李海英

今天也是非常高兴能有这样的机会能够和咱们云服务业内的朋友们一起来探讨一下,关于云安全和网络安全法的一些问题,其中有一些问题,我们现在也还没有答案。也是希望能够和大家进行一些更多的探讨和交流,之后我们慢慢来寻找相关的一些答案。

今天主要是想大家探讨的这样几个问题,第一个我们先看一下网络安全法对于安全的总体要求,然后我们重点探讨两个问题,一个是云服务商到底是不是关键新型技术的运输者、个人信息保护的问题。

从总体上来看,我们知道今年6月1号我们的网络安全法已经正式实施,这是和整个国际上大的网络安全形势是密不可分的,从2013年的网络安全事件以后,很多个国家,包括日本、欧盟和美国都在出台网络安全的基本顶层设计的这样一些立法。在这样的大的形势,就是说立法的趋势之下,我们也是从法律的层面在网络领域可以说网络安全法是第一步这样的一部立法。当然除了网络安全法以外,由于看到整个国内互联网的发展,以及互联网其他各个行业的融合,我们在说互联网+或者互联网+各个行业融合过程当中有哪一些共性的问题,当然首当其冲的就是安全的问题。除此之外还有数据的问题、个人信息保护的问题、以及像平台责任的问题,这可能就是未来相关的立法。比如说今年8月份电商网络法将进行二审,未来我们也会制定中国个人信息保护法。当然这一些立法一方面还是要更加的尊重整个互联网发展的产业的属性、动态创新的这样一个趋势。可能更多的去平衡这种固定的法律规则和动态的创新的互联网发展之间的关系。另外也会引入一些动态的这样一些机制。

我们先来看网络安全,我们先看三个基本的定义,首先第一个就是网络的定义,今天肯定有很多做技术,我就不多去介绍,因为我本身不是做技术出身,但是我们可以看到是一个很技术性的界定。它也是一个非常广泛的定义。很多人把网络安全法也进行一些翻译,叫Cyberspace,从网络的定义来看它事实上连网的概念,实际上更适合的Network,更不是Internet,可能更包含局域网。第二网络安全也有相关的四个层面,当然网络安全法当中最主要的是后三个层面的安全,首先我们说物理层面的安全,可能更多的是物理设施本身不被破坏,这在网络安全法里面并不是很多,但是运行安全和数据安全是网络安全法规范的核心。第三章和第四章主要的内容,当然它也包含网易同事讲的内容安全的这个部分。在定义当中它用非法使用网络的概念把整个内容安全包含进去,所以我们网络更侧重于运行安全、数据安全和内容安全三个层面。

还有一个就是网络运营者我们在很多相关的立场中尤其是刑法、侵权责任法都采用到了网络服务提供者。其实刚才封莎介绍到阿里云第一个侵权的案例,涉及到侵权法也涉及到网络信息传播权法案,这两个当中都用了网络服务提供商、网络服务提供者,但是在侵权法里面并没有对网络服务者提供者这也是一个争议的一点。

在我们前面讲到比较广泛的网络定义基础之上把网络的所有者和管理者包含在其中,也就是说它不仅仅规范我们通常所说的公众提供服务的网络服务提供者,它也包含了更广泛的意义上网络的所有者管理者。

这是从三个定义来看,我们看网安法我们作为云服务提供商,到底应该遵循网络安全法哪一些要求,前面讲到网络运营者是一个非常广泛的概念,可能我们大部分的云服务提供商,昨天张处也介绍了,大家也知道私有云的提供商都是取得许可,他们作为网络运营者来讲首先还是两个层面的网络运行的任务。第三章运行安全当中的安全保护的义务,包括一些内部的机制建设、技术措施的建立、数据的留存、数据的分类等等这样一些比较普遍的义务有效的运行或者有效的技术支持协助的义务,当然有运行安全这一章。第二章专门针对关键信息基础实施运行安全有更进一步的要求。

在信息安全这一章有三个方面的内容,其实用户信息保护不仅仅是在信息安全第四章讲到,在网络产品和服务者提到用户信息的义务,更多的这一节还是在个人体系的收集、使用提供等等这在一方面的规范,当然它的47条开始倒数也是规定了像违法信息处理相关的内容安全的内容,我想这一些我们作为网络服务提供者这一些都是核心的义务。当然云服务提供商也不仅仅是本身的网络运营者,同时是网络产品和服务的提供者。这里是在我们网络安全法的第三章运行安全法里面专门有几条的规定,是对网络产品和服务提供者来进行的要求。这里面有三个方面的基本义务。

第一个就是安全的义务,要有这种符合国家标准又不能设置恶意程序、发现风险措施及时采取措施,以及提前维护的这样一个义务,在协议期间内不能终止。另外还有用户信息保护,比如说收集信息的时候要临时或者是不能把它的信息收集滥用或者保证它的不被滥用等等这样一些信息保护义务,这是作为第三方或者是作为网络的服务提供者的时候,我们应该征询的三大义务。

下面更想和大家一起讨论一下,说云服务商到底算不算关键信息实施运行者,因为前两天看到刚刚关于信息技术安全保护条例在向社会公开征求意见,其中有两条涉及到了云计算这内容大家看一下第18条信息技术实施范围,它的第二项当中提到了提供云计算、大数据和其他大型公共信息网络服务的单位,如果是有一些重点的问题,比如说符合前面的标准,比如说可能严重的危害国家安全,就会纳入关键信息领域。第35条针对云外包服务提供云计算、信息技术外包的服务机构,也要符合像关键信息技术相关的一些安全、要求。

这确实我们云服务商就是在这其中是会有这样双重的角色,一方面是作为公有云服务本身,可能我们要符合两个方面的,现在光看网络安全法主要的认定标准就是说如果是遭到破坏丧失功能或者是数据泄露,可能严重的危害国家安全,或国际民生公共利益,这一些就作为关键信息的设施。另外是要在现有的网络安全等级保护的基础上要进行重点的保护,很多人等保三级以上纳入基础设施范畴,现在还没有最后的定论,也就是说这是网络安全法规定的,就是现有的这样一个认定的标准,但是如果延伸的话,可能比如说我们也看到国外的一些关键信息实施识别的标准和指南,比如说一旦遭到破坏影响到了某一些多大抵御的范围,用户的范围以及对于整个安全的威胁程度,它拥有的这一些数据范围或者是说它的量级等等,这一些都有可能是可能的这样一个规定标准。我们知道如果是归到云服务,或者说云服务本身来看的话,其实昨天张处做了很详细的介绍,像Iaas和Paas取得许可,Saas有更广泛的范围,还有前面那页当中因为它提到云计算,而没有说到底是哪个云服务,是提供的Iaas还是Paas云服务还是怎么样没有更细的标准。而且大数据更加模糊的用于什么样到底是大数据的服务,或者什么样叫从事提供大数据的这样,这确实是有一定的界定的困难,我们也希望在未来得时候,关键信息技术是保护条例的具体认定过程当中去考虑的这样一些要素。

但是我们也看到,比如说全球唯一的一个关于云计算的立法是韩国,韩国2015年出的,韩国的云计算的相关立法,它是规定说云服务的用户它是要求云服务提供者是告知用户的信息存储国家、位置,这就和我们界定为关键技术实施运营者需要境内存储数据,这可能会有一定的相似之处。

另外一个就是云服务商我们作为外包服务的提供者,或者说我们作为一些私有云的提供者,昨天张处也讲了如果给不同的平台共同提供所有云也取得相关的业务许可,但是云服务如果我服务的用户,是一个关键信息技术运营者,如何去界定我本身这样的责任,这就是下一个问题,说云服务商在客户是关键技术设施运营者的时候,我应该承担什么样的责任这还没有明确的规定,但是我们看到2014年网信办有一个意见,就是说一个是云计算党政机关云计算服务的采购安全审查相关的意见。说服务的安全管理意见,他提出来安全管理责任,数据关系不变和安全管理标准不变的这样一个要求。似乎也可以界定在云服务提供商,提供云服务的时候,但是原有的安全管理责任、数据的归属都是原有的客户,就是说关键信息技术本身都是它来承担相关的责任,从而和云服务上的责任进行一定的分割。是可能在采购的时候,或者对于云服务商的要求明确在合同当中,同时在这合同当中区分二者之间的这样一个责任。我们知道网安法当中事实上有很多比较系统的规定关于个人信息保护的这样一些要求,包括个人信息的定义,它的收集的原则,收集使用知情同意的义务,还有对外提供的时候这种,这一些网络安法个人信息整体的要求,个人信息也应该这样的责任,在现有的网络服务发当中,一方面这个责任应该是云服务商的客户,就是说这一些信息数据的收集者,或者说控制者应该承担这一些责任,我作为云服务提供商有不同的责任,我们现在的网络法当中没有规定但是欧盟GDPR保护条例当中,是有专门的主体是叫做数据处理者,对数据处理的进行了专门的规定,要求数据处理者他也要进行一些合适的安全标准,也定期做一些数据保护的评估,也要支定数据保护的官员,并且在数据传输这一些方面遵守相关的规则。也就是说云服务商客户处理的云服务商,要有明确的协议安排,有明确的指示要求他们做到什么样的数据处理,做到深的情况算是客户和要求期望的程度。这也是很多的情况我们可能要依赖于双方的用户协议的要求。

未来我们认为比如说云服务商作为一类新的主体它应该在个人信息保护当中承担不一样的责任,在未来的个人信息保护当中立法当中如何去规定,我也希望和大家做进一步的探讨。

最后我想简单总结一下,就是说云服务商作为一个网络,我们确实作为网络运营者其实讲到运行安全主要的要求和内部的管理措施,在本人信息收集、处理提供方面的一些主要的原则性的规定。同时我可能也作为第三方的网络服务的提供者,就是要三项义务就是安全义务、安全维护义务、用户信息保护的义务。但是我们从法律的层面都是比较笼统,或者是说基本的一些合规的要求,其实刚才封莎讲的一些具体的标准这一些是更细节的,我觉得她是把法律的规则进行了一些细化,会更符合企业本身的合规需要,但是不管是网络安全法现在的规定,其实我们认为说云服务就是这种提供的模式,对于全球或者是说网络的安全、数据跨境的传输事实上都带来了一个很大新的挑战,很多问题我们还没有研究清楚,也不是现有的网络安全法能够去回应。

比如说整体的云服务商运营中的部署,以及它们之间的跨境旨意以及对于政府的协助,还有不同之间的管辖权安全不同层面的安全责任问题,我想这一些都是需要我们进一步的探讨的问题。

我今天和分享就是这一些,谢谢。

关注中国IDC圈官方微信:idc-quan或微信号:821496803 我们将定期推送IDC产业最新资讯

扫描二维码,将会有专人将您拉进“大数据交流群”“云计算交流群”“区块链交流群”“物联网交流群”

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2017-08-23 10:41:00
模块化数据中心 华为技术有限公司首席网络专家、资深技术专家王闯:无损网络
首先我们来看一下数据中心业务都有哪些新的业务需求和业务应用。刚才各位演讲嘉宾已经大概介绍过,包括AI技术,云服务,云存储,大数据服务、高性能数据库。数据中心业务的 <详情>
2017-08-22 18:12:00
云安全 IDC:云服务商安全能力6维度评估报告 11家厂商入围
6大维度可以看出,灰色腾讯云在领导者(Leaders)区间最为靠前,红色阿里云在现有能力(Capabilities)区间最为靠前,微软Azure最靠近中坚者(Major Players)。 <详情>
2017-08-22 17:00:00
云技术 3个新开源项目让Kubernetes“如虎添翼”
Kubernetes无疑是容器化领域里一个优雅的解决方案。 Kubernetes能够让我们大规模地运行容器化应用程序,而不用淹没在负载平衡,网络容器,确保应用程序的高可用性或管理更 <详情>
2017-08-22 16:57:00
云资讯 缺席中国市场 谷歌云服务难以赶上亚马逊
由于谷歌没有在中国推出云服务,因此它也无法进入中国市场。 <详情>
2017-08-21 16:20:03
Saas 十种早期征兆提醒您的ERP系统即将陷入崩溃
不少ERP系统已经过时或者需要进行重大调整。另外,也有不少企业出于成本及灵活性的考量而有意将ERP迁移至云端。这一切都令ERP系统本身成为一种隐性灾难 <详情>