改中国云计算市场如何监管

中国云计算市场如何监管？

国内外的监管部门没能力也没必要辨别一个 IP 背后是物理机还是虚拟机，在他们来看各大云平台就是 IDC 和 CDN，以前对 IDC 的监管手段同样适用于云平台。云平台因其资源服务租赁的属性，还可以做更精细化的监管配合工作。

云平台要做的合规工作就是身份核查、内容自查和配合调查。

第一. 身份核查

身份核查即某个站出问题了可以定位到承担的自然人或企业法人，找不到人那就是络接入商的。当客户开通站时需要进行 ICP 备案，如果是特殊行业还需要经营类 ICP 证、游戏文备、VOIP 通讯备等资质证明

。

云平台都提供新域名的 ICP 备案申请和老备案号新增接入，这个服务一般是免费贴人力进去的。但我也听过有的客户一次要新增几千个域名备案被云平台拒绝的，这不仅仅是云平台人力赔本的问题，而是恶意阻塞后端主管机构的办公秩序。至于 ICP 备案审核的速度其实和云平台关系不-力量,智力的增加率+10%大，没有哪个云平台可以要求全国各地主管机构为其单独开 VIP 通道。

ICP 备案的重要信息就是 IP 地址，而云平台大都使用浮动公 IP。云平台需要防备 ICP 备案 IP 意外释放，备过案的 IP 后台保留三个月也花不了几块钱；大中型云平台需要过滤 HTTP 封包，避免违规客户通过换端口换 IP 的方式违法运营；如果是一个小规模云平台无力支撑 HTTP 防火墙，那就在 80、443、3128 这类高危端口做仅限白名单放行的设置。对于只用 HTTP 做 API 接口的用户，最好不要用默认的 80 端口。

第二．内容自查

云平台在提供主机和 VPS 服务时为站服务进行 ICP 备案服务，但云平台也提供对象存储和 CDN 服务，还需要对内容自查，做适度的黄反识别和版权保护。

因为国内有 ICP 备的存在，黄反内容的主体是客户，甚至某些临时管制只能算误伤客户。但云平台有快速消除不良内容的，每个云平台都有强制全刷缓存的功能。

大家不要以为开展国际业务就可以自由裸奔，外国没有 ICP 备案很可能找不到人，如果有敏感内容只能抓云平台顶缸，云厂商处理不当可能面对更严酷的法务风险和业务中断威胁。

在海外开展云计算业务时，我们要定期检查联络邮箱是否有司法公函（注 1）提及下列内容：

1. 黄赌毒内容，部分国家合法部分国家违法；注意违法的理由可能是法律禁止此类站，也可能是此站存在盗版或者偷税要依法关停。

2. 版权侵权问题，这个问题处置不当可能会面临 9 位数的天价罚款。某软件赴美上市时封禁了很多影视资源其实扫黄无关，就是怕被告盗版而已；好多老外翻墙到中国国内就是为了找免费游戏、音乐和电影。

3. 儿童色情问题，这是最严肃的死线，过线即死。某云平台忽略了相关司法公函，最终导致海外业务域名被封禁三天。

4. 极端政治言论，这些信息要快速传播必须依赖社交平台，所以由社交平台来负责删帖，有其他人背锅了，那云平台的风险就小了。

在做一个跨国云平台的时候，我们还要考虑哪些数据坚决不能送出中国，以及哪些数据不能离开美国，越大的公司越要注意法务风险。

第三．配合调查

当前监管部门还不了解云计算平台有比 IDC 更进一步的服务能力和证据保全能力。一个守法企业应该主动配合做刑事犯罪的证据保全工作，这些证据甚至可以用于证明嫌疑人是无辜的。

如果遇到涉及刑事犯罪的站，在收到正式法务公函以后，云平台技术上可以尽量保存涉案证据：

1. 冻结账户，让嫌疑人无法修改释放资源。

2. 断开云主机、容器等的公连接，但断开之前做 1 分钟数据抓包。

3. 所有云主机做系统盘、数据盘镜像和内存转储，其他云资源也做类似数据保全操作。

4. 云存储设置为不可写不可删除状态，但重置只读密钥。

5. 将嫌疑人的账户注册信息、登陆信息、计费用褚时健介绍量信息导出。

没有运营人员敢硬杠刑事法规，但对民事法规还是比较漠视。比如一个云平台客户运营游戏私服，正版游戏厂商找上门了就别装腔作势，正规云平台应该像正规 IDC 一样清退这类客户（注 2）。但云平台也没有对民事纠纷的举证义务，不可能为一个民事纠纷将客户信息泄露给第三方。