國際云計算監(jiān)管政策趨勢

劉悅 中國信息通信研究院政策與經(jīng)濟(jì)研究所工程師

專家視點

國際云計算監(jiān)管政策趨勢

劉悅 中國信息通信研究院政策與經(jīng)濟(jì)研究所工程師

云計算經(jīng)過近十年的快速發(fā)展，已日益演變?yōu)樾滦托畔⒒A(chǔ)設(shè)施。當(dāng)前，全球各國政府都熱切關(guān)注云計算的發(fā)展，陸續(xù)制定監(jiān)管政策，布局云計算產(chǎn)業(yè)發(fā)展。本文對美國、歐盟、韓國等發(fā)達(dá)國家和地區(qū)的云計算產(chǎn)業(yè)發(fā)展特點和監(jiān)管政策趨勢進(jìn)行了研究和分析，可為國內(nèi)云計算監(jiān)管政策制定提供參考。

云計算；監(jiān)管政策；趨勢

1 引言

2006年8月，谷歌在“Google101計劃”中首次提出了“云計算（Cloud Computing）”的概念，標(biāo)志著信息技術(shù)產(chǎn)業(yè)發(fā)展迎來又一個爆發(fā)點。云計算憑借其強大的計算、存儲和網(wǎng)絡(luò)服務(wù)能力，以及高效的資源共享、資源配置模式，引發(fā)了技術(shù)、產(chǎn)業(yè)、應(yīng)用等一系列巨大變革。云計算產(chǎn)業(yè)經(jīng)過了近十年的高速發(fā)展，正日益演變?yōu)樾滦托畔⒒A(chǔ)設(shè)施。據(jù)高德納咨詢公司（Gartner Group，Gartner）統(tǒng)計，2015年全球云計算服務(wù)市場規(guī)模達(dá)1750億美元，增速13.7%。

2011年，美國率先將云計算上升為國家戰(zhàn)略，通過政府的示范先導(dǎo)，培育和拉動國內(nèi)云計算市場。此后，為促進(jìn)本土云計算產(chǎn)業(yè)茁壯發(fā)展，歐洲、韓國等發(fā)達(dá)國家及地區(qū)均加快了各自部署云計算的步伐。各國政府、研究機構(gòu)都熱切關(guān)注云計算的發(fā)展，并立足本土云計算產(chǎn)業(yè)特點，陸續(xù)制定國家戰(zhàn)略、行動計劃和行業(yè)指南等，旨在發(fā)揮固有的信息化資源優(yōu)勢，在云計算的技術(shù)浪潮中占領(lǐng)發(fā)展高地。

2 美國云計算產(chǎn)業(yè)特點和監(jiān)管趨勢

2.1 美國云計算產(chǎn)業(yè)特點

美國強大的互聯(lián)網(wǎng)產(chǎn)業(yè)和政府的有效引導(dǎo)對云計算服務(wù)提出了旺盛的需求，有力地支撐了云計算產(chǎn)業(yè)的蓬勃發(fā)展。2015年，美國云計算市場占據(jù)全球56.5%的市場份額，增速達(dá)19.4%，預(yù)計未來幾年仍以超15%的速度快速增長。Gartner統(tǒng)計數(shù)據(jù)顯示，2016年第二季度云基礎(chǔ)服務(wù)市場上，美國公司包攬了前4。其中，亞馬遜一枝獨秀，其市場份額達(dá)到了31%，而緊隨其后的微軟、IBM、谷歌3家公司的規(guī)模分別為11%、7%和5%。目前，美國90%的初創(chuàng)企業(yè)都將公共云服務(wù)作為IT系統(tǒng)建設(shè)的首選。

在此過程中，美國政府扮演了“第一推動力”的角色。2010年12月，微軟獲得了美國政府有史以來最大的一份云計算軟件供應(yīng)合同，其內(nèi)容是向美國農(nóng)業(yè)部提供基于互聯(lián)網(wǎng)的電子郵件及其他服務(wù)。現(xiàn)在，已經(jīng)有超過300家政府機構(gòu)和1500家教育機構(gòu)使用了公共云服務(wù)。包括美國國防部、美國農(nóng)業(yè)部、美國安全局、美國國家航空航天局、美國空軍、美國陸軍體驗中心、芝加哥住房署、美國紅十字會等在內(nèi)的政府部門都已經(jīng)成功部署了云計算應(yīng)用。美國政府對云計算的重視，直接拉動了云計算產(chǎn)業(yè)的升溫。

2.2 美國云計算監(jiān)管政策趨勢

作為全球云計算產(chǎn)業(yè)的領(lǐng)頭羊，美國政府在制定云計算相關(guān)政策時始終秉持“重發(fā)展、弱監(jiān)管”的理念。2008年以來，奧巴馬總統(tǒng)陸續(xù)設(shè)立聯(lián)邦政府首席信息官、首席技術(shù)官、首席數(shù)據(jù)官等新職位，并于2009年成立了云計算工作組。2010年12月，美國政府首席信息官維維克·昆德拉（Vivek Kundra）發(fā)布《改革聯(lián)邦政府IT管理的25條實施計劃》，明確提出“云優(yōu)先”的三步走戰(zhàn)略：一是使用可信的公有云服務(wù)，二是推出政府私有云服務(wù)，三是酌情在州和地方政府使用區(qū)域云。2011年2月，維維克·昆德拉發(fā)布《聯(lián)邦政府云計算戰(zhàn)略》。戰(zhàn)略的主要內(nèi)容包括完善云計算標(biāo)準(zhǔn)、推動政府?dāng)?shù)據(jù)中心整合、開展包括聯(lián)邦風(fēng)險和授權(quán)管理項目（The Federal Risk and Authorization Management Program，F(xiàn)edRAMP）和政府云應(yīng)用商店（Apps.gov）在內(nèi)的重點項目，并明確提出各級聯(lián)邦政府拿出一定比例的資金支持現(xiàn)有IT應(yīng)用向云端遷移等。2011年，為支撐美國云計算戰(zhàn)略，美國國家技術(shù)與標(biāo)準(zhǔn)研究院（NIST）先后發(fā)布了《公共云計算安全和隱私指南》、《云計算概要和建議》、《云計算技術(shù)路線圖》和《云計算標(biāo)準(zhǔn)路線圖》，主要內(nèi)容涉及資金、人才、安全、創(chuàng)新、標(biāo)準(zhǔn)化、準(zhǔn)入和組織管理等方面。

美國政府在云計算發(fā)展與監(jiān)管方面的經(jīng)驗可以總結(jié)為以下3個方面：

（1）從國家戰(zhàn)略高度制定云計算發(fā)展規(guī)劃，確立了其在全球云計算產(chǎn)業(yè)的領(lǐng)導(dǎo)地位

美國云計算戰(zhàn)略通過鼓勵政府機構(gòu)優(yōu)先采購云服務(wù)等多項舉措，不僅提升了政府機構(gòu)的IT系統(tǒng)運行效能，同時還營造出良好的使用云計算的社會環(huán)境，為云計算企業(yè)提供了巨大的市場機會，極大地拉動了美國云計算產(chǎn)業(yè)的發(fā)展。

（2）以風(fēng)險管理和審查授權(quán)為核心，建立完善的管控機制

FedRAMP建立了一系列標(biāo)準(zhǔn)化的方法體系與審查程序，包括聯(lián)合授權(quán)委員會作為領(lǐng)導(dǎo)決策機構(gòu)，成立FedRAMP項目管理辦公室負(fù)責(zé)日常持續(xù)監(jiān)管工作，明確云計算監(jiān)管中政府的角色及職責(zé)，引入第三方評估機制對云計算服務(wù)開展獨立的安全評估等，最終實現(xiàn)“統(tǒng)一審查，多方使用”。

（3）各監(jiān)管部門各司其責(zé)、協(xié)同有序，共同推進(jìn)云計算產(chǎn)業(yè)發(fā)展

美國政府指定多個部門共同負(fù)責(zé)云計算監(jiān)管，具體如下：

●國家技術(shù)與標(biāo)準(zhǔn)研究院（NIST）負(fù)責(zé)制定云計算標(biāo)準(zhǔn)和指南。

●通用服務(wù)總局（GSA）負(fù)責(zé)研發(fā)以需求為導(dǎo)向的云計算解決方法。

●國土安全部（DHS）負(fù)責(zé)監(jiān)控與云計算相關(guān)的安全問題。

●聯(lián)邦信息管理委員會（CIO）負(fù)責(zé)促進(jìn)各政府部門應(yīng)用云計算。

●管理與預(yù)算辦公室（OMS）負(fù)責(zé)在美國聯(lián)邦政府各部門間協(xié)調(diào)相關(guān)事宜。

3 歐盟云計算產(chǎn)業(yè)特點和監(jiān)管趨勢

3.1 歐盟云計算產(chǎn)業(yè)特點

受全球經(jīng)濟(jì)環(huán)境影響，歐洲經(jīng)濟(jì)發(fā)展持續(xù)遲滯。在這樣的背景之下，云計算在提高服務(wù)效率、節(jié)能降耗、節(jié)省預(yù)算開支等方面的優(yōu)勢受到了歐洲各國的廣泛認(rèn)可。據(jù)Gartner統(tǒng)計，2015年歐洲作為全球云計算市場的重要組成部分，占據(jù)約21%的市場份額，但增速僅為4.2%，預(yù)計2016年增速將達(dá)到10%。據(jù)IDC統(tǒng)計顯示，歐盟范圍內(nèi)約20%的企業(yè)已使用云計算服務(wù)。其中，超過50%的芬蘭企業(yè)使用云計算服務(wù)，是歐盟范圍內(nèi)使用比例最高的國家，其次是意大利、瑞典和丹麥。但由于缺乏本土云計算巨頭企業(yè)，盡管擁有巨大的市場，歐盟云計算產(chǎn)業(yè)發(fā)展仍相對滯后。而以亞馬遜、微軟、谷歌為代表的美國云計算企業(yè)陸續(xù)在歐洲建立數(shù)據(jù)中心，提供本地化服務(wù)，更加大了歐洲云計算產(chǎn)業(yè)與美國之間的差距。

3.2 歐盟云計算監(jiān)管政策趨勢

為保護(hù)本土云計算產(chǎn)業(yè)，在促進(jìn)產(chǎn)業(yè)發(fā)展的基礎(chǔ)上，歐盟對云計算采用強監(jiān)管機制。

（1）鼓勵各成員國積極促進(jìn)云計算發(fā)展

歐盟專家小組在2010年初的一份關(guān)于云計算未來的報告中，建議歐盟及其成員國為云計算的研究和技術(shù)開發(fā)提供激勵，并制定適當(dāng)?shù)墓芾砜蚣艽龠M(jìn)云計算的應(yīng)用，共同推動云計算服務(wù)。

2010年10月，德國聯(lián)邦經(jīng)濟(jì)和技術(shù)部發(fā)布《云計算行動計劃》，旨在“大力發(fā)展云計算，支持云計算在德國中小企業(yè)的應(yīng)用，消除云計算應(yīng)用中遇到的技術(shù)、組織和法律問題”。德國《云計算行動計劃》強調(diào)了云計算在德國政府IT戰(zhàn)略中的重要地位和可以為德國企業(yè)帶來的巨大市場機遇，主要包括幾個行動領(lǐng)域：一是通過云計算示范項目挖掘創(chuàng)新和市場潛力；二是營造有利于云計算發(fā)展的創(chuàng)新環(huán)境；三是積極參與國際發(fā)展和標(biāo)準(zhǔn)制定；四是云計算的推廣和普及。

2011年11月，英國政府宣布將啟動政府云服務(wù)（G-Cloud），并投資6000萬英鎊建立公共云服務(wù)網(wǎng)絡(luò)。G-Cloud項目旨在為用戶創(chuàng)造具有競爭力的、透明的交易平臺，并簡化交易過程。

2015年3月，歐盟會員信息理事會發(fā)布一項為期兩年的項目招標(biāo)計劃，用于建立歐盟首個云服務(wù)項目。

2015年10月，歐盟表示將加快推進(jìn)歐洲科學(xué)云“螺旋星云計劃”的實施，建立一個歐洲范圍內(nèi)的云計算基礎(chǔ)設(shè)施，為政府機構(gòu)開展“政府云”策略提供行動指南。

2015年11月，歐盟相關(guān)利益方高層代表舉行研討會，對實施4年的歐盟云計算戰(zhàn)略進(jìn)行評估，認(rèn)為未來歐盟云計算戰(zhàn)略必須首先在公共科研領(lǐng)域取得突破，實現(xiàn)歐盟層面的“科學(xué)云”，推進(jìn)數(shù)據(jù)開放、加強技術(shù)創(chuàng)新和提升競爭力。

（2）在信息保護(hù)、跨境數(shù)據(jù)流動等方面與云計算采取較嚴(yán)格的監(jiān)管措施

2012年4月，歐盟網(wǎng)絡(luò)與信息安全局正式出臺《云計算合同安全服務(wù)水平檢測指南》，提供了一套持續(xù)監(jiān)測云計算服務(wù)提供商級別協(xié)議運行情況的操作體系，將檢測行動科學(xué)地引入到全合同周期中，以達(dá)到實施核查用戶數(shù)據(jù)安全性的目的。

2012年6月，歐盟議會通過了《關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的成就與展望：面向全球網(wǎng)絡(luò)安全的決議》，將云計算納入了關(guān)鍵信息基礎(chǔ)設(shè)施范疇，提出建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的預(yù)警機制，包括建立關(guān)鍵基礎(chǔ)設(shè)施預(yù)警信息網(wǎng)絡(luò)，意味著將加大對云計算的監(jiān)管力度。

2016年，歐盟先后通過《通用數(shù)據(jù)保護(hù)條例（GDPR）》和《歐盟網(wǎng)絡(luò)與信息系統(tǒng)安全指令（NISD）》，以加強歐盟各成員國之間在網(wǎng)絡(luò)與信息安全方面的合作，還明確要求云計算服務(wù)提供商必須評估安全風(fēng)險等級并采取確保其設(shè)施安全的必要措施，個人數(shù)據(jù)非經(jīng)合法授權(quán)不得向境外轉(zhuǎn)移，在發(fā)現(xiàn)和發(fā)生重大事故后，及時向本國相關(guān)管理機構(gòu)匯報。

4 韓國云計算產(chǎn)業(yè)特點和監(jiān)管趨勢

4.1 韓國云計算產(chǎn)業(yè)特點

根據(jù)國際電聯(lián)（ITU）公布的全球ICT發(fā)展指數(shù)（IDI）排名，自2010年以來，韓國一直是全球互聯(lián)網(wǎng)和通信業(yè)最發(fā)達(dá)的國家。但與此相比，韓國云計算發(fā)展水平則相對較低，相關(guān)產(chǎn)業(yè)基礎(chǔ)薄弱，市場規(guī)模相對較小。2014年，韓國國內(nèi)云市場規(guī)模為5.4億美元，僅占世界1528億美元的0.35%。據(jù)Gartner估計，到2019年，韓國云計算市場規(guī)模將增至12億美元，年平均增長率達(dá)到17%。考慮到其市場發(fā)展的可能性，國際云計算企業(yè)接連踏足韓國。2012年，亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）已開始面向韓國用戶提供服務(wù)；2016年1月，AWS在首爾成立了亞太地區(qū)第5個、全球范圍內(nèi)第12個云計算數(shù)據(jù)中心（Region）。甲骨文公司也在首爾舉辦了大規(guī)模的“OracleCloudWorld”活動。同時，韓國本土公司也競相發(fā)力云計算領(lǐng)域。KT早前已在首爾、天安、金海等地設(shè)立了云計算數(shù)據(jù)中心，2016年2月又在美國洛杉磯設(shè)立了云計算數(shù)據(jù)中心。2016年5月，SK集團(tuán)旗下C&C公司創(chuàng)建名為“CloudZ”的云服務(wù)品牌與門戶網(wǎng)站，SK欲以此為契機加強與IBM、阿里巴巴等國際企業(yè)間的“綜合云服務(wù)”合作。據(jù)估計，由于缺少世界性的云企業(yè)，韓國云計算技術(shù)水平與世界先進(jìn)水平相比存在2年左右的差距。

4.2 韓國云計算監(jiān)管政策趨勢

為推動韓國云計算產(chǎn)業(yè)興起，2009年12月韓國政府制定發(fā)布了《云計算全面振興計劃》，2011年5月發(fā)布了《云計算擴散和加強競爭力的戰(zhàn)略規(guī)劃》。2012年6月，韓國廣播通信委員會（KCC）開始著手云計算法的起草工作。2013年初，新設(shè)的未來創(chuàng)造科學(xué)部接管KCC信息通信管理職能，并將加快推進(jìn)云計算法的制定作為實現(xiàn)“創(chuàng)造經(jīng)濟(jì)”目標(biāo)的重要戰(zhàn)略之一。2015年3月，韓國國會正式通過并頒布了“世界首部”云計算法律——《云計算發(fā)展與用戶保護(hù)法》（Act on Development of Cloud Computing and User Protection），并于2015年9月28日起施行。

韓國云計算法共6章37條，規(guī)定云計算服務(wù)主管部門為未來創(chuàng)造科學(xué)部，法律的規(guī)范對象主要為韓國境內(nèi)的國內(nèi)外云服務(wù)提供者。云計算法主要包括云計算發(fā)展、云服務(wù)利用促進(jìn)、云服務(wù)可靠性的提高、用戶保護(hù)等方面的內(nèi)容。

（1）發(fā)揮政策支撐作用，營造良好產(chǎn)業(yè)環(huán)境

法律規(guī)定，未來創(chuàng)造科學(xué)部會同相關(guān)部委每3年制定綜合性的基本規(guī)劃，內(nèi)容涵蓋云計算發(fā)展利用、促進(jìn)及用戶保護(hù)政策、產(chǎn)業(yè)振興、技術(shù)研發(fā)、人才培養(yǎng)、國際合作和海外進(jìn)軍、用戶信息保護(hù)、法制完善、技術(shù)與產(chǎn)業(yè)融合等事項。

（2）加強政府引導(dǎo)，培育和拉動國內(nèi)外市場

云計算法規(guī)定了一系列增強韓國云產(chǎn)業(yè)國際競爭力的配套措施，要求公共部門優(yōu)先應(yīng)用云計算，包括政府支持推進(jìn)云計算技術(shù)及服務(wù)相關(guān)的研發(fā)；支持中小企業(yè)；進(jìn)行云計算相關(guān)專業(yè)人才培養(yǎng)等；加強海外進(jìn)軍和國際合作；建設(shè)云計算產(chǎn)業(yè)園區(qū)；創(chuàng)造公平競爭環(huán)境等。

（3）平衡鼓勵發(fā)展與保障安全的關(guān)系

主要包括制定云計算標(biāo)準(zhǔn)和服務(wù)合同標(biāo)準(zhǔn)；制定安全事件披露和上報機制；強化用戶信息保護(hù)等。此外，云計算法還規(guī)定云服務(wù)用戶可要求云服務(wù)提供者告知用戶信息存儲所在的國家。同時未來創(chuàng)造科學(xué)部認(rèn)為必要時，在事先聽取KCC意見后，可要求上述服務(wù)提供者公開這些信息。

5 結(jié)束語

云計算已經(jīng)成為全球范圍內(nèi)日益重要的新型信息基礎(chǔ)設(shè)施。全球各國家和地區(qū)為促進(jìn)本土云計算發(fā)展，在新一輪的全球競爭中占得先機，紛紛立足地區(qū)內(nèi)云計算發(fā)展現(xiàn)狀，制定監(jiān)管政策。其中，美國坐擁云計算發(fā)展先發(fā)優(yōu)勢，在政策制定時秉持“重發(fā)展、輕監(jiān)管”思路；歐盟作為全球第二大云計算市場，卻缺少云計算龍頭企業(yè)，在政策制定時“寬嚴(yán)并濟(jì)”，一方面大力鼓勵本土企業(yè)發(fā)展，一方面在跨境數(shù)據(jù)流動、個人信息保護(hù)等方面嚴(yán)加約束；韓國為實現(xiàn)云計算產(chǎn)業(yè)加速興起，出臺了全球首部“云計算法”，在發(fā)揮政府作用，培育和壯大國內(nèi)外市場的同時，平衡發(fā)展安全的關(guān)系。

［1］中國信息通信研究院.云計算白皮書（2016年）.

［2］IDC.2014-2015年中國IDC產(chǎn)業(yè)發(fā)展研究報告.

［3］言姍姍，周榮華，李紀(jì)州.2015年度歐盟網(wǎng)絡(luò)空間安全發(fā)展綜述［J］.中國信息安全，2016，02∶89-96.

International regulatory and supervision policy trends of cloud computing

LIU Yue

After a decade of rapid development，cloud computing has become new information infrastructure.At present，governments around the world are making regulatory and supervision policy concerning about domestic cloud computing development.We mainly focuses on the industry characteristics and regulatory policy trends of cloud computing of US，EU and South Korea.

cloud computing；regulatory and supervision policy；trends

2016-09-20）