文│中国信息安全测评中心 曹伟 熊菲
随着数字孪生世界的到来,数据驱动一切。特朗普上台以来美国政府进行全球性战略收缩,经济领域以频繁威胁退出世界贸易组织(WTO)为主要标志,科技领域则以“科技冷战”为名不断挥舞制裁大棒打压中国。在此背景下,地缘政治因素对我国“一带一路”推进的影响将进一步加大,以“国家安全”关切为核心的重要数据跨境流动将成为博弈重心。
一、“一带一路”中面临的主要数据安全风险挑战
2013年6月前中情局(CIA)雇员斯诺登曝光美国政府利用“棱镜”(PRISM)项目直接进入美国网际网路公司的中心服务器监听并挖掘全球数据,美国9家网络巨头皆参与其中。此后网络安全对国际体系规则的影响一直在全球蔓延,网络主权、技术主权、数据本地化政策以及网络安全审查等理念在全球范围开始蔓延。
1. 双多边数据交流互动上升,地缘形成的跨境壁垒凸显
随着“一带一路”国家间经贸关系的日益紧密,带动了双边和多边的数据交互流动的持续上升。通过数字贸易统计,在世界贸易组织(WTO)多边框架下,关于数字贸易及电子商务主要存在三方立场:一是以美国为首,包括欧盟、日本等在内的发达国家,主张将数字跨境自由流动纳入多边贸易规则,美国可以依托遍布全球的互联网跨国企业利用《澄清境外合法使用数据法》(“CLOUD法案”)进行长臂管辖,欧洲通过《电子证据跨境调取提案》进行规制以实现数字主权,日本则在大阪G20峰会力促达成美欧日数据流通圈促进数字经济发展;二是以中国、俄罗斯为代表的发展中国家,主张建立基于货物贸易流动为主的跨境电子商务规则,形成基于网络主权原则的数据有序流动;三是非洲、加勒比和太平洋岛国等相关国家,由于互联网基础设施薄弱,则反对将数字贸易及跨境电子商务议题纳入多边贸易框架下讨论。
2. 科技竞争背景下美国在“一带一路”频繁开展网络外交
近期以来,美国在前沿科学技术领域对我国实施极限管控,限制大量技术数据和敏感个人数据的跨境转移,并通过长臂管辖和强大的情报和执法能力加以落实。与此同时,美国通过美日数字贸易协定、二十国集团数据治理议程以及东盟数字数据治理框架等数字外交规则,对盟友施加政治影响力破坏既有商业和贸易规则,阻碍我国在“一带一路”的数字贸易发展。
3. 产业能力及供应链地位对数据流动的重要影响
各国对数据跨境流动政策路径的选择除受制于地缘政治影响之外,主要受制于本国产业能力和全球供应链地位是否能够控制数据流向。基于不同的产业能力和供应链地位,各国政府在数据跨境流动策略选择上可以分为三种类型,包括以美国为代表的主张自由流动的进攻型策略、以欧盟为代表的规制型策略和以中国为代表的出境审查策略。
二、美国全面遏制“一带一路”规划与具体行动
我国实施“一带一路”以来,应沿线发展中国家的迫切需求承建大量数字基础设施,国际话语权与影响力不断提升。特朗普政府以“矜名妒能”之心,利用菲律宾、马来西亚与印度尼西亚等沿线国家网络空间相对自由为名,从三方面对我国开展网络舆论攻势。一是鼓吹我国政府利用基础设施建设“控制沿线国家政府、民众、商业与金融机构相关数据”、“通过窃听巴基斯坦、吉布提、泰国、新加坡等海底光缆”使中国企业为政府从事网络间谍活动;二是认为中国在丝路沿线通过资金、培训等手段推广“中国模式”,令越南、印尼、坦桑尼亚、尼日利亚等国复制中国限制数据跨境流动模式,与其进攻型数据流动策略相悖;三是鼓吹我国在沿线国家开展的“智慧城市”建设以及“安全大脑”建设涉及传感器、无人驾驶、计算机视觉等一系列可应用于军事领域的先进技术具有重大安全影响,北斗系统建设等合作会使中国军方进一步掌控沿线国家的数据信息。美国政府以其所谓的“国家安全”名义游说相关国家放弃与中国合作,而以日本和新加坡为“桥头堡”,对中国施行一系列遏制计划,具体如下表所示。
(图表数据来源:美国对“数字丝绸之路”的认知与应对)
三、我国大型企业数据出境模式探析
当前我国关键信息基础设施和重点大型企业承载的庞大的数据资源具有重大的国家安全战略价值,如由网络信息系统所控制的石油和天然气管道、水、电力、交通、银行、金融、军事等领域。这些领域的大量重要数据在跨境传输中存在不可控的风险,需要国家层面通过顶层设计、标准制定加强数据安全能力和监管能力。
一是标准和规则先行。在我国阿里巴巴、腾讯等跨国企业的数据出海过程中,为适应相关国家的数据管理要求,从合规层面积极提升企业数据安全管理能力,推动建立行业和国际标准。比如阿里巴巴公司根据数据安全实践经验,牵头制定了ITU-T、ISO的相关国际标准,提出了《信息安全技术数据安全能力成熟度模型》(DSMM),围绕数据生命周期开展DSMM评估认证工作,在全球进行推广应用。腾讯智慧城市标准化团队基于腾讯云的基础产品和能力在国际电信联盟标准局第20研究组(ITU-TSG20)首次提出《基于社交媒体平台的智慧城市服务分析与应用》标准化理念,获得多个国家的支持,此外还成功牵头《智慧城市数据平台框架》标准的研究工作。
二是政府对重要敏感数据精准控制。根据《数据安全管理办法》、《个人信息和重要数据出境安全评估办法》,我国政府监管部门根据拟出境数据涉及的规模、领域与重要性等方面出境数据采取分级分类审查出境的监管模式。我国在研究美国2010年颁布的13556号行政令要求形成的受控非密数据列表(CUI)基础之上,研究提出重要行业以及重要领域的重要数据。在特定类型的重要数据出境前,数据输出方需向相关政府部门提交出境申报材料,政府部门对相应出境活动进行许可审查,通过后方可出境。
三是通过数据管控实现价值链控制。纵观美国商务部对进行境外存储和处理的受管制技术是否取得出口许可进行审查;韩国对地图数据建立出境申请协商机制,由国土地理信息院、未来创造科学部、外交部等部门联合评估风险,判断是否允许出境。反观在美国商务部工业和安全局(BIS)发布的“全球机床产业链调研报告”中,其数据精准程度涵盖我国内机床企业的上游供应来源和具体数量,甚至对我国五轴数控系统的技术来源都十分清楚,这些重要数据对精准控制我国产业链具有重要的基础性作用。
四是网络攻击、黑客组织和数据泄露问题将长期存在。2019年全球因网络攻击导致勒索病毒与数据泄露等破坏性网络事件频发,造成的经济损失约为2.5亿美元(埃森哲统计),其原因主要存在于未能修补已知漏洞、零日漏洞在野利用、数据库暴露、产品预置后门、APT攻击以及供应链攻击等。在以数据驱动为前提的大型企业出海过程中,亟需构建网络安全综合保障防御体系和防御能力。
(本文刊登于《中国信息安全》杂志2020年第8期)
声明:本文来自中国信息安全,版权归作者所有。
还没有评论,来说两句吧...