按Enter到主內容區
:::

財團法人海峽交流基金會

:::

美中網路交鋒:駭客行動與數據安全◆文/范浩祥

  • 更新日期:110-10-05

外界將美中貿易戰歸咎美國前總統川普(Donald Trump)的個人特質與其政策,但美國政黨輪替後,美中貿易戰卻未停歇,美國總統拜登(Joe Biden)在其《國家安全戰略暫行指南》(Interim National Security Strategic Guidance)定調的中國政策並未翻轉川普的政策。美中衝突源於雙方對發展模式與價值的不同觀點。在貿易與科技議題上,北京以極端的重商主義或國家資本主義經營國際貿易與發展科技,細部操作模式便是補貼與偷竊智慧財產權的不公平競爭,其中又以網路駭客行動對美國的影響最鉅,加速縮短美中的科技與經濟差距。

美中網路競逐 中共修法保障數據安全

從美國前總統川普任內開始,美國便逐步緊縮國內企業與中國大陸的高科技產業貿易往來,包括制裁華為、中興通訊、海能達、海康威視及大華技術等涉及關鍵資訊基礎設施建設與維護的大陸企業。美國在2020年7月到2021年8月底陸續起訴12名陸籍駭客,控訴其涉嫌竊取COVID-19疫苗、武器設計、軟體原始碼等資料,同時也修改軟體程式碼植入後門、發動網路攻擊等。

美國自2017年以來展開的一系列政策,除外交杯葛外,北京也展開修法以鞏固數據安全並反擊美國,這些修法最終以《數據安全法》(2021,以下簡稱《該法》)呈現。除《該法》本文外,另包括各種涉及不同產業與議題的定級指南,以律定中國大陸境內數位資料的分級與分類制度。中共並援引長臂管轄的概念要求:未取得主管機關同意,在陸營運數據中心的企業不得將數據交付第三方使用,或企業不得將取自中國大陸境內的數據交付第三方使用。這些規範反映在美中網路競逐的當下,中共嘗試修法強化資訊安全,並在網路的虛擬空間豎立主權原則。

《數據安全法》內容與政策目的

《該法》為中共國安法規一環,目的在於連結各類國安法規。《該法》第2條至第5條緊扣數據安全與國家安全,其內文分與中共《國家安全法》第25條與第59條、《網路安全法》第四章等國家安全相關法令呼應。《該法》的核心目標為強化資訊保護與建構網路主權,就前者而言,《該法》連結《網路安全法》及《資訊安全技術:網路安全等級保護定級指南》(以下簡稱《指南》)等官方文件,要求國務院標準化行政主管部門和相關部門,根據職責訂立資訊安全相關標準;後者而言,《該法》第2條與第31條納入「長臂管轄」概念,要求任何取自中國大陸的數據不得損害國家安全、公共利益或公民、組織的合法權益。

《數據安全法》規範的議題有三:第一,在陸執行業務的法人或自然人,不得在未經許可的前提下,在境外使用任何來自大陸的資訊,第一章與第四章對此多有著墨,例如不得向外國司法或司法機構提供儲存於大陸境內的數據(第36條);即便是在境外處理這些數據,只要違反,也將追究法律責任(第2條)。第二,要求中共國務院標準化行政主管部門與有關部門負責制訂標準與體系的認定,要求省級以上的政府將數字經濟納入經濟和社會發展規劃之外,並要求國務院標準化行政主管部門(中共國家標準化管理委員會)會同其他部門、企業、社會團體和教育、科研機構制訂相關標準。第三,要求建立數據分級分類保護制度,如無意外,這個制度與前述《指南》的內容可能高度相關,並將援引其他相關法律以作為分級分類的標準,例如《國家安法》、《保守國家秘密法》等。

近年中共修訂許多與網路安全及駭客行為相關的行政命令,例如《證券期貨業數據分類分級指引》(2018)、《基礎電信企業數據分類分級方法》(2019)、《工業數據分級分類指南(試行)》(2020)、《個人金融資訊保護技術規範》(2020)、《金融數據安全、數據安全分級指南》(2020)。這些行政命令均直指資訊安全,而《反間諜法實行細則》(2017)與《反間諜安全防範工作規定》(2021)也將網路駭客行為的防範作為重點議題,這些現象顯示著北京近年相當重視資訊安全的保障,因為從資訊安全的角度來看,多數駭客攻擊得以成功係因使用者的疏忽大意。

即便實體世界的主權原則能否適用在網路虛擬空間仍有疑問,中共仍偏好在虛擬世界主張主權原則,並強調規範大陸相關資訊的使用前提,這或許源於過去北京長年以來對和平演變與民主化的擔憂。《該法》內容相當程度地著墨在大陸數據的使用權利,而這些資訊必須在獲得中共主管部門同意後方能使用或交付第三方。從方法論的角度來說,若類似資訊被堆疊檢視,便可透過統計方法或個案比較方式檢視中國大陸經濟、政治與社會情勢的變化,例如檢視中國大陸各地空氣污染品質的變化程度,即可反推當地經濟與交通情況的變化。

美中網路交鋒的影響

美中網路交鋒看似與一般民眾或企業無關,實際上,卻可能因為政治或安全效益的外溢,導致企業與個人權益的損害。從企業權益來說,首先,《該法》律定在中國大陸設立數據中心的企業或數據內容取自中國大陸者,在交付第三方前必須經過主管單位同意。對許多企業來說,這類資訊在商業上的價值極高,若必須在取得中共主管機關同意後方能使用,可能失去先機。其次,從法律層面來說,《該法》的實行將使在陸企業至少面對4項新法規:中共網信辦制訂的相關規範、中共國安部的規範、《網路安全法》與《保守國家秘密法》,《網路安全法》僅止於個人資訊,《保守國家秘密法》則以政府資訊為主,《該法》擴大了「秘密」或「機密」的定義,因而企業—即便其服務的對象為自然人—也必須受到更多的法律限制。

從《該法》內容來看,中共國安部、公安部、保密局與網信辦均有權力介入該法的實行或解釋,目前中共相關法令對「國家安全」與「數據安全」定義模糊的情況下,相關部會在執行過程中也可能產生衝突。

《網路安全法》或《數據安全法》均提及國家鼓勵網路技術創新和應用,支援培養網路安全人才,建立健全網路安全保障體系,提高網路安全保護能力。若中共相關部門混合解釋這些法律,可能變相成為另一種型態的強迫技術轉讓,在陸企業可能被迫交付相關技術、程式碼或被迫協助安裝後門程式,造成其身陷美中貿易戰的漩渦。

數據安全與國家安全界線模糊

美中網路交鋒為雙方貿易戰的一環,貿易戰反映雙方對發展模式的差異已到了無法容忍的臨界點,導致美國祭出一系列行政命令制裁華為、中興通訊等高科技企業,並以司法程序起訴陸籍駭客。相對地,北京則逐步修法建構資訊安全的分類與分級制度,制訂《數據安全法》定義資訊安全與國家安全的關係,卻在大陸及國際社會之間埋下兩個隱憂:第一,過度擴張國家安全的定義與模糊化數據安全與國家安全的界線,導致即便是取自自然人的資料也可能被冠以國家安全之名;第二,相關法令的執行與監督機關過多,可能導致部門衝突或意見的分歧,導致被管理者無所適從或容易違反規定。

回頁首