美中貿易全國委員會(USCBC)星期一發表報告說,中國嚴苛的數據管理制度可能讓個人信息和重要數據的安全更容易受到侵害。
USCBC 報告:中外技術不兼容容易產生安全隱患
報告說,這些政策也使企業難以互相交流處理安全隱患的信息,致使消費者和企業處於不安全的環境之中。
美中貿易全國委員會會長傅強恩(John Frisbie)對中國網絡安全法在執行過程中在信息通訊技術和服務領域排擠外國技術的做法表示擔憂。他說:“跨國企業採用國際技術平台,讓系統和運作的效率、安全和互操作性最大化。在全球網絡裡,如果在某一個國家使用一種獨特的技術,會增加企業計算機系統被滲透或被破壞的風險。”
報告舉例說,在中國運營風力發電機組的能源公司需就機組群的運作狀況與全球總部保持持續的溝通,使國際團隊能夠應對停電並預防其他事故的發生;生產高科技、互聯網連接設備的公司需要訪問設備中的數據,以便提供遠程維護和維修服務;金融服務公司需要分析跨境數據以預測消費趨勢,為客戶提供有針對性的服務,並識別潛在的非法交易。
“安全可控”採購標準中的政治因素
中國網絡安全法要求,信息技術產品的本地採購招標要使用“安全可控”的技術。USCBC報告說,強制性要求採取或使用特有的“安全可控”技術的政策實際上可能不利於實現安全。
報告說,美國在華企業提出懷疑:中國採購“安全可控”技術的標準可能依據的是國別、而不是產品的技術水平,中國本土產品往往得到優先考慮。
報告說,要求數據本地化,進行跨境數據流動安全審查,或是使用中國國內的技術對維護公民個人信息和其他重要數據的安全效果不大,只選擇中國本土的服務提供商,而不去選擇得到全球認證的產品和公司,會導致個人信息和重要數據的安全性最終更有可能遭到侵害。
歐亞集團(Eurasia Group)地緣技術執行負責人保羅·特廖洛(Paul Triolo)對美國之音表示,中國的信息網絡一定會採用外國技術,但網絡軟件和硬件來源地是政府考慮外國技術時的一個政治考量。
美國國土安全部2017年9月強制指令禁止聯邦機構使用俄羅斯網絡安全公司卡巴斯基實驗室的軟件產品,對卡巴斯基某些要員與俄羅斯情報部門及其他政府機構之間的關係表示了擔憂。
特廖洛對美國之音說:“如果網絡安全公司被認為與它們來源地的政府的關係過於密切,這可以併的確會給人們對它們產品的信心帶來損害,卡巴斯基事件就說明了這一點。從美國的角度來說,中國的網絡安全公司可能也會有類似的問題,從中國的角度看,美國公司也是一樣。”
另外,報告指出,在加密標準方面,中國的加密算法與國際通用的最佳做法不一致,會產生一定的安全隱患,特別是在金融行業,中國網絡與全球網絡採用不同的加密標準,可能彼此無法兼容,這可能會使中國境內的網絡出現安全漏洞。
報告表示:“這些風險與中國加強信息技術安全的總體目標背道而馳,也阻礙了中國企業進軍全球最大市場,成為國際化企業的腳步。”
另外,按照中國目前的規定做法,外國公司被要求在進行跨境數據傳播之前,需要明確取得個人的同意,美中貿易全國委員會認為,這給有國際運營和溝通的中國企業和外國企業帶來了巨大的監管負擔。
外商在華雲計算產業受限多
另外,在雲計算產業方面,報告指責中國的許可制度過於嚴苛,讓創新性雲計算解決方案無法在中國使用。報告說,這些政策使外國企業和本土企業的在華運營成本、運營效率和信息安全等問題變得更加複雜。
報告指出,外國企業如果要在中國提供雲計算服務,就必須獲得互聯網數據中心許可證、互聯網服務提供商許可證以及互聯網內容提供商許可證這三種許可,並需要與當地企業建立合作關係,但很多跨國公司無法申請或通過層層審批。
歐亞集團的特廖洛認為,中國現有的雲服務許可製度對中國和外國在華企業發展都造成了阻礙。
他說:“這是因為中國的雲服務公司現在還沒有遍及全球,不能為大型跨國公司和那些希望進行國際運營的中國公司提供從一個終端到另一個終端的服務。”
他還表示:“要求設立合資公司的規定也是難以持續的。美國政府和行業組織一直在這個領域要求對等,因為中國在美國運營數據中心不面臨類似的限制。美國即將根據1974年貿易法的301條款發表有關中國政策損害美國公司利益的報告,這個領域幾乎一定會成為其中一個重要問題。”
美國蘋果公司去年與雲上貴州大數據產業發展有限公司去年簽署合作協議,雲上貴州將在中國大陸為蘋果公司運營iCloud服務,並在中國的建立第一個數據中心。據中國官方的新華社報導,主數據中心將建在貴安新區,投資達10億美元,計劃在2020年投入使用。