中国IDC圈2016年9月5日报道,9月1日由工业和信息化部指导,中国信息通信研究院、中国通信标准化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在9月2日上午的集体大会上,中国信息通信研究院政策与经济研究所所长鲁春丛发表了题为“与计算服务监管的新趋势”的演讲。
中国信息通信研究院政策与经济研究所所长 鲁春丛
以下是演讲全文:
尊敬的闻司长,代秘书长,各位来宾,各位朋友,上午好!
非常荣幸在这个天高云淡、风情气爽的美好金秋参加可信云大会。我今天汇报的题目是云计算服务监管的新趋势。汇报三个方面的内容,第一方面是全球云计算产业发展的基本情况,第二方面是云计算服务全球监管政策,第三是我国云计算监管政策。关于全球云计算产业发展,昨天已经发布了一个白皮书,简单再过一下。总体来看,云计算步入稳步的爬升期,2015年Gartner新兴技术成熟度曲线上,混合云计算正在滑向泡沫谷底期,Gartner认为有10%到15%的大型企业实现了混合云计算,服务尚不成熟。但是我觉得从今天来看,他这个论断稍微有点保守。2016年Gartner又发布了新兴技术成熟度曲线,他再没有出现云计算,他指出云计算技术不是不重要,不再是新兴,开始进入稳步的爬升期。这两年的变化非常快,可见云计算,刚才讲群雄逐鹿,确实已经进入快速增长的新阶段。
2015年以IaaS、PaaS、SaaS为代表的云服务市场规模达到522亿美元,增速20.6%。从结构来看,北美占据市场的主导地位,2015年美国云计算服务市场占全球56%以上的份额,也是云计算的发源地。亚洲云计算市场占比是12%,中国在全球的占比由2012年的3.7%升到5%,可见中国市场的需求增速还是非常快的。
全球云计算服务的主要企业,这里面发布了前五名,分别是亚马逊、微软、IBM、Salesforce、Oracle,其中亚马逊和Salesforce是云计算的先驱,像微软、IBM和Oracle属于传统IBM的转型,业务均覆盖I/P/S。
从业务结构来看,IaaS、PaaS服务集中度很高,而SaaS服务集中度较低,体现出SaaS市场细分长尾的特点。营收排名前70名的企业中,仅8家提供IaaS服务,9家提供PaaS服务,但是位次都比较靠前,SaaS服务商比较分散,有67家。
第二位从全球来看,云计算服务的监管政策大致分为三个大的方面,第一个是对云计算服务的分类和准入,目前还没有完全的统计,世界各国围绕他的国情和他的产业发展情况,还有体制不一样,比如有的是纳入计算机服务,有的纳入电信服务,针对不同的服务,监管的政策也不一样,这里有比较大的分歧。第二是在数据安全方面,个人数据安全保护还有跨境数据流动。第三个是落实主体责任,安全监管责任,云服务商在安全责任方面有哪些特殊要求。这是三大方面监管的着力点。
第一个方面关于云计算分类和准入方面,按照WTO对一些业务的界定,两大类,一类是计算机相关的服务,这一块主要侧重在线下,在数据处理服务里,云计算主要归数据处理服务。在增值电信服务里,有一个在线信息和数据处理业务,包括现在的电子商务、物联网业务都属于这类业务。云计算这个业务目前随着线下计算机服务向线上的转移,云计算很多业务都和在线信息和数据处理业务相关,既属于计算机范畴,也属于增值电信服务范畴,如何认识线下和线上的数据处理业务,这两类服务的交叉,导致世界各国对云服务管理有较大差异。美国、欧盟倡导将云服务作为计算机服务进行管理,放松准入。美国2011年和2014年两此向WTO提交提案,认为云计算应当属于计算机相关服务,不应纳入电信服务。对于很多发展中国家的阶段和产业不一样,IaaS被视为电信服务,部分SaaS也被视为内容服务要求许可。
监管的第二个是数据安全管理,主要在个人数据保护,主体责任的界定我们大致分为两类,一类是数据的控制者,像用户本身是数据所有者,第二是云服务商,主要以SaaS为主。比如现在手机用户下载了某一个企业的应用程序、软件,海量用户的数据信息都集中在提供者的平台上,这些平台就成为数据的控制者。由于SaaS的广泛性、集聚性,这块的数据量非常庞大。对于数据处理者,像IaaS、PaaS,本身是提供一个工具和平台,并不是数据实际的控制者,我们定为数据的处理者,这就是SaaS、IaaS之间从主体责任界定上是不一样的。具体的义务要求,现在世界各国对这方面都是探索阶段,比较成熟的是欧盟新发布的GDPR,通用数据保护条例,这里面界定了具体的义务要求四个方面,一个是保障数据主体权利,第二企业要采取安全的管理措施,第三落实相关的主体责任,第四是监管和处罚措施。今年新出的GDPR要求比较严格,各成员国监管机构实施一站式监管,违法行为高面临全球营业额4%的罚款。第二个着力点是关于数据安全管理方面,主要涉及到跨境数据流动。目前按照WTO界定的跨境服务贸易有四个类型,第一个类型是跨境交付,第二个是境外消费,第三是商业存在,第四是自然人流动。从云计算服务来讲,是作为一个服务的提供和消费,主要涉及两个方面,一个是跨境交付,像苹果,我们的应用都是跨境交付,第二类是商业存在,要求境外公司为本国提供服务,要设立一个实体的合资公司、分公司、代表处等等。未来随着云计算的发展,跨境交付、商业存在成为世界各国对这种跨境数据流动规定管理的两个主要方面。从全球来看,跨境数据流动的管理分成三大类,第一类是倡导数据自由流动的国家,像美国、日本、澳大利亚等12个国家,在2016年2月正式签订了TPP跨太平洋伙伴关系协定,要求每个成员国应当允许电子方式提供跨境信息的转移。这里我有一个感觉,随着“互联网+”的实施,现在很多企业特别是制造业,卖完设备以后通过物联网将设备连接起来,集中在全球的云平台上,这个数据的流动肯定是跨国家的,未来国与国之间不仅仅是线下的自由贸易区,将来线上的自由贸易区也会形成新一轮谈判的要求,因为线上线下都在加速融合。第二是数据本地化,这个要求相对严格一些,两种方式,一类是要求数据本地化存储,给我一个企业给我一个国家和地区提供服务,我要求本地化存储。但是存储要求比较宽松,你可以存储在其他企业的数据服务器,也可以委托的方式。目前有超过20多个国家,包括发达国家和发展中国家做出了数据本地存储的要求,中国、尼日利亚、委内瑞拉、丹麦、挪威、韩国、巴西等等。第二个,数据本地化存储的要求就是间接方式,要求设立数据中心或商业存在,这个条件相对严格一些,商业存在就是分公司、代表处等等。境内建立数据中心作为允许其开展服务的条件之一。第三个是跨境流动的管理方面,所谓国与国之间、区与区之间,前一段时间欧美之间的数据安全网协议被废除,他们新出了一个隐私盾协议,是欧盟主导,扩大了规范对象,建立联合审查机制,加强美国政府监督职责,数据流动之间要求美国政府加强数据监督,保障用户的权利,也赋予欧盟公民更多救济渠道。这就是在隐私盾和安全港之间的关系。跨境数据流动管理,随着融合渗透,国与国之间这方面的协议也会越来越多。第三个方面是关于云服务商的主体责任,六个方面,运行安全维护、个人数据保护、事故应急机制、第三方审计认证,所以我们的可信云认证也是符合国际要求,其中审计认证是一个重要的环节,像美国政府采购的云计算服务商需要通过FedRAMP认证,类似的英国也推出了G-Cloud认证,我们可信云认证也是符合国际趋势和要求的这样一个重要的环节。第五个是客户权益保障,第六个是属地司法管辖。在欧盟,凡向欧盟用户提供服务的均适用欧盟法,只要以用户为中心,整个欧盟的用户只要使用某个运营商都要符合欧盟的要求。同时客户数据的司法管辖权不因云计算服务而改变,即使我一个用户使用其他国家提供的跨境服务,也要遵守欧盟本地的的属地司法权管辖。
第三个方面,给大家汇报一下我国云计算服务的监管政策,总体看我国云计算处于发展成熟的阶段,国务院、工信部也出台了很多文件,来促进数据中心发展,通过布局、试点示范等等一系列的意见,正在走向成熟规范发展的阶段。我们国家对云计算服务的分类和准入,根据最新的《电信业务分类目录》里,属于互联网数据中心业务,在数据中心业务里规定了三类业务,第一类是空间出租,就像传统的IDC一样,出租机位、机架、VIP机房出租等。第二类是资源出租业务,主要是主机出租、虚拟主机等业务。第三种是资源协作,采用云计算技术方式实现了IaaS、PaaS业务都定义为资源协作业务,所以我们云计算服务的监管是依据资源协作类业务。资源协作类业务主要是利用数据中心之上的设备资源,通过云技术实现的随时获取、按需使用、随时扩展、协作、共享的方式,为用户提供包括存储、应用开发环境、互联网应用部署和运行管理三类服务,国务院也正在推动“互联网+”,推动大众创业、万众创新,云计算这种低成本、高效率的IaaS和PaaS环境,也成为我们个人、中小企业通过云计算方式实现创新创业的重要方面,所以意义非常重要。在IaaS服务和PaaS服务里面,我们是互联网资源协作业务最主要的两类分类和准入方式。
关于云计算的分类和准入,2012年12月工信部印发了《关于进一步规范因特网数据中心业务和因特网接入服务业务市场准入工作的通告》,这里面对申请数据中心服务有一些符合检测要求,云服务也要评测要求,有四个方面,比如用户和网站备案,信息安全管理,机房管理,接入资源管理。针对互联网资源协作业务,云计算服务增加了信息安全管理,强化了这部分功能,就是因为很多资源,云计算服务提供者,很多用的是内部IP地址,内部IP地址和公网IP地址有映射,而且经常是动态分配,强化了云计算技术手段的安全和管理要求,确保我们作为工信部的主管,要管好主体,管好资源,管好行为。这里面实现了私有地址和公有地址的映射实现可溯源,强化了云计算的特点和特殊的要求。
总体来看,我国数据的管理政策,按照个人信息保护、跨境数据流动和网络安全管理的相关规定,国家已经有一系列,这里面云服务商也应该遵循这三方面的规定,比如在个人信息保护方面,《全国人大关于加强网络信息安全保护的决定》作为上位法已经出台,工信部也出台了《电信和互联网用户个人信息保护规定》,作为云服务提供商也应该遵守这两个方面落实信息保护的责任。在跨境数据流动方面,今年新出的《网络安全法》(草案二审稿),在《网络安全法》里面就强化了跨境数据流动的管理,比如有一条叫特殊信息的管制,要求公民个人信息和重要业务数据要存储在境内,特别是金融、征信、人口健康的信息。同时企业需要向境外提供的重要的数据,要有管制手段,要进行安全评估。这是我们在安全法里面跨境数据有两个方面新提的要求。在网络安全管理方面,工信部也出了《互联网信息服务管理办法》,《计算机信息系统安全保护条例》,这可能是公安部出的。还有《网络安全法》里面,都对网络安全管理提出一些更为细致的要求。
总体来看,这些政策也在随着技术产业的发展,也在不断完善,也希望云服务提供商在拓展业务、创新发展的同时,也要规范发展,遵守国内的相关法律法规,为产业繁荣发展做出更大的贡献。
以上是我的汇报,不当之处,请多多指正。谢谢。
热门专题
