新闻快讯
< >

工信部张建华:我国云服务监管相关政策解读

前哨按语

2017年7月25-26日,由工业和信息化部指导、中国信息通信研究院、中国通信标准化协会主办,数据中心联盟、云计算开源产业联盟、互联网医疗健康产业联盟承办的“2017可信云大会”在京召开。大会邀请到工业和信息化部信息通信管理局市场处张建华处长解读云服务监管相关政策。他强调,我国云计算市场采用的是审慎准入机制,云计算准入评测要求包括:信息安全管理系统、网站备案系统、接入资源系统、机房运行安全评测。云服务事中事后监管包括企业合作、资源使用规范、服务规范、安全保障、社会责任五个方面。他指出,当前业内的第三方组织正在积极开展云服务经营者服务能力、服务质量、可信度、网络与信息安全等评测认证活动,未来相关评测结果将有望和许可资质以及信用评价挂钩。以下是张处长的发言全文,转自可信云官网(kexinyun.org)。


张处长主要从三个方面阐述了我国的云服务政策,一是什么是云服务;二是云服务的准入政策;三是云服务的事中事后监管。明确了云服务企业是否需要持证,需要持哪些许可证以及如果获取相应许可证等企业非常关系的热点问题。以下是大会发言全文:

开幕式上各位领导、各位专家一致鼓励云服务产业的发展,为云服务的发展大声喝彩,我非常赞同。我演讲的内容可能会涉及一些管理要求、念“紧箍咒”的地方,我首先声明一下,在个别细节上念了“紧箍咒”,出发点也是为我国云服务行业的长期持续发展夯实基础。

今天按照大会的安排,我受局领导的委托,从政府的视角、政策的层面,跟大家做一个简单的政策交流。希望通过本次交流能够从政策层面、政府视角探讨三个问题:第一,什么是云服务;第二,云服务的经营资质有哪些要求;第三,在云服务领域,政府对其事中事后监管的要求是什么。

首先进入第一个话题,我想从两个方面来阐述云服务概念。从行业中来说,网络上对云服务的定义是,云计算是一种商业计算模型,它的计算任务分布在网络上的大量计算机构建的资源池上,使各种应用系统能够根据需要授权获得计算力、存储空间和信息服务。大家更多了解的是IaaS、PaaS和SaaS。IaaS更多是基于一种基础设施的,PaaS是平台类业务,SaaS主要提供各种各样的在线软件服务。这是从业内普通的视角。从政策层面来看,在2015年年底,工业和信息化部出台了新版的《电信业务分类目录》,其中定义了B11互联网数据中心业务。

工信部张建华:我国云服务监管相关政策解读-E安全

互联网数据中心业务是指利用相应的机房设施,以外包出租的方式为用户的服务器等互联网或其他网络相关设备提供放置、代理维护、系统配置及管理服务,以及提供数据库系统或服务器等设备的出租及存储空间的出租、通信线路和出口带宽的代理租用和其他应用服务。互联网数据中心业务经营者应提供机房和相应的配套设施,并提供安全保障措施。

其实上述定义跟2003版的分类目录描述差距不大,然而在2015版的《电信业务分类目录》里增加了一个互联网资源协作服务业务。互联网资源协作服务业务属于互联网数据中心业务的一种具体业务形态。互联网资源协作服务业务是指利用架设在数据中心之上的设备和资源,通过互联网或其他网络以随时获取、按需使用、随时扩展、协作共享等方式,为用户提供数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务。根据此定义,互联网资源协作服务业务实质上是要拿互联网数据中心的牌照。

工信部张建华:我国云服务监管相关政策解读-E安全

这两种理解如何对应?通常而言,我们认为IaaS服务更多描述的是与网元设施之间协作共享有关的IDC业务,它一般会涉及到随时获取、按需使用、随时扩展,因此多数情况下需要拿资源协作服务业务。第二类服务类型,PaaS服务更多的是平台型,这种平台型的服务也多属于IDC业务中的资源协作服务业务。如果要做PaaS这种业务的话,多需要拿含有互联网资源协作服务业务的IDC业务经营许可。而对于SaaS服务而言,业界统称的SaaS业态目前尚无权威的定义,因此对SaaS这种业务是否属于《电信业务分类目录》中描述的电信业务,或者是否属于电信业务的其他类型,要按照业务的具体形态来区分。如果有些业务形态是纯软件服务,则不属于电信业务经营许可和管理的范畴,只需要按照软件业务的相关经营管理要求办理即可。但如果有些SaaS业务形态属于《电信业务分类目录》中其他增值电信业务,则需按照其他业务形态的管理要求进行许可准入,以及事中事后管理。

第二个话题是云服务准入政策,也就是资质要求。按照《中华人民共和国电信条例》的规定,‘国家对电信业务经营按照电信业务分类,实行许可制度’;‘未取得电信业务经营许可证,任何组织或者个人不得从事电信业务经营活动’。在我国从事电信业务,包括增值类的电信业务,均需要获得相应的特许经营权。按照最新修订发布的《电信业务经营许可管理办法》,此前是工业和信息化部第5号令,现在是第42号令的相关规定,经营电信业务应当依法取得电信管理机构颁发的经营许可证。到目前为止,我国的电信管理体制主要是部、省两级电信管理机构,因此这个审批管理由部、省两级电信管理机构实施。

工信部张建华:我国云服务监管相关政策解读-E安全

云服务企业的经营者如果申请增值电信业务许可证,其业务范围需要跨地区即两个以上的省、自治区、直辖市的,需要到工业和信息化部审批。如果业务范围只在本省,也就是说在一个省、自治区、直辖市内从事电信业务的,可以由各省、自治区、直辖市的通信管理局直接进行审批。通常而言,绝大多数云服务类企业跨地区经营的较多,就目前的统计数据而言,部发证量大于各省发证量。

按照《电信业务经营许可管理办法》的要求,2012年《关于进一步规范因特网数据中心(IDC)业务和因特网接入服务(ISP)业务市场准入工作的通告》(以下简称《通告》)里,明确了以下几项要求,一是市场准入的流程,《通告》里细化了《电信业务经营许可管理办法》中有关资金、人员、场地、设施及技术方案的要求,并增加了四项技术评测的要求。这四项技术评测包括,机房运行安全测评、接入资源系统测评、网站备案系统测评和信息安全管理系统测评。这四项测评要求提出的原因,主要是之前IDC经历过一段粗放式发展的时期,带来了一系列网络和信息安全问题。在之后一段时间里,国家相关部门达成一致的管理意见,IDC、ISP的经营许可暂停了几年。暂停过后,根据相应的市场发展和管理情况,IDC、ISP的许可又放开了,但是放开的同时仍然秉持着审慎准入的态度。

工信部张建华:我国云服务监管相关政策解读-E安全

这四项评测具有重要的意义,一方面考察评估了企业的运营能力,另一方面也是维护国家信息安全和完善国家产业管理的需要。比如机房运行安全测评,更多的是从安全生产的角度出发;接入资源网站备案系统和信息安全管理系统更多的是关注技术管控能力,是从国家有关部门对这一项业务技术管控能力和业务经营者经营义务的角度来考虑。目前这四项测评面临的外部政策环境实质上已有所变化。当初这四项测评的推出主要基于审慎准入的原则,而当前整个政策环境是趋向于简政放权,包括云计算领域、信息通信领域,目的也是要促进大众创业、万众创新。因此我们正在评估相关方案,研究这四项测评是否可以简化,各测评项目是否可以删减。

如果要经营云服务,整个资质申请的流程,简单来说是两块,一是评测,在网上在线提交经营许可的申请,申请之前会有线上相关的管理部门通过相应的第三方评测机构进行四项能力的评测。如果评测通过,按照正常的电信业务经营许可资质的申请流程,直接申请电信业务经营许可。跟大家说明一下,从市场准入的角度来说,对包括云在内的IDC、ISP以及CDN这几项业务,目前只要符合准入要求的企业都可以获取相应许可,不存在市场容量限制。

工信部张建华:我国云服务监管相关政策解读-E安全

下面主要说明几个企业和各省、自治区、直辖市通信管理局咨询比较多的问题,第一个是关于云企业是否要持证经营或使用。正常来讲,公有云是对公众提供服务的云,它是具有经营的性质和属性,因此通常公有云的经营者一定要持证。私有云要分几种情况,有一种情况是利用了《电信业务分类目录》中相应的业务为自身企业提供服务,即“使用通信技术”,自建自用,这种情况不属于经营,不需要持证。因此存在一个经营和自用的概念。最后总结为,如果企业自建自用的IaaS,我们的理解是,它是利用了云技术,它是云技术和云服务的使用者,因此这种私有云不需要拿证。而另外一种,某一家企业为多个第三方提供私有云服务,这家企业实质上在经营云服务,因此它需要持证经营

工信部张建华:我国云服务监管相关政策解读-E安全

介绍两个关于政策的衔接问题,今年年初,工信部发布了《工业和信息化部关于清理规范互联网网络接入服务的通知》(以下简称《通知》),主要涉及三个方面,第一是资质管理,打击各类非法和无证经营、超范围经营。第二是资源管理,打击资源来源不合法、资源去向不合法、资源使用不合法。第三是加强基础管理,所谓的基础管理就是四项评测有没有按照要求完成。提出要解决两个政策衔接问题:第一个是新旧《电信业务分类目录》衔接问题,旧的目录里只有传统IDC这项业务。新的目录在2016年3月正式实施,对CDN这种业务形态作为一项独立的B12的业务进行许可,而云服务作为IDC新的业务形态进行许可。《通知》要求:在2016年3月1号新目录实施之前,持有原IDC许可证的企业,而事实上已经从事了云服务或CDN服务的,要求以书面承诺的形式承诺在年底之前达到相应的经营许可要求,并获得相应的经营许可证。如果未按期承诺的,从2017年4月1号起,不得经营相应的业务。如果已承诺,但年底之前未持证的企业,自2018年1月1日起,不得经营相应的业务。从目前掌握的数据情况来看,截止到2017年6月30日,全国的IDC企业有1272家,获得了云许可资质的有12家,提交此类承诺书的有267家。在此我提醒在座的云服务企业,如果已承诺年底前持证,请抓紧时间。

工信部张建华:我国云服务监管相关政策解读-E安全

第二个政策衔接问题是,在2012年之前获得了IDC、ISP许可证的企业,也就是说当时四项测评的管理要求没有推出之前获得了IDC、ISP经营许可的企业,当时这批企业是没有经过评测的,也没有接入相应的管理系统。我们为了解决这个政策衔接问题,也要求相应的企业在今年3月31号之前,向发证机关书面承诺年底前达到相应的要求,通过评测并完成系统对接工作。如果没有完成的,各省通信管理局将督促相应的企业停止经营此类业务。从我们掌握的情况看,截止到2017年6月30日,2012年12月1日前获得IDC、ISP许可证的企业1359家,未完成技术评测及系统对接工作的企业382家,382家里面已经提交承诺的企业有180家,最后还有200家左右的企业既没完成评测也没有提交承诺,我们已经梳理了相应的企业清单,发放到各省通信管理局,将由各省通信管理局督促相应的企业整改,未按要求进行整改的企业,将组织有关的基础电信企业停止其经营资源的接入。

大家通常会问外资企业可否在境内经营云服务业务?有个标准的口径,依据《电信业务分类目录》2015版,互联网资源协作服务业务属互联网数据中心业务的一种具体业务形态,按照我国法律法规规定、加入WTO的相关承诺和CEPA协议等政策规定,港澳地区的电信业务经营者可依据相关的规定和程序,在境内设立合资企业,申请经营IDC业务的电信业务经营许可证。同时我们欢迎外资企业在遵守我国法律法规的前提下,与国内持证企业开展技术合作,为中国企业和用户带来更好的云服务技术和产品,共同繁荣我国云服务市场。这里面只提到了港澳地区电信业务经营者可设立合资企业申请电信业务经营许可。目前IDC业务,按照WTO承诺,不属于WTO承诺减让表中的业务类型,因此IDC业务原则上是未对外资开放的。Closer Economic Partnership Arrangement(CEPA)协议中港澳的企业可以在境内设立合资公司,不超过50%港澳的股份。我们欢迎各外资的云服务巨头与国内的持证企业在遵守我国法律法规的前提下以技术合作的方式参与我国的云服务市场

工信部张建华:我国云服务监管相关政策解读-E安全

第三方面跟大家交流一下云服务事中事后的监管要求。按照2015年国发5号文《国务院关于促进云计算创新发展 培育信息产业新业态的意见》,工信部正在研究起草《关于规范云服务市场,促进产业健康发展的通知》(以下简称《通知》),结合这个《通知》以及刚才已经提到的32号文的监管要求,除了资质管理之外,主要包括五个方面,企业合作、资源使用、服务规范、安全保障、企业责任等。

在企业合作方面,云服务经营者与有关单位开展合作不得存在以下行为。实质上就是杜绝无证经营,反对许可资质转让出借,或者各类变相转让出借行为。我们在查处过程中的评判标准包括但不限于以下这些,谁签协议,谁开发票,用谁的品牌,资产是谁所有,以及数据平台掌握在谁手中等。

工信部张建华:我国云服务监管相关政策解读-E安全

在资源使用方面,要做到资源来源合法、资源去向合法、资源使用合法。这种资源更多的是指线路管道带宽资源。资源来源合法更多的是说目前能够提供带宽管道线路的企业,就是基础电信运营企业。我们现在也掌握了一些信息,有一些云服务企业自建设施,存在下水道黑带宽问题,另外也有一些企业把自己从运营商租来的带宽搞转租。如果在座的少数企业存在此类情况,希望大家自觉规范。

工信部张建华:我国云服务监管相关政策解读-E安全

第三,服务规范,我们要求云服务企业建立健全服务质量保障体系,规范业务宣传和经营服务行为,严格履行服务协议和公开承诺,确保云服务质量。应建立用户投诉处理机制,妥善处理用户投诉,维护用户合法权益。实质上这也迎合了本次云服务大会的一个主题,要求用户满意。

第四,安全保障,包括系统以及设备运行安全,网络和信息安全,数据和个人信息安全等。

第五 企业的管理责任,即云服务企业不止要做到自己守法合规经营,同时还要求对接入网站依法履行备案手续,如果下游有些企业存在超范围经营等涉及到非法经营的,云服务企业不应该再为他们提供相应的资源和云服务设施。

违规处罚,我国政策法规中有一些处罚要求,还是比较严厉,《电信条例》中第69条规定,如果擅自经营电信业务或者超范围经营电信业务的,要求依法没收违法所得,并处违法所得3倍以上5倍以下的罚款。在2015年,有一家企业是被罚了1000多万。

最后给大家简单提一点建议和希望,这也是我们正在研究的规范性文件里的一个组成部分,我们希望第三方组织积极组织开展云服务经营者服务能力、服务质量、可信度、网络与信息安全等评测认证活动,定期向社会公布相关结果,引导云服务经营者加强内部管理,提升服务质量和诚信水平。实质上这也是我们按照政府监管、行业自律、社会监督这种思路在推进相应的工作,通过引入和鼓励第三方社会组织更多的开展一些活动,来引导整个行业自律和规范。我们希望下一步可信云测评的情况和结果与企业的许可资质挂钩,与未来政府官方的企业信用评价挂钩,并且我们正在推进相应的测评结果纳入国家信用管理体系。

工信部张建华:我国云服务监管相关政策解读-E安全

对云服务经营者,原则上提出四点建议和希望。一是诚实守信,合法经营。这里面包括按照持证许可的资质开展经营活动,对用户言必行,行必果。第二,希望云服务企业不断创新,优化服务,真正做到用户满意。第三是希望云服务企业之间能够更多的互利互惠,合作共赢,少一些竞争摩擦,少一些饮鸩止渴,多一些合作共赢发展,共同维护良好的产业生态。最后也希望云服务企业能更多的承担与自己的企业规模实力相匹配的社会责任。

祝愿我国云服务产业能够蓬勃健康发展,也祝愿各云服务企业的事业兴旺发达,谢谢大家!