数据安全：云计算对数据主权的影响

云计算、云存储就是指数据的处理和存储迁移到了互联网远端的服务器集群上，用户无需再像以前一样购买固定的硬件系统来计算、保存数据，如图1所示。由于云计算、云存储的低成本性和灵活性，许多私营机构和公共部门如今更倾向于将其数据和信息系统都输送到云端。

图1 云计算和云存储示意图

虽然这些云服务产品提高了对数据的计算能力和存储能力，但是在云存储状态下，用户的数据所有权却与数据控制权分离开来。在云计算、云存储中，数据存取都通过网络实现，用户可以访问自己存储在云端的数据。但是，对数据的控制权却真正掌握在提供云存储服务的服务商手中，而云服务商往往在不同国家建立了不同的数据中心。这些数据中心可能位于数据主体所在的国家，也可能远离数据主体被设立在境外，甚至部分网络公司为了降低成本或满足客户需求会将其提供的云服务部分外包。云物理位置的分散性，以及云存储、云计算中数据的流动性，使“国内数据”（domestic data）的定义越来越模糊，也为数据主权的界定带来了极大的争议。截至目前，并没有一个统一的国际协议来规定云服务中的数据主权问题，各国所依据的还是本国制定的各类数据保护法，这很容易引起各国在云数据主权上的混乱。

出于保护本国数据的目的，很多国家都对本国的数据管辖权进行了扩张，主张本国享有完全的数据主权。因此，面对同一数据，按照不同国家的法案，其归属权和管辖权有所不同，难免导致围绕各国司法管辖权而产生争议。例如， 2013年的一项关于毒品的调查中，美国政府发布搜查令，要求微软公司向美国联邦调查局（FBI）提供某用户的数据资料。然而，保存这些数据的服务器却不在美国境内，而是位于爱尔兰的都柏林。按照美国《云法案》的规定，无论数据的存储位置和创建地点在哪里，美国执法机构对服务提供商控制的任何数据都享有无限的管辖权。因此，美国政府有权调用存放在爱尔兰服务器中的数据。但是，这个决定与欧盟的《通用数据保护条例》（GDPR）产生了冲突。因为GDPR要求所有从欧盟公民收集数据的企业都必须遵守GDPR的规则。不过， GDPR第48条也进行了规定：“如第三国的法院、裁判所、行政机关要求数据控制者或数据处理者提供个人数据，则仅当该要求是基于国际协定时才有效。”因此，如果美国政府与爱尔兰签订了双边司法协助条约等国际协议，就有权要求微软向其提供存放在爱尔兰服务器中的数据。由此可见，云计算、云存储环境下双方各有法律依据但未达成共识的数据对数据主权造成了很大的冲击。

当前，越来越多的数据处理和存储设备由固定的硬件系统转变为“云”。谷歌、亚马逊、苹果等跨国公司，阿里巴巴、百度等国内公司，都推出了各自的云服务产品。随着这些云服务在更大范围、更多领域的使用，未来将会产生越来越多的云数据。可以想象，将来国与国之间围绕这些数据产生的争议也必不会少。如何解决这些争议，已成为非常紧迫的一项任务。