· 功能方面主要包括确定云计算中的功能和服务,杜绝因此产生参与者和利益相关者(stakeholder)的法律问题。
· 司法方面主要包括政府管理法案和制度对于云计算服务、利益相关者和数据资产的影响。
· 合同方面主要包括合同的结构、条件和环境,以及云计算环境中的Stakeholder解决和管理法律和安全问题的实施办法。
总体来说,云计算和传统的外包服务有三点显着区别:服务时间(按需服务和间歇服务)、匿名服务提供商和未知的服务器所在地。特别是IaaS和PaaS这两种模式,大量的设计(orchestration)、配置以及软件开发的工作实际是由消费者自行完成的 – 很多的任务是无法由云提供商所完成的。
近年来,相对于传统的内部式或外包式架构,世界范围内法律和管理对合规的需求使得法律人士和技术专家需要更密切的配合,这一点在云计算中显得尤为突出,原因在于云特有的分布式生态环境产生了潜在的法律风险。
很多美国和欧盟的合规法律和制度将合规责任转移给分包商,或者要求商业实体通过合同进行限制。
法律界现在开始意识到信息安全管理服务是电子信息是否能被接受作为证据的关键因素。当然这是传统IT架构的问题,对其特别关注的原因是法律界对于云没有相关的经验。
建议
在电子证据发现方面,用户和云提供商必须对对方的角色和责任有共同的认识,包括诉讼保留、发现搜索、专家证词提供方等等。
建议云提供商提供真实可靠的数据,以保证他们的信息安全系统可以响应客户的要求,比如类似元数据和日志文件的主要和次要信息。
云服务提供商保存的数据必须接受与在数据所有者处保存时同样级别的监管。
提前计划意料内和意料外关系终止后的合同协商事宜,并有序地恢复或处置资产的安全。
云服务用户的责任包括合同前尽职调查、合同期限的谈判、合同执行后的监测、合同终止、以及数据保管变更等。
实施安全策略以满足当地法规对跨边界数据流合规要求的先决条件,是了解云服务提供商数据存贮的地点。
作为个人数据或企业知识产权资产的保管者,采用云计算服务的企业应该保证该数据以原始的、可认证的格式保存所有者信息。
包括数据泄露在内的大量的安全事件,应该用服务协议的方式解决,云提供商和客户应该分别声明各自的承诺条款。
云提供商和用户应该对回应传票、服务过程和其他法律要求有统一的流程。
云服务协议必须允许云服务客户或者指派的第三方来监控服务提供商的效率,并测试系统的脆弱性。
云服务协议约定的各方应提前约定在合约关系终止后客户数据的恢复事宜。
总结
随着云计算逐渐发展成为一种可行的且具有高性价比的整体系统、甚至整体商业流程外包方式,如何通过执行安全策略和相关法规,来保持组织自身的合 法性已经成为一个课题,并且变得越来越困难,相关法律和政策方面的专家需要及早的介入,并开展相应的法律、法规的制定和修订,这样才不会因为技术的快速发 展使得原有的法律法规无法对技术潜在的风险进行规范和约束。相应的法律范畴内的电子证据采集的技术研究,也需要在云计算应用迅猛发展的同时开展,否则一旦 相关违法事件在基于云计算的平台上发生,由于第三方云提供商的存在,给电子证据的保护和获取带来了困难,受认识的限制,第三方的提供商可能并未纳入到合同 的约束范围内,这将可能会给未来的电子证据的举证和采信带来麻烦。