6月1日文《中華人民共和國網(wǎng)絡安全法》于今日起正式實施,從此在國家的法律當中明確了網(wǎng)絡空間安全和網(wǎng)絡空間主權(quán)。同時,我國7.31億網(wǎng)民有了專門的法律保護,這意味著占全球22%以上的人口的信息安全有了法律保障。
據(jù)E安全長期觀察,自去年11月到近期一直有跨國企業(yè)和組織機構(gòu)擔心《網(wǎng)絡安全法》會制造貿(mào)易壁壘、限制跨國企業(yè)和技術(shù)產(chǎn)品進入中國市場。跟隨E安全小編一起看看國外如何看待我們的《網(wǎng)絡安全法》,他們的關(guān)注焦點在哪里?
(聲明:文中內(nèi)容和觀點不代表E安全的立場和觀點, E安全只是采擷海外要點以饗讀者,目的僅在于為大家的思考和研究提供最真實的第一手資料。)
焦點一:涉及關(guān)鍵信息基礎設施的數(shù)據(jù)保護令國外承包商倍感焦慮
《網(wǎng)絡安全法》規(guī)定:關(guān)鍵信息基礎設施不僅包括傳統(tǒng)的關(guān)鍵行業(yè),例如能源、交通、金融,此外還包括一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎設施。
同時,關(guān)鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要,確需向境外提供的,應當按照國家網(wǎng)信部門會同國務院有關(guān)部門制定的辦法進行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。
國外分析人士認為,作為關(guān)鍵信息基礎設施主要供應商的國外公司,以及持有中國公民大量信息的公司可能會成為監(jiān)管機構(gòu)執(zhí)行《網(wǎng)絡安全法》的主要目標。《網(wǎng)絡安全法》將主要壓力落到關(guān)鍵信息基礎設施運營者的頭上。許多跨國公司很可能將倍感壓力。
國外分析人士認為,此法對關(guān)鍵信息基礎設施缺乏明確定義,這一點很重要,因為有些公司存在潛在義務,例如,將數(shù)據(jù)本地化到中國,須經(jīng)過網(wǎng)絡安全系統(tǒng)和程序的檢查。某些技術(shù)須通過中國“國家安全審查”,以確保關(guān)鍵信息基礎設施使用之前無法受到非法控制或干擾。國外分析人士認為,此法或?qū)橹袊鴩一ヂ?lián)網(wǎng)信息辦公室、網(wǎng)絡空間監(jiān)管機構(gòu)和其它行業(yè)監(jiān)管機構(gòu)提供廣泛的權(quán)力進行審查。
焦點二:個人信息和重要數(shù)據(jù)定義模糊或增大規(guī)避監(jiān)管成本
《網(wǎng)絡安全法》規(guī)定,個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。重要數(shù)據(jù)指的是與國家安全、經(jīng)濟發(fā)展和社會公共利益密切相關(guān)的數(shù)據(jù)。
國外分析人士認為,此法有關(guān)個人信息和重要數(shù)據(jù)的定義模糊。這一點很重要,因為網(wǎng)絡和關(guān)鍵信息基礎設施運營者必須將這類信息本地化到中國,而將這類數(shù)據(jù)轉(zhuǎn)移到中國境外之前,還必須經(jīng)過相關(guān)監(jiān)察機構(gòu)進行安全評估或予以批準。重要數(shù)據(jù)方面,監(jiān)管機構(gòu)可能會關(guān)注企業(yè)是否存在任何與官方數(shù)據(jù)沖突的數(shù)據(jù),例如行業(yè)或人口健康統(tǒng)計。——有分析認為,此法有關(guān)個人信息和重要數(shù)據(jù)的定義將會對未來監(jiān)管企業(yè)數(shù)據(jù)提出更大挑戰(zhàn)。
按照《網(wǎng)絡安全法》的規(guī)定,企業(yè)必須引入數(shù)據(jù)保護措施,這對許多中國企業(yè)而言是新鮮事物。中國公民或國家安全相關(guān)數(shù)據(jù)必須保存在中國服務器上。企業(yè)將大量個人數(shù)據(jù)提供到境外之前,必須提交監(jiān)管機構(gòu)審查。
企業(yè)從《網(wǎng)絡安全法》中需要解讀出什么信息?
收集私人數(shù)據(jù)的政府部門和企業(yè)必須保護數(shù)據(jù)安全,例如通過加密;
未經(jīng)許可收集公民個人信息會構(gòu)成刑事犯罪;
所有企業(yè)將數(shù)據(jù)(其包含超過五十萬用戶的個人信息或可能影響國家安全或社會公共利益)帶出國門之前,必須經(jīng)過安全評估;
關(guān)鍵基礎設施企業(yè)須將在中國境內(nèi)收集的個人信息和其它重要數(shù)據(jù)存儲在中國境內(nèi);
重要網(wǎng)絡產(chǎn)品和服務在中國境內(nèi)銷售之前必須經(jīng)過國家安全審查;
4月公布的補充加密法草案也許會迫使跨國公司為刑事調(diào)查數(shù)據(jù)或中國的國家安全解密數(shù)據(jù)。
國外企業(yè)代表及分析人士對中國《網(wǎng)絡安全法》進行了以下分析:
肯定的聲音
一部分國外分析人士稱,此法是中國保護數(shù)據(jù)免遭國外政府窺探的舉措之一。因為,斯諾登此前曝光的資料顯示美國正在監(jiān)聽跨國公司的通信。
法新社引用耶魯大學法學院的中美關(guān)系專家格雷厄姆韋伯斯特對網(wǎng)信辦針對《網(wǎng)絡安全法》的內(nèi)容與企業(yè)和媒體溝通,并表示中國的監(jiān)管體制正在演變,不是像6月1日那樣簡單地改變。同時,他還對中國在網(wǎng)絡安全立法方面的嘗試表示稱贊。
全球網(wǎng)絡安全是每個國家都會面臨的問題,最近的一項針對勒索軟件的攻擊表明,任何國家都有可能受到網(wǎng)絡威脅。《網(wǎng)絡安全法》可以看做是中國政府實踐全球網(wǎng)絡安全規(guī)范的典范。
格雷厄姆韋伯斯特認為,北京正在努力應對每個國家都面臨的合法挑戰(zhàn),大部分的謹慎和模棱兩可都來自于想要把事情盡最大可能做好的愿望。新法的實施可以逐步進行,這也使企業(yè)能夠更好地評估他們的義務和借鑒其他公司的經(jīng)驗。
DLA Piper律師事務所駐香港合伙人斯科特·蒂爾表示,雖然此法讓外資企業(yè)董事會產(chǎn)生焦慮,但個人數(shù)據(jù)隱私條例符合世界各地的慣例。例如,此法與歐洲《一般數(shù)據(jù)保護條例》一致。
負面的質(zhì)疑
據(jù)稱,有境外組織曾表示過,希望中國延遲施行《網(wǎng)絡安全法》。歐盟商會北京副主席Michael Chang指出,《網(wǎng)絡安全法》中的措施應當是適當、一致、非歧視性的,制定過程須透明,這一點至關(guān)重要的,但他認為中國《網(wǎng)絡安全法》不具備這些。歐盟商會呼吁消除“歧視市場準入壁壘”。
從關(guān)鍵信息基礎設施、個人信息及重要數(shù)據(jù)安全為出發(fā)點,看看外企究竟擔憂些什么問題?
國外企業(yè)代表及分析人士對中國《網(wǎng)絡安全法》進行了以下分析:
一部分國外分析人士稱,此法是中國保護數(shù)據(jù)免遭國外政府窺探的舉措之一。因為,斯諾登此前曝光的資料顯示美國正在監(jiān)聽跨國公司的通信。
然而相當一部分國外分析師認為,我國的《網(wǎng)絡安全法》將給他們的企業(yè)(在中國的國外企業(yè))帶來阻礙:
1、將增加跨國企業(yè)的成本;
Simmons & Simmons律師事務所駐上海律師楊迅表示,其傳達的信息很明確,中國如今將隱私和網(wǎng)絡安全視為國家之重大關(guān)切,必將鼓勵、加大本土企業(yè)的技術(shù)開發(fā)?!毒W(wǎng)絡安全法》將給跨國公司帶來的最大的沖擊,因為數(shù)據(jù)本地化措施會阻止其將客戶數(shù)據(jù)集中在云存儲數(shù)據(jù)庫中。按照此法規(guī)定,要將某些數(shù)據(jù)存儲在中國服務器,將數(shù)據(jù)存儲到其它地方將加劇分裂性,并會增加成本。國外公司重構(gòu)業(yè)務的工作量相當巨大。
2、擔心易遭受網(wǎng)絡間諜侵害;
對于要求對技術(shù)產(chǎn)品進行安全審查,以及將在中國境內(nèi)收集的數(shù)據(jù)存儲在中國境內(nèi)的要求,國外企業(yè)已經(jīng)對此表示不滿。
國外分析人士警告稱,《網(wǎng)絡安全法》允許中國要求企業(yè)提供通常只有軟件開發(fā)人員知道的計算機程序源代碼。
國外分析人士非常擔心,此法可能會有助于中國竊取國外公司的商業(yè)機密或知識產(chǎn)權(quán)。
3、法律執(zhí)行受干擾
然而,有其他國外分析師懷疑,《網(wǎng)絡安全法》的執(zhí)行可能會受政治目標干擾。我國4月份公布了一份補充性加密法律草案,其允許中國政府以國家安全為由,要求企業(yè)提供“解密技術(shù)支持”,這實際上意味著政府可以迫使企業(yè)破解加密數(shù)據(jù)。
國外某律師指出,蘋果公司曾拒絕幫助FBI解鎖槍擊兇手的iPhone,他無法想象這樣的事情會在中國發(fā)生。
4、跨國企業(yè)擔心不公平競爭
國外企業(yè)擔心《網(wǎng)絡安全法》可能將它們關(guān)在市場大門外。
風險管理咨詢公司Control Risks副總監(jiān)卡爾利·拉姆齊表示,此法范圍極其廣泛、模糊,可能會使公司面臨與網(wǎng)絡安全無關(guān)的監(jiān)管執(zhí)法風險。
美中貿(mào)易委員會北京副總裁杰克·帕克表示,要做好準備履行此法相當困難,因為此法有太多方面仍不夠明確,缺乏足夠的信息讓企業(yè)制定內(nèi)部合規(guī)做法,他表示,另一條款已經(jīng)帶來影響,其要求企業(yè)在中國部署IT硬件和服務之前,須經(jīng)過檢查和驗證實現(xiàn)安全可控。他表示,已經(jīng)聽說國內(nèi)銀行和國營企業(yè)更多地考慮購買國內(nèi)技術(shù),而非國外產(chǎn)品,盡管沒有明確規(guī)定要求他們這樣做。
帕克還指出,幾乎所有中美貿(mào)易委員會的企業(yè)正在采取行動,以確保其在中國收集的絕大多數(shù)數(shù)據(jù)存儲在中國的服務器上。不只科技公司受到影響,金融服務、半導體制造商、中國每個行業(yè)的企業(yè)都受到影響。盡管此法適用于中國的所有企業(yè),但預計國外公司將受到更大影響,因為它們通常更需要跨境將信息轉(zhuǎn)移到海外的數(shù)據(jù)處理中心。
華爾街日報也稱“《網(wǎng)絡安全法》中有諸多內(nèi)容尚不明確,充滿不確定性和不明確的條款,缺乏切實的業(yè)務規(guī)則,給中國政府執(zhí)政留有了相當?shù)挠嗟亍?rdquo;
云的阻礙
歐亞集團(Eurasia Group)網(wǎng)絡安全專家保羅·崔歐羅寫到,監(jiān)管機構(gòu)將可能為行業(yè)的國外公司引入新的合規(guī)與運營障礙,例如云計算。
有國外律師稱,云存儲公司同樣會受到影響,他的國外客戶將數(shù)據(jù)從新加坡Amazon Web Services上轉(zhuǎn)移至阿里巴巴中國云服務上,并認為這存在保護本國企業(yè)的嫌疑。
然而阿里巴巴表示,中國本土科技公司也會受到?jīng)_擊,阿里巴巴的大部分電商業(yè)務在中國開展,但阿里巴巴正日益在全球設立云數(shù)據(jù)中心,今后涉及的全球范圍內(nèi)的服務將會更多,阿里巴巴的國際擴張或多或少會受到各國的法律法規(guī)的約束,同時阿里巴巴表示會遵守業(yè)務運營所在司法管轄區(qū)的適用法律。
國家立法程序中,會將與政府關(guān)系密切的大型銀行考慮在內(nèi)。同樣的道理也適用于阿里巴巴這樣的大科技公司。
DLA Piper律師事務所駐香港合伙人斯科特·蒂爾表示,雖然此法讓外資企業(yè)董事會產(chǎn)生焦慮,但個人數(shù)據(jù)隱私條例符合世界各地的慣例。例如,此法與歐洲《一般數(shù)據(jù)保護條例》一致。
(再次聲明:文中內(nèi)容和觀點不代表E安全的立場和觀點, E安全只是采擷海外要點以饗讀者,目的僅在于為大家的思考和研究提供最真實的第一手資料。)
預告:E安全明日將為您呈現(xiàn)“《網(wǎng)絡安全法》之關(guān)鍵信息基礎設施”相關(guān)文章,敬請期待。