第二节　法律政策建议

一、关于立法层面

（1）应从国家战略全局进行云计算信息安全统一立法。第一，明确我国信息安全的基本战略和国家政策；第二，明确国家信息安全管理机构和组织架构；第三，确定国家信息、社会信息、商业信息和个人信息的分类保护；第四，明确从政府监管、社会监督、个人自律三方面入手，对信息网络加强管理和监督的具体措施；第五，扩展国家信息安全的保护范围，从单纯的国家秘密的安全保护扩展到所有国家关键基础设施的信息安全保护。

（2）知识产权立法应有所为有所不为。立法部门不得盲目寻求加强知识产权保护，应积极谋求云计算专有权利范围的合理界限，实现权利人、社会公众的利益平衡。如专利方面，云计算算法尚不宜作为专利的保护对象；版权方面，对于云计算中无处不在的“临时复制”问题，现阶段暂不宜认定为复制。对于一些法律真空，可出台司法解释试行规制，如明确版权中的出租权适用于规制SAAS模式，《计算机软件保护条例》中的修改权亦可适用于运行中的程序指令行为，以应对云环境下的间接修改型第三方插件问题。

二、关于司法层面

司法不仅定纷止争，对当事人权利义务产生影响，还有辐射的延伸功能，如法治教育效果、完善社会管理机制的效果、提高经济效益的效果等。针对云计算产业发展中出现的产业链参与者权利义务不均等、知识产权保护障碍等问题，司法机关可以：

（1）加强对云服务提供商与用户之间格式合同的司法审查。可通过典型案例的审判与公开加大对格式合同的审查力度，尤其对此类合同中公平原则的解释应体现对普通用户的保护。

（2）充分运用现有知识产权法制资源，发挥司法能动性。充分利用好知识产权单行法律、劳动合同法、民法、合同法、侵权行为法、反不正当竞争法和刑法等现有法律法规中的有关规定，秉承激励创新与公众利益协调原则防范与打击侵犯商业秘密、版权、专利权等知识产权的行为。

三、关于行政机关

行政机关在云计算产业发展过程中可以发挥管理、引导、服务以及示范作用。

（1）对企业准入贯彻“根据不同目的确立不同准入标准”的思想。对关系国计民生（如社会保障、医疗卫生等）的云服务供应问题，应遵循市场规律，通过公开招投标等方式选择可靠的云计算企业，行政机关不宜主动插手。对事关国家安全或国家秘密（如部分政府行政、军事等），涉及对国外云服务供应开放是否安全的云企业准入问题，政府需熟悉境外投资人通常会选择的法律架构，如CEPA通道、VIE或Trustee模式、并购模式、协议合作模式等。对享受优惠政策的云计算企业的认定，政府应以核心技术为本，以重点工程为导向，参考高新技术企业的认定要件进行分级分类的认定。要集中扶植、重点投入。为掌握产业发展总体概况、趋势，进行统计、调研、布局规划的需要，确定哪些属于云（相关）企业时，政府宜通盘考虑云产业链的构成，适当放宽享受地方优惠政策的云企业的认定，更应放宽对云计算高新技术企业的认定。

（2）完善政府风险控制制度，指导云计算相关产业降低安全风险。一方面，政府自身应建立事前预防、事中控制、事后惩戒的数据安全风险过程控制管理制度；另一方面，政府可牵头实施云计算信息安全认证制度，加强对云计算项目信息安全措施方面的审核，建立云计算信息安全的技术规范，确立一批示范项目，鼓励企业重视云信息安全措施。

（3）鼓励云计算服务模式创新的同时也要注意保护知识产权。行政机关可以协同行业协会规范企业云计算业务模式开发流程，避免重复开发，提高开发效率。同时，行政机关也应在云计算知识产权保护的法制宣传方面发挥作用，如对云计算软件开发企业及以内容为主的云服务商进行版权保护分类法律培训。

四、关于律师业务

（1）为云计算企业提供专业化、针对性制度方案。律师可以帮助云计算企业建立有效的信息管理体系。包括信息的存储和管理制度保障，信息和信息处理相关内容在组织内的所有权归属，潜在的信息安全风险告知程序，信息安全事故响应程序等。律师还可以帮助制定知识产权管理制度和发展战略，如通过对美国等发达国家云计算专利申请、诉讼情况的调研指导国内企业的技术发展方向、专利战略等。

（2）为云计算企业的日常运营提供法律帮助。如帮助云服务商与用户签订严密规范的云服务合同、云服务商公司与员工的保密合同等，明确各方权利义务、违约责任及侵权责任；帮助云计算企业进行新业务开发推广前的知识产权尽职调查等。

（3）对云计算企业员工进行专项法律培训。帮助云服务企业雇员特别是关键员工了解信息安全法律知识，公司商业秘密的种类和范围、云环境下商业秘密被窃取破坏传播的常见技术手段、常用的有效的保密措施等，以提高信息安全保护意识。