由于云端受到快速采用，数据与技术的安全性开始受到国家重视，如何设立保护机制，同时又不过度扼杀创新，是各国政府目前积极思考的事情。

全球云端安全机制重要性更胜以往

自从云端服务被使用以来，社会对云端可信度的担忧就一直存在，无论是日益加剧的地缘政治紧张局势，如评估云端公司地缘政治风险的关键负面地缘政治标准是它们的云端是否受到外国政府的直接影响和控制（透过法律或其他手段），导致云端直接或间接受到国家控制，或是云端在数据隐私以及网络和国家安全方面的角色，正在促使全球关键决策者应对云端服务带来的众多挑战。

然而，许多政策制定者依赖误导性的、下意识的评估，例如仅关注公司的国籍而不考虑公司或其母国如何促进或损害云端可信度，对于增强云端网络安全和数据隐私以及建立开放和竞争的云端市场几乎没有帮助，更甚者，它还影响「志同道合」国家之间的贸易、信息安全和国家安全合作，例如七国集团（G7）成员国、澳洲、新加坡、日本、韩国和印度等国家不信任贸易伙伴的云端公司，则彼此之间在数字贸易的紧密度就容易受影响，如果志同道合的国家之间没有共同努力解决云端可信度问题，建立可信赖的数据流和治理将是一项挑战。

政策制定者长期以来一直担心他国政府强迫云端公司出于监视、执法和政治镇压等各种目的交出数据，并将注意力转向外国对手对云端公司向政府和关键基础设施部门提供的营运工作负载施加的潜在控制，特别是在发生重大网络事件或冲突的情况下。

例如，美国网络和国家安全部门担心，一旦发生战争，中国可能会「按下开关」，关闭或中断与中国连接的政府和商业服务的云端和信息技术服务。这意味着美国选择以技术主权来推动建立一个不受中国影响的生态系统，而不是采用基于单纯避险的方法，使用有针对性的行动来解决根本问题，例如建立一个安全的环境来管理风险。如果美国和其他国家都各自建立自己的技术体系，那么容易因为它对贸易、创新、资安合作以及建立可信任数据和技术治理的努力产生负面影响而遭受损失，开展同盟合作有其必要。

不少志同道合的国家正积极推动部门云端安全制度，举例而言，爱沙尼亚正在推动「可信任的链接」模式，目标是根据共同利益、民主价值观以及严格的监管和社会标准与合作伙伴开展业务。美国、德国、澳洲等28个国家采纳了《布拉格5G倡议》，这是一套关于全球规划、建造、启动和营运5G基础设施时风险的技术和非技术建议。同时，通用标准认可协议（CCRA，涉及超过31 个国家）是用于评估IT 设备和服务安全性的少数全球认可的相互认可计划之一。而大型业者如亚马逊、Google、微软、SAP、思科等主要云端供货商针对数据、向客户索取数据、跨境数据流、解决法律冲突等问题制定了「可信任云端原则」，OECD成员国透过谈判达成《政府获取私部门实体持有的个人资料宣言》（也称为「可信任政府资料取得倡议」），以提高对跨国数据流动的信任澄清国家安全和执法机构如何在现有法律框架下存取个人资料，各种云端安全合作机制正在成形。

各国做法案例分析

一、欧盟的云端网络安全制度及其主权要求
欧盟网络安全局 (ENISA) 正在制定欧洲云端服务网络安全认证计划 (EUCS)，EUCS 类似于FedRAMP 为美国联邦政府所做的事情：它提供一种统一的云端网络安全认证方法，以确保完善的保护水平，并降低签订云端服务的公司和政府机构的成本和复杂性。然而，与FedRAMP 不同的是，法国和其他欧盟成员国主张歧视性EUCS 要求，这些要求使本地公司的所有权和控制权成为确定云端服务提供商是否可以被视为云端服务提供商的决定性因素。

最初的 EUCS 提案还包括资料本地化，无论是在中国、法国或美国，资料在地化都是一项误导性政策——即使是在政府资料和服务方面也是如此。在地化不会提高数据隐私或安全，数据的安全性并不取决于其储存位置。组织无法透过将数据传输到国外来逃避遵守国家法律，因此，资料本地化并不是强制组织遵守国内数据法所必需的，资料的安全性主要取决于用于保护数据的技术和实体控制，例如设备上的强加密和数据中心的外围安全。

二、德国与丹麦的云端安全要求
2023 年 5 月，德国颁布了新的《IT 安全法案 2.0》，其中包括多项有用的条款，用于定义评估云端和 IT 公司可信度的技术和非技术标准，丹麦于2021 年颁布电信立法，赋予其情报官员权力，阻止任何涉及丹麦未与其签订安全协议的国家/地区供货商的国内电信交易，其中排除瑞典（爱立信）和芬兰（爱立信）和芬兰（爱立信）以外的所有国家的供货商，公司必须提供有保证的声明，以证明其产品不具有可被用于恶意目的的功能，企业还需要向政府提交有关其在过去两年中实施的网络安全认证、审计和技术措施的报告，政府可以根据企业的报告向企业提供有关组织和技术预防措施的指导和回馈。

三、印度积极建立安全围墙
印度新兴的云端网络安全制度既有好的一面，也有坏的一面。印度的做法很重要，因为它是印太地区成长最快的公共云市场之一。政府和私营部门一直在努力采用和使用云端，例如透过政府的「GI Cloud」（也称为「Meghraj」），然而，印度经常使用未具体说明的担忧和模糊的信任标准作为其云端和 IT 供应链和进口制度的一部分。中国是许多限制的目标，但它也经常限制其他国家的公司和产品，部分原因是为支持本地公司并迫使它们在印度设立本地业务。

印度不断发展的「信任」方法涵盖了对数字经济至关重要的商品和服务，印度的信任和云端运算方法因行业和机构而异；有些包括资料本地化等歧视性要求，而有些则没有，印度证券交易委员会有自己的、有时相互冲突的云端法规。

印度储备银行发布 IT 服务外包指南（包括云端运算服务），也包括企业必须采用的技术控制和风险管理策略，2023年6月，印度使用印度特定标准和测试（而不是国际标准和测试）对电信产品实施强制性测试和认证，包括5G基地台、5G核心产品设备，2023年10月，印度要求ICT硬件公司提供国际认证，以证明其产品来自「可信任」来源，然后才允许免许可进口。

印度使用政府营运的审计机构—标准化测试和质量认证 (STQC) 理事会—对数据中心和云端供货商进行认证，STQC是CCRA的签约机构，负责对IT产品进行安全评估和认证，这代表着获得STQC认证的产品可以在其他成员国接受，无需重新认证。

四、韩国公布前所未有的公共部门云端限制
韩国针对公共部门云端服务采购的安全认证，称为云端安全保证计划 (CSAP)，包括多项严格限制性要求，由于韩国云端公司使用当地数据中心和人员在韩国建置系统，因此这些要求不会对当地供货商造成过度负担，然而，它们确实构成了对外国供货商的一种歧视，因为即使在 CSAP 的「低风险」级别，也没有一家外国云端供货商获得认证。

韩国的CSAP不允许企业使用数据中心的「多租户」架构，以便他们可以使用同一个数据中心，韩国国家情报院必须对CSAP 中使用的所有设备和本地加密算法（韩国本地加密算法，称为ARIA，不被韩国以外的任何人使用）进行认证，云端供货商必须将所有数据储存在韩国，并且仅使用位于该国的设备、资源和人员，不仅如此，韩国最近提出的一项修正案将这些限制扩大到中风险和高风险数据，说明该国对于云端数据的使用已经展开限制，特别在韩国近几年出现不少营业秘密遭窃的案例之后。

好消息～北美智权报有微信公众号了！ 《北美智权报》内容涵盖世界各国的知识产权新闻、重要的侵权诉讼案例分析、法规解析，以及产业与技术新知等等。 立即关注北美智权微信公众号→ NAIP_IPServices ～欢迎读者分享与转发～

【本文只反映专家作者意见，不代表本报立场。】