全球云計算服務(wù)市場近年來保持高增長。據(jù)Gartner 統(tǒng)計，2014 年全球云計算服務(wù)市場規(guī)模達(dá)1528 億美元，增長率達(dá)17.9%，其中典型的IaaS、PaaS、SaaS 服務(wù)的市場規(guī)模達(dá)425 億美元。云服務(wù)增速是全球IT 支出的4 倍，預(yù)計在全球IT 支出中的占比將從2013 年的3.6% 提高到2018 年的6.6%。云計算服務(wù)正日益演變?yōu)樾滦偷男畔⒒�礎(chǔ)設(shè)施。各國高度重視云計算的發(fā)展，近年來制定國家戰(zhàn)略和行動計劃，通過政府的先導(dǎo)示范，培育和拉動國內(nèi)市場，政府采購中所形成的安全標(biāo)準(zhǔn)、服務(wù)規(guī)范、管理制度等都將成為其他行業(yè)采用云服務(wù)時的重要參考。

　　云計算市場特點(diǎn)

　　要分析各國的產(chǎn)業(yè)政策和法律法規(guī)，首先要來看不同國家的云計算產(chǎn)業(yè)情況。

　　美國龐大的互聯(lián)網(wǎng)產(chǎn)業(yè)提供市場需求支撐，云應(yīng)用向垂直行業(yè)擴(kuò)張。目前美國90% 的初創(chuàng)企業(yè)都將公共云服務(wù)作為IT 系統(tǒng)建設(shè)的首選，同時“聯(lián)邦云計算戰(zhàn)略”的實施又使政府成為云計算的重要用戶，目前已有300 多家政府機(jī)構(gòu)使用公共云服務(wù)。美國中情局計劃未來10 年將斥資6 億美元使用亞馬遜云服務(wù)。

　　從供方角度來說，美國云計算產(chǎn)業(yè)體系完整，巨頭企業(yè)正在不斷加強(qiáng)優(yōu)勢地位，并且逐漸向全球市場擴(kuò)張。目前在全球排名前100 的云計算企業(yè)，美國占84 家，同時美國云計算巨頭企業(yè)正在全球快速擴(kuò)張，鞏固其產(chǎn)業(yè)地位。其中亞馬遜占全球IaaS 市場40%，托管網(wǎng)站數(shù)量一年增長了71%，2013 年中時網(wǎng)站數(shù)量達(dá)到了1160 萬，是我國網(wǎng)站總數(shù)的4 倍；微軟占全球PaaS 市場份額的64% ；Salesforce 占SaaS 市場的21% ；亞馬遜、微軟、谷歌等巨頭在全球重要地區(qū)均建有數(shù)據(jù)中心，而且仍在不斷擴(kuò)張中。

　　歐洲和日本市場呈現(xiàn)與美國不同的局面。就需求方面來說，歐洲和日本市場容量巨大，而且增速逐年提升，目前已有多個國家提出云計算推動計劃，如英國2013 年在“政府云計算戰(zhàn)略”中提出，到2015 年中央政府新增IT 支出中50% 用于采購公共云服務(wù)；德國的《德國云計算行動計劃》鼓勵聯(lián)邦和各州政府在電子政務(wù)中采用云計算技術(shù)；日本總務(wù)省發(fā)布的“智慧云戰(zhàn)略”建議促進(jìn)政府部門的云計算應(yīng)用等。

　　但歐日等國缺乏本國云計算企業(yè)的支持。2014年全球排名前100 的云計算企業(yè)中，歐洲只有9 家，日本無一企業(yè)上榜。而亞馬遜、微軟、谷歌等美國云計算巨頭已在歐洲、日本等地建立數(shù)據(jù)中心，提供本地化服務(wù)。正如歐盟《歐洲云計算潛力報告（2012）》中所述，“歐洲云計算市場與美國存在數(shù)年的差距……歐洲大多數(shù)云服務(wù)企業(yè)都是美國公司”。

　　各國的產(chǎn)業(yè)政策

　　1. 美國意在強(qiáng)產(chǎn)業(yè)、弱監(jiān)管

　　美國是云計算發(fā)展領(lǐng)先的國家，產(chǎn)業(yè)實力較強(qiáng)，因此政府對云計算行業(yè)本身沒有特殊的監(jiān)管機(jī)制，與互聯(lián)網(wǎng)業(yè)務(wù)同等對待。但是在云計算實際應(yīng)用到垂直行業(yè)時就設(shè)有較高門檻，比如政府行業(yè)使用云計算需要通過FedRAMP 認(rèn)證，需通過第三方認(rèn)證并經(jīng)過多部門聯(lián)合委員會的審定等。云服務(wù)供應(yīng)商通過獲得FedRAMP 證書即可認(rèn)為安全達(dá)到政府要求。聯(lián)邦機(jī)構(gòu)和云服務(wù)供應(yīng)商都需滿足FedRAMP 的安全控制基線，包含低、中、高三套基線控制集，為不同級別的系統(tǒng)推薦了不同強(qiáng)度的安全控制集（包括管理、技術(shù)和運(yùn)行）。

　　對于通過政府社區(qū)云、公共云和私有云交付的服務(wù)，安全性需達(dá)到中級影響基線，對于飛地云交付的服務(wù)，不僅需要達(dá)到高級影響基線，還需提供額外安全控制保護(hù)機(jī)密數(shù)據(jù)。

　　2. 歐盟意在弱產(chǎn)業(yè)、強(qiáng)監(jiān)管

　　歐盟云計算相對美國較為滯后，為了發(fā)展本土云計算產(chǎn)業(yè)，歐盟對云計算采用強(qiáng)監(jiān)管機(jī)制。2013 年6 月，歐盟議會通過了關(guān)鍵信息基礎(chǔ)設(shè)施（CIIP）——面向全球網(wǎng)絡(luò)安全的決議，其中將云計算納入了關(guān)鍵信息基礎(chǔ)設(shè)施（CIIP）范疇，也就意味著加大對云計算的監(jiān)管力度。

　　英國政府機(jī)構(gòu)和公共部門采購云服務(wù)主要通過英國政府云服務(wù)項目（G-Cloud）的在線云服務(wù)商店（CloudStore）進(jìn)行。G-Cloud 提供了詳細(xì)的應(yīng)用清單，采購機(jī)構(gòu)只需明確計劃支付的采購費(fèi)用和所需的云服務(wù)應(yīng)用要求并在Cloud-Store 上選擇即可。進(jìn)入CloudStore 的云服務(wù)商需要認(rèn)證評估：一是必須滿足G-Cloud 云服務(wù)合同框架，二是需要通過G-Cloud 認(rèn)證。根據(jù)ISO27001 和英國政府信息標(biāo)準(zhǔn)（HMGInformation Standards No。 1 & 2），G-Cloud 認(rèn)證共對四類云服務(wù)進(jìn)行認(rèn)證，包括基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺即服務(wù)（PaaS）、軟件即服務(wù)（SaaS）和專家云服務(wù)（SpecialistCloud Services，SCS，提供云計算專家咨詢服務(wù)）。英國完全禁止政府信息存儲在境外，并且提出網(wǎng)絡(luò)連接方面的技術(shù)要求，使得境外的云平臺事實上不可能通過審查，以達(dá)到保障安全和遏制國外云服務(wù)商的目的。

　　3. 韓國也突出監(jiān)管重要性

　　韓國《云計算發(fā)展與用戶保護(hù)法》將云計算納入增值服務(wù)進(jìn)行管理，政府部門委托韓國云服務(wù)協(xié)會（KCSA）對云服務(wù)進(jìn)行認(rèn)證。同時要求在韓國提供云計算服務(wù)的企業(yè)必須向政府提交一份報告，以作為提供服務(wù)的條件之一。

　　全球云計算相關(guān)法律情況

　　云計算帶來的數(shù)據(jù)隱私和跨境數(shù)據(jù)流動等問題已經(jīng)引起了全球的共同關(guān)注。一是云計算業(yè)務(wù)采用的數(shù)據(jù)托管和資源租用的服務(wù)模式，帶來了數(shù)據(jù)和用戶隱私保護(hù)、濫用云計算服務(wù)等方面的問題。二是云計算系統(tǒng)中數(shù)據(jù)的大規(guī)模聚集和跨境流動，帶來了法律法規(guī)的適用性、數(shù)據(jù)的外泄和主控權(quán)等問題。尤其是在“棱鏡門”之后，云計算這種大量數(shù)據(jù)通過網(wǎng)絡(luò)存在云服務(wù)提供商中的業(yè)務(wù)形式，再加上美國在云計算領(lǐng)域的主導(dǎo)地位，使各國更加重視對云計算的跨境流動監(jiān)管。

　　由于各國的在立法上對數(shù)據(jù)保護(hù)的水平參差不齊，跨境數(shù)據(jù)轉(zhuǎn)移中的個人數(shù)據(jù)保護(hù)成為跨境數(shù)據(jù)流動的主要障礙之一。意識到數(shù)據(jù)保護(hù)的國際性、涉及政治、經(jīng)濟(jì)、科技等諸多因素，各個國際組織和歐盟、美國等發(fā)達(dá)國家從不同的角度，積極地介入跨境數(shù)據(jù)轉(zhuǎn)移的保護(hù)規(guī)則制定，力求融合和統(tǒng)一各國的立法，盡量消除和減少數(shù)據(jù)保護(hù)給跨境數(shù)據(jù)流動造成的障礙，促進(jìn)經(jīng)濟(jì)全球化。

　　歐盟制定了對歐盟以外國家的個人數(shù)據(jù)保護(hù)評估標(biāo)準(zhǔn)，若成員國依據(jù)標(biāo)準(zhǔn)認(rèn)定第三國不具備一定的水平，原則上禁止向這些第三國或地區(qū)轉(zhuǎn)移個人數(shù)據(jù)和資料。

　　2000 年美國和歐盟簽訂了安全港協(xié)議，此外，美國還單獨(dú)與瑞士發(fā)展出了“美國- 瑞士安全港”框架。獲得安全港認(rèn)證機(jī)構(gòu)將可使用官方“安全港認(rèn)證”標(biāo)識，可置于機(jī)構(gòu)網(wǎng)站、媒體等，并可享受數(shù)據(jù)保護(hù)方面的“安全港利益”。

　　我國臺灣地區(qū)對主要針對非政府部門個人資料的跨境傳輸做出規(guī)定 ：凡涉及國家重大利益，國際條約或協(xié)議有特別規(guī)定，接受國對于個人數(shù)據(jù)之保護(hù)未有完善的法規(guī)，非政府部門以迂回方法向第三國（地區(qū)）傳輸個人數(shù)據(jù)規(guī)避資料法規(guī)定的，中央目的事業(yè)機(jī)關(guān)都可以對其跨境傳輸做出限制。

　　韓國《個人信息保護(hù)法》規(guī)定：政府應(yīng)制定促進(jìn)國際環(huán)境下個人信息保護(hù)的必要政策措施，并應(yīng)當(dāng)制定相關(guān)政策措施保障跨境個人信息傳輸不侵犯信息主體的權(quán)利。

　　關(guān)于作者

　　中國信息通信研究院通信標(biāo)準(zhǔn)研究所 孫明俊

　　孫明俊，中國信息通信研究院通信標(biāo)準(zhǔn)研究所移動互聯(lián)網(wǎng)與大數(shù)據(jù)部高級項目經(jīng)理，高級工程師，數(shù)據(jù)中心聯(lián)盟秘書長。長期從事云計算、大數(shù)據(jù)和數(shù)據(jù)中心及多媒體通信的研究和認(rèn)證評測工作。負(fù)責(zé)過三項ITU-T 建議的起草，獲得過國家科技進(jìn)步二等獎。