美中网路交锋:骇客行动与数据安全◆文/范浩祥《交流杂志110年10月号第179期(历史资料)》
- 更新日期:112-07-13
外界将美中贸易战归咎美国前总统川普(Donald Trump)的个人特质与其政策,但美国政党轮替后,美中贸易战却未停歇,美国总统拜登(Joe Biden)在其《国家安全战略暂行指南》(Interim National Security Strategic Guidance)定调的中国政策并未翻转川普的政策。美中冲突源于双方对发展模式与价值的不同观点。在贸易与科技议题上,北京以极端的重商主义或国家资本主义经营国际贸易与发展科技,细部操作模式便是补贴与偷窃智慧财产权的不公平竞争,其中又以网路骇客行动对美国的影响最巨,加速缩短美中的科技与经济差距。
美中网路竞逐 中共修法保障数据安全
从美国前总统川普任内开始,美国便逐步紧缩国内企业与中国大陆的高科技产业贸易往来,包括制裁华为、中兴通讯、海能达、海康威视及大华技术等涉及关键资讯基础设施建设与维护的大陆企业。美国在2020年7月到2021年8月底陆续起诉12名陆籍骇客,控诉其涉嫌窃取COVID-19疫苗、武器设计、软体原始码等资料,同时也修改软体程式码植入后门、发动网路攻击等。
美国自2017年以来展开的一系列政策,除外交杯葛外,北京也展开修法以巩固数据安全并反击美国,这些修法最终以《数据安全法》(2021,以下简称《该法》)呈现。除《该法》本文外,另包括各种涉及不同产业与议题的定级指南,以律定中国大陆境内数位资料的分级与分类制度。中共并援引长臂管辖的概念要求:未取得主管机关同意,在陆营运数据中心的企业不得将数据交付第三方使用,或企业不得将取自中国大陆境内的数据交付第三方使用。这些规范反映在美中网路竞逐的当下,中共尝试修法强化资讯安全,并在网路的虚拟空间竖立主权原则。
《数据安全法》内容与政策目的
《该法》为中共国安法规一环,目的在于连结各类国安法规。《该法》第2条至第5条紧扣数据安全与国家安全,其内文分与中共《国家安全法》第25条与第59条、《网路安全法》第四章等国家安全相关法令呼应。《该法》的核心目标为强化资讯保护与建构网路主权,就前者而言,《该法》连结《网路安全法》及《资讯安全技术:网路安全等级保护定级指南》(以下简称《指南》)等官方文件,要求国务院标准化行政主管部门和相关部门,根据职责订立资讯安全相关标准;后者而言,《该法》第2条与第31条纳入「长臂管辖」概念,要求任何取自中国大陆的数据不得损害国家安全、公共利益或公民、组织的合法权益。
《数据安全法》规范的议题有三:第一,在陆执行业务的法人或自然人,不得在未经许可的前提下,在境外使用任何来自大陆的资讯,第一章与第四章对此多有著墨,例如不得向外国司法或司法机构提供储存于大陆境内的数据(第36条);即便是在境外处理这些数据,只要违反,也将追究法律责任(第2条)。第二,要求中共国务院标准化行政主管部门与有关部门负责制订标准与体系的认定,要求省级以上的政府将数字经济纳入经济和社会发展规划之外,并要求国务院标准化行政主管部门(中共国家标准化管理委员会)会同其他部门、企业、社会团体和教育、科研机构制订相关标准。第三,要求建立数据分级分类保护制度,如无意外,这个制度与前述《指南》的内容可能高度相关,并将援引其他相关法律以作为分级分类的标准,例如《国家安法》、《保守国家秘密法》等。
近年中共修订许多与网路安全及骇客行为相关的行政命令,例如《证券期货业数据分类分级指引》(2018)、《基础电信企业数据分类分级方法》(2019)、《工业数据分级分类指南(试行)》(2020)、《个人金融资讯保护技术规范》(2020)、《金融数据安全、数据安全分级指南》(2020)。这些行政命令均直指资讯安全,而《反间谍法实行细则》(2017)与《反间谍安全防范工作规定》(2021)也将网路骇客行为的防范作为重点议题,这些现象显示著北京近年相当重视资讯安全的保障,因为从资讯安全的角度来看,多数骇客攻击得以成功系因使用者的疏忽大意。
即便实体世界的主权原则能否适用在网路虚拟空间仍有疑问,中共仍偏好在虚拟世界主张主权原则,并强调规范大陆相关资讯的使用前提,这或许源于过去北京长年以来对和平演变与民主化的担忧。《该法》内容相当程度地著墨在大陆数据的使用权利,而这些资讯必须在获得中共主管部门同意后方能使用或交付第三方。从方法论的角度来说,若类似资讯被堆叠检视,便可透过统计方法或个案比较方式检视中国大陆经济、政治与社会情势的变化,例如检视中国大陆各地空气污染品质的变化程度,即可反推当地经济与交通情况的变化。
美中网路交锋的影响
美中网路交锋看似与一般民众或企业无关,实际上,却可能因为政治或安全效益的外溢,导致企业与个人权益的损害。从企业权益来说,首先,《该法》律定在中国大陆设立数据中心的企业或数据内容取自中国大陆者,在交付第三方前必须经过主管单位同意。对许多企业来说,这类资讯在商业上的价值极高,若必须在取得中共主管机关同意后方能使用,可能失去先机。其次,从法律层面来说,《该法》的实行将使在陆企业至少面对4项新法规:中共网信办制订的相关规范、中共国安部的规范、《网路安全法》与《保守国家秘密法》,《网路安全法》仅止于个人资讯,《保守国家秘密法》则以政府资讯为主,《该法》扩大了「秘密」或「机密」的定义,因而企业—即便其服务的对象为自然人—也必须受到更多的法律限制。
从《该法》内容来看,中共国安部、公安部、保密局与网信办均有权力介入该法的实行或解释,目前中共相关法令对「国家安全」与「数据安全」定义模糊的情况下,相关部会在执行过程中也可能产生冲突。
《网路安全法》或《数据安全法》均提及国家鼓励网路技术创新和应用,支援培养网路安全人才,建立健全网路安全保障体系,提高网路安全保护能力。若中共相关部门混合解释这些法律,可能变相成为另一种型态的强迫技术转让,在陆企业可能被迫交付相关技术、程式码或被迫协助安装后门程式,造成其身陷美中贸易战的漩涡。
数据安全与国家安全界线模糊
美中网路交锋为双方贸易战的一环,贸易战反映双方对发展模式的差异已到了无法容忍的临界点,导致美国祭出一系列行政命令制裁华为、中兴通讯等高科技企业,并以司法程序起诉陆籍骇客。相对地,北京则逐步修法建构资讯安全的分类与分级制度,制订《数据安全法》定义资讯安全与国家安全的关系,却在大陆及国际社会之间埋下两个隐忧:第一,过度扩张国家安全的定义与模糊化数据安全与国家安全的界线,导致即便是取自自然人的资料也可能被冠以国家安全之名;第二,相关法令的执行与监督机关过多,可能导致部门冲突或意见的分歧,导致被管理者无所适从或容易违反规定。