左晓栋博士,现任中国信息安全研究院副院长。曾长期工作于我国网络安全统筹协调部门,是国家一系列重大网络安全政策法规的核心起草专家。目前兼任国务院学位委员会“网络空间安全”学科评议组成员、国家网络安全应急专家组成员、国家网络空间安全重点研发计划项目责任专家、国家网络安全产业园区专家咨询委员会委员、国家数字贸易专家工作组成员、外交部网络外交专家咨询委员会委员等学术职务,参与了历次中美网络安全二轨对话。
前不久,美国向全世界展现了总统权力交接之际暴力横飞的“美丽风景线”,特朗普内阁的遗老遗少们也上演了最后的疯狂。2020年12月22日,美国国土安全部(以下简称DHS)发布了一份名为《数据安全商业咨询——使用与中国有关的公司的数据服务和设备的商业风险与考虑》的报告。这份报告出自其代理部长查德·沃尔夫之手,此人被美媒描述为“通过附和特朗普言论及对他言听计从获得快速升迁的底层官员”,其遭到清算是早晚的事。但这绝不意味着,对中国的攻击,特别是围绕数据安全议题的发难是某个美国官员心血来潮之举,我也确信拜登新内阁不会在这个问题上改弦更张。网络安全议题始终是美实施对华遏制的优先选项,“数据安全”无非是美国为了进一步扩散对华恐慌情绪而抛出的“升级版”遏制手段。
山雨欲来风满楼。这种长期的、处心积虑的恶意诋毁和政治操弄不会随着美国总统的更替有任何变化。当前,世界形势波诡云谲、变化莫测,强权政治、冷战思维沉渣泛起,单边主义、保护主义逆流横行,全球安全态势深度动荡。一切都暗示着,暴风雨会来的更猛烈。
正所谓,流遍了,郊原血,丢掉幻想,准备斗争。
我们历来反对将技术问题政治化,但美国政府却是从来不屑谈技术的,总是将虚妄的猜测根植于模糊的国家安全。证据是没有的,也不需要有的。真需要时,在联合国拎袋洗衣粉就可以作为打击伊拉克生化武器的借口;一篇解放军“传承红色基因”的报道,就可以被演绎为中国军方在对士兵进行基因改造。
但这次有些意思,或许是为了刻意追求逼真效果,DHS试图以“翔实”证据作为整篇《数据安全商业咨询》的逻辑,特别是“炮轰”中国的法律法规,以此强化其对中国“有组织”和“有计划”窃取数据的指控。
“刚”就要兵来将挡,水来土掩。一直以来,我都希望看到美方拿出“中国网络威胁论”的证据,遗憾等了很多年,听到的都是“中国公司设党委”、“中国公司负责人是退役军人”这样不着边际的陈词滥调。现在好了,美国官方的证据来了。
那就奇文共赏吧。
上
满纸恣纵荒唐言——拙劣翻新的旧台本
DHS《数据安全商业咨询》的读者对象很特殊,这是美国政府面向全美商业企业发布的关于中国数据安全风险的警示,并提出了“替代中国数据服务提供商和设备”的建议。鉴于所有的网络服务、IT设备都涉及到对数据的处理,DHS此举本质上是一种在IT领域彻底清除中国元素的运动,比蓬佩奥的“清洁网络计划”(清除美国及其盟国涉及中国的运营商、应用程序、应用商店、云端及电缆)更甚一步,可谓“包藏祸心”。这是对世贸规则的巨大破坏,也将单边主义、保护主义推向了极致。
那么,DHS看到了什么样的“中国行动”?读到了什么样的“中国法律”?
殖民者基因作祟导致的逻辑混乱
《数据安全商业咨询》的证据之一,是中国官方实施了窃取数据的直接行动。但这实在称不上证据,只能勉强算作“推论”,因为它主要是从一句话中引申出来的。这句话就是:“如果说石油是工业经济时代的核心资源,那么数据就是数字经济时代最重要的战略资源。”DHS煞有介事地引用了这句话,并给出了出处:2020年3月10日中国国家信息中心。谢天谢地,总算看到了整篇报告中唯一有明确出处和原文的一个中国官方文献记录。但这句话在中国再普通不过,它表达了中国对数据作为新生产要素的重视,展现了中国发展数字经济、释放经济发展新动能的决心。
DHS却对此如获至宝。当年,“石油”是如何挑动美国战争贩子敏感神经的啊。而今中国把“数据”比作“石油”,将“数据”看作“战略资源”,西方这些殖民者的后代们,首先想到的是“侵略”、“攫取”、“占有”、“战争”这些融入血液、烙进基因的词汇。以己之心度人之腹,中国作为全球数据“窃取者”的形象便被DHS勾勒出来了。
但仅凭一句话当然不足以达到抹黑中国的目的,DHS于是列举了中国的若干国家发展计划。
——“中国制造2025”、“数字丝绸之路”、“军民融合发展”国家战略。
——制造业转型升级,即从生产低附加值产品转向高附加值产品。
——提升对国外产品的替代能力。
——人民解放军现代化。
值得注意的是,这些发展计划确实是存在的,DHS正是要靠这一伎俩来增加其报告的可信性。但这些发展计划何以同数据联系起来?DHS老调重弹,指责中国几十年的经济快速发展是窃取美国知识产权的结果。于是乎,DHS得出结论,“中国加大了通过合法和非法渠道收集外国数据的力度”,以便为这些计划的实施提供支撑。
中国互联网上有一个流行的段子,叫做“开局一张图,内容全靠编”,这招看来是被DHS学会了。
但如果说DHS在“忽悠”其国民,似乎也低估了这个机构的智力。事实上,DHS还补充了两类“证据”。
一类是,指责中国政府针对维吾尔族裔收集数据,是“侵犯人权”的行为。这种迎合西方价值观的“人权”牌本来就是拙劣手法,早已证明是反恐的“双重标准”,而且DHS可能连自己因911后反恐而生都忘掉了。DHS的逻辑就是这样简单:中国政府开展了反恐活动,反恐活动需要数据支持,一些恐怖分子在国外,所以中国政府在全球实施了窃取数据的直接行动。显然,只要能够抹黑中国,DHS不惜把自己搞得神经错乱。
对中国法律的恶意引申和脱离文本的主观臆断
《数据安全商业咨询》的证据之二,是中国制定了窃取全球数据的法律,并特别分析了三部法律:《国家情报法》、《数据安全法(征求意见稿)》和《密码法》。这太“石破天惊”了,在普通美国民众看来,这下证据“实锤”了。
但事实证明,给法律泼脏水是个技术活儿。因为法律文本就摆在那里,是就是,不是就不是。可能是考虑到美国多数民众看不懂中文,所以DHS采取了几招并不高明的手段。
一是断章取义。DHS得到的最重要结论,是“中国法律迫使所有中国公司和实体向政府移交在国内外收集的数据”,理由是中国《国家情报法》第7条规定:“任何组织和公民都应当依法支持、协助和配合国家情报工作,保守所知悉的国家情报工作秘密。”事实上,该条是对公民维护国家安全义务的原则性阐述,且《国家情报法》随后第8条还规定:“国家情报工作应当依法进行,尊重和保障人权,维护个人和组织的合法权益。”但DHS有意忽略了第8条,并曲解了第7条,从而演绎出了骇人听闻的结论。那么,美国对公民义务的要求是什么呢,其入籍誓词可见一斑:“当法律要求时,我愿为保卫美国拿起武器;当法律要求时,我会为美国做非战斗性之军事服务;当法律要求时,我会在政府官员指挥下为国家做重要工作。”按照DHS的逻辑,以上这些美国入籍公民的义务给人留下了更多的可曲解的空间。
四是颠倒黑白。为了反制贸易歧视,《数据安全法(征求意见稿)》第24条规定,任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易方面对中国采取歧视性的禁止、限制或者其他类似措施的,中国可以根据实际情况对该国家或者地区采取相应的措施。但该条却被DHS解释为“歧视性”,并被进一步引申为“迫使外国市场继续对中国数据服务提供商开放”。那么,DHS是不是只允许美国封杀中国企业,不允许中国采取对等措施呢。此外,众所周知美国一直在实施“长臂管辖”和“域外执法”,宣称美国企业在世界上任何地方存储的数据都应当遵从美国国内法向美国政府提供,为此各国纷纷提出了数据本地化存储的要求,DHS对此表达了明显不满,认为“数据本地化要求可能迫使外国企业进行昂贵的投资”。那么,DHS是不是只允许美国在全世界调取数据,而不允许其他国家保护本国数据呢?
大失水准毫无专业性的技术狂想
除了再次把抹黑中国《国家情报法》、《密码法》的车轱辘话搬来,以及继续纠缠中美贸易磋商中的“产业补贴”议题外,《数据安全商业咨询》还提到了几个具体的中国数据服务风险。这几个风险倒也能吓住一些美国国内的企业和民众,那就再扒一扒DHS的底裤。
其次,是关于电信公司TelikomPNG对华为的指责。这个TelikomPNG是巴布亚新几内亚的电信运营商,建议DHS以后写报告上点心,不要总拿巴布亚新几内亚说事。DHS指,TelikomPNG无法看到20-30%的网络流量,且所有设备更改都需要由华为员工进行审核,未被华为许可的技术不能进入网络基础设施,且操作手册上只有中文普通话,DHS认为这是垄断。这个例子就更加可笑了。作为骨干网运营商,20-30%的网络流量是什么概念,TelikomPNG会对如此量大的隐蔽通信无动于衷?据我所知,美国实施全球监听时,通过美国设备回传的通信流量是很小的,因为回传的是总量不大的关键数据,且美国要极力避免监听行为被发现,哪里能这么明目张胆?至于说设备更改、技术入场等问题,我建议DHS去学习一下“系统集成”和“系统运维”的基本概念,你以为数据中心是菜市场吗?我买了一款美国软件,需要二次开发时,如果我要求美国厂商开放源码,便于我在不依赖原厂商的情况下完成开发工作,美国企业会同意吗?我还想继续问一句,DHS写这份报告时,是认真的吗?有谁会相信,一个高度国际化的跨国公司,其给国外客户的操作手册只有中文版?
中
对镜缘何不自知——监听帝国的真面目
我一直以为,直面真实的自己,是最大的勇气,对一个国家而言亦是。但当美国前中情局雇员斯诺登揭露了美国的“棱镜”监听计划后,看到美国情报机关满不在乎的态度,我忽然觉得,死猪不怕开水烫才是最大的“勇气”。当美国政府一而再、再而三地指责中国窃取数据,甚至不惜祭出司法重器后,我终于明白,原来真正的“勇气”是贼喊捉贼。看来,我不但高估了美国某些政客的人性,更低估了这些政客通过消耗美国国家信誉、污损美国国家形象来充当反华急先锋的胆量。
这种勇气从何而来?一些人说,这是美国霸权主义的一贯表现。但问题远非如此简单。世界秩序变迁,风云激荡,即使如美国曾霸气冲天,如今也一定要搞一套歪理邪说,假模假样披上理论的外衣,试图寻找国际法的支持。
这个“外衣”,就是美国政府将网络攻击分为“合法”和“非法”这套理论。言下之意是,美国干的都是合法的,可以在全世界搞攻击、拿数据。其他国家呢?美国说你干你就干了,而且是非法的。
这是一种什么逻辑?你说合法就合法?作为亲历了历次中美网络安全二轨对话的专家,我曾领教了美国人的套路。美国人提出一个观点:每个国家都有军队,每个国家都有情报行动,既然如此,为什么网上不能有?现实中合法的东西,网上也应当合法,因此只要网络攻击是出于军事、国家安全、反恐、情报目的,就是合法的,国际法应予承认;只有一种行为在现实中不合法的,故而网上也不允许,即窃取商业秘密。这就是美国政府从来都在面对外界的网络攻击指责时充耳不闻的原因,也是其对中国等其他国家的指责中永远含有“商业领域”、“商业窃密”等前缀的原因。
这确实很有迷惑性,听起来似乎有道理。可事实又是怎样的呢?2018年末,美国《纽约时报》报道了美国国家安全局曾入侵华为深圳总部的服务器并监听华为高管通信的消息。对攻击华为这样一家商业领域的民营企业的行为,美国情报机关仍解释为“出于国家安全原因,因为要了解华为与中国政府和军方有关联的证据”。那么,还有什么不是美国政府口中的“国家安全”呢。如果任由美国这套说辞成为国际法,那就意味着今后美国将彻底摆脱规则约束,在网络空间为所欲为,国际和平安全将不复存在。
所以,在审视美国这个真正的“监听帝国”之前,我们先把美国这套把戏交代了。
欲壑难填的控制心态
上世纪50年代,希区柯克导演过一部叫做《后窗》的电影,用隐喻的手法展现了人们的窥探欲。促进人类生存和发展的两大动力,一是好奇心,一是好胜心。好奇主要表现在人与自然,好胜表现在人与人,于是人类便有了窥探的内在冲动。当社会发展到人与人激烈竞争阶段时,信息不对称成为巨大优势,甚至成了决定成败的关键因素,“窥探”于是由暗转明,有了更多表现形式,并上升成为组织行为。
而最极力谋求“信息不对称”优势的组织,则是国家。但没有哪个国家似美国这般对获取他国数据如饥似渴。美国触角已伸至全球任何一个地方,呈现将天下数据一网打尽之势,这来自于一种想把世界牢牢掌握在手中的控制欲。因为控制了数据,就控制了网络,就控制了全世界。就像狗狗撒泡尿圈领地,美国是不会允许有什么地方没被自己尿到的。
与“控制欲”伴随而生的,是强烈的不安全感。你当世界霸主太久了,时常提心吊胆,怕自己被推下去;你坏事做多了,到处煽风点火伤天害理,走夜路怕见到鬼。于是,美国这个全球唯一的超级大国,发展成了全球唯一的有能力、有意愿又长期“付诸实践”的“监听帝国”。
佐证这个“监听帝国”的,是英国作家乔治·奥威尔于1949年出版的长篇小说《1984》。书中随处可见一条标语“老大哥在看着你”。自此,这句话风靡全球,用来描述任何侵犯隐私的监听行为,而美国则毫无意外、“非你莫属”地被贴上了“老大哥(BigBrother)”的标签。
正如我反对DHS在《数据安全商业咨询》中仅凭一句中方重视数据价值的话便指责中国一样,我们不提倡“因动机获罪”。那么,接下来看看证据,美国是怎样为“监听帝国”做准备的。
绝无仅有的监听能力
美国成为世界上独一无二的“监听帝国”,这在很大程度上是由其能力决定的。作为一系列重大IT技术的发源地,美国在技术和服务上被其他几乎所有的国家高度依赖。其结果就是,别人的东西,美国能拿到;别人看不到的,美国能看到;别人看不懂的,美国能看懂。
三是控制了IT产业链上的每一个关键环节。美国是全球信息通信设备的最大供给者,产业链上的每个关键环节基本上都由美国所主宰。从基础网络设施(思科、Juniper)、云(亚马逊)、数据库(Oracle)、操作系统(微软、安卓系统、iOS系统)、芯片设计(Intel、高通)到内容服务提供商(Facebook、Twitter、Google)再到软件和终端(苹果)等在内,美国制造商垄断了全球信息技术产品硬件和软件核心部分的研发、生产,并在全球广泛部署,几乎渗透了全球网络的每一个环节。不仅如此,为了维护其在产业链上的绝对优势,美国还不断通过并购交易,直接或间接地实现对原产他国的核心技术的掌控。此外,美国还通过国家安全审查措施,阻止外国投资者获取关键技术。2018年8月,美国发布《外国投资风险审查现代化法》(FIRRMA),将“重要技术”的范围从“对美国国家安全必不可少或重要的科技技术”扩展至包含“新兴技术与基础技术”。但凡涉及这些领域的外国投资,美国几乎都通过国家安全审查手段予以否决,通过严防死守来维护其在核心技术领域的垄断。
肆无忌惮的网上行动
中国古代神话中,塑造了两个拥有超凡能力的神仙——千里眼和顺风耳。但“千里眼”执行“观”千里灾难的任务,“顺风耳”执行“听音”救苦的任务。遗憾的是,美国将其监听能力用到了邪路。
在各种技术手段支撑下,美国开展了几类行动。
毫无疑问,美国已经成为当前网络空间最大的安全威胁,危及全球公民的基本人权和各国的国家安全。长期以来,世界各国对美国设备和技术的依赖,使全球对美国形成“单向透明”。美国可以凭借其设在本国的根服务器、安装在设备中的监听器、植入软件中的“后门”程序等技术优势监控全球网络,即使其声称是盟友的国家也不放过,从而实现美国的军事、政治和经济利益最大化。
贻害无穷的流毒恶果
美国在网络空间倒行逆施,公然破坏国际关系基本准则,严重威胁世界和平发展,产生了一系列恶果,对美国自身也造成了严重影响。已经占到便宜的美国政客们,自然是不会承认有什么后果。但善恶若无报,乾坤必有私。须知,国际力量对比新格局的演进正在提速换挡,新一轮科技革命和产业变革蓄势待发,人类社会对安全、和平、发展的认知更加深刻。2020年新冠病毒全球肆虐,百年变局骤然加速,世界已经回不到过去了。中国进入新发展阶段,世界也在求索新未来。让我们冷眼观螃蟹,看其横行到几时。
我相信,“监听帝国”所作所为带来的流毒恶果,会让美国尝到“现世报”。
二是侵犯人权。美国情报部门对全球实施无差别、全方面、多层次的大规模监听,严重侵犯了包括隐私权、信息和言论自由权、公平审判权、宗教自由权等在内的基本人权。特别是,美国毫无区分地大量保留通信数据从根本上违背了法治,使个人隐私暴露无遗,直接违反了以欧盟《通用数据保护条例》(GDPR)为代表的个人数据保护法律。处在被监听下的人们不敢就敏感主题发表言论或与外界沟通,这不仅影响到其言论自由,更危害了他人的信息自由。甚至美国的盟友都认为,如果情报机关可以绕开民主政治和法律渠道对海量的私人通话进行拦截,此种不分青红皂白的行为将给民主制度的根基带来破坏性威胁。
三是影响本国企业形象和商业利益。2020年7月16日,欧盟法院认定,美欧数据跨境转移机制《隐私盾协议》无效。这是欧盟法院继2015年认定美欧《安全港框架》无效以来,废止的第二项美欧间个人数据跨境转移机制。法院认为,隐私盾机制不能令人信服,因为它不能保护欧盟公民免受美国情报机关实施的大规模监听计划的侵害。从欧盟数据保护委员会(EDPB)于2020年11月10日发布的两份指南草案来看,基本杜绝了将欧盟公民数据转移到美国的合法性,“当数据接收国的公共当局访问被转移数据的权力超出民主社会的必要和比例性时,EDPB无法设想有一种有效的技术措施来防止这种对数据主体权利的侵犯”。显然,由于美国情报机关不光彩的监听行动,美国企业已经丧失了跨境开展对欧业务的最便利条件,为美企在欧洲的未来发展带来了巨大不确定性。不仅如此,美国企业在一系列监听行动中对美国情报机关的主动或被动配合,动摇了人们对美国企业的基本信任。更为严重的是,当美国政府对为数不多进入美国市场的几家中国企业如临大敌时,我们不禁疑虑,那么多美国企业已经在中国攻城略地几十年了,我们这个国家是不是已经对美国彻底透明了?那我们要怎样对待这些美国企业?
四是危害本国公民福祉。网络新技术的发展不断将人类文明推向新的高度,对社会变革带来深刻影响,也极大地解放了生产力,使人类生活更美好。5G技术是其中的最突出代表之一,其问世堪比造纸术、蒸汽机、互联网,石破天惊,意义非凡,未来无限可期。但美国以数据安全风险为由,对中国的5G技术百般诋毁,不但在本国全力封杀,还动用外交、贸易等手段要求其他国家不得采用中国5G技术,这个曾经的技术创新大国自导自演了一场因一己之私拒绝文明进步、开历史倒车的反智秀。DHS居然沾沾自喜,在最新发布的对抗中国的战略行动计划中大言不惭:“近期的行动减缓了中国在全球5G市场中占据主导份额的势头”。那么我问一句,且不说其他国家,你美国政府拒绝了世界上最安全、性价比最高的5G技术,你得到什么了?你的国民使用上安全可靠的5G技术了吗?啥时候能用上?联想到新冠疫情中美国政府的表现,美国政府此举其实是可以“理解”的:一个连国民生命都弃之不顾的政府,哪里还能顾得上国民其他福祉?
下
明日风开千里雾——中国方案的新主张
树欲静而风不止,惹来萧萧暗雨打窗声。
和平、安全、开放、合作、有序,这是中国政府对全球网络空间安全的希冀,是中国网络空间安全战略目标,也是中国的行动方向、中国对全球释放的最大善意。然而,美国政府为了达到遏制中国的目的,连续就数据安全向中国发难。
——2020年8月,美国国务院以防范中国窃取数据为由,在官网公布了“清洁网络计划”,包括5项内容:清洁运营商,不受美国信任的中国电信公司不能为美国和其他国家提供国际电信服务;清洁应用商店,从美国应用程序商店中删除不受信任的中国软件;清洁应用程序,阻止华为和其他不受信任的供应商预先安装或下载美国最受欢迎的应用软件;清洁云端,保护美国最敏感的个人信息和商业知识产权,防止一些重要信息被阿里巴巴、百度、腾讯等中国公司运营的云端系统所获取;清洁电缆,努力确保连接全球互联网的海底电缆传输的信息不会被破坏和泄露。美国如此大动干戈,名为“实现没有中国元素的清洁网络”,实为“维系美国治下的全球监听网络”,是在建设真正的“不清洁网络”。
——2020年12月,美国联邦通信委员会(FCC)表态,拒绝把华为从国家安全威胁名单删除。FCC此前曾表示已将中国的华为和中兴正式列入所谓的“威胁名单”,此举意味着美国禁止美国公司通过83亿美元的政府基金从这些中国公司购买设备。事情还可追溯到2019年5月,特朗普签署了一项行政令,禁止美国公司使用“存在国家安全风险的公司制造的电信设备”,并将华为列入贸易“黑名单”。
一系列事件充分表明,数据安全已经被推向了国与国博弈的第一线,是霸权国家“污名化”中国的主要借口。信息流引领技术流、资金流、人才流、物资流,数据安全本质上关系到政治、经济、文化、军事等全局性议题。近年来,国际贸易、安全等领域的国际规则、双边多边协定等,也都深刻涉及数据安全。作为当前国际治理的焦点,数据安全正在对全球政治经济发展产生广泛深远影响。
被狗咬了一口,没有必要咬回去。但在全球网络空间已经被搅得乌烟瘴气,并事实上严重阻碍了人类科技创新和文明发展的形势下,关于数据安全,需要有正义的声音、妥善的解决方案,以及公平合理的国际规则。
铁肩担道义,中国将展现大国的责任与担当,并必然对美国的监听作出回应。
岂能背绳墨以追曲,可笑竞周容以为度
网络空间是人类活动新空间、治理新领域,发展不平衡、规则不健全、秩序不合理,一些国家正是看到了这一点,为所欲为,公然实施“数据霸凌”。中国古代伟大的诗人屈原早就描述了这副嘴脸:“背绳墨以追曲兮,竞周容以为度”——违背准绳而随意歪曲,竞相把苟合取悦于他人奉为法度。因为没有规则,美国才可以倒行逆施、我行我素;而英国、加拿大、澳大利亚等这些“跟班”,自然不会放弃谄媚美国的机会,丛林法则正是这些所谓的文明国家遵循的“法度”。2021年1月15日,瑞典的斯德哥尔摩上诉法院作出判决,驳回华为的上诉。此前,瑞典电信管理局曾宣布封杀华为,华为随后对其发起诉讼,于是瑞典这个比肩瑞士的所谓“永久中立国”为“竞周容”增添了最新注脚。
世界呼唤规则,正义不能迟到。2020年9月8日,中国国务委员兼外交部长王毅在“抓住数字机遇,共谋合作发展”国际研讨会高级别会议上发表题为《坚守多边主义倡导公平正义携手合作共赢》主旨讲话。王毅国务委员指出,中国建设性参与联合国、二十国集团、金砖国家、东盟地区论坛等多边平台的数据安全讨论,致力于为加强全球数字治理贡献中国的智慧。为应对新问题新挑战,中国愿发起《全球数据安全倡议》,欢迎各方的积极参与。
上帝说,要有光,于是世界就有了光。《全球数据安全倡议》正是数据治理赤字的黑暗空间中一道闪耀的光。这一倡议为制定数字安全国际规则提供了一个蓝本,宣告了一个全球进程的开启,善莫大焉。
全球性问题需要全球性解决之道。中国主张,有效应对数据安全的风险挑战,应该遵循以下原则:
第一,秉持多边主义。共商、共建、共享是解决全球数字治理赤字的正确出路。应在各方普遍参与的基础上,达成反映各国意愿、尊重各方利益的全球数据安全规则。个别国家大搞单边主义,以“清洁”为名向别国泼脏水,以安全为借口对其他国家领先企业进行全球围猎,这是赤裸裸的霸凌行径,应该予以反对和摒弃。
第二,兼顾安全发展。保护数据安全对数字经济健康发展至关重要。各国都有权依法保护本国的数据安全。同时,也都应为所有企业提供开放、公正、非歧视的营商环境。数字保护主义违背经济发展的客观规律,不符合全球化的时代潮流,不但有损全球消费者公平获得数字服务的权利,最终也会阻碍自身的发展。
第三,坚守公平正义。维护数字安全应以事实和法规为依据。把数据安全问题政治化,刻意搞双重标准,甚至不惜造谣抹黑,违背国际关系基本准则,也严重干扰和阻碍全球数字合作与发展。
一是客观理性看待数据安全,致力于维护全球供应链开放、安全和稳定。
二是反对利用信息技术破坏他国关键基础设施或窃取重要数据。
三是采取措施防范和制止侵害个人信息的行为,不得滥用信息技术对他国进行大规模监控,或非法采集他国公民个人信息。
四是要求企业尊重当地法律,不得强制要求本国企业将境外产生、获取的数据存储在本国境内。
五是尊重他国主权、司法管辖权和对数据的管理权,不得直接向企业或个人调取位于他国的数据。
六是应通过司法协助等渠道解决执法跨境数据调取需求。
七是信息技术产品和服务供应企业不应在产品和服务中设置后门,非法获取用户数据。
八是信息技术企业不得利用用户对产品依赖,谋取不正当利益。
2020年11月,中国国家主席习近平在G20领导人第15次峰会第一阶段会议上发言指出:面对各国对数据安全、数字鸿沟、个人隐私、道德伦理等方面的关切,我们要秉持以人为中心、基于事实的政策导向,鼓励创新,建立互信,支持联合国就此发挥领导作用,携手打造开放、公平、公正、非歧视的数字发展环境。前不久,中方提出了《全球数据安全倡议》。我们愿以此为基础,同各方探讨并制定全球数字治理规则。
秉青萍干将之器,不可拂钟无声
好战必亡,忘战必危。面对美国在网络空间的咄咄逼人态势,一个国家应当具备维护自身安全的基本手段,掌握反制霸凌的坚强利器。但网络空间已经成为各国休戚与共、命运相连的“地球村”,试图通过隔绝网络、仅以国别为由排斥特定产品来实现安全,既违背网络空间的开放属性,也不可能实现真正的安全。
如何建立在开放环境下维护国家网络空间安全的能力,如何在受制于人局面下确保供应链安全性,这成为摆在除美国外世界各国面前的一道难题。中国在网络安全实践中,始终强调要处理好安全与发展、开放与自主的关系。中国国家主席习近平指出,要坚持促进发展和依法管理相统一,既大力培育人工智能、物联网、下一代通信网络等新技术新应用,又积极利用法律法规和标准规范引导新技术应用;要坚持安全可控和开放创新并重,立足于开放环境维护网络安全,加强国际交流合作。
我们不拒绝任何新技术,新技术都是人类文明发展的成果,是全世界科学家们相互学习、彼此互鉴、接力传递、共同创造而来。目前几乎所有的全球治理难题,都有赖于各国科学家们的共同努力。特别是在经济全球化深入发展的今天,创新要素在世界范围内加快流动,各国经济科技联系更加紧密,任何一个国家都不可能仅仅依靠自己的力量解决所有创新难题。
不拒众流,方为江海。中国的自主创新不是闭门造车,不是单打独斗,不是排斥学习先进,不是把自己封闭世界之外。
同时,对采用国外技术和产品,中国一视同仁,不搞国别歧视。但为了保障供应链安全,中国实施了网络安全审查制度。2020年4月,中国国家互联网信息办公室等12个部委联合印发了《网络安全审查办法》,正式启动了这项工作。
中国实施网络安全审查制度,目的仅限于维护国家安全。《国家安全法》第五十九条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的网络信息技术产品和服务,以及其他重大事项和活动,进行国家安全审查。该条明确无误指出,网络安全审查是一种“国家安全审查”。《网络安全法》第三十五条规定,“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。该条再次强调,网络安全审查指向的是“国家安全”。审查制度发布后,在一些境外媒体的歪曲下,外国企业曾谈之色变。但事实证明,合法经营的国内外企业并没有受到任何影响。
中国实施网络安全审查制度,不是一项日常性工作,其作用在威慑。中国境内关键信息基础设施使用的网络产品和服务,一旦威胁或可能威胁中国国家安全,就必然会受到审查。进入审查程序,就意味着产品和服务提供者可能要付出很大的信誉成本,或失去市场机会,后果十分严重。这将迫使提供者主动回避国家安全风险点,切实为关键信息基础设施用户负责。唯有这样,才能使这一制度体现为对外部威胁的反制利器。“威慑兕虎,莫之敢伉”,除了美国,世界上还没有哪一个国家动不动就祭出威慑手段,那不是在维护国家安全,那是耍宝。
中国实施网络安全审查制度,当显锋芒、扬正气。中国有句古话,“秉青萍干将之器,拂钟无声,应机立断”。意指刚能斩金削玉,柔可拂钟无声。但我要对“拂钟无声”反其意用之,网络安全审查制度应如神剑出鞘,果断发挥作用,不必悄无声息。对于已经暴露出国家安全风险的产品,以及曾积极与美国情报机关合作的企业,应当将其列入审查名单。特别是,一些国际企业曾忙不迭配合特朗普政府,充当对华遏制的“马前卒”,以所谓域外执行其本国法律为由对华积极实施断供,对这些企业,也应纳入审查范畴。
试问岭南应不好?此心安处是吾乡
欧盟在2018年开始实施《通用数据保护条例》(GDPR)时,用“石破天惊”形容对世界带来的影响毫不为过,其确实开启了数据保护的新纪元。与美国很多机构和企业纷纷指责GDPR“重返中世纪黑暗”所不同,中国官方和各类研究机构、行业协会对GDPR均持积极态度,开辟了海外市场的中国企业尤其自觉加强了对GDPR的合规。
很快就有欧洲议员说话了:中国的个人信息保护状况堪忧,将无法通过欧盟的数据保护充分性认定。仅以历史而言,这句话不好反驳,因为中国开展个人信息保护工作的历史较短,侵害公民个人信息的事件确实多发频发,社会公众的期盼还没有得到满足。
但欧洲议员忽视了两个因素:一是中国政府保护公民在网络空间合法权益的强大决心;二是中国有着全球发展最为快速的移动互联网市场,以及最具创新活力的移动互联网业态。这个市场和业态,为个人信息保护提供了前所未有的丰富场景,其中很多场景是GDPR在制定时并未考虑到的。虽然为这些场景探索解决方案的挑战巨大,但实践出真知,政府正在与其他各利益攸关方合作,谨慎而细致地解决个人信息保护面临的一系列新问题。
因此,中国绝不是全球个人信息保护的洼地,反而正在为全球贡献新的思路和方法。
中国不断完善数据保护法律体系。自2000年以来,中国政府构建的个人信息保护法律体系已经具备坚实的基础,例如《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《网络安全法》、《电子商务法》、《儿童个人信息网络保护规定》、《电信和互联网用户个人信息保护规定》、《民法典》中“人格权编”和《刑法》对侵犯个人信息犯罪行为的打击。中国国务委员、外交部长王毅强调,中国法律对于保障公民和组织的合法权益,包括数据安全和个人信息等,都做出了明确规定。中国政府严格践行数据安全保护有关原则,没有也不会要求中方企业违反别国法律向中国政府提供境外数据。不仅如此,中国全国人大正在制定《数据安全法》与《个人信息保护法》,并已于2020年完成了第一轮公开征求意见。这两部法,目的是为了保护、规范和促进,且《个人信息保护法》在“个人信息处理规则”中专设了“国家机关处理个人信息的特别规定”一节,以约束国家机关的行为,防止滥用个人信息。
中国正在建立数据安全标准规范体系。除了等同采用国际标准外,中国全国信息安全标准化技术委员会针对个人信息保护的关键技术、典型场景、重要环节,组织制定了一批国家标准,很多是在国际上首次制定。已经发布的有GB/T35273-2020《个人信息安全规范》、GB/T37964-2019《个人信息去标识化指南》、GB/T37988-2019《数据安全能力成熟度模型》、GB/T39335-2020《个人信息安全影响评估指南》、GB/T39725-2020《健康医疗数据安全指南》。正在制定中的有《个人信息安全工程指南》、《个人信息告知同意指南》、《移动互联网应用程序收集个人信息基本规范》、《网络数据处理安全规范》、《数据出境安全评估指南》、《个人信息去标识化效果分级评估规范》、《移动互联网应用程序个人信息安全测评规范》、《移动互联网应用程序SDK安全指南》。需要指出,在参与这些标准起草的机构中,有相当比例的外国企业,全国起草过程都是开放的。
中国借鉴并扩展了GDPR。如果GDPR是个“人”的话,那么这个人在中国所到之处,皆会受到礼遇。这足以说明,中国对国际规则和国外先进做法的尊重。为了使中国个人信息保护工作与国际紧密衔接,中国充分吸收了GDPR的内容,并结合中国发展互联网的具体实践,组织编制了国家标准GB/T35273-2020《个人信息安全规范》,这成为中国制定的一系列个人信息安全标准规范的“母标准”。就此而言,中国对个人信息保护的要求,与GDPR同源。遗憾的是,在中国制定GB/T35273之前,一些西方人士批评中国缺少个人信息保护要求。但当GB/T35273发布后,同样还是这批人,竟然批评中国对个人信息保护过于严格,甚至猜测这是行贸易保护主义之实。他们所针对的具体条款,有很多直接来自GDPR,而且批评者本身也是欧洲人,这种“双重标准”耐人寻味。