薛虹,北京师范大学法学院教授,博士生导师
杨灵丽,北京师范大学法学院博士研究生
原文刊载于《电子知识产权》2024年第9期
摘要:云计算不仅是数字经济发展的基础设施,还是促进新质生产力发展的核心推力。欧盟生效的《数据法》对用户的云数据迁移和服务转换权益提供了高水平的法律保障。而我国目前的法律法规对云计算的规定尚不充分,云计算涉及的数据迁移特殊问题更缺乏充分、系统的法律规范。云服务商制定的数据迁移服务规则和协议对用户权利有决定性的影响。除了政府部门的政务云服务合同,云服务商通常利用其优势地位设定显失公平的格式条款,致使用户数据迁移权受限、迁移数据安全难以保障、数据被动迁移、难以寻求法律救济。为规避上述云数据迁移法律风险,制定一般用户数据迁移服务规则时应明确数据迁移权的原则和范围,确立云服务商的安全保障法定义务,完善服务规则与协议关于用户数据迁移的约定,并在政务云数据迁移合同中加大对系统兼容性的法律关照与权益保护,以促进各大云服务商之间的良性竞争,保障一般用户的数据迁移权益。
关键词:新质生产力;云计算;数据迁移;服务规则;安全保障义务
一、引言
在我国加速发展的数字经济中,数据成为关键生产要素,正在发挥乘数效应,拓展新的经济增长空间,催生新业态、新动能。数据的云端存储、处理和流通是数据资源化、资产化、资本化的前提条件。云计算是数据处理的最基本方式,是数据要素的基础设施,是决定数据要素配置的新质生产力。但关于云计算的法律制度尚有待丰富和发展。
不同于硬盘等传统存储工具,云服务器作为一个虚拟机,具有灵活性和可扩展性等突出优势,已成为规模化数据存储的主流选择。云服务涵盖非常广泛的不同目的、功能和技术设置的服务。根据广泛使用的标准,其包括基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。这些服务提供模式代表了云服务提供的具体、预先打包的通信技术资源组合,并衍生出新的变体。用户使用云计算相关服务(以下简称“云服务”)时,经常有在云服务器之间迁移数据的需要。为避免不必要和繁琐的数据迁移障碍,并确保用户不会因切换过程而丢失任何数据,云服务商必须采取一系列的措施,并与用户达成相关的协议。如果缺乏法律规定,云服务商更换或终止云服务时,数据迁移的问题将非常突出。
一般而言,用户在迁移数据之前,首先需要对云服务器中的数据进行备份,以防止数据丢失或损坏。然后,用户根据实际情况选择合适的迁移方式,常见方式包括网络传输、磁盘拷贝、数据同步等。在完成数据迁移后,需要对目标服务器上的数据进行验证,以保障数据的完整性和准确性。如果迁移的是应用程序服务器,还需要更新相关的配置文件,如数据库连接配置、文件路径等,以确保应用程序能够正常访问迁移后的数据。
用户迁移云服务器上的数据须遵守云服务提供者的服务规则和服务协议,其中暗含对用户权益不利的内容,存在较大的法律风险。国内鲜有关于用户数据迁移服务协议及其法律风险的研究,更是缺乏对云服务用户的深入具体的类型化研究,以数据迁移权确权作为必要救济途径的研究也寥寥无几。国外对云计算服务协议的法律问题的研究较早,但在用户云计算数据迁移服务协议的权益保障程度比较,以及数据迁移救济等方面,国外研究也是刚起步。欧盟的《数据法》全面保障了用户的云数据迁移、服务转换权益,在国际上属于较高水平的法律制度,对构建我国的云计算数据迁移服务规则法律规范有重要借鉴意义。
本文试图探索云服务用户数据迁移相关的服务规则及协议的法律风险问题,对比分析政府用户及其他用户在此场景下的法律关系,研究风险管理的方法和法律应对策略。
二、云计算:加速新质生产力发展的核心推力
2024年《政府工作报告》强调将大力推进现代化产业体系建设,加快发展新质生产力。新质生产力是先进生产力的外在表现。《数字经济及其核心产业统计分类(2021)》明确界定了数字经济的内涵,并划定了数字经济的5个核心产业类型。云计算技术是加速新质生产力发展的核心推力,其在数字产品制造、数字产品服务、数字技术应用、数字要素驱动、数字化效率提升等方面发挥了关键作用。
云计算缩短数字产品制造周期,是促进新质生产力发展的加速器。云计算提供了强大的计算和存储能力,支持复杂的设计和工程计算,使得数字产品的设计和制造过程更加高效和准确。云计算的弹性资源分配能力可以根据项目需求动态调整,降低了数字产品制造的成本和时间。通过云平台,团队成员可以在世界任何地方协同工作,加速产品从设计到生产的周期。云计算技术的灵活性与可扩展性云为企业提供了高度灵活和可扩展的计算资源。企业可以根据实际需求快速增加或减少资源,无需进行大规模的前期投资。这种灵活性使得企业能够迅速适应市场的变化,从而加速新产品的开发和上市。
云计算优化数字产品服务,是促进新质生产力发展的助燃剂。云服务模式允许企业以服务的形式向客户提供数字产品,如软件即服务(SaaS),增加产品的可访问性和便利性。云平台可以实时收集用户反馈和使用数据,帮助企业不断优化产品和服务,提升用户体验。云计算的高可靠性和可扩展性能够保证数字产品服务的稳定性和高质量,提高客户满意度和忠诚度。
云计算助力数字技术应用,是促进新质生产力发展的推动器。云计算为大数据分析、人工智能、物联网等先进数字技术的应用提供了必要的计算资源和平台,促进了这些技术的普及和发展。云平台上的各种开发工具和服务简化了新技术的集成和应用,加速了企业的创新过程。企业可以通过云计算快速实验和部署新技术,降低技术创新的门槛和风险。
云计算驱动数字要素,是促进新质生产力发展的催化剂。云计算使得数据的收集、存储、分析和利用变得更加容易和经济,将数据转化为支持决策和创新的重要资产。云技术支持多源数据的整合和实时分析,为企业提供了驱动业务发展的深刻洞察。数字要素的高效利用促进了资源配置的优化,提高了企业的竞争力。
云计算提升数字化效率,是促进新质生产力发展的动力源。云计算支持企业的业务流程自动化和数字化,减少了人工操作的错误和成本,提高了工作效率。企业可以利用云平台进行远程办公、协同工作,提升团队的协作效率和灵活性。通过云计算,企业能够更快地响应市场变化,缩短产品上市时间,提升整体运营效率。
云计算技术在核心产业应用广泛且深入,已成为促进新质生产力发展的强大内推力。鉴于此,分析我国云计算数据迁移服务法律风险,研究欧盟《数据法》中云数据迁移服务规则,构建我国云服务数据迁移法律规范,已是不可回避的时代要求。
三、云计算数据迁移的现实困境
(一)制度困境:云计算数据迁移专法的缺失及功能不足
1.国家层面:数据法律框架中数据迁移规定的空白
云计算服务包括基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)三种类型。无论用户选择哪一种服务模式,都会将数据存储在云服务商提供的云服务器上。用户类型具体包括政府部门、企业、个人、机构组织。相应地,云计算数据类型也不相同。从法律性质来讲,用户数据又可以被划分为商业机密、作品、个人隐私以及其他类型的数据。总的来说,云计算用户数据是指所有储存在云服务器中的数据。
我国尚未开展专门的数据迁移立法工作,相关规定散见在《网络安全法》《数据安全法》等法律法规中。
2016年11月7日,《网络安全法》出台,该法全面规范了网络安全,并首次提出了“重要数据”的概念,规定了将数据的保护作为一项独立的法律权益。该法要求重要数据必须存储在国内,且禁止未经批准的跨境数据传输。2021年6月10日,《数据安全法》通过。该法对数据安全和发展原则、数据分级分类、促进安全跨境数据流动等多个方面作出了规定。《数据安全法》明确了数据处理和数据安全的定义,提出建立分级分类管理制度,确定了重要数据保护目录,并强调了政务数据在数字化转型过程中的作用。
从政策层面看,2022年12月,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)颁布。2023年3月国家数据局成立,顶层设计和管理机构的设立使得数据要素进入了快速推进阶段。随着互联网的深入发展与线上平台的迭代普及,数据越来越成为影响市场经济发展的重要新型生产要素。数据确权、数据库建设、数据的流通与共享等问题成为知识产权理论与实务界密切关注的对象。在反垄断、著作权等类别的课题中都有数据的参与,数据确权、数据的流通与共享、数据库建设等与数据相关的项目占据非法学的知识产权交叉项目绝大部分。2023年12月,国家数据局发布了《“数据要素×”三年行动计划(2024—2026年)(征求意见稿)》,提出培育数据安全服务、开展基于云端的安全服务的指导思想。
2.地方层面:政务云数据管理与立法局限性
经北大法宝法律法规检索可知,地方性立法仅对政务云做了规定,除了涉密的政府用户数据,其他公共机构用户的数据、企业用户的数据和个人用户的数据都未纳入规制范围。以“云”为检索要素可知,共有17部地方性法规和12部政府规章对政务云作了规定。贵州、济南、重庆、上海四地关注到了政务云数据的迁移。其中,贵州规定了政务云数据安全及风险管控措施,重庆规定了禁止行为,上海新增了法律责任、三方评估等条款,济南更是对境外云平台做出了禁止准入的规定。从政务云数据的规范程度来讲,贵州省立法最多,贵阳和上海的规定最全面。即便上述省份已经加大了对政务云数据法律规范的关注程度,但多为倡导性、概括性条款,缺乏较强的法律适用性。
综上可知,我国现行的数据法律法规、规章未对云服务用户数据迁移作出规定,用户在数据迁移方面的法律保障明显不足。地方性立法在这方面的关注度亦低,即便在政务云领域,也仅有少数省市涉及数据迁移的规定,且多为鼓励性质的条款,而非强制性指令。在法律规范缺位的情况下,用户迁移数据主要受云服务提供商设定的服务规则和服务协议的约束,并要承受由此带来的法律风险。在法律制度层面规范云服务相关规则和协议,对于保护用户权益和构建更为透明和公平的云服务市场具有至关重要的作用,促进云服务商在协议中就用户数据迁移权给予充分重视,以确保用户权益得到有效维护,同时减少因缺乏明确规定而可能产生的纠纷。
(二)实践困境:用户数据迁移服务规则及协议普遍存在的问题
云服务提供者(云服务商)通常公布其提前拟定的服务规则和服务协议主要条款。用户签订服务协议时,服务规则和格式条款自动成为服务协议的组成部分,对用户产生约束力。一旦用户因云服务商效率低下、数据安全和隐私保护不足、费用过高,或者出现更优的云服务产品等原因而选择终止协议或者不再续约,就不得不面对诸多关于数据迁移的不合理合同限制。
1.用户数据迁移缺乏安全保障
工信部于2022年4月发布的《云计算安全责任共担模型》以及云计算开源产业联盟于2020年发布的《云计算安全责任共担白皮书》,可以视为云服务商用户安全保障义务的行业标准。标准规定,从底层物理数据中心到上层数据可共分为七类,包括物理基础设施、资源抽象和管理、操作系统、网络控制、应用、数据、身份识别和访问管理。其中,底层安全责任一般由云服务商承担,上层安全责任则由云用户负责,除两者独立承担的责任外,中间部分安全责任由两者共同承担。在基础设施即服务模式下,底层的物理基础设施安全、资源抽象和管理安全一般应由云服务提供者负责,而操作系统安全、网络控制安全、应用安全、数据安全、身份识别和访问管理安全由云服务提供者和云服务用户共同负责。数据迁移安全属于用户与云服务商应共同负责的范畴。
与行业标准相比,云服务商的服务协议并未直接涵盖用户数据迁移的相关内容,仅规定了合同终止后用户数据的保存和提取方案,缺乏云服务商保障数据迁移安全的内容。服务协议可划分为三类。第一类是在服务合同终止后,云服务商会保留用户的数据一段既定的时间,但具体长度则因供应商的不同而异。例如,腾讯云会在数据迁移结束后的24小时内保留原始数据。第二类是在服务合同结束后立即删除所有的用户数据,百度云的数据传输服务就是样例。第三类是前两种方式的折衷。云服务商在合同结束后既不主动保留用户数据,也不立即删除,而是由服务商自主决定保留期限。
云服务商为吸引用户购买其数据迁移服务,往往会提供免费的数据迁移平台,例如百度智能云的数据流转平台。包括百度云、阿里云在内的大部分云服务商虽保证会对服务提供可靠性支撑,但是并不保证任何免费服务的可靠性和稳定性,亦不对用户使用或不能使用免费迁移服务的结果承担任何责任。这种可靠性支撑该如何评估,是否与收费服务同样标准,以及不对服务任何可靠性作出承诺是否意味着用户迁移数据的安全性也不被保证呢?我们不得而知。
云服务商将数据迁移前的备份责任转嫁给用户自身。数据迁移前,用户需要自己承担确保数据完整及进行数据备份的义务,云服务商不对未备份的迁移数据的丢失、损坏等后果担责。对迁移数据进行校验是保证传输数据完整性与可读性的必要程序,作为迁移服务的提供者,云服务商理应承担起迁移数据校验的责任。百度云的数据传输服务要求用户自行触发数据校验功能以核验迁移数据是否完整,而百度云所提供的免费数据流转平台则默认自动开启数据校验。但是如上所言,百度云并不对其提供的免费服务即数据流转平台的可靠性负责。因而,该平台自动开启的数据校验功能的可依赖度也就大打折扣。
2.用户数据迁移自由受到限制
从数据迁移服务协议来看,用户在数据迁移方面的自由度相对受限。一方面,很多云服务商并未明确授权用户进行数据迁移,即使存在一定程度的数据迁移权限,也常常伴随着时间限制、数据保留费用等条件限制。另一方面,即便用户能获取当前云服务中的数据,他们能否成功地将数据迁移到其他云平台,往往取决于云服务技术的兼容性以及用户数据在不同云平台间的互通性。
相比之下,政府部门作为云服务的特殊用户,在政务云采购合同中一般享有完全的数据迁移自由和迁移成功保障。以《平顶山市政务云平台购买服务合同》为例,云服务商要保证平台上的应用能够平滑、无缝迁移到其他“OpenStack+KVM”平台,并接受测试。合同限制了应用中断、失效的时间,并规定全年单个政务应用失效时间之和不得超过262.8分钟,超过该时间每分钟扣除服务费500元人民币。由此可见,一般用户的数据迁移自由性远不及政府用户。
3.用户数据被动迁移
云服务商为锁定用户数据,往往会通过优势地位增加限制条款。以百度云服务协议为例,百度云可以基于任何正当理由,自行决定何时何地并以何种方式进行机房的整体迁移,用户只能被动更改域名的DNS,并在百度智能云指定IP上进行修改,否则可能会导致网站无法正常使用。这种情况不视为百度云的违约。百度云服务协议表明,其提供的像数据流转平台等免费的网络服务变更、中断或者终止时,百度云不会对用户进行单独通知,由此产生的数据处理等后果也不会告知用户。因而,用户常常面临被动迁移数据的困境。
4.用户难以寻求法律救济
云服务商通过增设责任限制条款,免除对用户的违约责任。除了政务云服务采购合同之外,云服务商将本该由双方共担的操作系统安全、网络控制安全、应用安全、数据安全等责任全都转嫁给了用户。例如,百度云将迁移数据不完整和数据丢失的责任归于用户未进行事先备份以及迁移后未进行数据校验,用户自己承担迁移失败的风险;阿里云等云服务商也并未就数据迁移服务规定专门的赔偿条款。
云服务商尽可能地推卸平台责任,淡化安全保障义务。同样以百度云为例,百度云服务器出现故障,用户因故无法使用,百度智能云不承担损害赔偿责任,该状况包括但不限于12种情形。百度智能云不对任何链接站点的内容、链接站点中包含的任何链接或此类站点的任何更改或更新负责。百度智能云仅基于便利的目的向用户提供这些链接,不对源自任何链接站点的内容负责,也不代表其认可相应的第三方站点。百度智能云在有正当理由的情况下可以随时变更、中断或终止部分或全部的服务,也无需向用户承担任何责任。此外,对于通知义务的表述也是“尽可能”,而非确保履行到位。就百度云、阿里云、腾讯云等多家云服务商的用户协议来看,除不可抗力外的免责事由多有霸王条款之嫌。
云服务商缩减责任赔偿数额及范围,致使用户索赔无据。由于数据安全与企业发展、信息安全等因素密切相关,一旦发生迁移数据丢失、遗漏、损坏等数据不可恢复的恶劣情形,后果不堪设想。云服务商在制定赔偿条款时把责任严格限定在直接损失,并规定限额。如微软Azure在《微软在线订阅协议》中约定“对于免费提供的产品,微软的责任仅限于直接损失,最高为5,000美元”。而对于间接性、惩戒性的损害,包括企业使用服务而遭受的利润损失,则被纳入服务商的免责事由。考虑到数据的高价值性与隐秘性,以直接损失为依据的限额赔偿明显有失公平,尤其是在用户几乎承担了全部的数据安全责任的情况下。
四、用户数据迁移服务规则的优化路径
习近平总书记在中共中央政治局实施国家大数据战略的第二次集体学习会议上专门作出指示:“要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度。”这一精神理应贯穿到云服务数据迁移法律规范的全过程。
习总书记关于新质生产力的重要讲话深刻地说明,为了用好国内国际两个市场两种资源,提升我国云计算数据处理产业开放水平和国际竞争力,我国有必要适度借鉴外国有关立法经验,对标国际高标准经贸规则,建立和完善我国关于云计算用户数据迁移的法律制度。
(一)域外经验:欧盟数据法的分析与借鉴
欧盟于2023年12月通过《数据法》。该法于2024年1月11日生效实施。欧盟《数据法》的主要目的是通过建立清晰和协调统一数字市场中数据访问和使用规则,规范云计算等关键数据处理设施,释放数据的价值并使之在社会中公平地分配。这与我国当前的数字经济发展需求高度契合,都是为了促进数据要素的流通与利用,提升数字经济的整体效能。《数据法》为了发展欧盟的云计算市场,避免数据垄断,促进数据兼容,特别建立了保障云计算用户在不同云计算服务之间有效转换的全新法律制度。欧盟《数据法》建立了世界上首个系统性的规范云数据迁移、云服务转换的法律框架,相关的法律规范和经验教训对我国已列入全国人大立法规划并正在起草制定的数字经济促进法具有一定的参考和借鉴价值。
在此新的法律框架下,云服务商不仅应当允许和支持用户迁移数据并转换到其他服务商,而且必须保持最低限度的服务功能,不会停机中断,并不得施加不必要的障碍和数据传输成本。《数据法》鼓励云计算业界建立行业自律,适用开放兼容的行业标准,为了避免云服务商制造用户数据迁移的障碍,建立了一系列最低限度的云服务监管法律要求。
《数据法》的法律规则体系比较复杂,只有深入到其制度构成的内部,才能找出规则的实质意义和价值。《数据法》明确了云服务商在用户数据迁移中的法定义务,并系统性地规范了云服务合同的相关条款。
《数据法》规定,云服务合同必须含有关于用户迁移数据、转换到其他服务商的明确条款,而且用户在签署合同之前应当有权存储和复制云服务商提供的合同文本。合同条款必须约定,用户在提出迁移数据、切换服务商的请求之后,云服务商负有如下义务:
1.支持用户迁移行动,披露所有相关信息;
2.无迟延地(最长不得超过2个月)向用户提供合理的协助,继续向用户提供合同项下的服务功能并清晰地披露相关风险,在数据迁移、服务转换过程中提供高水平的安全保障,保护数据安全及数据传输安全;
3.数据迁移、服务转换完成的,或者,用户自提出请求之日起2个月后不再要求转换服务但要求删除所有云服务数据的,合同终止;
4.披露所有用户可导出的数据类别、范围或迁移到本地信息通信系统基础架构,至少应包括用户使用云服务直接或间接生成或共同生成的输入和输出数据(包括元数据);
5.披露因云服务内部功能涉及商业秘密无法迁移的数据的类别和具体描述;
6.保证数据迁移、服务转换完成后,用户所有数据均被完全删除;
7.与用户约定数据迁移的过渡期限,并保证至少在30日内继续存取数据;
8.明确与数据迁移、服务转换直接相关的费用,不得收取不合理费用;在2024-2027年间逐渐减少收费,2027年之后不再收费。
欧盟《数据法》通过设立具体的云服务商义务、规范云服务合同条款以及保障用户数据迁移权益,提供了可操作性强的法律实践经验。借鉴欧盟的《数据法》,可以帮助我国在法律制定过程中少走弯路,直接应用已有的成熟经验,从而更快、更有效地建立起符合我国国情的数据迁移法律制度。
根据《数据法》规定,云服务商不得为用户提出的数据迁移、服务转换请求制造商业性、技术性、合同性或者组织性的障碍,应当按照用户关于转换服务商的具体信息,与新服务商签订协议,将用户数据传输到新服务商,并保证达到同等的数据处理功能(包括向新服务商提供相关信息、文档、技术支持和必要工具),在数据迁移、转换服务完成后终止原服务协议。云服务商应向用户提供数据迁移、服务转换的相关信息,包括有关的方法、格式、已知的技术性限制,以及实时更新的关于迁移数据的数据结构、数据格式、相关标准、兼容性说明等。云服务商与转换后的新服务商应当诚信合作,保障数据迁移有效、及时完成与数据处理的连续性。
欧盟《数据法》以“重自治,弱监管”为理念,为用户提供了非常高水平的法律保护,全方位保障用户的数据迁移、服务转换权益,对我国建立相应的法律制度有一定参考价值。但,构建我国的云服务用户数据迁移法律规范必须考虑本国的实际需要与现行的法律制度。考虑到我国在数据迁移方面的立法缺失,用户主要依赖云服务商制定的用户协议,而这些协议存在诸多风险。在云服务市场中,云服务商居于明显的优势地位。因此,与欧盟《数据法》不同,我国在构建云服务用户数据迁移法律规范时,需要以规制为导向,强化对云服务商的约束和监管,保障用户的数据迁移权。
(二)构建我国云服务用户数据迁移法律规范
1.明确数据迁移权的原则和范围
数据迁移权是数据可携权的分身,而数据确权是数据可携权的理论前提。对数据可携权的明确规定最早可以追溯到欧盟的《通用数据保护条例》,其含义为数据主体有权以结构化、通用化和机器可读的格式接收他或她提供给控制者的有关他或她的个人数据,并有权无障碍地将此类数据从数据控制者那里传输给另一个控制者的权利。《个人信息保护法》实施之后,第45条第3款被视为我国数据可携权的直接法律依据。由此可见,以数据迁移权确权为云数据迁移服务规则的制定原则是有理可循、有法可依的。
数据迁移权确权是规范一般用户数据迁移协议,提高用户数据保护程度的有效途径。其一,数据迁移权允许用户更好地控制个人数据,自由地选择将数据从一个云平台转移到另一个云平台,有力地保障用户的数据安全和隐私权。其二,数据迁移权的确立有助于打破数据垄断,减少对单一服务的依赖,促使云服务商采用更高兼容性的云计算技术,推动云市场健康发展。其三,数据迁移权支持数据的自由流动,这是数字经济发展的基础。它有助于平衡数据主体的利益、数据依赖型企业的需求以及整体社会经济的良性循环。从更宏观的角度看,它将对提升整个社会的福利产生积极的影响。最后,反垄断法律制度、格式合同无效制度、消费者权益保护法律制度等虽然在用户数据迁移权益被侵犯时提供了一定的事后救济,但它们对于推动云服务商使用高兼容性的技术的作用还是相对有限的。因此,从预防的角度考虑,数据迁移权确权对于防止侵权行为的发生,无疑会起到更为有效的作用。
因而,云服务商在制定数据迁移服务协议时,应明确规定数据迁移权的原则和范围,重视对用户数据迁移自由与责任分担的考量,并采用更通用且兼容性更强的数据标准和格式,以保障用户的数据权益。
首先,云服务商应在服务协议中明确用户对其上传至云平台的数据拥有完全的所有权,包括原始数据和在云平台生成的数据,以增强用户信任并减少法律纠纷。云服务商还应制定标准化的迁移请求流程,包括身份验证、审批流程和迁移记录追踪,确保数据迁移过程透明合法,防止数据泄露和未经授权的迁移。
其次,云服务商需向用户提供友好且透明的数据迁移工具,降低技术门槛,增强用户自主性。同时,服务协议中应明确规定服务商与用户在数据迁移过程中的责任分担,包括数据丢失、损坏和安全事件的责任,以预防和处理可能出现的争议,保护双方权益。
此外,为了保证数据在不同平台的兼容性,服务商应采用国际或行业公认的标准数据格式,如JSON、XML、CSV等,降低系统间的数据转换成本,提高数据迁移的效率和成功率。云服务商应定期进行跨平台兼容性测试,提前发现并解决兼容性问题,确保数据迁移的顺畅。同时,云服务商有义务使用先进的加密技术保障数据传输和存储安全,并提供完善的数据备份和恢复机制,使得数据迁移失败或损坏时能够快速恢复,减少迁移风险。
最后,云服务商应提供专业的技术支持和用户培训,帮助用户了解和掌握数据迁移的流程和工具使用,提高迁移成功率。同时,在协议中明确迁移服务的费用标准,避免隐藏费用,使用户能清楚了解和预估迁移成本。费用透明化可以减少用户的顾虑,增强用户对服务商的信任,促进双方的合作。
2.确立云服务商的安全保障法定义务
我国可以从数据迁移协助义务、风险提示义务、迁移数据安全保障义务三个方面,确立云服务商安全保障义务。
其一,迁移协助义务应是法定义务,而不能被服务协议所忽视。实践中,云服务商一般不会在协议中特别约定该类义务,由此产生的后果多由用户自己承担。由“易初莲花诉南洋万邦销售合同纠纷案”可知,合同中未约定云服务商的数据迁移义务的,且其他材料也不能证明双方曾有相关约定的,由云用户自己承担数据迁移责任。这无疑加重了用户的责任风险。因而,数据迁移协助义务应被明确定义为云服务商的法定义务,并写入相关法规或行业标准。服务商应在服务协议中详细规定迁移数据的形式,如“结构化、通用和机器可读”。通过法规明确数据迁移协助义务,确保云服务商遵守统一标准,保障用户的数据迁移权利,避免因合同条款缺失而导致数据损失或法律纠纷。同时,应明确规定服务商因未履行协助义务导致数据丢失或泄露时的法律责任及补救措施,如划定赔偿标准和提供数据恢复服务,以有效保障用户权益。
其二,作为服务提供者的云服务商应该对用户尽到必要的风险提示义务。就阿里云和百度云的用户协议来看,二者都不对经由自己云服务器下载的软件、资料等的安全性负责,也不监控风险及提醒。尤其是百度云对于自己所提供的链接也不承担任何安全责任。这就给用户进行数据迁移埋下安全隐患。云服务商应通过用户协议向用户提示与数据迁移相关的风险,包括可能的安全风险和数据丢失风险。用户在充分了解可能面临的风险后,进而采取相应的预防措施。此外,服务商应建立实时风险监控系统,对用户上传、下载和迁移的数据进行风险监控,并及时提醒用户。实时风险监控和提醒可以帮助用户及时发现和处理潜在风险,减少数据安全事件的发生。
其三,云服务协议应该补充更高程度的数据安全保障条款。从政府云服务采购合同来看,云服务商承包政府数据迁移项目都必须确保数据可以顺利无损地从一个平台转移到另一个服务器。由此可见,技术兼容并非不可实现。用户一般对于数据迁移后的状态持最低标准,即数据能够通用且可读。但实践中,云服务商通常会以与数据接收方系统不兼容为由限制用户迁出数据,并在协议中将此作为数据迁移失败的免责事由。用户应拥有数据的完全权利,云服务商作为数据迁移服务的提供者,应当为用户自由无碍迁移数据提供保障。在进行云服务器数据迁移时,云服务商应充分考虑数据量大小、网络带宽、迁移时间窗口等因素,搭建好迁移平台与传输环境。数据迁移完成后为用户提供数据完整性与合规性校验,确保传输数据一致。此外,建立严格的访问控制和日志审计机制,确保只有授权人员能够访问和操作迁移数据,并能够追踪和审计所有操作行为,以防止数据的非法访问和泄露。
其四,云服务商应在数据迁移过程中安全地处理源数据。当前,云服务商往往自行监控、收集及备份用户数据,用户常常不知情或被迫接受此类行为。另外,数据迁移完成后,如何安全地处理源数据也是一个值得思考的问题。虽然各大云服务商都声称会删除用户数据,且不会留有备份,但其服务协议中关于源数据处理的规定却不甚清晰。例如,百度云仅表明删除在线数据,并没有明确源数据的处理。服务协议设立了合同终止后的缓冲期,期限届满后用户未续费,云服务商会删除所有数据,包括源数据。数据迁入百度云情况下,百度云不会备份数据,当系统故障或因用户操作不当而导致数据丢失,用户无法找回。值得注意的是,云服务商通常不会主动告知用户这些情况,用户往往是在需要数据恢复时才得知具体细节。为保障用户数据安全,云服务商应在用户协议中明晰源数据处理流程,包括具体的删除手段、时间节点、存储方式及保留时限。云服务商在数据迁入和迁出时,应主动向用户告知数据备份与恢复的相关政策和操作细节,确保用户能够及时了解数据处理状态。同时,应制定严格的数据安全审查机制,确保云服务商在监控、收集及备份用户数据时,遵循透明和合法的操作流程,保护用户数据隐私和安全。
3.完善服务规则与协议关于用户数据迁移的约定
我国目前尚未有数据迁移的专门立法,且相关规定较为零散,云服务商在制定用户数据迁移服务协议时往往会利用优势地位,不当扩大自身免责范围。因而,在制定云迁移数据服务协议时应充分保障用户数据迁移权,删除霸王条款,限制服务商不当免责事由,完善补充权利义务规范。
一个完整且成功的迁移过程涉及基础硬件与软件结构,并展现公共性与私营性交织的特征,突出的技术性优势使得云服务商实际控制数据安全标准的基线。因而,云服务商更应承担起较高标准的安全保障义务,将数据迁移的协助义务规定到具体的协议条款中。具体而言:首先,数据迁移服务规则在划定具体权利义务时应根据服务商在迁移过程中承担的具体角色予以场景化区分,确保用户了解服务商的义务与职责,而不能一刀切地转嫁给用户。其次,应详细列明云服务商在迁移过程中的具体操作步骤和保障措施,包括数据备份、加密传输以及数据完整性验证等。再者,应删除协议中的霸王条款,禁止云服务商利用优势地位任意扩大免责范围,同时规定用户在迁移数据过程中享有的具体权利和保障措施。此外,应建立完善的争议解决机制,当用户与服务商发生纠纷时,能够有明确的解决通道和方式。
4.政务云数据迁移合同中系统兼容性的法律关照与权益保护
纵观云计算数据迁移在我国的立法现况,国家正大力推进政务云的发展。云服务商为赢得市场份额,扩大品牌影响力,会积极争取承接政务云项目。如果政府采购部门在选择云计算服务时更关注平台和技术的兼容性,无疑会促进各大云服务商之间的良性竞争。具体可从以下角度加以考量:一是在政务云数据迁移协议中规定明确统一的数据格式,使得数据可以轻松地在不同的平台和系统之间迁移,而不会丢失信息或功能;二是在正式迁移数据之前,要进行彻底的测试和验证,并设定标准以确保系统兼容性;三是持续定期评估技术的变化,并调整和更新数据迁移协议模板。由此,将有效推动云服务商打破技术壁垒,保障一般用户的数据迁移自由权。
五、结语
习近平总书记在黑龙江考察调研时强调要整合科技创新资源,引领发展战略性新兴产业和未来产业,加快形成新质生产力。云计算技术发展到今天,云服务器成为越来越多企业、政府部门、个人、机构组织等最为信赖的数据存储平台,新质生产力的内推力。不同于政务云服务合同对数据迁移服务的有效保障,一般用户迫于云服务商的优势地位,不得不接受明显有失公平的服务规则,承担一系列的法律风险。作为一项虚拟化技术,现有法律体系下,我国的法律制度在面对这些问题时,尚无法提供有效的救济途径。
因此,如何规范用户数据迁移服务规则是十分重要的研究问题。通过在服务协议中明确用户迁移权的原则和范围,增强用户在数据迁移过程中的主体地位,保障其合法权益。同时,政府采购云服务的标准向迁移系统的兼容性倾斜,可以从系统层面上为数据迁移提供后盾支持,避免因云服务商互相推诿,造成对用户权益的侵害。总的来说,我国需要对云计算用户数据迁移的法律风险问题展开进一步的研究和制度设计,在确保数据安全和保护用户权益的同时,为云计算技术的发展及云服务商市场秩序的构建提供良好的法律保障。
注:因字数关系,注释省略,详见《电子知识产权》刊发原文。
(未经授权禁止转载、摘编、复制及建立镜像,违者将依法追究法律责任)
本公众号定期推送知识产权及竞争政策相关的法律政策与政府文件、最新全球行业信息、原创文章与专家观点、业内高端活动消息、《电子知识产权》(月刊)&《竞争政策研究》(双月刊)文章节选及重磅全文、专利态势发布、中心最新成果发布及相关新闻报道等诸多内容,欢迎各界人士关注!