由于云服务往往依托于虚拟环境,其数据存储的动态性和服务对象的多样性,必然会涉及到本地、国家和国际不同地域的,以及如银行和金融服务、上市公司、医疗卫生、环境、电信等等不同行业的法律、法规和标准的遵守问题。因此,云计算将对现有的产业监管体系提出更大的挑战。保证云计算产业监管有效性的前提条件是云服务所涉及产业的和地域的法律、法规和标准发展到相对稳定的阶段。可以预见的是,应云计算产业监管的需求,现有的监管条例需要进行调整和补充,其中关键的是对跨地域的隐私保护条例和数据安全条例进行加强;同时,云计算业务的监管流程需要加以完善,其中关键的是应采取持续的、定期的合规审查方案,通过定期审查来满足不断修订的监管条例。
云服务用户的不同会影响产业监管方式的差别,企业和机构用户能够在产业监管中发挥比个人用户更加主动的作用,因此下面将予以区分讨论。4.1 企业和机构使用云服务
这类云服务的产业监管主要涉及四类行为人:云服务用户、云服务供应商、监管机构和第三方审计机构。为保证监管的有效性,对以上四类行为人的要求有:
1) 云服务用户应为监管责任的最终问责人;
2) 云服务用户能够明确其对云服务供应商的需求和监管条例;
3) 云服务用户能够使用标准化的、可重复的评估方案有效地评估云服务提供商所提供的云服务对地域和行业的法律、法规和标准的遵守情况;
4) 云服务供应商能够通过审计的方式论证其服务符合地域和行业的法律、法规和标准的遵守情况;
5) 云服务供应商应对云服务用户、监管机构和第三方审计机构透明和配合;
6) 监管机构应该及时地、适时地制定适用于云计算环境的法规和标准,或对已经存在的法规和标准进行修订;
7) 可以利用第三方审计机构标准化的工作方式来提高监管效率。
以下流程图示例了产业监管的主要流程,行为人参与的过程以及行为人之间的行为关系。
大型企业和机构作为云服务用户,不可避免会承担较大的风险,这些风险总的来说可分为以下几个方面:
1) 合同风险。签订合同对云服务用户和供应商都分外重要,然而双方都不能完全预测到未来执行合同时可能出现的各种情况,以及相应的解决方法,或者不可避免的具有争议性,或者不能确保所有条款都有可证实性,因此,合同都是不完全合同,合同风险是不可避免的。
2) 信息外泄风险,包括由于云的安全漏洞、服务供应商对员工的管理漏洞等原因造成。
3) 业务变更风险。服务商是否有能力完成用户业务变更的要求,否则重新寻找服务供应商可能会产生沉没成本。
4) 依赖性风险。用户对服务供应商会形成一定程度的依赖,后者可能利用这种依赖进行投机活动。
5) 法律风险。由于云计算的虚拟和动态性,可能涉及到不同地域的法律法规的遵守问题。
对于这些风险,云服务用户应主动采取措施加以防范:
1) 合理确定使用云服务的范围,慎重选择供应商;
2) 制定全面的风险管理和应急计划,在外包前提交必要的应急计划,包括灾难恢复计划和定期测试备份系统计划,以保证在供应商不履行或者履行不能时有应急措施可循,避免承担过大的调整成本。
3) 规范的合同约束, 载明外包的内容要求、明确的双方权利和义务、争议解决、跨地域离岸服务范围的约定。
4.2 个人使用云服务
对于这类云服务的产业监管,最重要的是建立完善的服务评价机制,即对云服务供应商的资质认证和评级机制。监管机构采取定期监审的方式确保云服务供应商提供的服务持续地满足资质认证,而云服务提供商则可以利用其获得的服务级别宣传和推广其服务。主要涉及四类行为人:云服务用户、云服务供应商、标准制定机构和标准验证机构。产业监管的目标为:
1) 标准制定机构制定云服务的安全性、健全性、可用性等方面的评级标准,使云服务用户能够理解和比较不同等级的标准;
2) 云服务供应商能够利用标准验证机构的审查流程证明其提供的服务等级;
3) 标准验证机构具有提供标准化的持续的监管机制以确证云服务供应商提供的云服务持续达到的服务等级。
5.结束语
云计算正在为ICT产业带来深刻的变革,形成新的产业链,为传统企业和新兴企业带来新的挑战和机遇。本文尝试从非技术角度分析云计算带来的产业生态环境问题,定义了云计算涉及的商业角色和产业链,尝试回答产业监管办法等问题。云计算尚处于发展和上升阶段,未来势必会形成更大规模的变化,也会面临更大的产业生态环境问题,我们呼吁研究者对这方面投入更多的关注和研究。
