精彩早知道
美國目前90% 的初創企業都將公共云服務作為IT 系統建設的首選;
2014年全球排名前100 的云計算企業中,歐洲只有9 家,日本無一企業上榜;
美國對于“飛地云”交付的服務,不僅需達到高級影響基線,還需提供額外安全控制保護機密數據;
跨境數據轉移中的個人數據保護,已成為跨境數據流動的主要障礙之一。
引言
全球云計算服務市場近年來保持高增長。據Gartner 統計:
2014 年全球云計算服務市場規模達1528 億美元,增長率達17.9%:
其中典型的IaaS、PaaS、SaaS 服務的市場規模達425 億美元。
云服務增速是全球IT 支出的4 倍,預計在全球IT 支出中的占比將從2013 年的3.6% 提高到2018 年的6.6%。
云計算服務正日益演變為新型的信息基礎設施。各國高度重視云計算的發展,近年來制定國家戰略和行動計劃,通過政府的先導示范,培育和拉動國內市場。
政府采購中所形成的安全標準、服務規范、管理制度等都將成為其他行業采用云服務時的重要參考。
云計算市場特點
要分析各國的產業政策和法律法規,首先要來看不同國家的云計算產業情況。
1. 美國情況
美國龐大的互聯網產業提供了巨大的市場需求,云應用已然向垂直行業擴張:
目前美國90% 的初創企業都將公共云服務作為IT 系統建設的首選;
“聯邦云計算戰略”的實施使得政府成為云計算的重要用戶,目前已有300 多家政府機構使用公共云服務。
美國中情局計劃未來10 年將斥資6 億美元使用亞馬遜云服務。
從供方角度來說,美國云計算產業體系完整,巨頭企業正在不斷加強優勢地位,并且逐漸向全球市場擴張。
目前在全球排名前100 的云計算企業,美國占84 家,同時美國云計算巨頭企業正在全球快速擴張,鞏固其產業地位。其中:
亞馬遜占全球IaaS 市場40%:托管網站數量一年增長了71%;2013 年中時網站數量達到了1160 萬,是我國網站總數的4 倍。
微軟占全球PaaS 市場份額的64% ;
Salesforce 占全球SaaS 市場的21% ;
與此同時,亞馬遜、微軟、谷歌等巨頭在全球重要地區均建有數據中心,而且仍在不斷擴張中。
2. 歐洲和日本
歐洲和日本市場呈現與美國不同的局面。就需求方面來說,歐洲和日本市場容量巨大,而且增速逐年提升,目前已有多個國家提出云計算推動計劃,如:
英國2013 年在“政府云計算戰略”中提出,到2015 年中央政府新增IT 支出中50% 用于采購公共云服務;
德國的《德國云計算行動計劃》鼓勵聯邦和各州政府在電子政務中采用云計算技術;
日本總務省發布的“智慧云戰略”,建議促進政府部門的云計算應用等。
但歐日等國缺乏本國云計算企業的支持。 2014年全球排名前100 的云計算企業中,歐洲只有9 家,日本無一企業上榜。
與此同時,亞馬遜、微軟、谷歌等美國云計算巨頭已在歐洲、日本等地建立數據中心,提供本地化服務。正如歐盟《歐洲云計算潛力報告(2012)》中所述:
“歐洲云計算市場與美國存在數年的差距……歐洲大多數云服務企業都是美國公司”。
各國的產業政策
云計算產業的起點不同,個別國家的巨大先發優勢,是造成全球主要國家產業政策差別很大的主要原因。
1. 美國:強產業、弱監管
美國是云計算發展領先的國家,產業實力較強,因此政府對云計算行業本身沒有特殊的監管機制,與互聯網業務同等對待。
但在云計算實際應用到垂直行業時就設有較高門檻,比如:
政府行業使用云計算需要通過FedRAMP 認證,需通過第三方認證并經過多部門聯合委員會的審定等。
云服務供應商通過獲得FedRAMP 證書,即可認為安全性達到政府要求。聯邦機構和云服務供應商都需滿足FedRAMP 的安全控制基線。
FedRAMP包含低、中、高三套基線控制集,為不同級別的系統推薦了不同強度的安全控制集(包括管理、技術和運行):
對于通過政府社區云、公共云和私有云交付的服務,安全性需達到中級影響基線;
對于飛地云交付的服務,不僅需要達到高級影響基線,還需提供額外安全控制保護機密數據。
飛地是一種特殊的人文地理現象,指隸屬于某一行政區管轄但不與本區毗連的土地,例如使館。
2. 歐盟:弱產業、強監管
歐盟云計算相對美國較為滯后,為了發展本土云計算產業,歐盟對云計算采用強監管機制。2013 年6 月,歐盟議會通過了關鍵信息基礎設施(CIIP)——面向全球網絡安全的決議。
本次決議,將云計算納入了關鍵信息基礎設施(CIIP)范疇,也就意味著加大對云計算的監管力度。
英國政府機構和公共部門采購云服務,主要通過英國政府云服務項目(G-Cloud)的在線云服務商店(CloudStore)進行:
G-Cloud 提供了詳細的應用清單,采購方只需明確待支付的采購費用和所需的云服務應用要求,并在CloudStore 上選擇即可。
進入CloudStore 的云服務商需要認證評估:
必須滿足G-Cloud 云服務合同框架;
需要通過G-Cloud 認證。
根據ISO27001 和英國政府信息標準(HMGInformation Standards No. 1 &2),G-Cloud 認證共對四類云服務進行認證,包括:
基礎設施即服務(IaaS);
平臺即服務(PaaS);
軟件即服務(SaaS);
專家云服務(Specialist Cloud Services,SCS,云計算專家咨詢服務)。
英國完全禁止政府信息存儲在境外,并且提出網絡連接方面的技術要求。這使得境外的云平臺事實上不可能通過審查,以達到保障安全和遏制國外云服務商的目的。
3. 韓國:同樣突出監管
韓國《云計算發展與用戶保護法》將云計算納入增值服務進行管理,政府部門委托韓國云服務協會(KCSA)對云服務進行認證。
同時要求在韓國提供云計算服務的企業必須向政府提交一份報告,以作為提供服務的條件之一。
全球云計算相關法律情況
云計算帶來的數據隱私和跨境數據流動等問題已經引起了全球的共同關注,問題在于:
云計算業務采用的數據托管和資源租用的服務模式,帶來了數據和用戶隱私保護、濫用云計算服務等方面的問題。
云計算系統中數據的大規模聚集和跨境流動,帶來了法律法規的適用性、數據的外泄和主控權等問題。
尤其是在“棱鏡門”之后,云計算這種大量數據通過網絡存在于云服務提供商的業務形式,再加上美國在云計算領域的主導地位,使各國更加重視對云計算的跨境流動監管。
由于各國的在立法上對數據保護的水平參差不齊,跨境數據轉移中的個人數據保護成為跨境數據流動的主要障礙之一。
意識到數據保護的國際性,并涉及政治、經濟、科技等諸多因素,因此各個國際組織和歐盟、美國等發達國家從不同的角度,積極地介入跨境數據轉移的保護規則制定,力求融合和統一各國的立法,盡量消除和減少數據保護給跨境數據流動造成的障礙,促進經濟全球化:
歐盟制定了對歐盟以外國家的個人數據保護評估標準,若成員國依據標準認定第三國不具備一定的水平,原則上禁止向這些第三國或地區轉移個人數據和資料。
2000 年美國和歐盟簽訂了安全港協議,此外,美國還單獨與瑞士發展出了“美國- 瑞士安全港”框架。獲得安全港認證機構將可使用官方“安全港認證”標識,可置于機構網站、媒體等,并可享受數據保護方面的“安全港利益”。
我國臺灣地區對主要針對非政府部門個人資料的跨境傳輸做出規定 :
凡涉及國家重大利益,國際條約或協議有特別規定,接受國對于個人數據之保護未有完善的法規,非政府部門以迂回方法向第三國(地區)傳輸個人數據規避資料法規定的,中央目的事業機關都可以對其跨境傳輸做出限制。
韓國《個人信息保護法》規定:
政府應制定促進國際環境下個人信息保護的必要政策措施,并應當制定相關政策措施保障跨境個人信息傳輸不侵犯信息主體的權利。
作者介紹
孫明俊
孫明俊,中國信息通信研究院通信標準研究所移動互聯網與大數據部高級項目經理,高級工程師,數據中心聯盟秘書長。長期從事云計算、大數據和數據中心及多媒體通信的研究和認證評測工作。負責過三項ITU-T 建議的起草,曾獲得國家科技進步二等獎。
京公網安備 11010502049343號