我国云服务市场监管挑战重重

中国信息通信研究院│杨广贺 徐恩庆

我国云服务市场监管挑战重重

中国信息通信研究院│杨广贺 徐恩庆

云服务市场快速发展的同时，也带来了不可忽视的安全隐患和监管难题。

2015年以来，《关于促进云计算创新发展培育信息产业新业态的意见》、《关于积极推进“互联网+”行动的指导意见》、《促进大数据发展行动纲要》等政策文件的相继出台，表明我国支持云计算发展的宏观政策环境已经形成。据中国信息通信研究院《云计算白皮书》显示，2015年我国云计算整体市场规模达到378亿元人民币，增速为31.7%。云服务市场快速发展的同时，也带来了不可忽视的安全隐患和监管难题，监管部门应当正视我国云服务市场监管面临的挑战，不断完善监管策略、保障云服务市场健康发展。

云服务市场准入工作进展相对缓慢

《中华人民共和国电信条例》规定，在我国境内经营电信业务必须按照《电信业务分类目录》获得相应的业务许可。为应对云服务这一新兴业务，《电信业务分类目录》（2015年版）在第一类增值电信业务互联网数据中心业务定义中，增加了互联网资源协作服务业务的表述，明确云服务的业务属性范围。依据《工业和信息化部关于进一步规范因特网数据中心业务和因特网接入服务业务市场准入工作的通告》和工作实施方案，申请IDC许可必须通过用户和网站备案、信息安全管理、机房管理、接入资源管理等技术评测。

由于基于云架构的互联网资源协作服务业务和传统IDC从技术实现方式上有本质区别，工信部对二者的评测要求也不尽相同，传统的IDC持证企业如转型经营互联网资源协作服务业务，必须按照《互联网资源协作服务信息安全管理系统技术要求和接口规范》通过相应评测并对原有许可证进行变更，才可以获得运营资质。

截止到2016年8月底，共有37家企业提交了互联网资源协作服务信息安全管理系统评测申请，仅阿里云一家企业通过评测并进入到许可申请的材料审核阶段。大部分云服务企业还没有在申请许可上投入足够的重视，整体云服务市场准入工作进展相对缓慢。一方面，新版《电信业务分类目录》及相应配套政策发布后确实应给广大企业适当的过渡期，引导企业尽快申请许可持证经营；另一方面，电信管理部门也应加强准入监管力度，在过渡期后，严格将不符合准入要求的无证经营企业清除出市场。

外资企业不断渗透云服务市场

境外投资者在我国境内投资经营云服务，应严格按照《外商投资电信企业管理规定》等有关规定以及CEPA协议等有关IDC业务的对外开放政策。按照目前的政策规定，IDC属于开放程度较低的电信业务，亚马逊、IBM、微软、谷歌等国际云服务商无法获得许可直接进入国内云服务市场。

但事实上，微软、亚马逊等企业已经通过与国内企业合作等方式在国内运营，互联网国际化已经成为一种必然趋势，适当引入国外云服务巨头的先进技术和运营理念有利于国内云服务市场快速发展。但在既定政策环境下，电信监管部门仍应坚守政策底线，保障互联网的重要基础设施的安全，对外资扰乱市场的行为严查不怠。

数据保护之路漫漫而修远

云计算等技术业务的发展，使数据的跨境传输、存储和处理更加容易，云服务监管工作中最棘手的难点之一就是如何保障数据安全。数据作为新时期最为重要的生产要素和社会财富已经成为各国关注的焦点，尤其在“司诺登事件”曝光后，大约20多个国家采取了数据本地化的限制措施。

我国《网络安全法》（草案二次审议稿）也强调了关键信息基础设施的数据保护要求，确立了以境内存储为原则，安全评估后向境外提供为例外的跨境数据传输制度。然而，数据本地化范围、数据主体认定、数据安全评估流程在具体实践中都面临很大的困难和挑战，完善云服务数据保护之路势必漫漫而修远。