国内外的监管部门没能力也没必要辨别一个 IP 背后是物理机还是虚拟机,在他们来看各大云平台就是 IDC 和 CDN,以前对 IDC 的监管手段同样适用于云平台。云平台因其资源服务租赁的属性,还可以做更精细化的监管配合工作。
云平台要做的合规工作就是身份核查、内容自查和配合调查。
第一. 身份核查
身份核查即某个网站出问题了可以定位到承担责任的自然人或企业法人,找不到责任人那就是网络接入商的责任。当客户开通网站时需要进行 ICP 备案,如果是特殊行业还需要经营类 ICP 证、游戏网文备、VOIP 通讯备等资质证明。
云平台都提供新域名的 ICP 备案申请和老备案号新增接入,这个服务一般是免费贴人力进去的。但我也听过有的客户一次要新增几千个域名备案被云平台拒绝的,这不仅仅是云平台人力赔本的问题,而是恶意阻塞后端主管机构的办公秩序。至于 ICP 备案审核的速度其实和云平台关系不大,没有哪个云平台可以要求全国各地主管机构为其单独开 VIP 通道。
ICP 备案的重要信息就是 IP 地址,而云平台大都使用浮动公网 IP。云平台需要防备 ICP 备案 IP 意外释放,备过案的 IP 后台保留三个月也花不了几块钱;大中型云平台需要过滤 HTTP 封包,避免违规客户通过换端口换 IP 的方式违法运营;如果是一个小规模云平台无力支撑 HTTP 防火墙,那就在 80、443、3128 这类高危端口做仅限白名单放行的设置。对于只用 HTTP 做 API 接口的用户,好不要用默认的 80 端口。
第二.内容自查
云平台在提供主机和 VPS 服务时为网站服务进行 ICP 备案服务,但云平台也提供对象存储和 CDN 服务,还需要对内容自查,做适度的黄反识别和版权保护。
因为国内有 ICP 备的存在,黄反内容的责任主体是客户,甚至某些临时管制只能算误伤客户。但云平台有快速消除不良内容的责任,每个云平台都有强制全网刷缓存的功能。
大家不要以为开展国际业务就可以自由裸奔,外国没有 ICP 备案很可能找不到责任人,如果有敏感内容只能抓云平台顶缸,云厂商处理不当可能面对更严酷的法务风险和业务中断威胁。
在海外开展云计算业务时,我们要定期检查联络邮箱是否有司法公函(注 1)提及下列内容:
1. 黄赌毒内容,部分国家合法部分国家违法;注意违法的理由可能是法律禁止此类网站,也可能是此网站存在盗版或者偷税要依法关停。
2. 版权侵权问题,这个问题处置不当可能会面临 9 位数的天价罚款。某软件赴美上市时封禁了很多影视资源其实扫黄无关,就是怕被告盗版而已;好多老外翻墙到中国国内就是为了找免费游戏、音乐和电影。
3. 儿童色情问题,这是最严肃的死线,过线即死。某云平台忽略了相关司法公函,最终导致海外业务域名被封禁三天。
4. 极端政治言论,这些信息要快速传播必须依赖社交平台,所以由社交平台来负责删帖,有其他责任人背锅了,那云平台的风险就小了。
在做一个跨国云平台的时候,我们还要考虑哪些数据坚决不能送出中国,以及哪些数据不能离开美国,越大的公司越要注意法务风险。
第三.配合调查
当前监管部门还不了解云计算平台有比 IDC 更进一步的服务能力和证据保全能力。一个守法企业应该主动配合做刑事犯罪的证据保全工作,这些证据甚至可以用于证明嫌疑人是无辜的。
如果遇到涉及刑事犯罪的网站,在收到正式法务公函以后,云平台技术上可以尽量保存涉案证据:
1. 冻结账户,让嫌疑人无法修改释放资源。
2. 断开云主机、容器等的公网连接,但断开之前做 1 分钟数据抓包。
3. 所有云主机做系统盘、数据盘镜像和内存转储,其他云资源也做类似数据保全操作。
4. 云存储设置为不可写不可删除状态,但重置只读密钥。
5. 将嫌疑人的账户注册信息、登陆信息、计费用量信息导出。
没有运营人员敢硬杠刑事法规,但对民事法规还是比较漠视。比如一个云平台客户运营游戏私服,正版游戏厂商找上门了就别装腔作势,正规云平台应该像正规 IDC 一样清退这类客户(注 2)。但云平台也没有对民事纠纷的举证义务,不可能为一个民事纠纷将客户信息泄露给第三方。