解析隐藏在Google云存储中的第三方漏洞

1998年,我在Exodus Communications帮忙建立了最早期的现代化云计算服务,从那时起,就一直有个想法在我的脑海里回荡:美国政府对宪法第四修正案的诠释会影响到企业采用云计算的意愿。

谢天谢地,这种问题并没有发生。但现在新的Google云存储服务条款可能会导致新的法律争端,影响到所有人使用云储存的意愿。

想知道为什么会这样,就要先了解法院是如何解释美国宪法第四修正案:“任何公民人身、住宅、文件和财产不受无理搜查和查封,没有合理事实的依据,不能签发搜查令和逮捕令……”

该解释还提供了,在什么情况下不合理的搜查可以被称为“合理”,并且合乎宪法的作法。也就是可以在下列情况下签署授权:“除有正当理由,经宣誓或代誓宣言,并详载搜索之地点、拘捕之人或收押之物外”。

这也就意味着,执法单位在进行侵入式搜索时必须先取得授权,如果不这样做,他们所找到的证物将不被法院受理。不过如果该对象可以被直接看到,或是当对象同意被搜查时则无需授权。

当搜索需要授权时就会交给法院处理,在发现有“合理的隐私期望”时,执法单位就需要授权。这是早在1967年,云计算技术出现之前,关于电话亭被用来窃听的问题引发广泛争议时决定的,而这也是Google所面临问题的根源。

法院所谓的“合理的隐私期望”是说,你会合理地期望自己的东西是属于私人的,而同时社会本身的客观认定也会觉得这些内容合理地属于私人。也就是说,你会认为这是私人的东西,而其他人也是如此认为。不要忘了这个条件,因为这和Google的作法有直接关系。

对于美国宪法第四修正案所作出的第三方原则(Third-Party Doctrine)的解释,可以说是现代云计算技术噩耗。这个解释是说,如果你的数据由第三方代管,那它就不属于第四修正案的保护范围。这就严重了。这里最典型的例子是:警察不需要取得授权就可以知道你打了什么电话,因为通话记录的数据在服务供应商手上。你的电话内容是属于私人的,但是你打电话这件事并不是。

让我们将这个理论扩展到云计算中。在过去,Dropbox和微软的SkyDrive将获得你上传到云端的文件的版权和知识产权。这是合理而且正常的做法。如果你具备云端保存的内容的版权,你也就可以主张你有合理的隐私期望,你的云端文件还是受到宪法第四修正案的保护,即便这些内容保存在第三方的云服务设施内。

但是Google新推出的服务条款则打破了这项共识。让我们看看这些服务条款的差异。

Dropbox

“您的东西和您的隐私:您通过使用我们的服务所提交给Dropbox的信息、文件和文件夹等(合称“您的东西”),您对您的东西依然保留完整的所有 权。我们并不主张任何所有权。这些条款并不能让我们对您的东西或知识产权有任何权利,除了运行该服务所必需的有限的权利,具体将在下文解释。”

微软的SkyDrive

“5.您提供的内容:除我方许可您使用的资料外,我方不要求您就本服务提供的内容的所有权。我方也并不控制、核实或认可您和其他人就本服务提供的内容。”

Google云存储

“您在我们服务中发布的内容:当您上传内容或通过其他方式向我们的服务提交内容时,您授予Google(以及我们的合作伙伴)一项全球性的许可,允许 Google使用、持有、存储、复制、修改、创建衍生作品(例如,我们为了使您的内容更好地与我们的服务配合使用而进行翻译、改编或其他更改,由此所产生的作品)、传播、出版、公开演示、公开展示和分发此类内容。

您在此许可中授予的权限,仅能用于运营、宣传和改进我们的服务,以及开发新的服务。该项许可在您停止使用我们的服务后依然有效(例如,您已添加到Google地图的商家信息)。”

“不作恶,除非是为了方便。”

Google,你在搞什么?你的Google云存储服务条款绝对会毁掉大家对上传到你们云储存服务的内容所该有的,合理的隐私期望。也就是说,对于Google云硬盘上存储的数据,执法单位根本无须传票就可以利用第三方原则直接读取。

并且还有更严重的。Google是地球上最大的云服务供应商之一,一旦Google对他们所持有的云数据放弃宪法第四修正案的保护,执法单位和法院 在多久之后才能反应过来,也许所有存储在云端的数据都不应得到第四修正案保护?恐怕不会太久。Google是一家大型企业,大到足以将他们的行动作为“先 例” 了。

希望美国电子前线基金会可以让Google至少不要太邪恶。