刘悦 中国信息通信研究院政策与经济研究所工程师

专家视点

国际云计算监管政策趋势

刘悦 中国信息通信研究院政策与经济研究所工程师

云计算经过近十年的快速发展，已日益演变为新型信息基础设施。当前，全球各国政府都热切关注云计算的发展，陆续制定监管政策，布局云计算产业发展。本文对美国、欧盟、韩国等发达国家和地区的云计算产业发展特点和监管政策趋势进行了研究和分析，可为国内云计算监管政策制定提供参考。

云计算；监管政策；趋势

1 引言

2006年8月，谷歌在“Google101计划”中首次提出了“云计算（Cloud Computing）”的概念，标志着信息技术产业发展迎来又一个爆发点。云计算凭借其强大的计算、存储和网络服务能力，以及高效的资源共享、资源配置模式，引发了技术、产业、应用等一系列巨大变革。云计算产业经过了近十年的高速发展，正日益演变为新型信息基础设施。据高德纳咨询公司（Gartner Group，Gartner）统计，2015年全球云计算服务市场规模达1750亿美元，增速13.7%。

2011年，美国率先将云计算上升为国家战略，通过政府的示范先导，培育和拉动国内云计算市场。此后，为促进本土云计算产业茁壮发展，欧洲、韩国等发达国家及地区均加快了各自部署云计算的步伐。各国政府、研究机构都热切关注云计算的发展，并立足本土云计算产业特点，陆续制定国家战略、行动计划和行业指南等，旨在发挥固有的信息化资源优势，在云计算的技术浪潮中占领发展高地。

2 美国云计算产业特点和监管趋势

2.1 美国云计算产业特点

美国强大的互联网产业和政府的有效引导对云计算服务提出了旺盛的需求，有力地支撑了云计算产业的蓬勃发展。2015年，美国云计算市场占据全球56.5%的市场份额，增速达19.4%，预计未来几年仍以超15%的速度快速增长。Gartner统计数据显示，2016年第二季度云基础服务市场上，美国公司包揽了前4。其中，亚马逊一枝独秀，其市场份额达到了31%，而紧随其后的微软、IBM、谷歌3家公司的规模分别为11%、7%和5%。目前，美国90%的初创企业都将公共云服务作为IT系统建设的首选。

在此过程中，美国政府扮演了“第一推动力”的角色。2010年12月，微软获得了美国政府有史以来最大的一份云计算软件供应合同，其内容是向美国农业部提供基于互联网的电子邮件及其他服务。现在，已经有超过300家政府机构和1500家教育机构使用了公共云服务。包括美国国防部、美国农业部、美国安全局、美国国家航空航天局、美国空军、美国陆军体验中心、芝加哥住房署、美国红十字会等在内的政府部门都已经成功部署了云计算应用。美国政府对云计算的重视，直接拉动了云计算产业的升温。

2.2 美国云计算监管政策趋势

作为全球云计算产业的领头羊，美国政府在制定云计算相关政策时始终秉持“重发展、弱监管”的理念。2008年以来，奥巴马总统陆续设立联邦政府首席信息官、首席技术官、首席数据官等新职位，并于2009年成立了云计算工作组。2010年12月，美国政府首席信息官维维克·昆德拉（Vivek Kundra）发布《改革联邦政府IT管理的25条实施计划》，明确提出“云优先”的三步走战略：一是使用可信的公有云服务，二是推出政府私有云服务，三是酌情在州和地方政府使用区域云。2011年2月，维维克·昆德拉发布《联邦政府云计算战略》。战略的主要内容包括完善云计算标准、推动政府数据中心整合、开展包括联邦风险和授权管理项目（The Federal Risk and Authorization Management Program，FedRAMP）和政府云应用商店（Apps.gov）在内的重点项目，并明确提出各级联邦政府拿出一定比例的资金支持现有IT应用向云端迁移等。2011年，为支撑美国云计算战略，美国国家技术与标准研究院（NIST）先后发布了《公共云计算安全和隐私指南》、《云计算概要和建议》、《云计算技术路线图》和《云计算标准路线图》，主要内容涉及资金、人才、安全、创新、标准化、准入和组织管理等方面。

美国政府在云计算发展与监管方面的经验可以总结为以下3个方面：

（1）从国家战略高度制定云计算发展规划，确立了其在全球云计算产业的领导地位

美国云计算战略通过鼓励政府机构优先采购云服务等多项举措，不仅提升了政府机构的IT系统运行效能，同时还营造出良好的使用云计算的社会环境，为云计算企业提供了巨大的市场机会，极大地拉动了美国云计算产业的发展。

（2）以风险管理和审查授权为核心，建立完善的管控机制

FedRAMP建立了一系列标准化的方法体系与审查程序，包括联合授权委员会作为领导决策机构，成立FedRAMP项目管理办公室负责日常持续监管工作，明确云计算监管中政府的角色及职责，引入第三方评估机制对云计算服务开展独立的安全评估等，最终实现“统一审查，多方使用”。

（3）各监管部门各司其责、协同有序，共同推进云计算产业发展

美国政府指定多个部门共同负责云计算监管，具体如下：

●国家技术与标准研究院（NIST）负责制定云计算标准和指南。

●通用服务总局（GSA）负责研发以需求为导向的云计算解决方法。

●国土安全部（DHS）负责监控与云计算相关的安全问题。

●联邦信息管理委员会（CIO）负责促进各政府部门应用云计算。

●管理与预算办公室（OMS）负责在美国联邦政府各部门间协调相关事宜。

3 欧盟云计算产业特点和监管趋势

3.1 欧盟云计算产业特点

受全球经济环境影响，欧洲经济发展持续迟滞。在这样的背景之下，云计算在提高服务效率、节能降耗、节省预算开支等方面的优势受到了欧洲各国的广泛认可。据Gartner统计，2015年欧洲作为全球云计算市场的重要组成部分，占据约21%的市场份额，但增速仅为4.2%，预计2016年增速将达到10%。据IDC统计显示，欧盟范围内约20%的企业已使用云计算服务。其中，超过50%的芬兰企业使用云计算服务，是欧盟范围内使用比例最高的国家，其次是意大利、瑞典和丹麦。但由于缺乏本土云计算巨头企业，尽管拥有巨大的市场，欧盟云计算产业发展仍相对滞后。而以亚马逊、微软、谷歌为代表的美国云计算企业陆续在欧洲建立数据中心，提供本地化服务，更加大了欧洲云计算产业与美国之间的差距。

3.2 欧盟云计算监管政策趋势

为保护本土云计算产业，在促进产业发展的基础上，欧盟对云计算采用强监管机制。

（1）鼓励各成员国积极促进云计算发展

欧盟专家小组在2010年初的一份关于云计算未来的报告中，建议欧盟及其成员国为云计算的研究和技术开发提供激励，并制定适当的管理框架促进云计算的应用，共同推动云计算服务。

2010年10月，德国联邦经济和技术部发布《云计算行动计划》，旨在“大力发展云计算，支持云计算在德国中小企业的应用，消除云计算应用中遇到的技术、组织和法律问题”。德国《云计算行动计划》强调了云计算在德国政府IT战略中的重要地位和可以为德国企业带来的巨大市场机遇，主要包括几个行动领域：一是通过云计算示范项目挖掘创新和市场潜力；二是营造有利于云计算发展的创新环境；三是积极参与国际发展和标准制定；四是云计算的推广和普及。

2011年11月，英国政府宣布将启动政府云服务（G-Cloud），并投资6000万英镑建立公共云服务网络。G-Cloud项目旨在为用户创造具有竞争力的、透明的交易平台，并简化交易过程。

2015年3月，欧盟会员信息理事会发布一项为期两年的项目招标计划，用于建立欧盟首个云服务项目。

2015年10月，欧盟表示将加快推进欧洲科学云“螺旋星云计划”的实施，建立一个欧洲范围内的云计算基础设施，为政府机构开展“政府云”策略提供行动指南。

2015年11月，欧盟相关利益方高层代表举行研讨会，对实施4年的欧盟云计算战略进行评估，认为未来欧盟云计算战略必须首先在公共科研领域取得突破，实现欧盟层面的“科学云”，推进数据开放、加强技术创新和提升竞争力。

（2）在信息保护、跨境数据流动等方面与云计算采取较严格的监管措施

2012年4月，欧盟网络与信息安全局正式出台《云计算合同安全服务水平检测指南》，提供了一套持续监测云计算服务提供商级别协议运行情况的操作体系，将检测行动科学地引入到全合同周期中，以达到实施核查用户数据安全性的目的。

2012年6月，欧盟议会通过了《关于关键信息基础设施保护的成就与展望：面向全球网络安全的决议》，将云计算纳入了关键信息基础设施范畴，提出建立关键信息基础设施保护的预警机制，包括建立关键基础设施预警信息网络，意味着将加大对云计算的监管力度。

2016年，欧盟先后通过《通用数据保护条例（GDPR）》和《欧盟网络与信息系统安全指令（NISD）》，以加强欧盟各成员国之间在网络与信息安全方面的合作，还明确要求云计算服务提供商必须评估安全风险等级并采取确保其设施安全的必要措施，个人数据非经合法授权不得向境外转移，在发现和发生重大事故后，及时向本国相关管理机构汇报。

4 韩国云计算产业特点和监管趋势

4.1 韩国云计算产业特点

根据国际电联（ITU）公布的全球ICT发展指数（IDI）排名，自2010年以来，韩国一直是全球互联网和通信业最发达的国家。但与此相比，韩国云计算发展水平则相对较低，相关产业基础薄弱，市场规模相对较小。2014年，韩国国内云市场规模为5.4亿美元，仅占世界1528亿美元的0.35%。据Gartner估计，到2019年，韩国云计算市场规模将增至12亿美元，年平均增长率达到17%。考虑到其市场发展的可能性，国际云计算企业接连踏足韩国。2012年，亚马逊网络服务（AWS）已开始面向韩国用户提供服务；2016年1月，AWS在首尔成立了亚太地区第5个、全球范围内第12个云计算数据中心（Region）。甲骨文公司也在首尔举办了大规模的“OracleCloudWorld”活动。同时，韩国本土公司也竞相发力云计算领域。KT早前已在首尔、天安、金海等地设立了云计算数据中心，2016年2月又在美国洛杉矶设立了云计算数据中心。2016年5月，SK集团旗下C&C公司创建名为“CloudZ”的云服务品牌与门户网站，SK欲以此为契机加强与IBM、阿里巴巴等国际企业间的“综合云服务”合作。据估计，由于缺少世界性的云企业，韩国云计算技术水平与世界先进水平相比存在2年左右的差距。

4.2 韩国云计算监管政策趋势

为推动韩国云计算产业兴起，2009年12月韩国政府制定发布了《云计算全面振兴计划》，2011年5月发布了《云计算扩散和加强竞争力的战略规划》。2012年6月，韩国广播通信委员会（KCC）开始着手云计算法的起草工作。2013年初，新设的未来创造科学部接管KCC信息通信管理职能，并将加快推进云计算法的制定作为实现“创造经济”目标的重要战略之一。2015年3月，韩国国会正式通过并颁布了“世界首部”云计算法律——《云计算发展与用户保护法》（Act on Development of Cloud Computing and User Protection），并于2015年9月28日起施行。

韩国云计算法共6章37条，规定云计算服务主管部门为未来创造科学部，法律的规范对象主要为韩国境内的国内外云服务提供者。云计算法主要包括云计算发展、云服务利用促进、云服务可靠性的提高、用户保护等方面的内容。

（1）发挥政策支撑作用，营造良好产业环境

法律规定，未来创造科学部会同相关部委每3年制定综合性的基本规划，内容涵盖云计算发展利用、促进及用户保护政策、产业振兴、技术研发、人才培养、国际合作和海外进军、用户信息保护、法制完善、技术与产业融合等事项。

（2）加强政府引导，培育和拉动国内外市场

云计算法规定了一系列增强韩国云产业国际竞争力的配套措施，要求公共部门优先应用云计算，包括政府支持推进云计算技术及服务相关的研发；支持中小企业；进行云计算相关专业人才培养等；加强海外进军和国际合作；建设云计算产业园区；创造公平竞争环境等。

（3）平衡鼓励发展与保障安全的关系

主要包括制定云计算标准和服务合同标准；制定安全事件披露和上报机制；强化用户信息保护等。此外，云计算法还规定云服务用户可要求云服务提供者告知用户信息存储所在的国家。同时未来创造科学部认为必要时，在事先听取KCC意见后，可要求上述服务提供者公开这些信息。

5 结束语

云计算已经成为全球范围内日益重要的新型信息基础设施。全球各国家和地区为促进本土云计算发展，在新一轮的全球竞争中占得先机，纷纷立足地区内云计算发展现状，制定监管政策。其中，美国坐拥云计算发展先发优势，在政策制定时秉持“重发展、轻监管”思路；欧盟作为全球第二大云计算市场，却缺少云计算龙头企业，在政策制定时“宽严并济”，一方面大力鼓励本土企业发展，一方面在跨境数据流动、个人信息保护等方面严加约束；韩国为实现云计算产业加速兴起，出台了全球首部“云计算法”，在发挥政府作用，培育和壮大国内外市场的同时，平衡发展安全的关系。

［1］中国信息通信研究院.云计算白皮书（2016年）.

［2］IDC.2014-2015年中国IDC产业发展研究报告.

［3］言姗姗，周荣华，李纪州.2015年度欧盟网络空间安全发展综述［J］.中国信息安全，2016，02∶89-96.

International regulatory and supervision policy trends of cloud computing

LIU Yue

After a decade of rapid development，cloud computing has become new information infrastructure.At present，governments around the world are making regulatory and supervision policy concerning about domestic cloud computing development.We mainly focuses on the industry characteristics and regulatory policy trends of cloud computing of US，EU and South Korea.

cloud computing；regulatory and supervision policy；trends

2016-09-20）