华盛顿 — 美中贸易全国委员会(USCBC)星期一发表报告说,中国严苛的数据管理制度可能让个人信息和重要数据的安全更容易受到侵害。
USCBC报告:中外技术不兼容容易产生安全隐患
报告说,这些政策也使企业难以互相交流处理安全隐患的信息,致使消费者和企业处于不安全的环境之中。
美中贸易全国委员会会长傅强恩(John Frisbie)对中国网络安全法在执行过程中在信息通讯技术和服务领域排挤外国技术的做法表示担忧。他说:“跨国企业采用国际技术平台,让系统和运作的效率、安全和互操作性最大化。在全球网络里,如果在某一个国家使用一种独特的技术,会增加企业计算机系统被渗透或被破坏的风险。”
报告举例说,在中国运营风力发电机组的能源公司需就机组群的运作状况与全球总部保持持续的沟通,使国际团队能够应对停电并预防其他事故的发生;生产高科技、互联网连接设备的公司需要访问设备中的数据,以便提供远程维护和维修服务;金融服务公司需要分析跨境数据以预测消费趋势,为客户提供有针对性的服务,并识别潜在的非法交易。
“安全可控”采购标准中的政治因素
中国网络安全法要求,信息技术产品的本地采购招标要使用“安全可控”的技术。USCBC报告说,强制性要求采取或使用特有的“安全可控”技术的政策实际上可能不利于实现安全。
报告说,美国在华企业提出怀疑:中国采购“安全可控”技术的标准可能依据的是国别、而不是产品的技术水平,中国本土产品往往得到优先考虑。
报告说,要求数据本地化,进行跨境数据流动安全审查,或是使用中国国内的技术对维护公民个人信息和其他重要数据的安全效果不大,只选择中国本土的服务提供商,而不去选择得到全球认证的产品和公司,会导致个人信息和重要数据的安全性最终更有可能遭到侵害。
欧亚集团(Eurasia Group)地缘技术执行负责人保罗·特廖洛(Paul Triolo)对美国之音表示,中国的信息网络一定会采用外国技术,但网络软件和硬件来源地是政府考虑外国技术时的一个政治考量。
美国国土安全部2017年9月强制指令禁止联邦机构使用俄罗斯网络安全公司卡巴斯基实验室的软件产品,对卡巴斯基某些要员与俄罗斯情报部门及其他政府机构之间的关系表示了担忧。
特廖洛对美国之音说:“如果网络安全公司被认为与它们来源地的政府的关系过于密切,这可以并的确会给人们对它们产品的信心带来损害,卡巴斯基事件就说明了这一点。从美国的角度来说,中国的网络安全公司可能也会有类似的问题,从中国的角度看,美国公司也是一样。”
另外,报告指出,在加密标准方面,中国的加密算法与国际通用的最佳做法不一致,会产生一定的安全隐患,特别是在金融行业,中国网络与全球网络采用不同的加密标准,可能彼此无法兼容,这可能会使中国境内的网络出现安全漏洞。
报告表示:“这些风险与中国加强信息技术安全的总体目标背道而驰,也阻碍了中国企业进军全球最大市场,成为国际化企业的脚步。”
另外,按照中国目前的规定做法,外国公司被要求在进行跨境数据传播之前,需要明确取得个人的同意,美中贸易全国委员会认为,这给有国际运营和沟通的中国企业和外国企业带来了巨大的监管负担。
外商在华云计算产业受限多
另外,在云计算产业方面,报告指责中国的许可制度过于严苛,让创新性云计算解决方案无法在中国使用。报告说,这些政策使外国企业和本土企业的在华运营成本、运营效率和信息安全等问题变得更加复杂。
报告指出,外国企业如果要在中国提供云计算服务,就必须获得互联网数据中心许可证、互联网服务提供商许可证以及互联网内容提供商许可证这三种许可,并需要与当地企业建立合作关系,但很多跨国公司无法申请或通过层层审批。
欧亚集团的特廖洛认为,中国现有的云服务许可制度对中国和外国在华企业发展都造成了阻碍。
他说:“这是因为中国的云服务公司现在还没有遍及全球,不能为大型跨国公司和那些希望进行国际运营的中国公司提供从一个终端到另一个终端的服务。”
他还表示:“要求设立合资公司的规定也是难以持续的。美国政府和行业组织一直在这个领域要求对等,因为中国在美国运营数据中心不面临类似的限制。美国即将根据1974年贸易法的301条款发表有关中国政策损害美国公司利益的报告,这个领域几乎一定会成为其中一个重要问题。”
美国苹果公司去年与云上贵州大数据产业发展有限公司去年签署合作协议,云上贵州将在中国大陆为苹果公司运营iCloud服务,并在中国的建立第一个数据中心。据中国官方的新华社报道,主数据中心将建在贵安新区,投资达10亿美元,计划在2020年投入使用。