1、I II 版权声明版权声明 本报告版权属于出品方共同所有，并受法律保护。转载、摘编或利用其他方 式使用本报告文字或者观点的，应注明来源。违反上述声明者，出品方将追究其 相关法律责任。 III 出品方：出品方： 上海社会科学院互联网研究中心 上海赛博网络安全产业创新研究院 撰稿人：撰稿人： 惠志斌 上海社会科学院互联网研究中心主任/研究员 唐巧盈 上海赛博网络安全产业创新研究院高级研究员/博士 石建兵 上海赛博网络安全产业创新研究院高级研究员/博士 李 宁上海赛博网络安全产业创新研究院高级研究员/博士 咨询专家：咨询专家： 李雨航云安全联盟 CSA 大中华区主席 黄道丽公安部第三研究所网络安全法

2、律研究中心主任 刘俊河中国电子技术标准化研究院信息安全研究中心云审查技术负责人 熊丙万中国人民大学未来法治研究院平台治理研究中心主任 张衠上海社科院信息研究所助理研究员/博士 陈永伟比较杂志社研究部主管 周洋中伦律师事务所上海办公室合伙人 贾大文中国网络安全审查技术与认证中心党政云计算服务网络安全审查 负责人 曹伟中国互联网协会数据部副主任 殷俊腾讯公司安全管理部安全策略专家 本报告写作过程中，得到了工信部信息通信管理局、上海市委网信办、上海 市经济信息化委、上海通管局等部门的指导和建议，特别鸣谢腾讯云、腾讯公司 安全管理部以及中国电信、金山云、优刻得、阿里云、网宿科技等云平台企业提 供的实践

3、案例与调研支持。 IV 前言前言 当前，云计算技术全面成熟并得到广泛普及，是各行业数字化转型普遍采用 的通用技术模式，各类云计算服务平台（简称云平台）成为支撑经济社会运行的 网络基础设施。随着云平台广泛普及，云平台安全风险也日益凸显并复杂泛化， 云平台安全成为各国政府监管的重点对象。但是，由于云平台服务模式特殊性， 云平台安全治理涉及监管、平台、用户等多元嵌套主体，如何科学界定各类多元 主体的安全责任成为云平台安全治理的重要前提。 基于上述背景，本报告聚焦云平台安全责任议题，以“安全域-责任主体-服 务模式”的分析框架，结合国内外的法律法规以及产业实践开展研究。首先，界 定报告研究的云平台安全

4、的责任主体， 确定云平台的四个主要安全域系统安 全、应用安全、数据安全、内容安全，并划定报告研究的云平台安全责任范围； 其次，梳理国内外相关政策法规，观测不同安全域下各国、各类监管部门对不同 主体的安全责任界定；继而，分析全球主要云平台企业安全管理实践，总结不同 云服务模式下的云安全责任分担的行业实践；最后，基于“安全域-责任主体-服 务模式”的维度，构建“权利-责任”动态匹配的云平台安全责任分担框架，并 以此为指引对我国云平台安全治理提出具体的对策建议。 本报告的核心观点与重要发现：本报告的核心观点与重要发现： ?云平台是经济社会健康运行的网络基础设施，提供互联网接入和网络接 入资源设施等服

5、务，按照电信业务分类目录主要提供四类业务：互联网 资源协作服务业务、互联网内容分发服务业务、互联网接入服务、互联 网域名解析服务。 ?在云计算产业服务链中存在着产业生态依存现象， “服务商用户”身份 V 可随着产业链延伸而不断衍化。报告中的云平台用户是指云平台服务商 的直接客户，而非最终用户。 ?本报告探讨的与云平台相关的责任主体包括监管部门、云平台服务商和 云平台用户，其安全责任问题一方面来自于监管部门对云平台服务商的 责任要求，另一方面则是云平台服务商与云平台用户之间的责任划分。 ?云平台主要涉及的四个安全风险域为系统安全、应用安全、数据安全、 内容安全。在不同的云平台安全风险域下，云平台

6、服务商和云平台用户 所应承担的责任不同。 ?云平台服务商与云平台用户的安全责任划分与云服务技术实现方式、业 务运用模式（IaaS/PaaS/SaaSIaaS/PaaS/SaaS）等密切相关。云安全责任分担模式在业界 已经达成共识，未来在金融云、医疗云、教育云、工业云等重要行业与 重点领域的云平台上，将出现更多基于行业标准而形成的云安全责任模 型。 ?当前各国云平台安全政策法规较为原则，安全责任界定存在模糊地带， 导致云平台安全监管实践较为粗放，在安全责任界定方面，没有充分考 虑云平台技术特性以及各主体的权利边界。 ?云平台服务商提供互联网接入和网络接入资源设施等服务，其应主要履 行互联网服务提

7、供商的相关义务，并与云平台用户（互联网内容提供商 等）共同承担其他平台责任。 ?面对监管与合规要求，云平台服务商执行巡查监测，但从法律依据、主 体属性、用户隐私及商业模式等角度来看，客观上难以实现全面的主动 巡查。 VI ?在云平台服务多元模式下，云平台安全责任划分应考虑责任主体权利与 义务的对等性， “一刀切”的治理思路会加重主体责任，从而影响各方利 益，也会导致问责无效。 ?基于“安全域-责任主体-服务模式”的维度，探索建构“权利-责任”动 态匹配的云平台安全责任分担框架，将监管要求、服务模式与主体权利 纳入其中，可提高解决日常实践云平台服务商和云用户的安全责任划分 问题的有效性。 ?政策

8、法规完善、多方综合治理、创新监管理念、安全责任分担、最佳实 践推进将有力地推动云平台的安全责任治理。 1 目录 前言前言.II II 一、云计算与云平台安全责任一、云计算与云平台安全责任.1 1 （一）云计算发展历程与现状（一）云计算发展历程与现状.1 （二）云平台及相关概念（二）云平台及相关概念.3 （三）云平台安全及其特点（三）云平台安全及其特点.5 1、系统安全.5 2、应用安全.6 3、数据安全.6 4、内容安全.7 （四）云平台安全责任.8 二、云平台安全责任的国内外监管二、云平台安全责任的国内外监管.1010 （一）国内核心法规与监管要求梳理（一）国内核心法规与监管要求梳理.10

9、（二）云平台安全责任界定与难点分析（二）云平台安全责任界定与难点分析.12 1、系统安全责任.12 2、应用安全责任.15 3、数据安全责任.16 4、内容安全责任.18 （三）国外对云平台安全责任的主要监管思路与方式（三）国外对云平台安全责任的主要监管思路与方式.22 1、美国：基于安全评估与服务明确主体责任.22 2、欧盟：注重云安全指南，出台合同模板规范服务商权责.25 2 （四）小结（四）小结.27 三、云平台安全责任行业实践三、云平台安全责任行业实践.3030 （一）企业层面的实践（一）企业层面的实践.30 1、亚马逊 AWS.30 2、微软 Azure.32 3、谷歌云、Sales

10、Force 云.33 4、腾讯云.33 5、阿里云.35 6、华为云.36 7、行业监管云责任分担.37 （二）行业联盟与标准实践（二）行业联盟与标准实践.39 （三）小结（三）小结.41 1、云安全责任分担模式在业界已经达成共识，但划分标准各有不同.41 2、用户与云平台服务商的责任大小与云服务模式密切相关.43 3、基于重点行业的安全责任分担实践正在涌现.43 4、有第三方企业参与的安全责任分担模型开始出现.43 四、问题与建议四、问题与建议.4444 （一）重要问题分析（一）重要问题分析.44 1、云平台服务商提供互联网接入和网络接入资源设施等服务，其应主要 履行互联网服务提供商的相关义

11、务，并与云平台用户（互联网内容提供 商等）共同承担其他平台责任.44 2、面对监管与合规要求，云平台服务商执行巡查监测，但从法律依据、 3 主体属性、用户隐私及商业模式等角度来看，客观上难以实现全面的主 动巡查.45 3、云平台服务多元模式下，云平台安全责任划分应考虑责任主体权利与 义务的对等性， “一刀切”的治理思路会加重主体责任，从而影响各方利 益，也会导致问责无效.48 （二） “权利-责任”动态匹配的云平台安全责任分担框架构建（二） “权利-责任”动态匹配的云平台安全责任分担框架构建.48 （三）主要对策建议（三）主要对策建议.51 1、完善政策法规，合理界定云平台主体责任边界.51

12、2、创新监管方式，授权个案与类型化的平台巡查.51 3、加强治理理念，建设多元主体协同的治理模式.52 4、探索服务模式，推动云平台安全责任分担模型.52 5、抓住重点行业，探索基于重点领域的最佳实践.52 1 一、云计算与云平台安全责任一、云计算与云平台安全责任 （一）云计算发展历程与现状（一）云计算发展历程与现状 云计算（cloud computing）是指通过网络访问可扩展的、灵活的物理或虚拟 共享资源池（如服务器、操作系统、网络、软件、应用和存储设施等） ，并按需 自助获取和管理资源的模式1。 美国国家标准技术研究院 （NIST， National Institute of Stand

13、ards and Technology）认为云计算是一种模式，能以泛在的、便利的、按 需的方式通过网络访问可配置的计算资源（例如网络、服务器、存储器、应用和 服务） ，这些资源可实现快速部署与发布，并且只需要极少的管理成本或服务提 供商的干预。 伯克利云计算白皮书则认为云计算既指在互联网上以服务形式 提供的应用，也指在数据中心中提供这些服务的硬件和软件，而这些数据中心中 的硬件和软件则被称为云。尽管这些定义不尽相同，但勾勒出了云计算必须具备 的一些基本特征，即云计算是一种 IT 资源应用模式、通过网络访问、可进行灵 活的虚拟化的资源共享、可基于需求动态配置等。 图 1 云计算发展历程图图 1

14、云计算发展历程图2 1 GB/T 31167-2014 信息安全技术 云计算服务安全指南EB/OL. 2来源：英国计算机协会. History of the cloud EB/OL. https:/www.bcs.org/content-hub/history-of-the-cloud/ 2 事实上，云计算的雏形想法最早在 20 世纪 90 年代末提出，当时的“云”主 要指的是“网络计算”的概念。现代云计算概念的开端以 2002 年亚马逊发布公 有云为标志，但当时云计算应用并没有得到普及。在随后的十年里，并伴随着虚 拟化、分布式等技术的积累与成熟，云计算快速发展，并经历了两代发展历程。 第一代

15、云计算（2005-2011 年）实现了云计算概念的真正定义，亚马逊 AWS 的 Elastic Compute Cloud (EC2)也于 2006 年向公众开放，而后谷歌首席执行官埃里 克施密特在搜索引擎大会上首次提出了真正意义上云计算的概念。在此期间， 技术解决方案的重心是增强数据中心的能力。 同时， 数据库服务开始在云上可用， Dropbox 概念也促进了云存储即服务的发展。随后，私有云开始出现。 在第一代云计算的基础上，第二代云计算（2012-2017 年）服务和商业模式更 加多样化，供应商也更加多元化，谷歌、IBM、微软、腾讯、阿里巴巴等大型科 技巨头分别提供了不同类型的云计算服务，

16、 云计算的应用开始从互联网行业向政 府、金融、工业、交通、物流、医疗健康等传统行业渗透。随着技术的发展，非 关系数据库服务、DevOps、微服务、容器服务、混合云等新型技术和模式不断 涌现。如今，云计算正不断趋向成熟，但从技术角度看，黄金时代仍未到来，边 缘计算、微型数据中心将是未来云计算的重要发展方向。 根据中国信息通信研究院统计，2018 年全球公有云市场规模达到 1363 亿美 元，我国云计算整体市场规模达 962.8 亿元，增速为 39.2%3。而市场调研公司 Gartner 预测， 2019 年全球公共云服务市场达到 2143 亿美元，增速为 17.5， 到 2022 年全球公有云服

17、务营收将增长至 3312 亿美元4。 3中国信息通信研究院.云计算发展白皮书（2019 年）EB/OL. 4Gartner.Gartner Forecasts Worldwide Public Cloud Revenue to Grow 17.5 Percent in 2019 EB/OL. blic-cloud-revenue-to-g 3 （二）云平台及相关概念（二）云平台及相关概念 在云计算产业服务链中存在着产业生态依存现象， “服务商用户”身份可 随着产业链延伸而不断衍化。 图 2 报告研究的“云平台服务商-云平台用户” 范围图 2 报告研究的“云平台服务商-云平台用户” 范围 本报告

18、中所指的云平台服务商，是指管理、运营、支撑云计算的计算基础设 施及软件，并通过网络交付云计算资源的供应方；而云平台用户，指直接使用云 计算服务，并同云平台服务商建立业务关系的参与方；云计算平台，即云平台， 则是云平台服务商提供的云计算基础设施及其上的服务软件的集合5。值得注意 的是，在云环境下，云用户往往存在层级嵌套（图 2）的情况，因此，本报告中 所指的用户，是云平台服务商的直接客户。 以云平台服务商的用户范围来划分，可将云计算分成私有云、公有云、社区 云、混合云等部署模式。其中私有云仅限某个特定的用户使用，是为该用户单独 使用而建立的，根据管理和运营的主体不同，可分为场外私有云（由云服务商

19、拥 有、管理和运营）和场内私有云（由用户自己管理和运营） ；公有云的用户范围 没有限制，由云服务商负责建设、管理和运营，用户通过互联网使用服务；社区 云是由有着类似需求并打算共享基础设施的组织共同创立的云， 仅限该用户群体 5 GB/T 31167-2014 信息安全技术 云计算服务安全指南EB/OL. 4 范围使用；混合云是由上述两种或两种以上部署模式形成的组合。 而根据云平台服务商提供的资源类型的不同，云平台主要有三种服务模式6： 图 3 云平台三种服务模式图 3 云平台三种服务模式 1）基础设施即服务（IaaS） ：1）基础设施即服务（IaaS） ：在 IaaS 模式下，云平台是作为网络

20、基础设施存 在的，云平台服务商向用户提供虚拟计算机、存储、网络等计算资源，提供访问 云计算基础设施的服务接口。 用户可在这些资源上部署或运行操作系统、 中间件、 数据库和应用软件等。用户通常不能管理或控制云计算基础设施，但能控制自己 在云上部署的操作系统、存储和应用，也能部分控制使用的网络组件，如主机防 火墙。IaaS 的服务对象主要为企业级用户，例如金融、电商、游戏等行业会使用 云服务商提供的网络接入、数据库、云服务器、云硬盘、负载均衡、CDN 等资 源。 2）平台即服务（PaaS）2）平台即服务（PaaS） ：在 PaaS 模式下，云平台主要作为软件开发和运行平 台， 云平台服务商向用户提

21、供的是运行在云计算基础设施之上的软件开发和运行 平台，如：标准语言与工具、数据访问、通用接口等。用户可利用该平台开发和 6 GB/T 31167-2014 信息安全技术 云计算服务安全指南EB/OL. 5 部署自己的软件。用户通常不能管理或控制支撑平台运行所需的低层资源，如网 络、服务器操作系统、存储等，但可对运行应用的环境进行配置，控制自己在云 上部署的应用。PaaS 的典型案例包括人工智能公司利用云服务商提供的 PaaS 平 台和开发工具开发人工智能软件。 3）软件即服务（SaaS）3）软件即服务（SaaS） ：在 SaaS 模式下，云平台主要作为应用软件，云平台 服务商向用户提供的是运行

22、在云计算基础设施之上的应用软件。用户无需购买、 开发软件， 可利用不同设备上的用户端(如 Web 浏览器)或程序接口通过网络访问 和使用云平台服务商提供的应用软件，如电子邮件系统、协同办公系统等。用户 通常不能管理或控制支撑应用软件运行的低层资源， 如网络、 服务器、 操作系统、 存储等，但可对应用软件进行有限的配置管理。如云平台服务商面向企业用户提 供的办公软件、企业邮箱、邮件推送、云桌面等产品都属于 SaaS 模式。 （三）云平台安全及其特点（三）云平台安全及其特点 云计算作为随着信息技术演进而出现的一种新型生产和服务模式，能够按需 配置和优化一种或多种昂贵的计算资源，通过模块化与集约化的

23、管理，实现资源 的有效整合，降低供需双方交易成本，促进生产效率提升，创新数字经济商业模 式。与此同时，云计算技术的迅速迭代，也潜藏着各种安全风险，在云平台中可 粗略划分的不同架构层次中，如基础层、平台层、应用层等，均普遍存在安全问 题，这些问题已经开始制约云平台的长期发展，可谓“牵一发而动全身” 。除无 法忽略技术安全风险之外，还有与云平台服务模式、管理方式以及运营模式等相 关的安全问题，也深刻影响了云平台的广泛应用，因此本报告将安全问题归结为 如下四个风险域，并逐一进行分析。 1、系统安全1、系统安全 6 系统安全涵盖保障和支撑云平台运行的通讯、软件、硬件等一系列基础设施 的安全域，如云主机

24、安全、虚拟化平台安全、通讯安全及运行环境安全。其中， 资源虚拟化技术是云平台的特有基础技术之一，需要关注虚拟化软件的脆弱点、 主机虚拟化后容器安全及其日常管理安全等风险。 由于虚拟化环境独特的动态特 性，在遇到虚拟机未能激活、资源冲突、虚拟系统通信中断等问题时，传统的静 态安全防护措施往往无法奏效。典型的公有云平台往往采用多租户共享资源，即 多个虚拟资源被绑定到相同的物理主机资源上， 云平台用户之间难以保证良好的 隔离性，若云平台的虚拟化软件中存在安全漏洞，那么该物理主机上的用户数据 很可能被违规非法访问，进而引发一系列安全事件等。 2、应用安全2、应用安全 应用安全涵盖预防与管控在云平台中部

25、署的业务相关的应用或应用开发接 口所带来风险的安全域，包括业务应用系统在设计、开发、发布及配置等过程中 所应采取安全措施，也包括应用在上线运行后所采取的业务防护措施，如应用识 别、入侵防御、身份认证及资源访问控制等，还包括业务应用的基础支撑软件和 应用扩展（APIs）的防护、加固，及访问业务应用或调用应用扩展的操作终端的 安全管理与控制等。 例如， 在云计算环境下， 用户开发和应用的环境部署在云端， 云平台服务商通过开放一些云平台用户界面（UI）或 API，供客户使用接口和 API 等管理和调用包括云资源、 管理、 服务编排和镜像等云服务以实现应用管理、 与云服务进行交互。 而安全性差的 AP

26、I 将会成为整个云服务体系的脆弱点， 加之 网络的开放性，云平台极易被攻破和利用，这会带来机密性、完整性、可用性和 问责性等一系列安全问题。 3、数据安全3、数据安全 7 数据安全虽然不是云环境下所特有的安全问题域，但却是云平台用户最关心 的关键安全问题之一。根据思科预测，到 2021 年全球云数据中心流量将达到每 年 19.5ZB，2021 年全球将有 628 个超大规模数据中心7。数据作为云平台的核心 资源，按来源可分为三类：一是用户在云平台业务系统中生产的数据，二是由用 户操作业务系统的行为而产生的数据，三是来自通讯、平台及应用等因运行而产 生的系统运维数据。云平台的数据安全应确保数据在

27、传输、存储、流动、应用等 环节中风险可控。 当前云平台用户的数据安全对云平台服务商的管控能力高度依 赖， 用户业务数据的权属和管理虽属于用户本身，但其对数据保护和数据管理的 能力有待提升。一方面，由于黑客攻击、人为操作、应用程序漏洞或安全措施配 置等原因往往导致云平台上的数据被不正当利用、造成敏感数据泄露事件等；另 一方面，由于各国政策法规对数据本地化、数据跨境的管理要求不同，以及不同 行业与标准对于数据管理的差异性，数据安全的复杂性大大提高。 4、内容安全4、内容安全 内容安全是在云平台中所承载的业务运营结果或其数据所附着的信息的防 护或监管的安全域，这些内容最终往往以图片、文本、视频、声音

28、等形式呈现。 依据安全管控的目标不同，可分为合法内容的保护和非法内容的监管与打击。前 者主要包括商业秘密保护、版权保护、复制防护等，后者通常涉及云平台上可能 潜藏的色情、暴力、低俗、政治敏感、恶意广告等违法违规或有害内容，这些也 是当前云平台中最常见、最难监管、防控难度较大的安全问题之一，轻则影响业 务平稳运营，重则造成巨大社会舆论压力，导致云服务被暂停甚至中止。 根据云平台的服务模式，云平台服务商作为互联网服务的提供方角色，其首 7 Cisco. Global Cloud Index: Forecast and Methodology, 20162021 White Paper EB/OL.

29、 hite-paper-c11-738085.html 8 要关注点在于用户使用云计算的业务是否正常， 随着云服务的普及、 泛在和增长， 日趋成熟的云服务商也在根据国家有关法规， 以人工智能等技术识别应对和用户 协议等形式途径，加强对云平台内容安全的防控自治，但由于责任边界有限、技 术现实制约，很难对使用者的目的进行有效和前置审核，从而导致云平台服务商 未收到投诉和举报或来自监管部门的执法协助等情况下， 即使云平台用户在云平 台上进行违规操作或发布违法违规或不良信息，云平台服务商对其的及时发现、 准确识别处理以及取证均受到影响。同时，也存在云服务商未建立严格有效的自 我管控机制而导致有害信息泛

30、滥的情况。 （四）云平台安全责任（四）云平台安全责任 为解决日益凸显的云平台安全问题，云平台安全责任的落实与划分至关重要。 报告认为， 与云平台相关的责任主体包括监管部门、 云平台服务商和云平台用户， 其相关的安全责任一方面是来自于监管部门对云平台服务商的责任要求， 另一方 面则是云平台服务商与云平台用户之间的责任划分问题。 图 4 报告研究的“云平台安全责任” 范围图 4 报告研究的“云平台安全责任” 范围 其中， 监管部门对云平台服务商的安全责任要求， 一是行业准入与资质管理， 即国家对电信业务经营按实行许可制度，云平台服务商需要依据相关规定取得 增值电信业务经营许可证 ，可开展云平台涉及

31、互联网资源协作服务业务8、互 8 互联网资源协作服务业务是指利用架设在数据中心之上的设备和资源，通过互联网或其他网络以随时获 9 联网内容分发服务业务9、互联网接入服务10、互联网域名解析服务11等类型的电 信业务；二是云平台服务商需依据法律法规合规开展业务。而云平台服务商与云 平台用户的责任关系问题主要涉及：一是依据合同关系划分责任；二是在侵权关 系下依据不同情境进行责任界定。 本报告研究的重点是根据监管部门对云平台在系统安全、应用安全、数据安 全、内容安全四个安全域的监管要求，界定云平台服务商基于合规的安全责任， 以及云平台服务商与云平台用户的责任。 可以发现，云平台安全由于涉及责任主体的

32、多样性、平台服务模式多样性以 及部署方式的特殊性，再加上不同场景的合规需求差异巨大，以及国内外不同的 监管要求，导致云平台服务商和云平台用户之间的安全责任难以清晰界定，这也 进一步说明了云平台安全治理的复杂性与艰巨性。 取、按需使用、随时扩展、协作共享等方式，为用户提供的数据存储、互联网应用开发环境、互联网应用 部署和运行管理等服务。 9 内容分发网络（CDN）业务是指利用分布在不同区域的节点服务器群组成流量分配管理网络平台，为用户 提供内容的分散存储和高速缓存，并根据网络动态流量和负载状况，将内容分发到快速、稳定的缓存服务 器上，提高用户内容的访问响应速度和服务的可用性服务。 10 互联网接

33、入服务业务是指利用接入服务器和相应的软硬件资源建立业务节点，并利用公用通信基础设施 将业务节点与互联网骨干网相连接，为各类用户提供接入互联网的服务。用户可以利用公用通信网或其他 接入手段连接到其业务节点，并通过该节点接入互联网。 11 互联网域名解析服务业务是指在互联网上通过架设域名解析服务器和相应软件， 实现互联网域名和 IP 地 址的对应关系转换的服务。域名解析服务包括权威解析服务和递归解析服务两类。权威解析是指为根域名、 顶级域名和其他各级域名提供域名解析的服务。递归解析是指通过查询本地缓存或权威解析服务系统实现 域名和 IP 地址对应关系的服务。 10 二、云平台安全责任的国内外监管二

34、、云平台安全责任的国内外监管 （一）国内核心法规与监管要求梳理（一）国内核心法规与监管要求梳理 根据电信业务分类目录（2015 版） 的相关分类，云平台涉及互联网资源 协作服务业务、互联网内容分发服务业务、互联网接入服务、互联网域名解析服 务等类型的电信业务，并建立了较为完善的法律法规监管体系（图 5） 。 图 5云平台安全责任法律法规与监管体系图 5云平台安全责任法律法规与监管体系 其中， 网络安全法 计算机信息网络国际联网安全保护管理办法（公安部 第33号令） 电信条例信息安全技术 云计算服务安全指南 （GB/T 31167-2014） 等对云平台在系统安全、应用安全、数据安全、以及内容安

35、全责任提出了直接相 关的要求（表 1） ，具体有：1） 、网络安全防护；2）网站/app 实名备案审核；3） 日志留存；4）针对用户违法行为配合处置；5）违法内容监测处置；6）安全风 险向有关部门报告；7）执法技术协助等。此外， 侵权责任法 、 信息网络传播 权保护条例 、 互联网信息服务管理办法等法律也从不同角度对云平台安全责 任有所覆盖。但是，当前法律法规对于云平台服务商和云平台用户的安全责任划 分仍待进一步研究。 11 表 1 国内云平台安全相关的政策文件一览表表 1 国内云平台安全相关的政策文件一览表 序号序号政策/法规/标准政策/法规/标准云平台服务商云平台服务商云平台用户云平台用户

36、涉 及 的 云涉 及 的 云 安全域安全域 对云平台具体监管要求对云平台具体监管要求 1网络安全法网络运营者个人或组织 系统安全、 应用安全、 数据安全、 内容安全 1、 网络安全防护； 2、 网站/app 实名备案审核；3、日志留存； 4、针对用户违法行为配合处 置；5、违法内容监测处置；6、 安全风险向有关部门报告；7、 执法技术协助 2 全国人民代表大会 常务委员会关于加强 网络信息保护的决定 网络服务提供者用户 系统安全、 数据安全、 内容安全 1、 网络安全防护； 2、 网站/app 实名备案审核；3、针对用户违 法行为配合处置；4、违法内容 监测处置；5、安全风险向有关 部门报告；

37、6、执法技术协助 3电信条例 电信业务经营者 （增值业务） 电信用户 内容安全、 系统安全 1、 网络安全防护； 2、 网站/app 实名备案审核；3、日志留存； 4、针对用户违法行为配合处 置；5、安全风险向有关部门报 告 4 计算机信息系统安 全保护条例 计算机信息系统 的使用单位 计 算 机 信 息 系 统 的 使 用 单位 系统安全、 数据安全 1、网络安全防护；5、安全风 险向有关部门报告 5 信息网络传播权保 护条例 网络服务提供者服务对象内容安全1、 针对用户违法行为配合处置 6 计算机信息网络国 际联网安全保护管理 办法（公安部第 33 号 令） 互联单位、接入 单位及使用计算

38、 机信息网络国际 联网的法人和其 他组织 单位和个人 系统安全、 应用安全、 数据安全、 内容安全 1、 网络安全防护； 2、 网站/app 实名备案审核；3、日志留存； 4、针对用户违法行为配合处 置；5、违法内容监测处置；6、 安全风险向有关部门报告；7、 执法技术协助 7 公安机关互联网安 全监督检查规定 （公安 部令第 151 号） 网络服务运营机 构 （互联网接入、 域名服务、内容 分发服务） 联 网 使 用 单 位 系统安全、 应用安全、 数据安全、 内容安全 1、 网络安全防护； 2、 网站/app 实名备案审核；3、日志留存； 4、针对用户违法行为配合处 置；5、违法内容监测处置；6、 安全风险向有关部门报告；7、 执法技术协助 12 8 电信业务经营许可 管理办法 （工业和信息 化部第 42 号令） 增值电信业务经 营者 单 位 或 者 个 人 系统