page

《北大互联网法律通讯 》(四)云的管制: 迈向社会系统设计之云计算法律框架

example graphic

复杂科学是探讨超越单一事物运作时群体交互作用所呈现的结构与规则

翁岳暄
北京大学法学院

摘要:
面对近年来世界各国关注的云计算, 北京启动实施「祥云计划」 。该计划将使北京中关村成为中国云计算产业基地并且在2015年形成500亿元的产业规模。同一时间, 上海也启动「云海计划」 企图让市北高新科技服务区成为上海云计算产业基地。除了中国之外, 美国、日本等先进国家亦大力推行云计算 , 云计算产业的形成乃至于导入社会将是大势所趋, 相对于产业上明确发展的趋势云计算的定义却是不明确的,VMware技术长Stephen Herrod指出云计算可能是自虚拟化以来最常被滥用的字眼 。对于云计算定义亦从各种角度出发, 如效用计算(Utility Computing)、软件即服务(SaaS)、虚拟化技术(Virtualization Technology)、分布式计算(Distributed Computing)、网格计算(Grid Computing)等。以上描述性定义皆有道理, 但是不免陷入各说各话的局面。 再者,云计算并不是一个取代互联网科技的新技术而是一种技术重构整合,所以云计算本体不是一种单纯单一的技术, 因此从云计算的管制问题上也反映出区别描述性定义与规范性定义的重要性。 本篇文章探讨云计算的管制问题, 主要分为两部分。第一部分为网络与社会系统设计, 先从复杂网络理论出发解释互联网的本质以及法律在网络社会的管制框架中所扮演的角色; 第二部分为云计算的管制, 本文将由云计算的虚拟化特征切入作为管制上的规范性定义,并且以此为基础以宏观面向分析发展云计算法律管制框架所会遭遇到的体制性问题, 分别是: (1) 商业发展和技术风险之间的平衡; (2) 资源与管制问题; (3) 高新科技复合之挑战。


1. 网络与社会系统设计:
1.1 复杂网络与法律:
复杂科学是探讨超越单一事物运作时群体交互作用所呈现的结构与规则,其中包含对网络动态与结构的研究 , 无论处于自然界或社会之中的任何互动单位所组成之集合体都可以视为一种网络 , 例如人类疾病的传播网络、电力传输网络、自然界的食物链网、学术论文的引证网络乃至于互联网都属于介于随机网络与有序网络之间的复杂网络。 透过复杂网络研究除了可以系统化地了解网络动态之外(图一) , 复杂网络与法律两者之间亦存在一条学科交叉的通道, 其中一种进路是关于复杂网络对于法律与政策之影响。例如, Strandburg指出传统法律分析强调独立个体权利义务之变动, 然而独立个体的行为却又时常受到周遭群体行为的影响, 利用网络分析我们将可以了解群体对个体产生的影响 。这种手法不论对于法学实证研究或政策分析皆实现了方法论上创新的可能性。

1.2 互联网与复杂网络:
复杂网络与法律的学科交叉关系是双向的, 一方面是前述复杂网络对于法学方法、政策思维之影响; 另外一个方面则是探讨透过法律如何管制复杂网络。举凡交通网络、电力网络、食物链网、互联网等看似毫无关联的网络结构彼此之间竟然隐含着相同的拓朴性质, 共同遵循着高群聚性且低分隔度的小世界(Small-World)和节点间呈幂次律分布之特性 。利用复杂网络可以解释一些人类社会的现象, 例如为何财富总是集中于社会中少数人的手上 , 以及为何全球中任意两个彼此互不认识的人之间平均只相隔6.6人 , 法律人学习复杂网络的相关知识将促进自身对于社会控制机制的理解与掌握。 复杂网络本身就是一种动态实体, 在自然界网络动态伴随着一种变化性, 然而对于社会中与人类有密切互动的复杂网络, 这种变化性则可称之为开放组织风险(Open-Texture Risk) 。对于作为复杂网络的互联网而言, 其开放组织风险主要来自于透过网络节点进入虚拟世界(Virtual Space)的人类使用者之行为, 有鉴于网络的失序将造成社会恐慌不安 , 因此需要一种管制的力量透过法律规范来约束互联网网络中各种相关角色人员的行为与权利义务。

1.3 云计算与社会系统设计:
经由前面的篇章”云的技术”、”云的架构”以及”云的风险”可知云计算并不是一种全新的科技, 而是互联网与计算机产业长期发展所发生的科技重组整合产物, 所以云计算的管制乃是互联网管制问题的延伸。 藉由Lessig的网络空间管制理论 我们可以发现, 网络社会的秩序是由架构(科技)、市场、准则、法律四个元素架构而成的, 法律只是其中之一, 换句话说, 管制者若想建立有效的网络管制法律必须对于另外三者有清晰的理解, 若忽视三者一意孤行,制定出违反人性基本机制的法条将遭致严重的挫败,例如美国于1920-1933年间实行的禁酒令 以及日本德川纲吉幕府颁布之生类怜悯令 。 所以对于网络管制而言,立法者必须清楚意识到法律在网络整体中所扮演的角色。

所谓的社会系统设计就是将云计算视为一种具有开放组织风险的复杂系统, 我们必须藉由系统宏观层次性的分析来掌握影响复杂系统动态的元素, 而转化吸收这些元素所造成的社会风险的法律原则规范性指针之集合就是法律框架, 也就是实体法律的原型。 网络的社会系统设计应当跳脱单纯以权利义务层面来体察、管制问题, 而应采取以产业、科技与法律三位一体的宏观视野 进行网络管制分析。

2. 云计算的管制:
2.1 云计算与虚拟化技术:
虚拟化是计算资源的逻辑表示,它使资源的应用超越物理条件的限制。在此定义之下计算资源包含各种硬件资源以及软件环境, 如CPU、存储、网络、操作系统、应用程序等 。对物理计算资源加以虚拟化的原因包含便利性、安全性与经济性等考虑。效用计算(Utility Computing)是一种以技术支持商业服务的模式, 强调计算资源像水电资源一样供应给消费者, 使用者可以按照自身使用需求付费。早期效用计算的应用可以见于1960-80年代盛行的大型计算机(Mainframe), 虽然其优点为具可靠性(Reliability)、可用性(Availability)与服务性(Serviceability),能满足许多大型机构如政府、银行、公司的公务、商业需求但由于其成本高昂、体积庞大,为了增进商业上的经济效益IBM导入虚拟化技术于大型计算机之中, 当大型机的计算资源突破物理限制成为一体的资源时使用效用计算来分配此资源才具有经济效益, 例如IBM对于虚拟软件的使用采取依据计算机运算频率的计费方式 , 所以若将集中的计算资源比喻为蛋糕的话, 虚拟化技术谈如何做蛋糕, 而效用计算谈如何切蛋糕。1980年代个人计算机产业兴起促使”A Computer in Every Home”, 人人都能够接近使用计算机, 然而这种现象导致原本大型计算机时代的计算资源中央集权架构遭到破坏, 计算资源开始分化由少数企业流入寻常百姓家中, 在计算资源分化的情况下效用计算无用武之地, 注定没落。

随着1990年代互联网向公众开放, 使用者透过计算机与网络联机得以享受各式各样的信息服务, 企业得以透过发展电子商务提升其效能, 世界各国的网络社群也逐渐形成了当地的网络文化。从个人计算机使用者的观点来看互联网只是一种进入虚拟社会(Virtual Space)的接口工具, 但是从互联网本体的角度来看全世界的在线计算机不过就是网络中一个小节点, 换句话说, 在1980年代分化的计算资源已经藉由互联网悄悄地连结成为一个巨大而松散的组织。如果我们将互联网中计算机与服务器彼此之间的关系视为一种计算资源间的弱键结(Weak Linkage)的话, 那么透过计算机网络的分布式计算可以视为计算资源间之强键结(Strong Linkage)。分布式计算是一种合作式的算法架构, 由两个以上软件共享信息的互动模式, 因此除了在一部计算机内运行外, 亦可利用一个计算机网络来解决问题。分布式计算的优点是将一个较大的问题切割成许多区块, 交由个别计算机执行计算, 目前网络世界中强键结扮演的是一个不显着但却重要的角色, 例如电信网络中的无线传感器网络技术(Wireless Sensor Networks)与路由算法(Routing Algorithm)、网络应用技术中的点对点传输网络技术(Peer-To-Peer Networks)、科学计算中的网格计算(Grid Computing)等。

除了分布式计算形成计算资源的强键结现象之外, 软件即服务(Software as a Service, SaaS)商业应用的出现则形成了计算资源的强节点(Strong Node)现象。“软件即服务”之概念在2001年被提出 , 藉由将部分软件资源独立出计算机终端并且在线化提供用户按需求付费之服务(On-Demand Service)。SaaS和经济效益有关, 例如使用者可以仅仅关注软件的使用,而将设备维护、管理问题交给服务商, 免除了使用者购买、安装、维护管理等使用成本, 同时服务供应商本身将成为区域性计算资源的集中地。

数据中心是企业的信息中心, 它透过网络促成企业和个人之间的互动, 随着互联网与计算机产业的发展, 数据中心将面临网络应用的多元化以及数据量不断成长的难题, 根据美国IDC的调查指出在未来10年间世界的信息数据量将成长44倍 , 此外人员编制与教育训练经费问题 以及数据中心服务器利用率过低(平均约10%-30%)皆考验数据中心的管理与维持, 2008年美国金融危机发生之后立即产生一种强烈的诱因来推进数据中心的改革。除了数据量的增加之外, 网络终端的增加亦是一个显着的问题, 根据IDC统计2006年全球约有五亿个网络终端, 到了2011年约有一万亿个网络终端。另一方面, 三网合一是指电信网、广播电视网以及计算机网络的融合, 也是网络信息产业上的重要趋势 。三种网络的整合将使得网络的接口终端数量暴增, 形成更严峻的问题。

21世纪初期云计算的出现与上述的问题不无关联, 首先, 虚拟化技术促使在线资源集中, 只须存在少数大型云计算数据中心运作就可媲美目前大量数据中心的运作效能, 这将可以改善目前数据中心过于耗能、人员编制与利用率过低的问题, 而数量过多的网络端末可以视为其计算资源遭“吸星大法” 掏空吸入网络世界中形成一朵云,并且再次确立中央集权的架构, 在规模经济的支持下云里面可以包含各类型的服务, 如SaaS、PaaS、IaaS等, 再由云将集中的计算资源统筹分配给需要的瘦网络端末(Thin Client), 而面向端末的动态资源分配问题就必须再导入整合分布式计算以及效用计算, 所以原先网络空间由实节点(终端)、大量弱键结、少量的强节点与强键结的架构在云计算的战略框架下将逐渐转型为虚节点(瘦终端)搭配强节点与强键结所交织成的一张云网络, 形成Web Inside-Out的局面。

2.2 云计算所衍生的法律问题:
云计算得以有效结合虚拟化技术、效用计算、分布式计算、SaaS来试图重整目前互联网结构乃基于符合规模经济之前提, 在这股极为强大的市场力量驱使下, 除了将刺激技术的创新与高度发展之外, 更令人担心的是随之而来的技术风险以及面对一个变化中的管制结构, 法律应当如何因应以维持市场-架构-准则-法律四者之平衡。下面作者尝试探讨发展云计算法律管制框架将遭遇到的三个体制性问题:

一. 商业发展与技术风险的平衡:
对于云计算产业而言, 商业的过度发展将伴随高升的技术风险, 例如隐私与个人信息的保护问题。商业所关注的是”可能的云计算”, 只要有利可图的云科技就考虑加以发展, 然而最后进入社会的技术总会是”现实的云计算”而非”可能的云计算”其中就是靠法律的管制力量所扮演的一种产业与技术之间的缓冲中介角色以维持商业发展与技术风险之间的平衡。

由前面”云计算与虚拟化技术”的分析可知在规模经济的巨大潜在市场之诱因下, 将驱使企业将大量资金技术投入开发云计算产业, 然而这将使大量复合科技融入云计算本体之中, 如此一来将使法律管制者面对一个十分模糊且难以定义的管制对象。上述情形与智能机器人科技相类似, 智能机器人可以从型态区分为人形(Humanoid)与非人形, 从功能区分为服务型、军用、救灾用、医疗用, 或从智能区分为反射式智能(Action Intelligence)、自律式智能(Autonomous Intelligence)、类人类智能(Human-Based Intelligence)等。但由于机器人之开放组织风险源自于其智能层次, 因此在管制上必须以智能化特质为依归 , 是故, 对于云计算的管制首先必须掌握其技术特征而非围绕在技术细节上面打转, 而关键在于掌握云计算的规范性定义。云计算的技术风险来自于商业力量的牵引, 而其潜在规模经济乃藉由虚拟化技术得以实现, 所以云计算的规范性定义必须虚拟化特质为依归。

根据2010年10月美国商业部国家技术标准研究院(NIST)发布之”全虚拟化技术安全指导”(草案), 内容中阐述了美国对于发展云计算管制框架之若干考虑, 如下 :
1. 虚拟化增加技术层次, 这将加重安全管理的负担。
2. 当安全管理的妥协情形出现时将许多虚拟的系统结合置入单一物理计算机将会造成巨大影响。
3. 虽然有些虚拟化系统可以简单地分享系统之间的信息, 在缺乏审慎的控制之下这种便利性将转化为黑客的攻击路径。
4. 在一些情况下虚拟环境是相当动态的, 这将增添创造和维持必要的安全界线之复杂性。

相对于美国商业部, 日本经济产业省(METI)则采用社会系统设计的进路, 产业-全局整合、法律-制度整合、科技-创新的产出, 产业法律科技三位一体的模式策定未来的云计算管制框架, 其中法律框架部分之内容如下 :
1. 云计算市场整备与成熟化: 包含检讨信息安全监察制度、促进数据外部保存的规制(如e-文书关连法、国外数据保存之安全性、服务质量与数据保护等相关责任关系的明确化)等。
2. 数据使用与权利保护两者之权衡: 基于隐私保护之考虑开发与标准化匿名信息技术以保护个人信息在云中的流动、梳理检索服务以外的其他服务与著作权法之间的关系、云计算业者的责任限制之制度探讨等。
3. 数据越境流动的顺畅化: 基于国家地域差异性对于个人信息之使用相关规则也不尽相同, 因此必须展开国际上的协调使数据得以在本国境外流通、数据外部保存相关制度整备以及技术开发。

由上可知, 法律作为维系云计算商业发展与技术风险平衡的角色, 必须考虑到明确区分描述性定义与规范性定义之必要性以及采用社会系统设计宏观面向的进路。

二. 资源分配与管制问题:
现阶段云计算的发展将更促进中央集权, 即计算资源集中于网络的体制, 此态势将使计算的定位产生质变, 汤明哲指出云计算的概念就是电力公司的概念, 当下要计算资源必须自购计算机, 利用自有的计算机进行计算。云计算就是电力公司, 只要简单可以上网的终端, 就可以使用计算能力(电力)。使用计算能力的价格将会大幅下降 。云计算所促成的计算质变现象除了对于商业之外, 对于法律也将造成重大影响。

网络法学者Lawrence Lessig提出著名的网络空间管制理论 , 目前互联网空间分别受到法律、准则、市场、架构等四种力量约束, 其中:
1. 法律:通过惩罚的威胁来进行约束, 以违反法律会导致某种后果相威胁, 立法和法院、检察院作为实施主体。
2. 准则:社区成员(一定范围之内的社会群体)普遍认可的, 能够自行实施的规则或约束, 通过共同体施加的声誉毁损来进行约束。
3. 市场:通过其中的价格进行约束。
4. 架构:事物本身是怎样的, 其设计如何, 其制作如何, 通过其施加的物理负担来进行约束。比如网络空间的软件和硬件构成了对行为的一整套约束, 代码的作者通过使一些行为可行与否来约束另外一些行为。

从法律治理的环境来看, 由水、空气、泥土等元素组成的物理世界现实基础是固定不变的, 因此环境(架构)对人类的制约只能是先天性的, 例如空间与气候的影响, 然而网络空间的架构由人工代码组成, 因此可能依照人为的意志而改变其本体而对于网络空间的活动者产生影响, 进而形成一种制约管制的力量。Lessig 认为“代码即法律”(Code is Law)以为代码可以成为政府规制的一种手段, 即通过规制代码来实现社会控制的目的。可以通过改变事物的代码,来改变事物进而改变人们的行为,特别是在网络空间中,代码规制(架构规制)是更为有效的,根本原因是成本相对较低。

云计算时代将是一种Web Inside-Out的互联网架构, 原本脱机的计算资源 全部被吸附进入网络之中, 这也意味着在线的数字疆域将大幅扩展, 同时智能科技与大量人员在线的复杂性产生的开放组织风险与权利义务关系将使传统法律管制力量疲于应付, 事实上随者网络不断地发展, 架构作为一种辅助法律的管制现象越来越明显, 例如Creative Commons(知识共享)许可协议运用机读语言为基础做为一种著作权授权表达机制, 来促成著作权人在网络世界中的权利范围表达以及便于软件自动搜寻之用 。 作者预测面向未来的云计算网络社会将会面临”Code is Law (代码即法律)之辐射效应”, 在此趋势之下目前网络空间中法律、准则、市场、架构四者的动态平衡将重新调整, 其中特别值得关注的是架构与法律两者之间的消长关系以及法学界将如何因应此一挑战。

计算的质变将使其定位由科技转向资源, 然而社会的稳定与和谐将决定于庞大资源的分配与管制是否合理, 法律在此议题上将扮演重要的角色, 例如在长期教育资源的分配不均造成城乡差距与数字落差, 美国麻省理工学院多媒体实验室发起了”每个孩子一台笔记型电脑”(One Laptop Per Child, OLPC)项目 , 该项目生产非常低价的笔记本给部分开发中国家并且由其政府直接提供给该国儿童藉以降低和先进国家儿童之间的知识与数字落差。对于目前的网络社会计算机仍然是一个使用互联网的基本门坎, 然而云计算的发展将使IT技术成为普遍廉价的公共资源, 对于所有人都是一致的, 因此IT不再是具有核心竞争优势 。 当IT不再重要, 成为普遍廉价的公共资源而不是资本主义色彩的商品时, 政府有义务透过法律对于这种公共资源进行合理地再分配与管制, 例如在人民受教权保障方面, 政府必须用非常优惠的措施让偏远地区的弱势人民也能像用水用电一样地享受IT资源。

三. 高新科技复合之挑战:
对于中国来说云计算的发展不能独立于三网合一与物联网等高新科技之外, 例如物联网虽然其信息感知层技术是独立的, 但是其网络及管理层却必须依赖云计算来动态实时处理其大量且复杂之传感信息 , 然而这些高新技术之间的复合是否就如同业者说宣称的智慧地球、和谐地球 , 不无疑问。

事实上这些科技的复合将再次提高管制风险, 例如移动体传感器技术 , 这种技术是现实世界与虚拟世界的桥接点, 同时也是发展物联网科技的可能性之一, 智能移动体的行动决策大量依赖传感网络所收集到的环境信息, 也包括环境中人类的信息, 以往隐私权保护侧重文本及影音媒体形式的个人信息散布流通管制, 这对于主动“搜刮”环境信息以提供使用者便利性的物联网科技来说是微不足道的, 如此一来将造成”侵入性隐私保护”的新法律问题。

3. 结论:
在规模经济的前提下虚拟化技术实现Web Inside-Out使网络终端的计算资源全部被吸收进入网络数字世界,导致云计算成为一种可能. 然而面对未来渐次融入社会的非线性复杂系统所带来的开放组织风险, 法律对云计算的管制应当跳脱出左手讲权利右手讲义务的传统管制模式, 或可考虑采取社会系统设计的进路从宏观层面思索如何发展针对云计算之法律规范。

对美国而言云计算是一帖回春丹,对中国而言云计算却是一把双刃剑, 中国方面必须注意到的是: 1. 云计算产业在中国的发展必须考虑其独特的网络环境与文化兼顾本土需求, 2. 基于在此一领域的专利技术优势, 美国是否会成为独一的游戏规则制定者, 3. 中国处于云计算接受者之地位角色, 不论在技术应用或产业发展的过程中, 其主动性较小, 4. 数据中心是由云计算服务的提供者所建立的,中国对于为中国提供服务的域外数据中心的监管权力会受到不同层面的影响,而美国则是通过数据中心的扩展而更具有主动性。 综上所述,中国在进行云计算产业发展与规划时必须结合本土资源寻求自身的管制模式与对策。







《北大互联网法律通讯 》 物联网与自动化特辑(2012):
(一)物联网与自动化:虚世界与实世界的整合 - 翁岳暄
(二)智能交通:ATM 的民事责任问题 - Giovanni Sartor与Giuseppe Contissa教授专访 - 翁岳暄
(三)智能电网:网络经济与信息安全之间的平衡 - 何娴博士专访 - 翁岳暄
(四)社会机器人:作为市民伙伴的机器人 - Paolo Dario 教授专访 - 翁岳暄

《北大互联网法律通讯 》 云计算特辑(2010):
(一)云的技术: 云计算国际趋势介绍 - 陈建勋
(二)云的架构: 云计算定义及架构的规范分析 - 牟媛
(三)云的风险: 云计算的技术风险分析 - 王正宏
(四)云的管制: 迈向社会系统设计之云计算法律框架 - 翁岳暄

top