盤點(diǎn)各國的云計(jì)算產(chǎn)業(yè)政策及相關(guān)法律

　　全球云計(jì)算服務(wù)市場(chǎng)近年來保持高增長。據(jù)Gartner 統(tǒng)計(jì)，2014 年全球云計(jì)算服務(wù)市場(chǎng)規(guī)模達(dá)1528 億美元，增長率達(dá)17.9%，其中典型的IaaS、PaaS、SaaS 服務(wù)的市場(chǎng)規(guī)模達(dá)425 億美元。云服務(wù)增速是全球IT 支出的4 倍，預(yù)計(jì)在全球IT 支出中的占比將從2013 年的3.6% 提高到2018 年的6.6%。云計(jì)算服務(wù)正日益演變?yōu)樾滦偷男畔⒒�礎(chǔ)設(shè)施。各國高度重視云計(jì)算的發(fā)展，近年來制定國家戰(zhàn)略和行動(dòng)計(jì)劃，通過政府的先導(dǎo)示范，培育和拉動(dòng)國內(nèi)市場(chǎng)，政府采購中所形成的安全標(biāo)準(zhǔn)、服務(wù)規(guī)范、管理制度等都將成為其他行業(yè)采用云服務(wù)時(shí)的重要參考。

　　云計(jì)算市場(chǎng)特點(diǎn)

　　要分析各國的產(chǎn)業(yè)政策和法律法規(guī)，首先要來看不同國家的云計(jì)算產(chǎn)業(yè)情況。

　　美國龐大的互聯(lián)網(wǎng)產(chǎn)業(yè)提供市場(chǎng)需求支撐，云應(yīng)用向垂直行業(yè)擴(kuò)張。目前美國90% 的初創(chuàng)企業(yè)都將公共云服務(wù)作為IT 系統(tǒng)建設(shè)的首選，同時(shí)“聯(lián)邦云計(jì)算戰(zhàn)略”的實(shí)施又使政府成為云計(jì)算的重要用戶，目前已有300 多家政府機(jī)構(gòu)使用公共云服務(wù)。美國中情局計(jì)劃未來10 年將斥資6 億美元使用亞馬遜云服務(wù)。

　　從供方角度來說，美國云計(jì)算產(chǎn)業(yè)體系完整，巨頭企業(yè)正在不斷加強(qiáng)優(yōu)勢(shì)地位，并且逐漸向全球市場(chǎng)擴(kuò)張。目前在全球排名前100 的云計(jì)算企業(yè)，美國占84 家，同時(shí)美國云計(jì)算巨頭企業(yè)正在全球快速擴(kuò)張，鞏固其產(chǎn)業(yè)地位。其中亞馬遜占全球IaaS 市場(chǎng)40%，托管網(wǎng)站數(shù)量一年增長了71%，2013 年中時(shí)網(wǎng)站數(shù)量達(dá)到了1160 萬，是我國網(wǎng)站總數(shù)的4 倍；微軟占全球PaaS 市場(chǎng)份額的64% ；Salesforce 占SaaS 市場(chǎng)的21% ；亞馬遜、微軟、谷歌等巨頭在全球重要地區(qū)均建有數(shù)據(jù)中心，而且仍在不斷擴(kuò)張中。

　　歐洲和日本市場(chǎng)呈現(xiàn)與美國不同的局面。就需求方面來說，歐洲和日本市場(chǎng)容量巨大，而且增速逐年提升，目前已有多個(gè)國家提出云計(jì)算推動(dòng)計(jì)劃，如英國2013 年在“政府云計(jì)算戰(zhàn)略”中提出，到2015 年中央政府新增IT 支出中50% 用于采購公共云服務(wù)；德國的《德國云計(jì)算行動(dòng)計(jì)劃》鼓勵(lì)聯(lián)邦和各州政府在電子政務(wù)中采用云計(jì)算技術(shù)；日本總務(wù)省發(fā)布的“智慧云戰(zhàn)略”建議促進(jìn)政府部門的云計(jì)算應(yīng)用等。

　　但歐日等國缺乏本國云計(jì)算企業(yè)的支持。2014年全球排名前100 的云計(jì)算企業(yè)中，歐洲只有9 家，日本無一企業(yè)上榜。而亞馬遜、微軟、谷歌等美國云計(jì)算巨頭已在歐洲、日本等地建立數(shù)據(jù)中心，提供本地化服務(wù)。正如歐盟《歐洲云計(jì)算潛力報(bào)告（2012）》中所述，“歐洲云計(jì)算市場(chǎng)與美國存在數(shù)年的差距……歐洲大多數(shù)云服務(wù)企業(yè)都是美國公司”。

　　各國的產(chǎn)業(yè)政策

　　1. 美國意在強(qiáng)產(chǎn)業(yè)、弱監(jiān)管

　　美國是云計(jì)算發(fā)展領(lǐng)先的國家，產(chǎn)業(yè)實(shí)力較強(qiáng)，因此政府對(duì)云計(jì)算行業(yè)本身沒有特殊的監(jiān)管機(jī)制，與互聯(lián)網(wǎng)業(yè)務(wù)同等對(duì)待。但是在云計(jì)算實(shí)際應(yīng)用到垂直行業(yè)時(shí)就設(shè)有較高門檻，比如政府行業(yè)使用云計(jì)算需要通過FedRAMP 認(rèn)證，需通過第三方認(rèn)證并經(jīng)過多部門聯(lián)合委員會(huì)的審定等。云服務(wù)供應(yīng)商通過獲得FedRAMP 證書即可認(rèn)為安全達(dá)到政府要求。聯(lián)邦機(jī)構(gòu)和云服務(wù)供應(yīng)商都需滿足FedRAMP 的安全控制基線，包含低、中、高三套基線控制集，為不同級(jí)別的系統(tǒng)推薦了不同強(qiáng)度的安全控制集（包括管理、技術(shù)和運(yùn)行）。

　　對(duì)于通過政府社區(qū)云、公共云和私有云交付的服務(wù)，安全性需達(dá)到中級(jí)影響基線，對(duì)于飛地云交付的服務(wù)，不僅需要達(dá)到高級(jí)影響基線，還需提供額外安全控制保護(hù)機(jī)密數(shù)據(jù)。

　　2. 歐盟意在弱產(chǎn)業(yè)、強(qiáng)監(jiān)管

　　歐盟云計(jì)算相對(duì)美國較為滯后，為了發(fā)展本土云計(jì)算產(chǎn)業(yè)，歐盟對(duì)云計(jì)算采用強(qiáng)監(jiān)管機(jī)制。2013 年6 月，歐盟議會(huì)通過了關(guān)鍵信息基礎(chǔ)設(shè)施（CIIP）——面向全球網(wǎng)絡(luò)安全的決議，其中將云計(jì)算納入了關(guān)鍵信息基礎(chǔ)設(shè)施（CIIP）范疇，也就意味著加大對(duì)云計(jì)算的監(jiān)管力度。

　　英國政府機(jī)構(gòu)和公共部門采購云服務(wù)主要通過英國政府云服務(wù)項(xiàng)目（G-Cloud）的在線云服務(wù)商店（CloudStore）進(jìn)行。G-Cloud 提供了詳細(xì)的應(yīng)用清單，采購機(jī)構(gòu)只需明確計(jì)劃支付的采購費(fèi)用和所需的云服務(wù)應(yīng)用要求并在Cloud-Store 上選擇即可。進(jìn)入CloudStore 的云服務(wù)商需要認(rèn)證評(píng)估：一是必須滿足G-Cloud 云服務(wù)合同框架，二是需要通過G-Cloud 認(rèn)證。根據(jù)ISO27001 和英國政府信息標(biāo)準(zhǔn)（HMGInformation Standards No。 1 & 2），G-Cloud 認(rèn)證共對(duì)四類云服務(wù)進(jìn)行認(rèn)證，包括基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺(tái)即服務(wù)（PaaS）、軟件即服務(wù)（SaaS）和專家云服務(wù)（SpecialistCloud Services，SCS，提供云計(jì)算專家咨詢服務(wù)）。英國完全禁止政府信息存儲(chǔ)在境外，并且提出網(wǎng)絡(luò)連接方面的技術(shù)要求，使得境外的云平臺(tái)事實(shí)上不可能通過審查，以達(dá)到保障安全和遏制國外云服務(wù)商的目的。

　　3. 韓國也突出監(jiān)管重要性

　　韓國《云計(jì)算發(fā)展與用戶保護(hù)法》將云計(jì)算納入增值服務(wù)進(jìn)行管理，政府部門委托韓國云服務(wù)協(xié)會(huì)（KCSA）對(duì)云服務(wù)進(jìn)行認(rèn)證。同時(shí)要求在韓國提供云計(jì)算服務(wù)的企業(yè)必須向政府提交一份報(bào)告，以作為提供服務(wù)的條件之一。

　　全球云計(jì)算相關(guān)法律情況

　　云計(jì)算帶來的數(shù)據(jù)隱私和跨境數(shù)據(jù)流動(dòng)等問題已經(jīng)引起了全球的共同關(guān)注。一是云計(jì)算業(yè)務(wù)采用的數(shù)據(jù)托管和資源租用的服務(wù)模式，帶來了數(shù)據(jù)和用戶隱私保護(hù)、濫用云計(jì)算服務(wù)等方面的問題。二是云計(jì)算系統(tǒng)中數(shù)據(jù)的大規(guī)模聚集和跨境流動(dòng)，帶來了法律法規(guī)的適用性、數(shù)據(jù)的外泄和主控權(quán)等問題。尤其是在“棱鏡門”之后，云計(jì)算這種大量數(shù)據(jù)通過網(wǎng)絡(luò)存在云服務(wù)提供商中的業(yè)務(wù)形式，再加上美國在云計(jì)算領(lǐng)域的主導(dǎo)地位，使各國更加重視對(duì)云計(jì)算的跨境流動(dòng)監(jiān)管。

　　由于各國的在立法上對(duì)數(shù)據(jù)保護(hù)的水平參差不齊，跨境數(shù)據(jù)轉(zhuǎn)移中的個(gè)人數(shù)據(jù)保護(hù)成為跨境數(shù)據(jù)流動(dòng)的主要障礙之一。意識(shí)到數(shù)據(jù)保護(hù)的國際性、涉及政治、經(jīng)濟(jì)、科技等諸多因素，各個(gè)國際組織和歐盟、美國等發(fā)達(dá)國家從不同的角度，積極地介入跨境數(shù)據(jù)轉(zhuǎn)移的保護(hù)規(guī)則制定，力求融合和統(tǒng)一各國的立法，盡量消除和減少數(shù)據(jù)保護(hù)給跨境數(shù)據(jù)流動(dòng)造成的障礙，促進(jìn)經(jīng)濟(jì)全球化。

　　歐盟制定了對(duì)歐盟以外國家的個(gè)人數(shù)據(jù)保護(hù)評(píng)估標(biāo)準(zhǔn)，若成員國依據(jù)標(biāo)準(zhǔn)認(rèn)定第三國不具備一定的水平，原則上禁止向這些第三國或地區(qū)轉(zhuǎn)移個(gè)人數(shù)據(jù)和資料。

　　2000 年美國和歐盟簽訂了安全港協(xié)議，此外，美國還單獨(dú)與瑞士發(fā)展出了“美國- 瑞士安全港”框架。獲得安全港認(rèn)證機(jī)構(gòu)將可使用官方“安全港認(rèn)證”標(biāo)識(shí)，可置于機(jī)構(gòu)網(wǎng)站、媒體等，并可享受數(shù)據(jù)保護(hù)方面的“安全港利益”。

　　我國臺(tái)灣地區(qū)對(duì)主要針對(duì)非政府部門個(gè)人資料的跨境傳輸做出規(guī)定 ：凡涉及國家重大利益，國際條約或協(xié)議有特別規(guī)定，接受國對(duì)于個(gè)人數(shù)據(jù)之保護(hù)未有完善的法規(guī)，非政府部門以迂回方法向第三國（地區(qū)）傳輸個(gè)人數(shù)據(jù)規(guī)避資料法規(guī)定的，中央目的事業(yè)機(jī)關(guān)都可以對(duì)其跨境傳輸做出限制。

　　韓國《個(gè)人信息保護(hù)法》規(guī)定：政府應(yīng)制定促進(jìn)國際環(huán)境下個(gè)人信息保護(hù)的必要政策措施，并應(yīng)當(dāng)制定相關(guān)政策措施保障跨境個(gè)人信息傳輸不侵犯信息主體的權(quán)利。

　　關(guān)于作者

　　中國信息通信研究院通信標(biāo)準(zhǔn)研究所 孫明俊

　　孫明俊，中國信息通信研究院通信標(biāo)準(zhǔn)研究所移動(dòng)互聯(lián)網(wǎng)與大數(shù)據(jù)部高級(jí)項(xiàng)目經(jīng)理，高級(jí)工程師，數(shù)據(jù)中心聯(lián)盟秘書長。長期從事云計(jì)算、大數(shù)據(jù)和數(shù)據(jù)中心及多媒體通信的研究和認(rèn)證評(píng)測(cè)工作。負(fù)責(zé)過三項(xiàng)ITU-T 建議的起草，獲得過國家科技進(jìn)步二等獎(jiǎng)。