中國人民代表大會在第12屆第24次常務委員會會議中決議,正式通過中國網路安全法,並於今年6月1日正式施行,引發全球科技公司對於中國政府侵犯網路隱私與企業營運機密的隱憂。

圖片來源: 

中國人大網提供

中國第一部網路安全專法「中華人民共和國網路安全法」由中國政府最高的權力機關,也是最高立法機構「中華人民共和國第12屆全國人民代表大會常務委員會」通過,於去年11月7日通過,並在6月1日正式實施。

先前【資安週報第49期】在中國第一部網路安全專法出爐時,就曾經比較過中國網路安全法和臺灣資安管理法的差異,但隨著該法正式施行,即便許多外國政府紛紛向中國政府抗議,例如該法包括實名制在內的規定,都已經違反許多使用者網路隱私的保障,甚至於,該法強制外國科技公司必須提供中國政府留有相關的後門管道供其稽核審查,加上政府人員有權可以自由進出稽核的規範,甚至已經嚴重妨害到這些外國科技公司的營業機密。

中國政府從第一部開始實行網路安全專法,加上根據「中國共產黨網路社會維穩計劃」,一直到2020年,所有中國公民在網路上所有行為都可以被中國政府「記錄」、「評價」甚至「控制」等,就如同成功大學電機系教授李忠憲的觀察,當中國透過這種全面的網路監控系統已經逐步走向「IT專政」的同時,「網路和科技將在2020年成為中國政府控制人民的重要工具,中國政府將形塑21世紀極權互聯網社會。」李忠憲說道。

因此,即便兩岸商業交流因為民進黨政府執政後,出現一些停滯不前的狀況,但是對於許多長期布局中國的臺資企業而言,隨著中國網路安全法正式施行,臺資企業更得深刻意識到,面對中國政府朝向IT專政邁進的同時,更應該持續關注企業永續經營的重要性,包括:營運相關資料的異地備份及系統的異地即時備援機制等,在在都會影響臺資企業營運的穩定性。

最糟最糟的狀況,因為中國政府有權驗證相關產品的的安全性,也有權進入企業進行搜索查核,至少,這些臺資企業如果可以做到營運機密資料可以即時同步回傳到臺灣總部,並且也有備援系統可以切換運作時,如果遇到強迫查核與搜索時,至少還有重要的資料和系統,可以確保該企業仍有持續營運的能力。

臺資服與軟體開發業者,應關注中國網路安全法開後門條款

從中國網路安全專法的實施來看,至少可以明確認定,包括中國政府在內,各國已經體認到網路安全是國家安全重要的環節之一,尤其是對於關鍵基礎設施(公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業)以及網路安全的防護等,都是各國政府在制定相關的資安或網路安全專法時的優先項目之一。

行政院資安處處長簡宏偉表示,臺灣已經送到立法院進行審查的資安管理法,也同樣在法規內規範重要的關鍵基礎設施的安全性,這其實已經是世界潮流,多數國家都不會置外於這樣的趨勢之外。但他也強調,由於各國政府實際推動資安防護的作法,都會依據各國實際需求和要求的強度來訂定相關規範,他則會提醒,包括臺灣的資訊服務業者以及軟體開發業者在內,一旦進軍中國市場時,就必須將中國網路安全專法的法規遵循,納入企業持續營運的風險之中。

相關的規範例如,該法第23條規定:「網路關鍵設備和網路安全專用產品應該按照相關國家(中國)標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後,方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網路關鍵設備和網路安全專用產品目錄,並推動安全認證和安全檢測結果互認,避免重複認證、檢測。」

該法條中隱含中國政府有權要求相關的網路關鍵設備和網路安全專用產品的業者,必須符合中國政府認證規定,且經「檢測合格」後,相關產品才能夠在中國進行銷售。至於,這些企業的資安產品要如何做到符合中國政府規定,以及符合中國政府相關的資安檢測標準,陸續引發許多外國科技公司的憂心,尤其是,進行資安產品檢測時,甚至得提供相關資安產品原始碼供中國政府進行檢測,形同在資安產品中開一個後門,讓中國政府在必要時可以使用。

實名制入法且可強制中斷資通服務,成企業營運炸彈

另外,像是中國網路安全專法第24條強制實名制的規定:「網路營運者為用戶辦理網路接入、域名註冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身分信息。用戶不提供真實身分信息的,網路營運者不得為其提供相關服務。」

李忠憲則認為,實名制應該會造成一定程度的寒蟬效應,中國正式將實名制入法以後,不管申請網路上任何服務,都必須提供真實的身分;外商被迫要提供資料庫的後門,對不同文化的外商可能會造成道德和心理的壓力,且在遵守中國的法令與西方言論自由避免侵犯隱私之間,兩者往往很難取得平衡。他也說,許多人在讚嘆中國電子支付與電子商務蓬勃發展之餘,也應該注意,中國政府對人民在資訊世界裡面嚴格的控管與對個人隱私權的侵犯。

此外,根據第37條規定:「 關鍵信息基礎設施的運營者在中華人民共和國境內運營中,收集和產生的個人信息和重要數據應當在境內儲存。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門製定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。」

李忠憲認為,當所有外國公司提供中國服務的資料,完全都要留在中國,隨時提供國家安全原因的查詢(即是開後門),並且不允許將中國境內的資料做跨境傳輸,相關的公司包括;資訊關鍵基礎設施,App服務廠商,網頁服務供應商,只要在中國設置伺服器服務的公司全部包括在內,因此,不管是電子商務、電子支付、線上旅遊公司、線上廣告公司、或是線上遊戲公司等等,都在這個法律的範圍之內,不遵守相關規定者,中國政府都可以對這些業者吊銷執照或是封鎖其線上服務內容。

與政府或者是關鍵基礎設施相關的機敏資料,限制跨境傳輸是許多國家的共通作法,但多數政府會透過簽署跨境傳輸的協議,在彼此信任的前提下,允許機敏資料跨境傳輸。但中國政府目前看來,並沒有其他簽署合約可以跨境傳輸的選項,要求機敏資料全數在中國落地的作法,已經是中國政府的不變政策。

另外也有資安專家表示,因為中國政府可以依據該法第58條規定:「因維護國家安全和社會公共秩序,處置重大突發社會安全事件的需要,經國務院決定或者批准,可以在特定區域對網絡通信採取限制等臨時措施。」也就是中國政府有權中對企業的各種資通訊服務,這對於許多在中國的臺資與外資企業而言,已經是一種極度不確定的營運風險,甚至可能比在發展中國家因為基礎建設不足會導致資通服務中斷的情況,更讓人感到棘手。

根據英國營運持續協會(Business Continuity Institute,BCI)公布的地平線掃描報告,在前五大會影響企業持續營運的趨勢,排名第四名的就是「新法規和更嚴謹的監管審查」,而趨勢往往就是會對企業持續營運帶來威脅和衝擊的關鍵原因。從中國正式實施網路安全法後,對於包括外商與臺資企業帶來的影響的確可以證明,任何一項法規遵循要求都會影響企業如何落實持續營運管理。

根據英國營運持續協會(Business Continuity Institute,BCI)公布的地平線掃描報告,在前五大會影響企業持續營運的趨勢,排名第四名的就是「新法規和更嚴謹的監管審查」,而趨勢往往就是會對企業持續營運帶來威脅和衝擊的關鍵原因。從中國正式實施網路安全法後,對於包括外商與臺資企業帶來的影響的確可以證明,任何一項法規遵循要求都會影響企業如何落實持續營運管理。


Advertisement

更多 iThome相關內容