实证分析云服务条款与隐私政策的典型案例

上文分析了云计算中信息生命周期里存在的主要问题及对常见信息保护原则的影响。云计算中信息保护的合规要求是怎样的？治理信息适用的法律法规、标准及合同承诺是怎样的？谁对合规性负责？以下，将展开对云服务提供商与商业机构、个人间拟定的云服务协议条款及其列明的隐私政策的分析。从法律与技术的角度看，深入了解协议条款与隐私政策是非常关键的。因为，许多云服务商采用的是广告支持的商业模式。而有一部分终端用户是“免费”获取云计算服务的。作为“免费”云计算服务的交换，许多用户发现云服务商往往会为其定制有针对性的广告，这使得他们信息保护的期望变得虚幻，而云服务提供商的服务条款协议与隐私政策，在此时，往往成为保护用户隐私的唯一的依据。^[49]对云服务协议条款与隐私政策的分析，将有助于我们认识到云计算中，不同服务协议与隐私政策下，个人信息保护存在的差异与面临的共同问题。

1.当使用云服务的客户是个人而不是机构用户时，个人往往不能及时且有效地跟踪云服务提供商不断变化的服务条款与隐私政策

这源于三方面的原因：首先，服务条款与隐私政策的改变往往是云服务商单方面做出的；其次，当云服务商做出单方面的改变时，是否会将新变化通知个人，其实际的处理操作模式并不明晰；最后，即便个人意识到云服务商服务条款或隐私政策的改变，其要找到最新的包含这些变化的服务条款与隐私政策的文本有时也并不容易。

在对各大云服务提供商隐私条款的分析中，绝大多数云服务商都保留了对服务条款与隐私政策进行单方面更改的权利，包括谷歌^[50]、微博^[51]、腾讯云^[52]、百度云^[53]等。一些云服务商并没有阐明，是否会将服务条款与隐私政策做出的更改直接通知到个人^[54]，有一些则表明，它们会在做出重大变化时通知用户^[55]，还有一些则在条款中拟定，用户有义务去关注服务商的网站，以查明服务商的服务条款与隐私政策是否作出了变更。^[56]

2.云服务商很少对使用其他云服务商提供的平台或基础设施储存与处理用户数据的情境进行披露

当云服务商使用了其他云服务商的平台与基础设施，储存、处理用户的数据信息时，其往往对此会保持缄默。^[57]而在不透明的环境下，个人要辨识云服务商是否使用了其他云服务商提供的平台或基础设施非常困难。这当中，SpiderOak与OVH服务商告知用户，它们使用自己的数据中心储存与处理用户信息。^[58]而Dropbox与Netflix用亚马逊网络服务（AWS）提供的云基础设施。^[59]这样重要的信息在Dropbox与Netflix公司的隐私服务条款中却没有载明。同样，Instagram使用脸书的平台，Snapchat使用谷歌应用平台，这些应当披露的重要信息，在风靡全球的应用程序的服务条款或隐私政策中并没有得到披露。

3.用户将云服务条款或声明中的某一特定内容与具体云服务对应起来是困难的

云服务合同条款与隐私政策有时会分散在不同的政策文件与网页中，而哪一文件或网页中载明的事项属于合同的一部分并不清晰。同时，对于云服务商只拟定一个合同，并将其适用于云计算中所有类别的云服务的做法也不甚妥当。因为，有时会出现协议条款与所提供的特定类别项下的云服务不相关的或不一致的情形。云服务商应规定清楚，哪一类条款适用于哪一类云服务，删除不相关的多余条款。以腾讯云服务所列的服务条款为例，不仅有一个概括性的第一层级的腾讯云服务协议，还有更为细致的云主机服务等级协议，云缓存服务等级协议，云对象存储服务等级协议，云负载均衡服务等级协议，云数据中心间VPN服务等级协议，云数据库服务等级协议，云存储服务等级协议，云服务市场用户协议V1.0及云服务市场服务商接入协议。这样的分类，会使云服务条款更加清晰，企业也更具竞争优势。

4.云服务商直接与个人订立的服务协议可能与其与商业机构订立的服务协议不同(www.xing528.com)

当云服务商面对的客户是商业机构时，它往往会执行更高的安全标准，对潜在的可能引发安全危机的风险和违反信息保护的行为响应更快，采取的防范与处理措施也更加有效。如Dropbox与企业签订的商业协议中“紧急安全情况”的约定，即为例证。^[60]在这样的商业协议中，商业机构可能未经终端用户同意，就拥有查阅个人信息、管理个人信息的权利。当个人用户通过商业机构使用云服务商提供的云服务时，云服务商可能会缩短保留用户个人信息的时间^[61]，也可能在商业机构的用户终止使用其提供的服务时，为用户输出其个人数据提供便利。^[62]

5.云服务协议往往会对云服务商应承担的保护个人信息的义务与责任做出限制

有时，当用户终止使用一个账户时，可能也无法再查阅其使用该账户期间生成的个人数据信息，但是，个人不仅应享有云服务协议中约定的权利，其也应享有个人信息保护法所赋予的权利，比如信息得到公正合法处理的权利与信息主体查阅信息的权利。即便当服务商是信息处理者而不是信息控制者时，也需要在考虑现有科技水平与技术实施成本的背景下，提供一个与信息处理风险等级相对应的恰当的技术与组织措施以保护个人信息的安全。

排除义务与责任的条款有时也可能会出现在第三方服务商、第三方apps应用或第三方网站收集与处理个人信息的过程中。此过程可能与云服务商提供的云服务相互交互或融合。在云计算服务提供商的隐私条款中，一般都会规定，用户允许云服务提供商将其采集、储存、处理的信息与其关联第三方共享。而用户对此条款的同意是其使用云端服务的前提。一些云服务商，可能会建议个人仔细阅读与其合作的第三方的隐私政策与服务条款，以明晰第三方会如何处理其个人信息，同时拒绝承担第三方处理信息的责任。虽然，云服务商可能会辩解，要确保所有独立的第三方提供的服务都能达到信息保护的水平会很困难，但无疑，它们可以引导与鼓励第三方遵循信息保护的准则。比如，脸书与第三方签订的“广告准则”（Advertising Guidelines）与脸书的“平台政策”（Platform Policy）。^[63]在脸书的平台政策中，脸书要求第三方应用程序的开发者遵守一系列条款，同时，还要求它们应当有自己的隐私保护文件并保留脸书对其隐私条款进行修改的权利。^[64]再如，领英（Linkedln）——全球最大的职业社交网站，对第三方使用领英平台收集与使用个人信息的行为施以限制，第三方合作方可以与领英进行协商，拟定一个协议，也可以选择直接遵守领英的《应用程序接口服务与插件条款》。^[65]再比如，Tuenti——西班牙最大的个人社交平台，为个人提供技术方面的支持以避免个人信息被第三方进一步处理。个人通过隐私设置，可以使得第三方无法识别个人资料中的电话号码。个人也可通过隐私设置使得第三方无法在社交网站上下载和复制其已在社交网站上公开的图片信息。^[66]

以上结论，是对国内外知名的近20家云服务商的云服务协议条款与隐私政策进行实证分析后得出的结论。分析立足于不同云服务商的服务协议与隐私政策文本及这些文本在实施过程中对个人信息保护产生的影响。作者并没有评估个人对隐私保护的实际认知与对隐私设置的实际控制水平，这方面的研究还需进一步推进。

云计算在全球的发展给个人信息的保护提出了重大挑战。云安全联盟列出了排在前面的安全威胁，分别是：不安全的应用程序接口；共享的数据漏洞；数据丢失、泄露；黑客攻击；内部人员的恶意行为。^[67]云中治理需要云计算服务提供商及与之合作的相关机构采用系统的方法，信息保护的程序保障需提前到位，以避免云中信息可能遭遇的潜在威胁。云服务商还需增强透明度，在云中安全与信息保护相关的政策、协议与实践操作层面进行信息披露，特别说明政府及执法机构对用户信息的查阅权限、云服务商是否会对数据进行二次使用、数据的可携带性及数据信息删除程序方面的内容。

云计算中的信息保护与其内在的风险等级是不相称的。在无数跨辖区的法律冲突、国际贸易障碍与长期的政治争端背后，存在的是对个人信息保护的不同态度。而现阶段，我们所能确定的是，法律没能跟上技术的发展。