中国国家互联网信息办公室(Cyberspace Administration of China)在2月4日宣布,该单位根据《中华人民共和国网络安全法》,起草了一份《网络产品和服务安全审查办法》,将成立一个“网络安全审查委员会”,负责“对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估”。

中国执行网络安全审查有数个动机,例如旨在降低网络设备或服务被“非法控制、干扰与中断运行”,还有网络用户个人信息可能被非法收集、储存、处理或使用等等风险。根据上述草案,未来中国的党政部门及重点产业、还有关键信息基础建设营运者(critical information infrastructure operator,CIIO),不得采购审查未通过的网络产品和服务。

所谓的“关键信息基础建设营运者”定义广泛,包括公众通讯、信息服务、公用事业部门所采用的基础设施,还有任何其他如果损坏或故障可能会危害中国国家安全与公众利益的基础设施;而公众信息服务供货商、数据中心以及云端服务供货商,有可能会受到限制。

目前还不清楚那些与中国“关键信息基础建设营运者”交易之相关厂商,是否已经在股价上因为中国之最新审查规则而受到冲击,而任何对进军中国市场有兴趣的网络相关厂商,应该要为中国基于《中华人民共和国网络安全法》越来越复杂的审查要求预做准备。

举例来说,将在2017年6月1日(编按:作者在原文中指出的生效日期为7月1日,但根据该法条文,施行日应为2017年6月1日)正式生效的《中华人民共和国网络安全法》条文:“关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。”

目前中国并没有限制来自海外的网络设备厂商,许多外国网络设备厂商也都在当地设立了全资子公司;不过中国政府一直对外国互联网服务供货商抱持怀疑态度,严格禁止外资在中国经营数据中心。

虽然外资也有可能合法取得互联网内容供货商经营执照,或是互联网服务供货商执照,但机率是微乎其微;大多数非中国本地厂商会选择透过可变权益实体(variable interest entity,VIE)架构,以间接方式取得拥有相关执照之当地公司经营权;不过VIE绝对不是完美的方案,中国执法单位可能会将之视为规避中国法规的行为,这种案例已经发生过不少。

为了在中国经营云端服务,包括Amazon、Microsoft等美国厂商,不得不与中国当地有执照的数据中心签署合作契约;不过这种方式的合法性还不明确,特别是因为中国工信部最近公布了关于对授权互联网服务供货商(ISP)重发执照(sublicensing)的一些文件。

而美国政府有关当局最近也有一些与互联网相关的讯息值得注意;在2月4日,一位美国法官要求Google将储存于美国境外的电子邮件移交给联邦调查局(FBI),以进行一桩美国国内诈骗案件的调查;这与先前法官的另一个决策完全相反,Microsoft并没有被强迫移交储存于爱尔兰都柏林(Dublin)服务器的电子邮件。

如果该法官的命令被坚持执行,可能会赋予美国政府机关例如FBI,取得美国厂商在全球各地控制或保存之信息的权限;这也有可能让中国即将成立的“网络安全审查委员会”,有更多理由拒绝美国供货商取得与中国之“关键信息基础建设营运者”交易的必要许可。

20160719-ESMC-1