从技术和业务的角度而言,基于云端的计算服务通常被简称为云服务。常见的云服务包括公共云(public cloud)与私有云(private cloud)两种。公共云还可细分为三个类别,即Software-as-a-Service(SaaS,软件即服务)、Platform-as-a-Service(PaaS,平台即服务)及Infrastructure-as-a-Service(IaaS,基础设施即服务)。目前,互联网行业云服务迅猛发展,提供相关服务的企业也不断增多。本文仅就云服务企业的几大合规要点进行简评。
达辉律师事务所
律师
经营许可
根据国家工业和信息化部(工信部)于2016年11月发布的《关于规范云服务市场经营行为的通知(公开征求意见稿)》(《云服务通知》),云服务是指互联网数据中心业务(IDC)中的“互联网资源协作服务业务”。而2015年的《电信业务分类目录》将“互联网资源协作服务业务”定义为“利用架设在数据中心之上的设备和资源,以特定方式为用户提供数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务”。
由此可见,一旦《云服务通知》正式发布,云服务中的诸多IaaS/PaaS/SaaS业务均将被视作IDC业务中的互联网资源协作业务,其服务提供商也将在依法获取IDC业务增值电信服务许可证后,方可合法提供云服务。
IDC业务准入门槛
根据工信部于2012年发布的《关于进一步规范因特网数据中心业务和因特网接入服务业务市场准入工作的通告》和《关于进一步规范因特网数据中心(IDC)业务和因特网接入服务(ISP)业务市场准入工作的实施方案》(IDC市场准入通告和方案),申请和合法持有IDC业务增值电信服务许可证需满足有关资金、人员(专人专岗的网络和信息安全人员、专职网络和信息安全管理人员、应急联系人)、场地(自有或租用的机房)、设施(如交换和路由设备)等方面的要求。
因此,云服务纳入IDC业务范围后,云服务企业的准入门槛也将有所提高,势必对云计算服务行业产生较大影响。
网络和信息安全
根据IDC市场准入通告和方案,IDC企业应建设相应的网络和信息安全管理系统,例如系统需具备基础数据管理、访问日志管理、违法违规网站及违法信息发现处置等技术能力,并接受主管部门对各项网络安全工作落实情况的监督检查等。
此外,《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《国家安全法》等法律法规中关于网络和信息安全的规定(例如关于网络数据和用户个人信息保护的规定)也适用于云服务企业。
达辉律师事务所律师
监管职能
云服务企业掌握网络基础设施和IP地址、带宽等接入资源,其服务的客户中有大量的电信业务经营者,如互联网信息服务提供者等。根据法律规定,这些资源只能向具备相应许可资质的单位或个人提供。因此,云服务企业实际承担着部分监管职能,在提供服务和接入资源前需审查其客户的资质状况。云服务通知就此规定,云服务经营者应对其接入用户履行管理责任,包括履行备案手续、监督是否按照约定的用途使用网络设施和资源开展业务、加强接入用户发布信息的管理、按照相关部门要求做好安全审查配合工作等。
实践中,部分云服务企业在审查和监管方面并不严格,导致其部分客户并不具备相应许可资质,却能利用其接入资源向最终用户提供服务。该类不合规对于云服务企业而言存在较大法律风险。
其他合规运营要求
云服务企业还面临其他一些重要的合规运营要求,例如云服务通知所提出的面向境内用户提供云服务,应将服务设施和网络数据存放于境内,跨境实施运维及数据流动应符合国家有关规定等。
综上所述,随着监管法规的日趋明晰和全面,云服务企业面对诸多合规运营要求。建议相关企业及时咨询相关法律顾问意见,确保其业务运营完全合规。
作者:达辉律师事务所律师柴向阳;达辉律师李硕
北京市建国门外大街一号国贸大厦3720室
邮编:100004
Suite 3720, China World Tower
1 Jianguomen Outer Street
Beijing 100004, China
电话 Tel: +86 10 6535 5888
传真 Fax: +86 10 6535 5899
电子信箱 E-mail:
ben.chai@DaHuiLawyers.com
cloud.li@DaHuiLawyers.com
www.dahuilawyers.com
