管理层面的个人信息安全风险

云计算管理层面的个人信息安全风险主要来自内部恶意行为、个人信息保护政策透明性、安全标准等方面。

（一）内部恶意行为

内部恶意行为主要指来自云服务商中部分内部工作人员和部分特权用户的恶意行为。这些恶意行为包括对用户个人信息的修改、对个人敏感信息的解密和泄露、出售个人信息等。一般而言，云对外部具有不透明性，因此，用户很难了解到云的员工情况、访问权限、安全管理体系、特权用户情况等。而云中的部分工作人员或云服务特权用户在云中拥有较高级别的权限，他们能够轻易地接入底层物理资源或低权限用户的信息，不能排除他们会为了利益而去侵犯或篡改其他用户的个人信息。

（二）个人信息保护政策透明性问题

对于多数云计算服务的用户来说，云服务的个人信息保护政策是不透明的。个人信息保护政策的不透明将直接导致用户对个人信息安全威胁和风险存在认识上的缺失，并在风险发生时不能及时做出相应的保护措施。个人信息保护政策中应明确表述以下几点，否则将带来严重的风险：用户的个人信息是否会同第三方进行共享；用户个人信息的存储情况如何，是否会跨境存储；跨境传输或存储过程中发生纠纷的法律适用机制如何；云内个人信息的利用情况以及相应的通知／获取同意机制怎样；采用了哪些安全保护措施等。

（三）云计算个人信息安全标准的缺失

保障传统IT信息系统安全的标准并不缺乏。然而，由于云计算的新颖度和截然不同的运算理念，针对云计算架构的安全模型和标准却并没有配套的安全标准，更不用提单独的云计算个人信息安全标准。如何更好地规避个人信息安全风险，同时在风险发生时如何应对，从而将损失降到最低，目前也多是经验之谈，尚无成型的标准。所以，在标准缺失的情况下，云计算场景中的个人信息安全更加难以保证。