美国目前90% 的初创企业都将公共云服务作为IT 系统建设的首选; 2014年全球排名前100 的云计算企业中,欧洲只有9 家,日本无一企业上榜; 美国对于“飞地云”交付的服务,不仅需达到高级影响基线,还需提供额外安全控制保护机密数据; 跨境数据转移中的个人数据保护,已成为跨境数据流动的主要障碍之一。
引言
全球云计算服务市场近年来保持高增长。据Gartner 统计:
2014 年全球云计算服务市场规模达1528 亿美元,增长率达17.9%: 其中典型的IaaS、PaaS、SaaS 服务的市场规模达425 亿美元。
云服务增速是全球IT 支出的4 倍,预计在全球IT 支出中的占比将从2013 年的3.6% 提高到2018 年的6.6%。
云计算服务正日益演变为新型的信息基础设施。各国高度重视云计算的发展,近年来制定国家战略和行动计划,通过政府的先导示范,培育和拉动国内市场。
政府采购中所形成的安全标准、服务规范、管理制度等都将成为其他行业采用云服务时的重要参考。
云计算市场特点
要分析各国的产业政策和法律法规,首先要来看不同国家的云计算产业情况。
1. 美国情况
美国庞大的互联网产业提供了巨大的市场需求,云应用已然向垂直行业扩张:
目前美国90% 的初创企业都将公共云服务作为IT 系统建设的首选; “联邦云计算战略”的实施使得政府成为云计算的重要用户,目前已有300 多家政府机构使用公共云服务。 美国中情局计划未来10 年将斥资6 亿美元使用亚马逊云服务。
从供方角度来说,美国云计算产业体系完整,巨头企业正在不断加强优势地位,并且逐渐向全球市场扩张。
目前在全球排名前100 的云计算企业,美国占84 家,同时美国云计算巨头企业正在全球快速扩张,巩固其产业地位。其中:
亚马逊占全球IaaS 市场40%:托管网站数量一年增长了71%;2013 年中时网站数量达到了1160 万,是我国网站总数的4 倍。 微软占全球PaaS 市场份额的64% ; Salesforce 占全球SaaS 市场的21% ;
与此同时,亚马逊、微软、谷歌等巨头在全球重要地区均建有数据中心,而且仍在不断扩张中。
2. 欧洲和日本
欧洲和日本市场呈现与美国不同的局面。就需求方面来说,欧洲和日本市场容量巨大,而且增速逐年提升,目前已有多个国家提出云计算推动计划,如:
英国2013 年在“政府云计算战略”中提出,到2015 年中央政府新增IT 支出中50% 用于采购公共云服务; 德国的《德国云计算行动计划》鼓励联邦和各州政府在电子政务中采用云计算技术; 日本总务省发布的“智慧云战略”,建议促进政府部门的云计算应用等。
但欧日等国缺乏本国云计算企业的支持。 2014年全球排名前100 的云计算企业中,欧洲只有9 家,日本无一企业上榜。
与此同时,亚马逊、微软、谷歌等美国云计算巨头已在欧洲、日本等地建立数据中心,提供本地化服务。正如欧盟《欧洲云计算潜力报告(2012)》中所述:
“欧洲云计算市场与美国存在数年的差距……欧洲大多数云服务企业都是美国公司”。
各国的产业政策
云计算产业的起点不同,个别国家的巨大先发优势,是造成全球主要国家产业政策差别很大的主要原因。
1. 美国:强产业、弱监管
美国是云计算发展领先的国家,产业实力较强,因此政府对云计算行业本身没有特殊的监管机制,与互联网业务同等对待。
但在云计算实际应用到垂直行业时就设有较高门槛,比如:
政府行业使用云计算需要通过FedRAMP 认证,需通过第三方认证并经过多部门联合委员会的审定等。
云服务供应商通过获得FedRAMP 证书,即可认为安全性达到政府要求。联邦机构和云服务供应商都需满足FedRAMP 的安全控制基线。
FedRAMP包含低、中、高三套基线控制集,为不同级别的系统推荐了不同强度的安全控制集(包括管理、技术和运行):
对于通过政府社区云、公共云和私有云交付的服务,安全性需达到中级影响基线; 对于飞地云交付的服务,不仅需要达到高级影响基线,还需提供额外安全控制保护机密数据。
飞地是一种特殊的人文地理现象,指隶属于某一行政区管辖但不与本区毗连的土地,例如使馆。
2. 欧盟:弱产业、强监管
欧盟云计算相对美国较为滞后,为了发展本土云计算产业,欧盟对云计算采用强监管机制。2013 年6 月,欧盟议会通过了关键信息基础设施(CIIP)——面向全球网络安全的决议。
本次决议,将云计算纳入了关键信息基础设施(CIIP)范畴,也就意味着加大对云计算的监管力度。
英国政府机构和公共部门采购云服务,主要通过英国政府云服务项目(G-Cloud)的在线云服务商店(CloudStore)进行:
G-Cloud 提供了详细的应用清单,采购方只需明确待支付的采购费用和所需的云服务应用要求,并在CloudStore 上选择即可。
进入CloudStore 的云服务商需要认证评估:
必须满足G-Cloud 云服务合同框架; 需要通过G-Cloud 认证。
根据ISO27001 和英国政府信息标准(HMGInformation Standards No. 1 & 2),G-Cloud 认证共对四类云服务进行认证,包括:
基础设施即服务(IaaS); 平台即服务(PaaS); 软件即服务(SaaS); 专家云服务(Specialist Cloud Services,SCS,云计算专家咨询服务)。
英国完全禁止政府信息存储在境外,并且提出网络连接方面的技术要求。这使得境外的云平台事实上不可能通过审查,以达到保障安全和遏制国外云服务商的目的。
3. 韩国:同样突出监管
韩国《云计算发展与用户保护法》将云计算纳入增值服务进行管理,政府部门委托韩国云服务协会(KCSA)对云服务进行认证。
同时要求在韩国提供云计算服务的企业必须向政府提交一份报告,以作为提供服务的条件之一。
全球云计算相关法律情况
云计算带来的数据隐私和跨境数据流动等问题已经引起了全球的共同关注,问题在于:
云计算业务采用的数据托管和资源租用的服务模式,带来了数据和用户隐私保护、滥用云计算服务等方面的问题。 云计算系统中数据的大规模聚集和跨境流动,带来了法律法规的适用性、数据的外泄和主控权等问题。
尤其是在“棱镜门”之后,云计算这种大量数据通过网络存在于云服务提供商的业务形式,再加上美国在云计算领域的主导地位,使各国更加重视对云计算的跨境流动监管。
由于各国的在立法上对数据保护的水平参差不齐,跨境数据转移中的个人数据保护成为跨境数据流动的主要障碍之一。
意识到数据保护的国际性,并涉及政治、经济、科技等诸多因素,因此各个国际组织和欧盟、美国等发达国家从不同的角度,积极地介入跨境数据转移的保护规则制定,力求融合和统一各国的立法,尽量消除和减少数据保护给跨境数据流动造成的障碍,促进经济全球化:
欧盟制定了对欧盟以外国家的个人数据保护评估标准,若成员国依据标准认定第三国不具备一定的水平,原则上禁止向这些第三国或地区转移个人数据和资料。
2000 年美国和欧盟签订了安全港协议,此外,美国还单独与瑞士发展出了“美国- 瑞士安全港”框架。获得安全港认证机构将可使用官方“安全港认证”标识,可置于机构网站、媒体等,并可享受数据保护方面的“安全港利益”。
我国台湾地区对主要针对非政府部门个人资料的跨境传输做出规定 :
凡涉及国家重大利益,国际条约或协议有特别规定,接受国对于个人数据之保护未有完善的法规,非政府部门以迂回方法向第三国(地区)传输个人数据规避资料法规定的,中央目的事业机关都可以对其跨境传输做出限制。
韩国《个人信息保护法》规定:
政府应制定促进国际环境下个人信息保护的必要政策措施,并应当制定相关政策措施保障跨境个人信息传输不侵犯信息主体的权利。