全球云計算服務(wù)市場(chǎng)近年來(lái)保持高增長(cháng)。據Gartner 統計,2014 年全球云計算服務(wù)市場(chǎng)規模達1528 億美元,增長(cháng)率達17.9%,其中典型的IaaS、PaaS、SaaS 服務(wù)的市場(chǎng)規模達425 億美元。云服務(wù)增速是全球IT 支出的4 倍,預計在全球IT 支出中的占比將從2013 年的3.6% 提高到2018 年的6.6%。云計算服務(wù)正日益演變?yōu)樾滦偷男畔⒒A設施。各國高度重視云計算的發(fā)展,近年來(lái)制定國家戰略和行動(dòng)計劃,通過(guò)政府的先導示范,培育和拉動(dòng)國內市場(chǎng),政府采購中所形成的安全標準、服務(wù)規范、管理制度等都將成為其他行業(yè)采用云服務(wù)時(shí)的重要參考。
云計算市場(chǎng)特點(diǎn)
要分析各國的產(chǎn)業(yè)政策和法律法規,首先要來(lái)看不同國家的云計算產(chǎn)業(yè)情況。
美國龐大的互聯(lián)網(wǎng)產(chǎn)業(yè)提供市場(chǎng)需求支撐,云應用向垂直行業(yè)擴張。目前美國90% 的初創(chuàng )企業(yè)都將公共云服務(wù)作為IT 系統建設的首選,同時(shí)“聯(lián)邦云計算戰略”的實(shí)施又使政府成為云計算的重要用戶(hù),目前已有300 多家政府機構使用公共云服務(wù)。美國中情局計劃未來(lái)10 年將斥資6 億美元使用亞馬遜云服務(wù)。
從供方角度來(lái)說(shuō),美國云計算產(chǎn)業(yè)體系完整,巨頭企業(yè)正在不斷加強優(yōu)勢地位,并且逐漸向全球市場(chǎng)擴張。目前在全球排名前100 的云計算企業(yè),美國占84 家,同時(shí)美國云計算巨頭企業(yè)正在全球快速擴張,鞏固其產(chǎn)業(yè)地位。其中亞馬遜占全球IaaS 市場(chǎng)40%,托管網(wǎng)站數量一年增長(cháng)了71%,2013 年中時(shí)網(wǎng)站數量達到了1160 萬(wàn),是我國網(wǎng)站總數的4 倍;微軟占全球PaaS 市場(chǎng)份額的64% ;Salesforce 占SaaS 市場(chǎng)的21% ;亞馬遜、微軟、谷歌等巨頭在全球重要地區均建有數據中心,而且仍在不斷擴張中。
歐洲和日本市場(chǎng)呈現與美國不同的局面。就需求方面來(lái)說(shuō),歐洲和日本市場(chǎng)容量巨大,而且增速逐年提升,目前已有多個(gè)國家提出云計算推動(dòng)計劃,如英國2013 年在“政府云計算戰略”中提出,到2015 年中央政府新增IT 支出中50% 用于采購公共云服務(wù);德國的《德國云計算行動(dòng)計劃》鼓勵聯(lián)邦和各州政府在電子政務(wù)中采用云計算技術(shù);日本總務(wù)省發(fā)布的“智慧云戰略”建議促進(jìn)政府部門(mén)的云計算應用等。
但歐日等國缺乏本國云計算企業(yè)的支持。2014年全球排名前100 的云計算企業(yè)中,歐洲只有9 家,日本無(wú)一企業(yè)上榜。而亞馬遜、微軟、谷歌等美國云計算巨頭已在歐洲、日本等地建立數據中心,提供本地化服務(wù)。正如歐盟《歐洲云計算潛力報告(2012)》中所述,“歐洲云計算市場(chǎng)與美國存在數年的差距……歐洲大多數云服務(wù)企業(yè)都是美國公司”。
各國的產(chǎn)業(yè)政策
1. 美國意在強產(chǎn)業(yè)、弱監管
美國是云計算發(fā)展領(lǐng)先的國家,產(chǎn)業(yè)實(shí)力較強,因此政府對云計算行業(yè)本身沒(méi)有特殊的監管機制,與互聯(lián)網(wǎng)業(yè)務(wù)同等對待。但是在云計算實(shí)際應用到垂直行業(yè)時(shí)就設有較高門(mén)檻,比如政府行業(yè)使用云計算需要通過(guò)FedRAMP 認證,需通過(guò)第三方認證并經(jīng)過(guò)多部門(mén)聯(lián)合委員會(huì )的審定等。云服務(wù)供應商通過(guò)獲得FedRAMP 證書(shū)即可認為安全達到政府要求。聯(lián)邦機構和云服務(wù)供應商都需滿(mǎn)足FedRAMP 的安全控制基線(xiàn),包含低、中、高三套基線(xiàn)控制集,為不同級別的系統推薦了不同強度的安全控制集(包括管理、技術(shù)和運行)。
對于通過(guò)政府社區云、公共云和私有云交付的服務(wù),安全性需達到中級影響基線(xiàn),對于飛地云交付的服務(wù),不僅需要達到高級影響基線(xiàn),還需提供額外安全控制保護機密數據。
2. 歐盟意在弱產(chǎn)業(yè)、強監管
歐盟云計算相對美國較為滯后,為了發(fā)展本土云計算產(chǎn)業(yè),歐盟對云計算采用強監管機制。2013 年6 月,歐盟議會(huì )通過(guò)了關(guān)鍵信息基礎設施(CIIP)——面向全球網(wǎng)絡(luò )安全的決議,其中將云計算納入了關(guān)鍵信息基礎設施(CIIP)范疇,也就意味著(zhù)加大對云計算的監管力度。
英國政府機構和公共部門(mén)采購云服務(wù)主要通過(guò)英國政府云服務(wù)項目(G-Cloud)的在線(xiàn)云服務(wù)商店(CloudStore)進(jìn)行。G-Cloud 提供了詳細的應用清單,采購機構只需明確計劃支付的采購費用和所需的云服務(wù)應用要求并在Cloud-Store 上選擇即可。進(jìn)入CloudStore 的云服務(wù)商需要認證評估:一是必須滿(mǎn)足G-Cloud 云服務(wù)合同框架,二是需要通過(guò)G-Cloud 認證。根據ISO27001 和英國政府信息標準(HMGInformation Standards No。 1 & 2),G-Cloud 認證共對四類(lèi)云服務(wù)進(jìn)行認證,包括基礎設施即服務(wù)(IaaS)、平臺即服務(wù)(PaaS)、軟件即服務(wù)(SaaS)和專(zhuān)家云服務(wù)(SpecialistCloud Services,SCS,提供云計算專(zhuān)家咨詢(xún)服務(wù))。英國完全禁止政府信息存儲在境外,并且提出網(wǎng)絡(luò )連接方面的技術(shù)要求,使得境外的云平臺事實(shí)上不可能通過(guò)審查,以達到保障安全和遏制國外云服務(wù)商的目的。
3. 韓國也突出監管重要性
韓國《云計算發(fā)展與用戶(hù)保護法》將云計算納入增值服務(wù)進(jìn)行管理,政府部門(mén)委托韓國云服務(wù)協(xié)會(huì )(KCSA)對云服務(wù)進(jìn)行認證。同時(shí)要求在韓國提供云計算服務(wù)的企業(yè)必須向政府提交一份報告,以作為提供服務(wù)的條件之一。
全球云計算相關(guān)法律情況
云計算帶來(lái)的數據隱私和跨境數據流動(dòng)等問(wèn)題已經(jīng)引起了全球的共同關(guān)注。一是云計算業(yè)務(wù)采用的數據托管和資源租用的服務(wù)模式,帶來(lái)了數據和用戶(hù)隱私保護、濫用云計算服務(wù)等方面的問(wèn)題。二是云計算系統中數據的大規模聚集和跨境流動(dòng),帶來(lái)了法律法規的適用性、數據的外泄和主控權等問(wèn)題。尤其是在“棱鏡門(mén)”之后,云計算這種大量數據通過(guò)網(wǎng)絡(luò )存在云服務(wù)提供商中的業(yè)務(wù)形式,再加上美國在云計算領(lǐng)域的主導地位,使各國更加重視對云計算的跨境流動(dòng)監管。
由于各國的在立法上對數據保護的水平參差不齊,跨境數據轉移中的個(gè)人數據保護成為跨境數據流動(dòng)的主要障礙之一。意識到數據保護的國際性、涉及政治、經(jīng)濟、科技等諸多因素,各個(gè)國際組織和歐盟、美國等發(fā)達國家從不同的角度,積極地介入跨境數據轉移的保護規則制定,力求融合和統一各國的立法,盡量消除和減少數據保護給跨境數據流動(dòng)造成的障礙,促進(jìn)經(jīng)濟全球化。
歐盟制定了對歐盟以外國家的個(gè)人數據保護評估標準,若成員國依據標準認定第三國不具備一定的水平,原則上禁止向這些第三國或地區轉移個(gè)人數據和資料。
2000 年美國和歐盟簽訂了安全港協(xié)議,此外,美國還單獨與瑞士發(fā)展出了“美國- 瑞士安全港”框架。獲得安全港認證機構將可使用官方“安全港認證”標識,可置于機構網(wǎng)站、媒體等,并可享受數據保護方面的“安全港利益”。
我國臺灣地區對主要針對非政府部門(mén)個(gè)人資料的跨境傳輸做出規定 :凡涉及國家重大利益,國際條約或協(xié)議有特別規定,接受?chē)鴮τ趥(gè)人數據之保護未有完善的法規,非政府部門(mén)以迂回方法向第三國(地區)傳輸個(gè)人數據規避資料法規定的,中央目的事業(yè)機關(guān)都可以對其跨境傳輸做出限制。
韓國《個(gè)人信息保護法》規定:政府應制定促進(jìn)國際環(huán)境下個(gè)人信息保護的必要政策措施,并應當制定相關(guān)政策措施保障跨境個(gè)人信息傳輸不侵犯信息主體的權利。
關(guān)于作者
中國信息通信研究院通信標準研究所 孫明俊
孫明俊,中國信息通信研究院通信標準研究所移動(dòng)互聯(lián)網(wǎng)與大數據部高級項目經(jīng)理,高級工程師,數據中心聯(lián)盟秘書(shū)長(cháng)。長(cháng)期從事云計算、大數據和數據中心及多媒體通信的研究和認證評測工作。負責過(guò)三項ITU-T 建議的起草,獲得過(guò)國家科技進(jìn)步二等獎。
