CELUE NEWS策略动态
地址: 北京市东城区东直门南大街1号北京来福士中心办公楼601室
邮编: 100007
电话: 010-85197758
传真: 010-85197768


略要闻 /CELUE NEWS
政务“云”上行,实现“无忧上云” 法律保护还有多远的路要走
发表时间:2018-8-28 来源:

2018年,“数字中国”被首次写入政府工作报告,政务云业已形成“上云为常态,不上云为例外”的发展态势。然而现阶段政务云的法律保护体系并未完善,政务云安全事故一旦发生,救济和制裁无法可依的法律困境就会涌现。基于此,笔者就政务云发展中面临的若干突出的法律风险逐一探析。

姜彦杰
北京策略律师事务所合伙人,执业多年来,在知识产权、医联体合作、互联网金融等领域帮助大量客户解决疑难问题并收获广泛好评。同时具备计算机技术、投融证券、财务会计专业知识背景,并在相关法律服务领域多有积淀。

近年来,由于云计算、大数据、人工智能等新技术的发展,一场由数字化转型带来的变革浪潮席卷各行各业。2018年,“数字中国”被首次写入政府工作报告,各行各业都在积极推动数字化变革。有鉴于政务云能够实现资源共享、服务模式创新、有效避免重复建设,帮助政府实现政务公开和服务转型,近两年国务院和相关部委纷纷发文,并出台了各种采购标准、采购指南等,鼓励各级政府购买政务云服务。如今,我们手机上所有政府部门发布的APP皆部署在云端,政务云已经形成了“上云为常态,不上云为例外”的发展态势。
 
 
技术发展离不开法律护航。在“上云”的法律保障方面,美国2010年提出电子政务“云优先”战略,2011年发布了《联邦政府云计算战略》,随后出台SP500、SP800系列云安全标准,设置FedRAMP项目安全认证,并辅以《电子政务法》(2002年出台)、《联邦信息安全法》、《网络安全强化法》、《电子信息自由法》等法规,保障其政务云的有序安全发展。
 
然而我国现阶段政务云的法律保护体系并未完善,缺乏对数据安全、平台稳定、技术规范、参与主体权利义务等方面专门、系统的法律规范,进而导致一旦政务云安全事故(如泄露、盗窃、删改、丢失政务云中信息)出现,无法从专门法律角度予以救济和制裁的困境。基于此,笔者就政务云发展中面临的几个突出的法律风险问题进行分析:
 
 
一、政务云相关安全认证法律效力问题
 
虽然各大云平台在营销政务云时往往宣称自身通过各种认证、评测来背书其产品的安全可靠性,但实际上这些所谓的认证评测并不具备相关安全认证的法律效力,而我国该领域目前也没有相关认证的法规。
 
2015年中央网信办出台《关于加强党政部门云计算服务网路安全管理的意见》(简称14号文),并成立网络安全审查办公室,建立了“网络安全审查机制”。由审查办公室测评审查云商平台安全性并公布审查通过名单,政府云服务采购则须在该名单里选择。该审查行为性质若以行政许可法律评价,则因网信办单位性质和级别不具备制定部门规章和创设行政许可的权限,进而导致该种“审查名单机制”的法律性质不明确,同时该审查行为也没有公开相关评测标准和程序。如此法律性质不明确、法律效力不确定的准认证或许可行为实际上并不能促进政务云市场的公平竞争。
 
根据2015年国务院发布的《关于促进云计算创新发展培育信息产业新业态的意见》,国内建立了“可信云服务认证”第三方云服务信用组织评测认证体系,也是到现在为止极具权威的云服务安全认证体系。但现行《政府采购法》、《政府采购实施条例》并没有对政府采购云计算服务的合同、方式、程序做出明确且专门的规定,也没有对安全审查作重点规范并实施强制安全认证制度,而仅有的《电子政务云服务采购指南白皮书》却只具有指导意义,不具备法律强制效力。这也导致各级政府部门采购政务云服务时仅仅是参考而不必须审查安全认证情况,造成各个政务云安全标准不统一。
 
明确政务云相关安全认证法律效力是对政务云发展的双面规制和保护,既能规范云服务的安全业态,又能保护采供双方的合法权益。特别是体系化的科学安全认证,不仅是在技术层面,更会在服务商的产品质量和安全信誉方面做综合测评。若再由相应法规赋予其法律效力,则不仅可以促进政务云的安全可靠发展,还可在法律层面树立电子政务保护的最后藩篱。
 
二、政务云采购合同履行的后续动态评价和持续监管
 
政务云承担着承载公共管理数据、支撑政府电子服务终端、增进公众信任需求等重任。采购服务过程中,政府部门敲定采购云服务商后,双方需签订云服务采购合同,采购合同应包括用户协议、服务等级协议、数据保护、数据所有权、安全审查、电子记录、保密协议以及各自的权利义务等内容约定。该服务合同履行是个长期动态的进程,这一过程中政府部门作为采购方的合同支付履行能力,通常由国家财政保障,信用较高。而作为服务提供方,云平台商则应持续维护平台运行并根据技术应用发展情况不断提供迭代升级产品,进而保障政务云的安全可靠运行。因此,政务云服务采购合同应当重点对采购方对云服务商的履行情况进行持续监督和动态评价。
 
《政府采购法》与《电子政务云服务采购指南白皮书》虽然对服务提供方的动态质量评价有相应规定,但没有明确相应评价结果的救济方式和罚则。通常采购合同条款对安全性要求、数据所有权、服务类别、安全标准、以及运行、维护、监控等内容均有明确的量化指标,但往往忽视在采购完成后对云服务动态质量评价进行重点设计和约定,以至于采购方可能在云服务动态技术需求发展过程中因此而丧失对云服务商产品迭代后的合同规制能力。云服务的技术“黑匣”效应同样可以发生在政务云上,所以面对事关电子政务发展的重大问题,合同双方应当且必须设置与完善云服务采购合同产品的动态质量评价条款与制度。
 
政务上云,在一定程度上可以说是政府上云。政府相关职能电子互联网化后,应逐步将虚拟政府的政务服务推向前端,而上云则是虚拟政府政务服务的“脱实向虚大搬家”。国家综合考虑成本和效益,鼓励以政务云第三方服务采购方式上云,这一路径优势也明显符合国际通行方式,但是政务云担负着部分政务职能,国内相关政务云的监管立法并没有及时跟进出台。那么监管缺失就会增大政务云重大事故发生的概率,同时也不利于采供双方权责分清,保护好各自的合法利益。为此在现有相关法规缺失情况下,应在采购合同设计中引入持续监管条款,将政府部门的持续监管权限、服务商应履行的程序、标准、罚则条款等内容具体明确到位。同时,一定限度削弱服务商的技术商业秘密保护,并设置特定监管条件下的整体数据无损迁移制度。
 
三、政务云服务重大事故后的损失价值认定
 
无论是政务云还是商务云发生重大事故后的损失数据价值认定都是比较棘手的问题,国内缺乏相关法规规定。结合政务云服务内容和对象的特殊性,对该问题作以下分析:
 
因电子政务的特殊需求,政务云上采集或存储着大量个人信息和公共数据,而国内法规并未承认数据物权这一法律地位,而且对于数据所有权是归属数据源人、采集人,还是储存人、加工人同样没有明确规定,这也就造成了数据损失后价值认定的第一个难题——损失数据归属谁?对此笔者认为电子政务数据基于公共管理属性,其采集到的数据为相应的采集主体即政府机关占有、使用自无问题,对于上云的政务云数据应适用委托数据存储法律关系。而损失数据的所有权,在不影响归责和追责的情况下,因立法暂不明晰,可搁置不议。
 
损失数据价值的认定因电子政务数据并非直接盈利使用,无法以商业价值损失评估模型直接估算。虽然政务云上政务数据的损失造成的社会价值及政府信誉价值损失更为突出,但终究无法直接量化其经济价值。为此笔者建议,一方面作为采购方在采购合同中即行对数据损失价值明确约定相应的违约金额或损失计算方式。并且在数据最大损失情况下,将约定的金额设置为云服务商可以承受的上限数额,以促使云服务商在逐利的同时加大风险意识和责任意识,提供足够优质且安全可靠的服务;另一方面,云服务商在商谈采购合同中应当主动设置事故风险赔付条款,必要时结合采购方建立相应的事故赔付基金和应急恢复赔偿方案。
 
政务云平台服务是以安全、可靠的技术架构方案来实现自身的应用价值,那么无论是采购方还是服务方都应充分重视政务云的安全可靠性。基于此,双方须在合同中科学设计不可抗力条款和意外条款,为的是既不强加不可能的预期负担给服务方,也不任由服务方以技术为名推脱责任。此外,在服务方提供的备份、快照服务等出现技术缺陷或管理过失情况下,采购方应当对服务方的违约行为苛以重责。在该种情况下,可以考虑除损失数据的恢复成本外,另行约定适用无上限的惩罚性赔偿。
 
综上,笔者所期望的是在政务云领域,让法律为技术发展护航,让源起云端的智能政务云服务全面覆盖智慧城市、智慧政务的全场景,以打破数据孤岛、系统割裂和重复建设瓶颈,帮助政府在职能管理和社会发展中进一步提升智慧管理和执政水平,让电子政务为我们带来更加方便、高效且美好的生活。
 

北京市东城区东直门南大街1号北京来福士中心办公楼601室 | 6/F Raffles City Beijing Office Tower,NO.1 Dongzhimen South Street,Beijing 100007 PRC 010-85197758
备案号:京ICP备11018893号-1
致力于提供有智慧的法律服务方案 Provider of enlighted legal solutions