上海WTO事务咨询中心

全球贸易投资研究咨询中心
世界产业运行研究咨询中心
首页>WTO动态研究> ITIF 提出进一步发展美国云计算产业的政策建议

ITIF 提出进一步发展美国云计算产业的政策建议

21-07-06

由于云计算对促进经济增长、提高生产力和激励创新方面具有重大意义,各国政策制定者和行业主管部门对该产业的发展的关注程度正变得越来越高。2021 年 6 月,美国信息技术与创新基金会(ITIF)发布了《云计算第一阶段的秘密:给政府和行业的一份行动议程》研究报告。报告分为五大部分共 38 页,分别讨论了云计算的定义与基本特征、云计算对经济发展的重要意义以及云计算经济学、产业结构与市场动态等内容。报告还在最后章节为美国推进云计算行业的发展与应用提出了五条政策建议。以下是该报告政策建议部分的内容编译,供参考。

一、加速云计算行业的应用

(一)联邦云现代化的“登月项目”(Moon Shot)

美国联邦的“云优先”和“智慧云”政策帮助联邦机构启动了云数据迁移进程。十年后,美国政府应该基于这些政策,进一步加大云数据迁移的力度,不断提升服务质量、增强信息技术的安全性、降低成本。

在十年内将联邦市民信息技术现代化。美国行政管理和预算办公室

(OMB)、美国联邦首席信息官(CIO)理事会、美国联邦首席技术官(CTO)应启动一项“登月项目”,在十年内将所有联邦市民的工作量现代化,按照每年 10% 的进程推进,其中包括每年将数以千计的应用迁移,而运算则是默认选项。部分情况下私营部门的敏感数据也会作为一个选项。为实现此目标,需要运用一些新的方法,比如,CIO 理事会需要设定一套数据迁移的基准,以及可量化、特定的目标结果,如具体的工作量、服务器、迁移数据的容量、节省的成本、支持的优先项目等。此项工作应得到美国数字服务与技术现代化基金会的支持。

虽然上述目标不一定能完全实现,并且考虑到联邦信息技术的寿命和安全风险,十年或许太长,但 CIO 理事会以及“登月项目”实施办公室应该一年提供两次公共进展报告,促进美国联邦、州、私营部门采取行动。

用好预算。美国联邦政府是技术的最大采购方,每年采购金额超过

1000 亿美元。美国联邦、州、地方政府应该用好采购资金,确保“登月项目” 取得成功,特别是要用好联邦技术现代化基金会的资金。该基金会的预算每年应提高 100 亿美元(联邦信息技术预算的 10%),为“登月项目”提供资金支持。此外,“登月项目”的债务偿还要求应降低,为更重要的系统提供更多的资金。资金应投放在具有公共影响的领域,如信息技术安全、卫生保健、教育、福利支付、反欺诈等。

改革采购政策。采购规则应以一种中性的方式实施,让诸如云计算等新兴技术不会受到不正当的处罚。需要对采购官进行培训,将云服务的采购模式与现行采购管理体系相衔接。OMB、美国总务署(GSA)以及CIO 理事会应确保采购程序支持“费用发生拨款制”的价格模式。对云计算服务的采购还应适应多年度的预算管理模式。虽然有些问题需要具体问题具体分析,但总体而言需要更多的可预测性、更大的规模和更多的简便性。

(二)鼓励私营部门对云计算的应用

美国政府应采取各种措施,鼓励私营部门更多地应用云计算。

用好“名望讲坛”。美国政府(如美国商务部、国防部等)的一系列高端活动可以释放强烈的信号,让那些还对云计算应用犹豫不决的部门认识到其中的好处,并加速对云计算的应用。早在 2013 年,美国中情局(CIA)对云服务的应用就让许多私营部门考虑使用云服务。

设定标准和目标,激励云计算的应用。美国政府可以在大量使用信息技术服务的同时,设定标准和目标。就数据中心能源效率而言,OMB、美国国家标准与技术研究所(NIST)、美国能源部能源效率办公室应与相关行业一道,更新数据中心效率目标。就信息技术的运行效率而言,OMB、NIST、CIO 理事会可以设定一些基准或框架,可以是基于信息技术基础架构库(ITIL)、国际标准化组织(ISO)的标准,或设定一些新目标和基准。此外,NIST 还应评估多种云管理工具的有效性。

利用研发合作。健全的云计算服务可以解决大量的公共挑战,包括健康和气候问题。联邦政府是基础研发的最大资金提供者。联邦政府应该用好大学、行业实验室以及政府研究机构等各类资源。22 所大学提议成立“国家研究云”项目。云服务还应被纳入联邦超级计算机项目。国家科学基金会(NSF)就此已做出尝试,包括解决与资金政策相关的问题。许多技术机构和政府实验室,包括美国航空航天局(NASA)以及能源部、国防部、商务部中的实验室,也在使用云服务。除了推动一些研究项目,研发合作还可以在云绩效试验台以及展示项目中开展。

将云资源纳入 NIST 的“制造业延伸项目”,特别是要帮助中小企业。该项目为制造业里使用云计算服务的企业提供培训资源和技术援助。

通过国际贸易协定防止全球范围内的云服务歧视。中国对外国的云服务提供者施加各种限制性措施。美国应想办法让中国允许外资股权占多数,向外国的云服务提供者开放更大的市场。此外,美国贸易代表办公室(USTR)应继续抵制外国的歧视性做法,帮助美国国内的云计算领先公司。例如,欧洲的 Gaia-X 项目应允许那些国际公司在欧洲的子公司的完全参与,只要这些公司符合公开的要求。

此外,至少有七个国家已通过数字服务税(DST),越来越多的国家正考虑 DST。DST 通过筛选出哪些数字服务需要征收,实际上会对云服务提供者造成歧视,而美国公司往往是这方面的受害者。USTR 应该继续通过经合组织(OECD)这一多边平台解决 DST 问题,并辅以双边协定这一方式。数据本地化法律会对经济繁荣造成损害,事实上完全可以通过其他方式实现同样的目标。美国应与 OECD、G20、世贸组织(WTO)等就数据主权问题共同协作,保护用户数据,维持信任度,以透明的方式实现政策目标。

数据共享展示项目。为展示云数据共享的好处,联邦政府应在一年内建立一套大型的数据展示项目,基于公共数据创建一个“云数据池”。为有效应对新冠疫情,可以先拿“生命科学—卫生健康”数据云为例,将国立卫生研究院、食品药品监督管理局、卫生与公共服务部等的公共数据纳入。此外,还可以将 NASA、国家海洋和大气管理局、农业部等的地理数据纳入数据池。

二、提高安全性和弹性:政府 - 行业合作项目

云计算一方面提高了信息技术的安全性,同时也带来了新的挑战。随着云服务的日益增长并成为关键基础设施,政府对于其安全性、弹性和系统性风险的担忧也与日俱增。考虑到过去传统的信息技术环境中的网络安全违规风险,必须加强和解决政府与行业的云安全问题。今年 5 月12 日,拜登总统出台了一项行政令,改善美国的网络安全,保护美国的联邦网络,但仍需要采取进一步的行动。

云合作项目:数据、对话和行动计划。美国联邦政府需要深化与云服务提供者的关系,在各层级机构中定期开展关于云安全和弹性的对话。这是美国联邦机构与云服务提供者共享数据、开展对话、制定行动计划的一个机制。该合作可以基于美国国土安全部信息技术部门协调理事会的小规模、高层次云服务工作组开展。

例如,国土安全部网络安全与基础设施安全署(CISA)以及 CIO 理事会应定期审议网络攻击数据、服务器中断、合规项目有效性、新技术以及其他行业发展问题。5 月 12 日的行政令指导 CISA 制定云安全技术参考框架、云服务治理框架、基于风险的数据分类体系等。CISA 与云服务提供者需要定期对实施情况进行审议和纠偏。该项目还涉及到供应链安全、威胁信息共享、网络违规补救等事项的协调,由此形成的安全方面的最佳实践应编入行业准则。政府科技现代化基金可用于支持此项目。

简化法律和合规程序。安全法律方面的要求、合规认证方面的要求以及行业框架的数量激增,阻碍了安全保护的有效落地。为此,OMB、CISA 以及CIO 理事会应重新思考和规划。虽然这是一项宏大的工程,但可以基于云安全联盟的“云管控矩阵”以及 NIST 的“安全管控框架”。5 月12 日的行政令在这方面做出了初步尝试,但仍需要进一步改善,减少相互之间的重叠。此举有利于降低成本和中小企业之间的壁垒,提升效率和有效性。此外,合规规则还应该以技术中性的方式实施,不对云服务构成歧视。NIST应审议安全标准,给出相关建议措施。

美国联邦风险和授权管理计划(FedRAMP)认证体系也需要现代化,包括不同机构间的相互承认。FedRAMP 从授权到监控需要一个更加自动化的认证程序,这可以提升效率,降低成本。5 月12 日的行政令起到一定作用,但仍需要 FedRAMP 办公室制定具体的实施步骤,将之转化为可行动的方案。

智慧工具和自动化。需要将不同的安全工具整合起来,为安全专业人士提供更及时、从终端到终端的安全意见。需要将安全程序自动化,帮助安全团队侦测安全威胁并快速做出反应,这时云服务就可以发挥应有作用。为鼓励私营部门实施,NIST 应将上述做法成为网络安全的指导准则。此外,在采购政策中也应优先采取上述做法。

三、维持竞争性

监管者越来越担忧技术平台,特别是消费者互联网背景下的技术平台,包括对内容的监管和社交媒体,销售违法货物,在搜索结果中更多出现本方搜索引擎的结果,在线广告,移动应用程序商店,零售电子商务等。企业基础设施的情况则有所不同,技术和法律上的复杂程度更深。

很难证明事前竞争准则的有效性。云计算应用仍处于早期,没有相关证据证明存在什么问题。云计算能快速向消费者提供降低成本、提升可携性的多种方案。此外,云计算还能提升消费者福利。欧盟《数字市场法案》解决了许多消费者互联网保护问题,但是对于企业的云计算而言存在更多变量,可能达不到预期效果。

关注行为问题,而非结构问题。早期阶段的的云计算展现出了竞争力和创新力。考虑到高资本密集度和规模经济,云服务市场不太可能有太多的 IaaS 提供者。云服务行业有相对较高的集中度以及较大规模的提供者展开竞争,这本身不应被视作一个问题,只要这些服务提供者继续充分竞争,保持强健投资。但是,需要对那些提高市场集中度的收购行为进行认真审查。监管者应关注潜在的行为问题,包括排他性的行为或合同(如要求消费者使用特定的云服务提供者或阻止使用其他云服务)。由于主要的云服务都是平台型的,那些歧视第三方的行为和措施或不公平地给予本方竞争优势的行为需要认真审查。

工作量可携性的消费者权利法案。云计算行业拥有若干个制定可携性标准的技术小组,包括电气与电子工程师协会(IEEE)计算机协会关于云服务可携性和互适性(P2301/P2302),国际标准组织(ISO/IEC19941)等。云服务行业应推动上述标准。比如,消费者拥有自身的数据和应用程序,有权转移数据,具备高性能工具转移数据,接收关于可携性限制的通知,提高透明度,快速解决争端等。可携性努力应聚焦低层级的 IaaS 服务(如技术上成熟的计算和存储)。高层级的 PaaS 和 SaaS 服务可以拥有更多的服务提供者以及更大的产品差异性。PaaS 和 SaaS 应具备更低的准入和退出成本。在适当的情形下,应将最佳实践编入政府采购规则。

四、增强数据治理:跨境数据的信心建立措施

政府对于数据治理的兴趣和决心日益增长,包括数据所在地(也叫数据本地化)和数据主权(另一国政府强制要求获取数据)。

(一)数据所在地:技术性信心建立措施,并非“马奇诺防线”。世界各国政府对政府数据和公民数据的存储、复制、传输等行为作出监管。云服务可以促成跨境数据流动,越来越融入全球经济。在 29 个受调查的OECD 国家中,11 个国家已在某种程度上制定了数据本地化规则,要求数据存储在本国内,正如中国、俄罗斯、印尼等非 OECD 国家。但对于一些国家来说,拥有自己的云在经济上不可行,或者代价十分高昂。比如“德国云”计划(Microsoft Cloud Deutschland)就没有取得成功,该计划要求把数据交给德国数据受托人,并从微软的全球网络中隔离开来。此项计划最终搁浅。由于许多企业都是跨国企业,严格的数据本地化要求会给全球经济带来巨大成本。

政府不必出于数据安全性需要强制要求数据本地化。由于云服务已经对数据采取了管控,政府能够决定数据存储在哪,谁可以访问这些数据,并对管控的数据进行审计。为鼓励使用,需要对这些工具的应用向监管者进行周期性信息披露。作为披露的一部分,消费者应该使用数据分类体系,对那些更具敏感性和影响力的数据提出更高的安全要求。

政府和云服务提供者应制定技术性“信心建立措施”(CBM),证明对软件的管控是有效的,至少有效性不低于数据本地化,确保数据的安全性。例如,在一国境外的加密数据往往比本国境内的非加密数据更加安全。此外,许多安全问题无关数据的存储地,往往来自内部威胁。作为 CBM 的一部分,应设立一套“政府—行业联合项目”,证明云服务能确保数据的安全性,或者其安全程度远超数据本地化。事实上,数据本地化就像二战中的“马奇诺防线”,往往不堪一击。政府机构以及云服务提供者可以对监管的数据开展联合审查。此举事关信心建立,而并非仅是技术性问题。

(二)数据主权。当一国政府强制要求云服务提供者提供另一国政府或公民的数据,就会产生关于数据主权的担忧。云端的数据会受到另一国法律的管辖。这个问题并不仅限于云服务,随着云服务的范围在全球不断扩大,问题会变得更加麻烦。通过传统方式(如法律援助协定或请求书,往往发生在刑事执法方面),数据会受到其他国家法律的管辖。2018 年 3 月的美国《澄清境外数据合法使用法》(CLOUD)部分回应了此问题,但仍有一些问题没有解决。可以通过以下机制加以解决:(1)披露政府的要求,让涉事双方能够直接对话;(2)制定严格的标准,让云服务提供者在传输数据前严格遵守;(3)制定双边或多边数据获取协定,如《美英数据共享协定》;(4)使用加密或标记化技术,减少对问题的担忧。

五、通过公私培训合作提升技能和包容性

云计算给技能培训带来机遇。那些在技术时代没有受益的社区应该获取和参与云计算,从云计算中充分受益。关于云培训的公私合作能够并且应当在这方面做出更多贡献。但目前在国家层面并没有此类尝试,虽然云服务提供者有雇员培训和公共宣传等项目,但这种方式往往是碎片式的。因此需要新的方式让培训更具规模、更有效率、更具包容性。同时,私人教育和培训机构正寻求新的、经济上更可持续的模式,并发挥更大的作用。新冠疫情让这种需求变得更加急迫。

目前来看,开展国家层面的公私技术培训合作项目时机已经成熟,同时 G7 峰会用于培训、技能再学习以及包容性的资金支持也非常关键。这包括将州和地方政府以及社区大学纳入进来,不仅仅是 4 年制的大学。ITIF之前的研究报告提出了“再就业体系”。云培训可以与网络安全等其他议题一同开展。除了4 年制的大学文凭外,还可以将一些机构的信息技术证书一并纳入。例如,北弗吉尼亚社区大学提供云计算学位,路易斯安那社区与技术学院提供云计算的副学士学位,英国的职业学院正开发一项为期 2 年的云计算课程。云服务提供者可以提供资金支持,帮助开发相关课程,提供就业机会。培训以及技能再学习是扩大云计算受益范围的重要方式,需要积极地将各社区都纳入到云计算和技术行业中来。