而上述法律條文的適用范圍僅限于我國(guó)境內(nèi)，即只能基于主權(quán)范疇進(jìn)行規(guī)制。但在云計(jì)算時(shí)代，數(shù)據(jù)的“云存儲(chǔ)”早已突破了地緣限制而拓展到網(wǎng)絡(luò)虛擬空間，尤其是針對(duì)在境外產(chǎn)生或通過(guò)“云存儲(chǔ)”保存在境外虛擬終端的中國(guó)公民個(gè)人信息，上述法律規(guī)定明顯難以滿足用戶數(shù)據(jù)保護(hù)的現(xiàn)實(shí)需要。加之信息技術(shù)的發(fā)展導(dǎo)致數(shù)據(jù)存儲(chǔ)管理的操作方分散在世界各地，而各國(guó)對(duì)于境外數(shù)據(jù)管轄的相關(guān)立法及其域外效力存在較大差異性，使得對(duì)于云端數(shù)據(jù)的管轄長(zhǎng)期處于爭(zhēng)議和沖突之中。國(guó)家安全固然是實(shí)施網(wǎng)絡(luò)保護(hù)措施的合理理由，然而是否一定需要通過(guò)本地化手段進(jìn)行規(guī)制仍然值得商榷[11]39。

以存儲(chǔ)于云端服務(wù)器的數(shù)據(jù)流動(dòng)管轄為例，云服務(wù)商在跨境數(shù)據(jù)流動(dòng)中必須嚴(yán)格遵循數(shù)據(jù)流經(jīng)地區(qū)的管轄規(guī)則，此種數(shù)據(jù)流動(dòng)包括通過(guò)“云存儲(chǔ)”被置于境外的中國(guó)公民個(gè)人信息。然而在個(gè)人信息的域外法律管轄問(wèn)題上，各國(guó)尚未達(dá)成普遍性的共識(shí)，國(guó)際社會(huì)也未形成統(tǒng)一的國(guó)際慣例或規(guī)則，相關(guān)法律體系和規(guī)則的差異性對(duì)實(shí)踐中的管轄權(quán)劃分帶來(lái)現(xiàn)實(shí)障礙。一方面，云運(yùn)營(yíng)服務(wù)商需盡可能地掌握不同數(shù)據(jù)所涉云端地域的法律規(guī)范，避免傷及其他云數(shù)據(jù)主體的合法權(quán)益。但是云服務(wù)商即便投入大量的成本，可能也無(wú)法掌握所有“云空間”的存儲(chǔ)規(guī)范。另一方面，各國(guó)基于對(duì)數(shù)據(jù)主權(quán)的維護(hù)，紛紛實(shí)施數(shù)據(jù)本地化政策。強(qiáng)制性地將個(gè)人信息限制在境內(nèi)顯然無(wú)法滿足云計(jì)算時(shí)代用戶的數(shù)據(jù)存儲(chǔ)要求，也與當(dāng)前經(jīng)濟(jì)全球化帶來(lái)的大量直接產(chǎn)生于境外的數(shù)據(jù)存儲(chǔ)需求相悖。為規(guī)避這一限制，云服務(wù)商需要投入更多的成本在本地設(shè)立服務(wù)器或數(shù)據(jù)處理中心，或者將數(shù)據(jù)存儲(chǔ)和處理的業(yè)務(wù)外包給本國(guó)數(shù)據(jù)服務(wù)公司，這變相阻礙了外國(guó)服務(wù)提供者進(jìn)入本國(guó)市場(chǎng)，降低了數(shù)據(jù)資源的利用率。

四、完善我國(guó)個(gè)人信息“云存儲(chǔ)”法律規(guī)范的建議

（一）細(xì)化個(gè)人信息“境外存儲(chǔ)”的相關(guān)法律規(guī)定

“云計(jì)算”時(shí)代境外個(gè)人信息的保護(hù)不能僅停留于原則性規(guī)定，個(gè)人信息保護(hù)的不完整使得游離于法律之外的“境外數(shù)據(jù)”無(wú)法得到有效規(guī)制。《個(gè)人信息保護(hù)法》第40條明確了“境內(nèi)數(shù)據(jù)境內(nèi)存儲(chǔ)”的數(shù)據(jù)本地化要求，目的是為了維護(hù)一國(guó)數(shù)據(jù)主權(quán)、守住境內(nèi)數(shù)據(jù)監(jiān)管的底線，但數(shù)據(jù)的價(jià)值蘊(yùn)藏在其流動(dòng)性之中，數(shù)據(jù)開(kāi)放才有利于增加其價(jià)值，進(jìn)而為整個(gè)市場(chǎng)創(chuàng)造更多福利。云服務(wù)商不僅可以利用其境內(nèi)服務(wù)器實(shí)現(xiàn)數(shù)據(jù)的境內(nèi)存儲(chǔ)，還可以通過(guò)租用境外云服務(wù)器的方式擴(kuò)大其業(yè)務(wù)范圍，國(guó)內(nèi)知名服務(wù)商諸如華為云、百度云、小米云等都已經(jīng)在境外搭建了自己的機(jī)房，實(shí)現(xiàn)了用戶個(gè)人數(shù)據(jù)的“云存儲(chǔ)”。因此《個(gè)人信息保護(hù)法》第40條對(duì)于確需出境的數(shù)據(jù)也提出了安全評(píng)估要求。但是對(duì)于本身便在境外產(chǎn)生或通過(guò)“云存儲(chǔ)”保存在境外虛擬終端的中國(guó)公民個(gè)人信息究竟該如何保護(hù)卻尚未明晰。

為了應(yīng)對(duì)“云存儲(chǔ)”帶來(lái)的境外數(shù)據(jù)安全保護(hù)問(wèn)題，建議《個(gè)人信息保護(hù)法》第3章“個(gè)人信息跨境提供的規(guī)則”第40條后增設(shè)如下條文，規(guī)定境外“云數(shù)據(jù)”的存儲(chǔ)規(guī)則：“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)對(duì)其使用的境外云服務(wù)器進(jìn)行登記注冊(cè)，并取得合法資質(zhì)證明。對(duì)于境外存儲(chǔ)的個(gè)人信息應(yīng)當(dāng)進(jìn)行特殊加密管理，建立境外數(shù)據(jù)商業(yè)利用的分級(jí)分類(lèi)管理及預(yù)警機(jī)制。”

具體而言，一是對(duì)云服務(wù)商的運(yùn)營(yíng)資質(zhì)進(jìn)行審查，將提供“云存儲(chǔ)”服務(wù)的主體限定在境內(nèi)，同時(shí)對(duì)于其使用的用于存儲(chǔ)個(gè)人信息的境外云服務(wù)器進(jìn)行注冊(cè)登記管理，并要求其取得合法的資質(zhì)及證明文件。二是設(shè)定明確的境外“云存儲(chǔ)”監(jiān)管規(guī)范。不同“云存儲(chǔ)”環(huán)境所使用的安全存儲(chǔ)技術(shù)可能有一定的差異性，但通常都會(huì)對(duì)數(shù)據(jù)目錄、數(shù)據(jù)庫(kù)、傳輸介質(zhì)等予以加密，通過(guò)這些加密算法保證境外存儲(chǔ)的“云數(shù)據(jù)”能夠滿足境內(nèi)在數(shù)據(jù)的安全監(jiān)管以及穩(wěn)定性、適配性等方面的要求。因此監(jiān)管應(yīng)當(dāng)根據(jù)具體行為的風(fēng)險(xiǎn)特征及運(yùn)行模式，從數(shù)據(jù)信息保護(hù)、基礎(chǔ)運(yùn)營(yíng)能力、運(yùn)營(yíng)環(huán)境安全、業(yè)務(wù)連續(xù)性保障等方面作出針對(duì)性規(guī)定。同時(shí)，在分級(jí)分類(lèi)監(jiān)管機(jī)制基礎(chǔ)上，應(yīng)進(jìn)一步完善監(jiān)管組織架構(gòu)，明確監(jiān)管機(jī)構(gòu)職責(zé)[12]98。三是對(duì)“云存儲(chǔ)”于境外的個(gè)人信息的商業(yè)利用問(wèn)題予以規(guī)范，對(duì)于存儲(chǔ)于境外的信息進(jìn)行分級(jí)分類(lèi)管理，劃定各類(lèi)信息的主管部門(mén)并明確責(zé)任，同時(shí)建立預(yù)警機(jī)制。如市場(chǎng)監(jiān)督管理部門(mén)應(yīng)當(dāng)與公安機(jī)關(guān)密切配合，掌握境外“云數(shù)據(jù)”的動(dòng)向，對(duì)故意危害國(guó)家安全、侵犯中國(guó)公民個(gè)人權(quán)益的行為及時(shí)介入和調(diào)查，加強(qiáng)對(duì)數(shù)據(jù)信息的安全保護(hù)。

在細(xì)化相關(guān)法律規(guī)定的過(guò)程中，應(yīng)當(dāng)注重對(duì)特定領(lǐng)域的專(zhuān)項(xiàng)立法，特別是針對(duì)網(wǎng)絡(luò)安全和個(gè)人信息的立法。我國(guó)對(duì)個(gè)人信息的數(shù)據(jù)保護(hù)散見(jiàn)于各類(lèi)法律規(guī)范中，《網(wǎng)絡(luò)安全法》與《個(gè)人信息保護(hù)法》對(duì)數(shù)據(jù)本地化以及數(shù)據(jù)跨境轉(zhuǎn)移的規(guī)定過(guò)于原則。零散甚至是沖突的法律條文難以應(yīng)對(duì)云計(jì)算時(shí)代對(duì)個(gè)人信息“云存儲(chǔ)”法律保護(hù)的現(xiàn)實(shí)需求，亟需專(zhuān)門(mén)立法為我國(guó)“云數(shù)據(jù)”的保護(hù)構(gòu)建系統(tǒng)化的解決方案。在此基礎(chǔ)之上，工信部也應(yīng)盡快制定專(zhuān)門(mén)的部門(mén)規(guī)章，加強(qiáng)對(duì)境外存儲(chǔ)“云數(shù)據(jù)”的監(jiān)管。一方面，應(yīng)當(dāng)細(xì)化境內(nèi)數(shù)據(jù)出境的安全審查標(biāo)準(zhǔn)，完善相關(guān)的評(píng)估流程。2021年10月29日國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》除了注重對(duì)數(shù)據(jù)出境全流程的監(jiān)管外，還明確了“風(fēng)險(xiǎn)自評(píng)估+安全評(píng)估”的雙層評(píng)估流程①參見(jiàn)《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》第3條：“數(shù)據(jù)出境安全評(píng)估堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合，防范數(shù)據(jù)出境安全風(fēng)險(xiǎn)，保障數(shù)據(jù)依法有序自由流動(dòng)?！?。應(yīng)當(dāng)以此為原則和基礎(chǔ)，從源頭上限制涉及國(guó)家安全及個(gè)人隱私的關(guān)鍵信息出境。另一方面，還應(yīng)當(dāng)強(qiáng)化違法責(zé)任追究，對(duì)“云存儲(chǔ)”中涉及的包括云服務(wù)商、信息收集處理者等在內(nèi)的相關(guān)責(zé)任主體的個(gè)人信息保護(hù)義務(wù)、信息泄露時(shí)的賠償責(zé)任等進(jìn)行明確，為境外“云數(shù)據(jù)”存儲(chǔ)和使用的監(jiān)管提供法律依據(jù)。

（二）強(qiáng)化云運(yùn)營(yíng)服務(wù)商的責(zé)任及義務(wù)規(guī)制

云存儲(chǔ)服務(wù)提供商扮演的是超級(jí)用戶角色，一定程度上掌控著攫取大量數(shù)據(jù)資源必經(jīng)之門(mén)的“金鑰匙”[13]103。絕大多數(shù)的用戶面對(duì)相對(duì)強(qiáng)勢(shì)的云服務(wù)商，只能被迫接受其事先擬定的格式合同，加之云服務(wù)商在技術(shù)操作、法律政策等方面掌握大量信息，從而為其規(guī)避本應(yīng)承擔(dān)的安全義務(wù)和責(zé)任創(chuàng)造了客觀條件，導(dǎo)致“云存儲(chǔ)”用戶處于極其不利的法律地位。因此，為了保障用戶數(shù)據(jù)安全，應(yīng)當(dāng)通過(guò)法律的形式明確云服務(wù)商的安全保障義務(wù)及責(zé)任，限制或禁止其未經(jīng)個(gè)人授權(quán)而開(kāi)展的數(shù)據(jù)挖掘及分析活動(dòng)，明確其對(duì)第三方惡意破壞數(shù)據(jù)行為負(fù)有通知與禁止的義務(wù)，以此來(lái)實(shí)現(xiàn)對(duì)用戶數(shù)據(jù)安全的切實(shí)保障。具體而言，包括以下幾個(gè)方面：

首先，應(yīng)當(dāng)將安全保密義務(wù)設(shè)置為云服務(wù)合同中的必備條款。針對(duì)目前廣泛應(yīng)用于實(shí)踐的公共云模式，格式合同是大多云運(yùn)營(yíng)服務(wù)商常用的方式。為避免云服務(wù)商利用優(yōu)勢(shì)地位或制定格式合同的契機(jī)規(guī)避其安全保障義務(wù)，應(yīng)強(qiáng)制要求其在服務(wù)合同中作出“未經(jīng)授權(quán)不得提取或開(kāi)發(fā)個(gè)人用戶的敏感信息以及企業(yè)用戶的商業(yè)秘密”的安全保密承諾。同時(shí)，授權(quán)用戶在上述條款的基礎(chǔ)上增加提升其個(gè)人信息安全等級(jí)的需求性條件，例如，個(gè)人用戶有權(quán)對(duì)其數(shù)據(jù)存儲(chǔ)系統(tǒng)的安全性進(jìn)行監(jiān)督，在發(fā)現(xiàn)系統(tǒng)漏洞或系統(tǒng)改變的情況下，有權(quán)要求云服務(wù)商作出相應(yīng)的安保承諾或采取相應(yīng)的安保措施。如果經(jīng)用戶要求仍未能修復(fù)安全漏洞，用戶有權(quán)行使合同的變更權(quán)、解除權(quán)。

其次，應(yīng)當(dāng)明確云服務(wù)商的協(xié)助存留數(shù)據(jù)義務(wù)，即對(duì)于用戶因第三方欺詐或侵權(quán)造成的數(shù)據(jù)損害，云服務(wù)商有協(xié)助提供相關(guān)技術(shù)留存記錄等證據(jù)的義務(wù)。選擇“云存儲(chǔ)”服務(wù)的用戶一旦與云服務(wù)商達(dá)成相關(guān)服務(wù)協(xié)議，其數(shù)據(jù)控制權(quán)便相應(yīng)地轉(zhuǎn)移給了云服務(wù)商。此時(shí)，云服務(wù)商在一定程度上成為了數(shù)據(jù)風(fēng)險(xiǎn)的預(yù)防者和承擔(dān)者。特別是針對(duì)產(chǎn)生于境外或保存在境外虛擬終端的個(gè)人信息，云服務(wù)商理應(yīng)負(fù)擔(dān)更為嚴(yán)格的安保義務(wù)。相比于存儲(chǔ)于境內(nèi)受網(wǎng)絡(luò)主權(quán)原則保護(hù)的個(gè)人數(shù)據(jù)而言，這些位于境外云端的數(shù)據(jù)面臨著更高的遭受第三方入侵及管轄的風(fēng)險(xiǎn)。因此，云服務(wù)商應(yīng)當(dāng)實(shí)施更為嚴(yán)格的數(shù)據(jù)訪問(wèn)準(zhǔn)入標(biāo)準(zhǔn)，通過(guò)最小化第三方訪問(wèn)特權(quán)以及嚴(yán)控用戶數(shù)據(jù)披露等方式，限制第三方對(duì)用戶個(gè)人數(shù)據(jù)的訪問(wèn)和使用。這一方面要求云服務(wù)商從改進(jìn)技術(shù)手段出發(fā)，確保整體層面的網(wǎng)絡(luò)系統(tǒng)安全，防止遭受外來(lái)軟件的攻擊，比如設(shè)置安全系數(shù)較高的動(dòng)態(tài)監(jiān)測(cè)系統(tǒng)，及時(shí)化解和防范技術(shù)性風(fēng)險(xiǎn)；另一方面，云服務(wù)商也應(yīng)當(dāng)從完善內(nèi)部治理機(jī)制出發(fā)，通過(guò)制定網(wǎng)絡(luò)數(shù)據(jù)留存制度、重要數(shù)據(jù)分類(lèi)及備份加密制度、內(nèi)部人員安全管理制度等方式強(qiáng)化人事規(guī)章以及運(yùn)作流程等方面的管理。

再次，完善云服務(wù)商濫用用戶數(shù)據(jù)的處罰機(jī)制?！吨腥A人民共和國(guó)刑法修正案（九）》對(duì)《中華人民共和國(guó)刑法》第253條進(jìn)行了修改，強(qiáng)調(diào)了“違反國(guó)家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息”在情節(jié)嚴(yán)重情形下的刑事責(zé)任。雖然該法律條文明確了違規(guī)使用公民個(gè)人信息的刑事責(zé)任，但對(duì)于“出售、提供”之外的其他“采集、處理、傳輸、交易”等行為缺乏明確的規(guī)制依據(jù)，更未涉及云端數(shù)據(jù)存儲(chǔ)的安全問(wèn)題，使得個(gè)人信息“云存儲(chǔ)”中相關(guān)責(zé)任主體的違法責(zé)任承擔(dān)處于高度不確定性之中。對(duì)此，應(yīng)當(dāng)明確云服務(wù)商的責(zé)任承擔(dān)方式，針對(duì)不同類(lèi)型的違法違規(guī)行為設(shè)定相應(yīng)的處罰機(jī)制。建議以云服務(wù)商違規(guī)行為的危害性為依據(jù)，限制直至禁止其在某一特定領(lǐng)域的業(yè)務(wù)開(kāi)展，對(duì)其存儲(chǔ)數(shù)據(jù)的服務(wù)規(guī)模以及用戶數(shù)量進(jìn)行限制，同時(shí)在官方平臺(tái)進(jìn)行信用信息公示，以此強(qiáng)化對(duì)云運(yùn)營(yíng)服務(wù)商的聲譽(yù)約束與激勵(lì)。

最后，建立健全“云存儲(chǔ)”賠償及糾紛解決機(jī)制。云服務(wù)商在與用戶建立數(shù)據(jù)存儲(chǔ)服務(wù)關(guān)系時(shí)，往往會(huì)在服務(wù)協(xié)議中明確約定賠償方式。但基于其在事實(shí)上的強(qiáng)勢(shì)地位，具體賠償金額大多被限定在用戶支付的費(fèi)用范圍內(nèi)，即全額或部分退還傭金。然而，“云存儲(chǔ)”本就以其高效、便捷、低成本而廣受用戶青睞。其中“低成本”意味著目前云服務(wù)費(fèi)用較低，幾乎是“超低支付或零支付”，這就決定了在服務(wù)協(xié)議中以“用戶支付費(fèi)用”為賠償限額的約定，大幅減輕了云服務(wù)商的賠償責(zé)任。因此，有必要通過(guò)法律的形式明確云服務(wù)商的最低賠償額度，并設(shè)置專(zhuān)門(mén)的糾紛解決平臺(tái)來(lái)應(yīng)對(duì)在專(zhuān)業(yè)度和虛擬性較高的“云空間”中發(fā)生的數(shù)據(jù)爭(zhēng)議和沖突。

（三）加強(qiáng)國(guó)際協(xié)作以推進(jìn)個(gè)人信息“云存儲(chǔ)”中的數(shù)據(jù)保護(hù)

在云時(shí)代來(lái)臨之前，多數(shù)國(guó)家以屬地管轄為基本原則，即一國(guó)國(guó)內(nèi)的數(shù)據(jù)受該國(guó)法律的管轄，該原則的適用具有其合理性。一方面，本國(guó)居民的個(gè)人信息大多產(chǎn)生并存儲(chǔ)于本國(guó)境內(nèi)，加之絕大部分的數(shù)據(jù)存儲(chǔ)公司都將其運(yùn)營(yíng)中心設(shè)在國(guó)內(nèi)，相應(yīng)的適用屬地管轄更為便捷；另一方面，基于國(guó)家主權(quán)而進(jìn)行的數(shù)據(jù)管轄在國(guó)際社會(huì)中一般不會(huì)引發(fā)各國(guó)的管轄權(quán)沖突。然而，隨著數(shù)字經(jīng)濟(jì)時(shí)代的到來(lái)，越來(lái)越多中國(guó)公民在境外開(kāi)卡消費(fèi)，致使其個(gè)人信息直接在境外產(chǎn)生，大量在境內(nèi)收集的個(gè)人信息也通過(guò)“云存儲(chǔ)”的方式存儲(chǔ)在境外服務(wù)器中。針對(duì)該類(lèi)特殊“云數(shù)據(jù)”的監(jiān)管，國(guó)際上尚未形成統(tǒng)一框架，各個(gè)國(guó)家都以本國(guó)利益為出發(fā)點(diǎn)設(shè)計(jì)各自的監(jiān)管模式，對(duì)不同類(lèi)型數(shù)據(jù)進(jìn)行分級(jí)分類(lèi)的差異化管理。通過(guò)“重要數(shù)據(jù)禁止流動(dòng)、公共數(shù)據(jù)有條件流動(dòng)、普通數(shù)據(jù)跨境流動(dòng)”等安全認(rèn)證制度，強(qiáng)化對(duì)不同等級(jí)數(shù)據(jù)的安全監(jiān)管。面對(duì)各國(guó)對(duì)網(wǎng)絡(luò)空間管轄權(quán)的爭(zhēng)奪，我國(guó)有必要在堅(jiān)持?jǐn)?shù)據(jù)主權(quán)原則的基礎(chǔ)上通過(guò)協(xié)商加強(qiáng)云涉空間的國(guó)際合作。

首先，對(duì)于確已通過(guò)“云存儲(chǔ)”的方式保存于境外的個(gè)人數(shù)據(jù)信息，應(yīng)當(dāng)明確其管轄和使用原則。屬地管轄是基于國(guó)家主權(quán)賦予本國(guó)政府對(duì)其境內(nèi)數(shù)據(jù)的管轄權(quán)，而對(duì)于脫離地域“云存儲(chǔ)”于境外的數(shù)據(jù)，應(yīng)通過(guò)法律規(guī)范確立管轄和使用標(biāo)準(zhǔn)，突破地理區(qū)域的限制實(shí)現(xiàn)我國(guó)法律的域外適用。一方面，可以依據(jù)數(shù)據(jù)控制者模式打破固有的屬地原則，對(duì)于由境內(nèi)機(jī)構(gòu)掌握的涉及我國(guó)公民個(gè)人信息的數(shù)據(jù)，即使其存儲(chǔ)地不在我國(guó)境內(nèi)，仍然可以依據(jù)數(shù)據(jù)控制者標(biāo)準(zhǔn)實(shí)現(xiàn)對(duì)境外“云端”數(shù)據(jù)的管轄，拓展相關(guān)法律規(guī)范的適用范圍。建議通過(guò)立法明確“個(gè)人信息”和“重要數(shù)據(jù)”的范圍，對(duì)于涉及國(guó)家安全和利益的數(shù)據(jù)要實(shí)現(xiàn)完全本地化控制；對(duì)于一些確需流動(dòng)的數(shù)據(jù)要確立跨境流動(dòng)的審查標(biāo)準(zhǔn)；對(duì)于涉及我國(guó)公民、企業(yè)等主體權(quán)利但不在我國(guó)境內(nèi)的數(shù)據(jù)應(yīng)盡快出臺(tái)相關(guān)的專(zhuān)項(xiàng)立法明確對(duì)境外數(shù)據(jù)的管轄權(quán)[7]60。另一方面，為防止此標(biāo)準(zhǔn)的適用構(gòu)成對(duì)其他國(guó)家數(shù)據(jù)主權(quán)的干預(yù)，應(yīng)引入國(guó)際禮讓原則[14]90，在數(shù)據(jù)使用過(guò)程中審慎處理相關(guān)沖突，如在使用前征得他國(guó)同意、限定“云端”數(shù)據(jù)使用范圍、對(duì)于涉及他國(guó)國(guó)家安全或重要利益的關(guān)鍵數(shù)據(jù)予以排除使用等，在互相尊重的基礎(chǔ)上實(shí)現(xiàn)對(duì)境外“云存儲(chǔ)”個(gè)人信息的使用。

其次，應(yīng)當(dāng)建立健全個(gè)人信息保護(hù)協(xié)作機(jī)制。對(duì)于境內(nèi)運(yùn)營(yíng)商通過(guò)“云存儲(chǔ)”方式存于境外的個(gè)人信息，境內(nèi)監(jiān)管主體在依據(jù)數(shù)據(jù)控制者標(biāo)準(zhǔn)進(jìn)行監(jiān)管時(shí)，必然會(huì)面臨境外存儲(chǔ)地的監(jiān)管主體依據(jù)屬地原則而進(jìn)行的本地管轄。雖然在市場(chǎng)層面，我國(guó)的個(gè)人信息存儲(chǔ)規(guī)模和使用價(jià)值在跨境數(shù)據(jù)市場(chǎng)中具有較為明顯的數(shù)量?jī)?yōu)勢(shì)，但是我國(guó)目前尚未加入國(guó)際協(xié)作監(jiān)管機(jī)制，也并未建立針對(duì)境外個(gè)人信息的數(shù)據(jù)保護(hù)體系。國(guó)內(nèi)法律及國(guó)際協(xié)作的缺失導(dǎo)致我國(guó)在跨境數(shù)據(jù)監(jiān)管中缺乏話語(yǔ)權(quán)和參與度，也使得我國(guó)公民及組織存于境外的“云數(shù)據(jù)”面臨較大的風(fēng)險(xiǎn)。對(duì)此，應(yīng)當(dāng)借鑒歐盟等地區(qū)及國(guó)家的做法，建立“白名單”機(jī)制，與數(shù)據(jù)“云存儲(chǔ)”的市場(chǎng)及監(jiān)管均比較發(fā)達(dá)的國(guó)家共同建立個(gè)人信息保護(hù)協(xié)作機(jī)制，在境外“云數(shù)據(jù)”的保護(hù)和使用規(guī)則上達(dá)成共識(shí)。同時(shí)推動(dòng)雙邊或多邊協(xié)議的簽署，制定更為細(xì)化的程序和規(guī)則，推動(dòng)個(gè)人信息“云存儲(chǔ)”跨境監(jiān)管規(guī)則的形成與完善。

最后，積極參與制定全球化數(shù)字貿(mào)易規(guī)則。截至目前，尚缺乏統(tǒng)一的國(guó)際協(xié)定來(lái)規(guī)范個(gè)人信息“云存儲(chǔ)”中的數(shù)據(jù)保護(hù)問(wèn)題，各國(guó)基本還是依據(jù)其國(guó)內(nèi)的各類(lèi)數(shù)據(jù)保護(hù)規(guī)范來(lái)監(jiān)管“云數(shù)據(jù)”的管轄和使用，這就容易在不同國(guó)家之間引發(fā)數(shù)據(jù)主權(quán)爭(zhēng)端。其一，為了增強(qiáng)規(guī)則制定的話語(yǔ)權(quán)，我國(guó)應(yīng)明確世界主要國(guó)家關(guān)于“云數(shù)據(jù)”監(jiān)管的相關(guān)規(guī)則，在此基礎(chǔ)上從各方分歧中尋求利益平衡點(diǎn)，結(jié)合本國(guó)國(guó)情對(duì)現(xiàn)有的“云數(shù)據(jù)”監(jiān)管規(guī)則加以創(chuàng)新。其二，在強(qiáng)化監(jiān)管合作方面，我國(guó)應(yīng)當(dāng)加強(qiáng)與其他同等發(fā)展水平國(guó)家的云端合作。在雙邊及多邊貿(mào)易協(xié)定中，應(yīng)適時(shí)加入境外“云數(shù)據(jù)”的流動(dòng)規(guī)制，確保我國(guó)公民在境外云端的數(shù)據(jù)受到合理保護(hù)，并在遭受侵害時(shí)得到及時(shí)的救濟(jì)。其三，在云計(jì)算時(shí)代，面對(duì)越來(lái)越多通過(guò)“云存儲(chǔ)”保存于境外的個(gè)人信息，各國(guó)應(yīng)努力推進(jìn)有關(guān)數(shù)據(jù)保護(hù)國(guó)際公約的達(dá)成，建立協(xié)商合作機(jī)制?！秴^(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》在金融領(lǐng)域達(dá)成的關(guān)于“信息轉(zhuǎn)移與信息處理”的規(guī)定，就是很好的國(guó)際合作達(dá)成規(guī)則共識(shí)的范例[15]32-38。在涉云計(jì)算領(lǐng)域，各國(guó)也應(yīng)當(dāng)加強(qiáng)國(guó)際協(xié)作，達(dá)成多邊協(xié)作共識(shí)，共同推進(jìn)云計(jì)算時(shí)代數(shù)字貿(mào)易的全球化進(jìn)程。