云平台安全责任与治理

云平台安全责任与治理

前言

当前，云计算技术全面成熟并得到广泛普及，是各行业数字化转型普遍采用的通用技术模式，各类云计算服务平台（简称云平台）成为支撑经济社会运行的网络基础设施。随着云平台广泛普及，云平台安全风险也日益凸显并复杂泛化，云平台安全成为各国政府监管的重点对象。但是，由于云平台服务模式特殊性，云平台安全治理涉及监管、平台、用户等多元嵌套主体，如何科学界定各类多元主体的安全责任成为云平台安全治理的重要前提。

基于上述背景，本报告聚焦云平台安全责任议题，以“安全域-责任主体-服务模式”的分析框架，结合国内外的法律法规以及产业实践开展研究。首先，界定报告研究的云平台安全的责任主体，确定云平台的四个主要安全域——系统安全、应用安全、数据安全、内容安全，并划定报告研究的云平台安全责任范围；其次，梳理国内外相关政策法规，观测不同安全域下各国、各类监管部门对不同主体的安全责任界定；继而，分析全球主要云平台企业安全管理实践，总结不同云服务模式下的云安全责任分担的行业实践；最后，基于“安全域-责任主体-服务模式”的维度，构建“权利-责任”动态匹配的云平台安全责任分担框架，并以此为指引对我国云平台安全治理提出具体的对策建议。

本报告的核心观点与重要发现：

➢云平台是经济社会健康运行的网络基础设施，提供互联网接入和网络接入资源设施等服务，按照电信业务分类目录主要提供四类业务：互联网

资源协作服务业务、互联网内容分发服务业务、互联网接入服务、互联

网域名解析服务。

➢在云计算产业服务链中存在着产业生态依存现象，“服务商—用户”身份

IV

可随着产业链延伸而不断衍化。报告中的云平台用户是指云平台服务商的直接客户，而非最终用户。

➢本报告探讨的与云平台相关的责任主体包括监管部门、云平台服务商和云平台用户，其安全责任问题一方面来自于监管部门对云平台服务商的责任要求，另一方面则是云平台服务商与云平台用户之间的责任划分。➢云平台主要涉及的四个安全风险域为系统安全、应用安全、数据安全、内容安全。在不同的云平台安全风险域下，云平台服务商和云平台用户所应承担的责任不同。

➢云平台服务商与云平台用户的安全责任划分与云服务技术实现方式、业务运用模式（IaaS/PaaS/SaaS）等密切相关。云安全责任分担模式在业界已经达成共识，未来在金融云、医疗云、教育云、工业云等重要行业与重点领域的云平台上，将出现更多基于行业标准而形成的云安全责任模型。

➢当前各国云平台安全政策法规较为原则，安全责任界定存在模糊地带，导致云平台安全监管实践较为粗放，在安全责任界定方面，没有充分考虑云平台技术特性以及各主体的权利边界。

➢云平台服务商提供互联网接入和网络接入资源设施等服务，其应主要履行互联网服务提供商的相关义务，并与云平台用户（互联网内容提供商等）共同承担其他平台责任。

➢面对监管与合规要求，云平台服务商执行巡查监测，但从法律依据、主体属性、用户隐私及商业模式等角度来看，客观上难以实现全面的主动巡查。

➢在云平台服务多元模式下，云平台安全责任划分应考虑责任主体权利与义务的对等性，“一刀切”的治理思路会加重主体责任，从而影响各方利益，也会导致问责无效。

➢基于“安全域-责任主体-服务模式”的维度，探索建构“权利-责任”动态匹配的云平台安全责任分担框架，将监管要求、服务模式与主体权利纳入其中，可提高解决日常实践云平台服务商和云用户的安全责任划分问题的有效性。

➢政策法规完善、多方综合治理、创新监管理念、安全责任分担、最佳实践推进将有力地推动云平台的安全责任治理。

目录

前言.......................................................................................................................... I I 一、云计算与云平台安全责任.. (1)

（一）云计算发展历程与现状 (1)

（二）云平台及相关概念 (3)

（三）云平台安全及其特点 (5)

1、系统安全 (5)

2、应用安全 (6)

3、数据安全 (6)

4、内容安全 (7)

（四）云平台安全责任 (8)

二、云平台安全责任的国内外监管 (10)

（一）国内核心法规与监管要求梳理 (10)

（二）云平台安全责任界定与难点分析 (12)

1、系统安全责任 (12)

2、应用安全责任 (15)

3、数据安全责任 (16)

4、内容安全责任 (18)

（三）国外对云平台安全责任的主要监管思路与方式 (22)

1、美国：基于安全评估与服务明确主体责任 (22)

2、欧盟：注重云安全指南，出台合同模板规范服务商权责 (25)

1

（四）小结 (27)

三、云平台安全责任行业实践 (30)

（一）企业层面的实践 (30)

1、亚马逊AWS (30)

2、微软Azure (32)

3、谷歌云、S a l e s F or ce云 (33)

4、腾讯云 (33)

5、阿里云 (35)

6、华为云 (36)

7、行业监管云责任分担 (37)

（二）行业联盟与标准实践 (39)

（三）小结 (41)

1、云安全责任分担模式在业界已经达成共识，但划分标准各有不同.. 41

2、用户与云平台服务商的责任大小与云服务模式密切相关 (43)

3、基于重点行业的安全责任分担实践正在涌现 (43)

4、有第三方企业参与的安全责任分担模型开始出现 (43)

四、问题与建议 (44)

（一）重要问题分析 (44)

1、云平台服务商提供互联网接入和网络接入资源设施等服务，其应主要

履行互联网服务提供商的相关义务，并与云平台用户（互联网内容提供

商等）共同承担其他平台责任 (44)

2、面对监管与合规要求，云平台服务商执行巡查监测，但从法律依据、

2