左晓栋博士,现任中国信息安全研究院副院长。曾长期工作于我国网络安全统筹协调部门,是国家一系列重大网络安全政策法规的核心起草专家。目前兼任国务院学位委员会“网络空间安全”学科评议组成员、国家网络安全应急专家组成员、国家网络空间安全重点研发计划项目责任专家、国家网络安全产业园区专家咨询委员会委员、国家数字贸易专家工作组成员、外交部网络外交专家咨询委员会委员等学术职务,参与了历次中美网络安全二轨对话。
前不久,美国向全世界展现了总统权力交接之际暴力横飞的“美丽风景线”,特朗普内阁的遗老遗少们也上演了最后的疯狂。2020年12月22日,美国国土安全部(以下简称DHS)发布了一份名为《数据安全商业咨询——使用与中国有关的公司的数据服务和设备的商业风险与考虑》的报告。这份报告出自其代理部长查德·沃尔夫之手,此人被美媒描述为“通过附和特朗普言论及对他言听计从获得快速升迁的底层官员”,其遭到清算是早晚的事。但这绝不意味着,对中国的攻击,特别是围绕数据安全议题的发难是某个美国官员心血来潮之举,我也确信拜登新内阁不会在这个问题上改弦更张。网络安全议题始终是美实施对华遏制的优先选项,“数据安全”无非是美国为了进一步扩散对华恐慌情绪而抛出的“升级版”遏制手段。
山雨欲来风满楼。这种长期的、处心积虑的恶意诋毁和政治操弄不会随着美国总统的更替有任何变化。当前,世界形势波诡云谲、变化莫测,强权政治、冷战思维沉渣泛起,单边主义、保护主义逆流横行,全球安全态势深度动荡。一切都暗示着,暴风雨会来的更猛烈。
正所谓,流遍了,郊原血,丢掉幻想,准备斗争。
我们历来反对将技术问题政治化,但美国政府却是从来不屑谈技术的,总是将虚妄的猜测根植于模糊的国家安全。证据是没有的,也不需要有的。真需要时,在联合国拎袋洗衣粉就可以作为打击伊拉克生化武器的借口;一篇解放军“传承红色基因”的报道,就可以被演绎为中国军方在对士兵进行基因改造。
但这次有些意思,或许是为了刻意追求逼真效果,DHS试图以“翔实”证据作为整篇《数据安全商业咨询》的逻辑,特别是“炮轰”中国的法律法规,以此强化其对中国“有组织”和“有计划”窃取数据的指控。
时间长了,谎言也许会不攻自破。但对于如此丧心病狂的栽赃污蔑,绝不能任其为所欲为。“因为畏缩与忍让,人家骄气日盛”,今天必须展现一种“正面刚”的态度。
“刚”就要兵来将挡,水来土掩。一直以来,我都希望看到美方拿出“中国网络威胁论”的证据,遗憾等了很多年,听到的都是“中国公司设党委”、“中国公司负责人是退役军人”这样不着边际的陈词滥调。现在好了,美国官方的证据来了。
那就奇文共赏吧。
上
满纸恣纵荒唐言——拙劣翻新的旧台本
DHS《数据安全商业咨询》的读者对象很特殊,这是美国政府面向全美商业企业发布的关于中国数据安全风险的警示,并提出了“替代中国数据服务提供商和设备”的建议。鉴于所有的网络服务、IT设备都涉及到对数据的处理,DHS此举本质上是一种在IT领域彻底清除中国元素的运动,比蓬佩奥的“清洁网络计划”(清除美国及其盟国涉及中国的运营商、应用程序、应用商店、云端及电缆)更甚一步,可谓“包藏祸心”。这是对世贸规则的巨大破坏,也将单边主义、保护主义推向了极致。
不仅如此,《数据安全商业咨询》对“中国公司”作了最宽泛的描述:设在中国的公司、与中国有所有权关系的公司、由中国公民担任关键领导和关键安全岗位的公司。报告认为,与这些公司共享敏感信息,或使用这些公司生产的设备和软件,美国企业及其客户将面临严重风险。报告诬称,这些风险来自中国官方的直接行动和中国法律,因为法律迫使中国公司向中国政府提供数据和相关信息。
那么,DHS看到了什么样的“中国行动”?读到了什么样的“中国法律”?
殖民者基因作祟导致的逻辑混乱
《数据安全商业咨询》的证据之一,是中国官方实施了窃取数据的直接行动。但这实在称不上证据,只能勉强算作“推论”,因为它主要是从一句话中引申出来的。这句话就是:“如果说石油是工业经济时代的核心资源,那么数据就是数字经济时代最重要的战略资源。”DHS煞有介事地引用了这句话,并给出了出处:2020年3月10日中国国家信息中心。谢天谢地,总算看到了整篇报告中唯一有明确出处和原文的一个中国官方文献记录。但这句话在中国再普通不过,它表达了中国对数据作为新生产要素的重视,展现了中国发展数字经济、释放经济发展新动能的决心。
DHS却对此如获至宝。当年,“石油”是如何挑动美国战争贩子敏感神经的啊。而今中国把“数据”比作“石油”,将“数据”看作“战略资源”,西方这些殖民者的后代们,首先想到的是“侵略”、“攫取”、“占有”、“战争”这些融入血液、烙进基因的词汇。以己之心度人之腹,中国作为全球数据“窃取者”的形象便被DHS勾勒出来了。
但仅凭一句话当然不足以达到抹黑中国的目的,DHS于是列举了中国的若干国家发展计划。
——“中国制造2025”、“数字丝绸之路”、“军民融合发展”国家战略。
——制造业转型升级,即从生产低附加值产品转向高附加值产品。
——提升对国外产品的替代能力。
——人民解放军现代化。
值得注意的是,这些发展计划确实是存在的,DHS正是要靠这一伎俩来增加其报告的可信性。但这些发展计划何以同数据联系起来?DHS老调重弹,指责中国几十年的经济快速发展是窃取美国知识产权的结果。于是乎,DHS得出结论,“中国加大了通过合法和非法渠道收集外国数据的力度”,以便为这些计划的实施提供支撑。
中国互联网上有一个流行的段子,叫做“开局一张图,内容全靠编”,这招看来是被DHS学会了。
但如果说DHS在“忽悠”其国民,似乎也低估了这个机构的智力。事实上,DHS还补充了两类“证据”。
一类是,指责中国政府针对维吾尔族裔收集数据,是“侵犯人权”的行为。这种迎合西方价值观的“人权”牌本来就是拙劣手法,早已证明是反恐的“双重标准”,而且DHS可能连自己因911后反恐而生都忘掉了。DHS的逻辑就是这样简单:中国政府开展了反恐活动,反恐活动需要数据支持,一些恐怖分子在国外,所以中国政府在全球实施了窃取数据的直接行动。显然,只要能够抹黑中国,DHS不惜把自己搞得神经错乱。
第二类是,DHS花了将近2页篇幅,列举了美国政府为应对“中国数据盗窃”而采取的行动。这些行动,一部分涉及特朗普发布的几篇行政令和贸易摩擦中对中国的制裁措施,这个问题无需多言,这位老先生已经被美国自己的高科技公司在互联网上“禁言”并宣布“社会性死亡”了。另一部分是美国司法部对一些中国公民“网络攻击”行为的起诉。关于后者,中国外交部新闻发言人已经多次声明严正立场,奉劝美国这个“黑客帝国”停止作秀。我对此倒是有一个新的观察角度:美国国内每年有多少起网络犯罪案件?每一起案件的背后是不是都受美国政府主使?
对中国法律的恶意引申和脱离文本的主观臆断
《数据安全商业咨询》的证据之二,是中国制定了窃取全球数据的法律,并特别分析了三部法律:《国家情报法》、《数据安全法(征求意见稿)》和《密码法》。这太“石破天惊”了,在普通美国民众看来,这下证据“实锤”了。
但事实证明,给法律泼脏水是个技术活儿。因为法律文本就摆在那里,是就是,不是就不是。可能是考虑到美国多数民众看不懂中文,所以DHS采取了几招并不高明的手段。
一是断章取义。DHS得到的最重要结论,是“中国法律迫使所有中国公司和实体向政府移交在国内外收集的数据”,理由是中国《国家情报法》第7条规定:“任何组织和公民都应当依法支持、协助和配合国家情报工作,保守所知悉的国家情报工作秘密。”事实上,该条是对公民维护国家安全义务的原则性阐述,且《国家情报法》随后第8条还规定:“国家情报工作应当依法进行,尊重和保障人权,维护个人和组织的合法权益。”但DHS有意忽略了第8条,并曲解了第7条,从而演绎出了骇人听闻的结论。那么,美国对公民义务的要求是什么呢,其入籍誓词可见一斑:“当法律要求时,我愿为保卫美国拿起武器;当法律要求时,我会为美国做非战斗性之军事服务;当法律要求时,我会在政府官员指挥下为国家做重要工作。”按照DHS的逻辑,以上这些美国入籍公民的义务给人留下了更多的可曲解的空间。
二是无中生有。DHS指,《国家情报法》可能迫使中国公司在国外销售的设备和软件中制造后门和其他安全漏洞,以便中国政府能够很容易地访问不受中国公司控制的数据;《数据安全法(征求意见稿)》意味着中国的态度发生了更大的转变,不再把保护中国数据系统作为一种防御机制,而是把收集数据作为一种攻击性行为;《密码法》要求,任何被“批准”在中国使用的加密系统,或由处理中国数据的公司使用的加密系统,都必须向中国政府提供其加密密钥。这些描述很容易引起恐慌,但完全是DHS编造的,法律条文中没有任何相关的文字,也不可能推导出类似的结论。
三是牵强附会。任何一部法律,都规定了违法处罚措施,有时也会对优秀行为进行褒奖,但DHS却对《国家情报法》的奖惩制度大做文章,着力渲染一种“给数据受奖,不给数据受迫害”的恐怖气氛。在网络安全事件处置中加强信息共享以提升共同应对能力,这是美国几十年来的实践,但DHS却将《数据安全法(征求意见稿)》的相关表述解释为“中国将建立一个集中的程序来监测和评估风险,与中国相关机构共享数据”。不仅如此,DHS还将风马牛不相及的信息共享与国家安全审查相关联,进一步为数据安全风险评估和监测预警机制蒙上了一层神秘面纱,有意诱导读者向“阴谋论”方向联想。《密码法》第31条要求建立商用密码监督管理信息平台,这个平台主要是对行业监督管理信息进行发布和查询,但却被DHS描述成“使国家密码管理局得以访问商业密码系统,包括访问这些系统保护的数据。其结果是国家密码管理局可以完全获得解密密钥、口令以及访问商业加密服务器上的数据所需的任何其他信息。因此,寻求在中国做生意的美国技术公司必须交出知识产权和技术。”这种耸人听闻的消息对美国企业的杀伤力是巨大的,但根本就是信口雌黄。
四是颠倒黑白。为了反制贸易歧视,《数据安全法(征求意见稿)》第24条规定,任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易方面对中国采取歧视性的禁止、限制或者其他类似措施的,中国可以根据实际情况对该国家或者地区采取相应的措施。但该条却被DHS解释为“歧视性”,并被进一步引申为“迫使外国市场继续对中国数据服务提供商开放”。那么,DHS是不是只允许美国封杀中国企业,不允许中国采取对等措施呢。此外,众所周知美国一直在实施“长臂管辖”和“域外执法”,宣称美国企业在世界上任何地方存储的数据都应当遵从美国国内法向美国政府提供,为此各国纷纷提出了数据本地化存储的要求,DHS对此表达了明显不满,认为“数据本地化要求可能迫使外国企业进行昂贵的投资”。那么,DHS是不是只允许美国在全世界调取数据,而不允许其他国家保护本国数据呢?
五是混淆视听。事实上,DHS炮口对准的不仅仅是中国的法律,其对中国的有关重大工程、重要规划极尽危言耸听之能事。对于中国的国家信用信息共享平台,DHS认为企业上报的详细数据中含有专有数据或其他敏感信息。对于“中国制造2025”,DHS称,中国视“缺乏隐私法、知识产权和人权保护”为一种“非对称优势”,试图“在数据驱动的技术增长的下一阶段追求全球主导地位”。为了显示真实性,DHS还给出了“中国制造2025”的链接,实际上却是美国国会对“中国制造2025”的评论。但即使在美国国会的报告中,也没有出现“非对称优势”类似的表述。胡编乱造竟至如斯,我非常想问一句DHS的官员:在你们的心中,究竟还有没有上帝?
大失水准毫无专业性的技术狂想
《数据安全商业咨询》的证据之三,是中国的产品被发现有技术缺陷或隐蔽数据传输通道。比起评论中国的法律,DHS似乎更应该擅长技术。但很遗憾,当邪恶在心中驻留时,DHS的技术判断早已失去了公正性,甚至一次次出现了常识性错误。并非DHS水平不够,而是这些人早已肆无忌惮,因为无论怎么向中国泼污水,都是“政治正确”,再弱智也会有人信,而且以前也确实少有人戳穿他们。
除了再次把抹黑中国《国家情报法》、《密码法》的车轱辘话搬来,以及继续纠缠中美贸易磋商中的“产业补贴”议题外,《数据安全商业咨询》还提到了几个具体的中国数据服务风险。这几个风险倒也能吓住一些美国国内的企业和民众,那就再扒一扒DHS的底裤。
首先,是关于巴布亚新几内亚使用华为设备的情况。DHS指,巴布亚新几内亚国家网络安全中心使用的华为数据中心有四个问题,一是数据中心使用的设备可以轻易由熟悉设备缺陷的实体拦截数据流;二是数据中心使用的加密算法已经被公开破译;三是数据中心使用的是已经报废两年的防火墙;四是华为依靠低价在全世界的4G/5G基础设施建设中攻城略地,但在项目实施时又会调整协议。我很想问一下DHS,你们写的这玩意儿你们自己信吗?当今世界,任何一个国际化大公司,都不可能给客户提供报废的安全产品、使用被破译的密码算法,真把客户当白痴?而且,真要是攻击一个数据中心,用得着使这么容易被发现的手段?对于第一个问题,“缺陷”是指什么?“实体”是谁?“拦截”了什么?如此语焉不详,无非又是在炮制“阴谋论”。DHS能否回答,防火墙设备工作时要不要拦截通信流?入侵检测设备工作时要不要拦截通信流?态势感知系统工作时要不要拦截通信流?DHS是不是忘记了,欧洲、美国对通信设备提出了体系化的“合法拦截”接口要求,不支持欧洲、美国“合法拦截”要求的设备不能进入市场,此“拦截”与彼“拦截”什么关系?对于第四个问题,不需要驳斥,因为太蠢,你自己的企业向来在第三世界国家攫取暴利成性,如今在技术和成本方面均已丧失优势,反而怪得了别人?我很奇怪,华为的设备在全球广泛部署,DHS何必要费尽苦心找个巴布亚新几内亚的例子来“挑毛病”,而且毫无说服力。原来华为建设的这个数据中心,是由澳大利亚外交和贸易部替巴方付钱的,澳大利亚人对这个数据中心有着异乎寻常的关心。澳大利亚的政客们是什么货色?中国人都知道。
其次,是关于电信公司Telikom PNG对华为的指责。这个Telikom PNG是巴布亚新几内亚的电信运营商,建议DHS以后写报告上点心,不要总拿巴布亚新几内亚说事。DHS指,Telikom PNG无法看到20-30%的网络流量,且所有设备更改都需要由华为员工进行审核,未被华为许可的技术不能进入网络基础设施,且操作手册上只有中文普通话,DHS认为这是垄断。这个例子就更加可笑了。作为骨干网运营商,20-30%的网络流量是什么概念,Telikom PNG会对如此量大的隐蔽通信无动于衷?据我所知,美国实施全球监听时,通过美国设备回传的通信流量是很小的,因为回传的是总量不大的关键数据,且美国要极力避免监听行为被发现,哪里能这么明目张胆?至于说设备更改、技术入场等问题,我建议DHS去学习一下“系统集成”和“系统运维”的基本概念,你以为数据中心是菜市场吗?我买了一款美国软件,需要二次开发时,如果我要求美国厂商开放源码,便于我在不依赖原厂商的情况下完成开发工作,美国企业会同意吗?我还想继续问一句,DHS写这份报告时,是认真的吗?有谁会相信,一个高度国际化的跨国公司,其给国外客户的操作手册只有中文版?
第三,是关于对一个新概念“Bug Door”的辨析。为了抹黑中国企业,美国政府惯用的手法是,宣称在中国某某产品中发现了漏洞(Vulnerability),漏洞危害后果如何如何。但时间长了,这招不好使了。因为哪怕是学过编程的普通初中生,都知道程序中常会出现缺陷,这称为Bug,相应地还有一个英文单词是“Debug”,这是“调试、排错”的意思。包括Bug在内的缺陷,如果导致攻击者能够攻击破坏系统,这称为“漏洞”。任何软硬件产品都不可能避免漏洞的存在,所以IT公司常常会发布“补丁”程序。事实上,世界上所有的用户都已经熟悉了定期对Windows操作系统等美国产品打补丁的操作了,目前全球最权威的漏洞库CVE(Common Vulnerabilities and Exposures)便是由DHS资助的机构维护的。在这种情况下,再拿漏洞来说事,纯属无稽之谈,只会遗人笑柄。于是DHS耍了个小聪明,发明了“Bug Door”,并解释为:有些Bug是经过伪装的,实际上是故意留下的“后门”(Back Door)。那么,这个“Bug Door”的技术标准是什么?与Bug的技术区别是什么?DHS是不是想说,美国产品中发现的Bug是Bug,中国产品中发现的Bug是后门?这个包藏祸心的新概念在技术上毫无意义,纯粹是为了抹黑中国而发明的,必须刹住这股歪风邪气。
第四,是关于利用合法数据集补充非法数据集的问题。DHS设想,中国在非法获得数据后,可以通过代理人向中介购买合法数据,从而有利于大数据挖掘。例如将多个匿名化数据集相关联,再辅以其他数据,便可从中恢复出某些敏感数据。当然,这在技术上是完全可能的,但DHS是在写小说吗?把里面的“中国”换成“美国”或其他任何一个国家,似乎都可以。不,美国不用,因为美国不需要这么麻烦。全球的数据,美国早已收入囊中,后文自有分解。
第五,是关于软件和移动设备应用。DHS指,中国公司拥有或经营的软件和移动应用程序可以收集美国公民的数据,并向中国政府开放。DHS信誓旦旦地说,美国政府已经提供了证据,证明中国应用TikTok可以跟踪手机的MAC地址,并阅读用户在剪贴板功能中存储的信息。如果我没有记错的话,那个“提供了证据”的政府的总统,在宣布封杀中国应用微信、TikTok后,美国国内并没有执行。而且这个总统在卸任前,发言账号受到了美国高科技企业的一致封杀,还是TikTok为卸任总统保留了最后的一点颜面。我还可以指出,欧盟在实施《通用数据保护条例》以来,巨额罚款案例层出不穷,有相当多的罚款案例与美国企业有关,多数指向非法获取用户数据,但涉及中国企业的案例却少之又少。这已经很能说明问题。
第六,是关于健身跟踪器和其他可穿戴设备。DHS指,即使设备本身对佩戴者的身份保持匿名,一段时间累积的位置数据在组合后也可识别出每个用户生活、工作或其他活动的情况。通过这类位置数据不仅可以了解穿戴者的行为模式,还可结合财税记录来识别穿戴者姓名及其家庭成员。感谢DHS,又一次给我们普及了技术原理,但这又怎么样呢?这能说明来自中国的数据安全风险吗?美国生产的可穿戴设备更多吧?但DHS实际上是有逻辑的,它在《数据安全商业咨询》的“从中国采购数据服务或与中国合作的风险”一章中,大篇幅论述收集数据的基本原理,用意只有一个:既然DHS认定了中国的《国家情报法》给了中国政府强制获得企业数据的权力,那么只要能够从技术原理上证明企业能够收集数据,就可以间接说明中国政府能够收集全球的数据。这就是DHS《数据安全商业咨询》所提供的全部所谓“证据”的实情。
中
对镜缘何不自知——监听帝国的真面目
我一直以为,直面真实的自己,是最大的勇气,对一个国家而言亦是。但当美国前中情局雇员斯诺登揭露了美国的“棱镜”监听计划后,看到美国情报机关满不在乎的态度,我忽然觉得,死猪不怕开水烫才是最大的“勇气”。当美国政府一而再、再而三地指责中国窃取数据,甚至不惜祭出司法重器后,我终于明白,原来真正的“勇气”是贼喊捉贼。看来,我不但高估了美国某些政客的人性,更低估了这些政客通过消耗美国国家信誉、污损美国国家形象来充当反华急先锋的胆量。
这种勇气从何而来?一些人说,这是美国霸权主义的一贯表现。但问题远非如此简单。世界秩序变迁,风云激荡,即使如美国曾霸气冲天,如今也一定要搞一套歪理邪说,假模假样披上理论的外衣,试图寻找国际法的支持。
这个“外衣”,就是美国政府将网络攻击分为“合法”和“非法”这套理论。言下之意是,美国干的都是合法的,可以在全世界搞攻击、拿数据。其他国家呢?美国说你干你就干了,而且是非法的。
这是一种什么逻辑?你说合法就合法?作为亲历了历次中美网络安全二轨对话的专家,我曾领教了美国人的套路。美国人提出一个观点:每个国家都有军队,每个国家都有情报行动,既然如此,为什么网上不能有?现实中合法的东西,网上也应当合法,因此只要网络攻击是出于军事、国家安全、反恐、情报目的,就是合法的,国际法应予承认;只有一种行为在现实中不合法的,故而网上也不允许,即窃取商业秘密。这就是美国政府从来都在面对外界的网络攻击指责时充耳不闻的原因,也是其对中国等其他国家的指责中永远含有“商业领域”、“商业窃密”等前缀的原因。
这确实很有迷惑性,听起来似乎有道理。可事实又是怎样的呢?2018年末,美国《纽约时报》报道了美国国家安全局曾入侵华为深圳总部的服务器并监听华为高管通信的消息。对攻击华为这样一家商业领域的民营企业的行为,美国情报机关仍解释为“出于国家安全原因,因为要了解华为与中国政府和军方有关联的证据”。那么,还有什么不是美国政府口中的“国家安全”呢。如果任由美国这套说辞成为国际法,那就意味着今后美国将彻底摆脱规则约束,在网络空间为所欲为,国际和平安全将不复存在。
所以,在审视美国这个真正的“监听帝国”之前,我们先把美国这套把戏交代了。
欲壑难填的控制心态
上世纪50年代,希区柯克导演过一部叫做《后窗》的电影,用隐喻的手法展现了人们的窥探欲。促进人类生存和发展的两大动力,一是好奇心,一是好胜心。好奇主要表现在人与自然,好胜表现在人与人,于是人类便有了窥探的内在冲动。当社会发展到人与人激烈竞争阶段时,信息不对称成为巨大优势,甚至成了决定成败的关键因素,“窥探”于是由暗转明,有了更多表现形式,并上升成为组织行为。
而最极力谋求“信息不对称”优势的组织,则是国家。但没有哪个国家似美国这般对获取他国数据如饥似渴。美国触角已伸至全球任何一个地方,呈现将天下数据一网打尽之势,这来自于一种想把世界牢牢掌握在手中的控制欲。因为控制了数据,就控制了网络,就控制了全世界。就像狗狗撒泡尿圈领地,美国是不会允许有什么地方没被自己尿到的。
与“控制欲”伴随而生的,是强烈的不安全感。你当世界霸主太久了,时常提心吊胆,怕自己被推下去;你坏事做多了,到处煽风点火伤天害理,走夜路怕见到鬼。于是,美国这个全球唯一的超级大国,发展成了全球唯一的有能力、有意愿又长期“付诸实践”的“监听帝国”。
佐证这个“监听帝国”的,是英国作家乔治·奥威尔于1949年出版的长篇小说《1984》。书中随处可见一条标语“老大哥在看着你”。自此,这句话风靡全球,用来描述任何侵犯隐私的监听行为,而美国则毫无意外、“非你莫属”地被贴上了“老大哥(Big Brother)”的标签。
正如我反对DHS在《数据安全商业咨询》中仅凭一句中方重视数据价值的话便指责中国一样,我们不提倡“因动机获罪”。那么,接下来看看证据,美国是怎样为“监听帝国”做准备的。
首先,美国通过行政令建立了庞大的情报系统。美国的情报系统是根据总统授权并通过1981年的第12333号行政令而成立的。该命令建立起了由国家安全局(NSA)、中央情报局(CIA)、联邦调查局(FBI)等16个机构组成的情报系统,并确认了情报机关最重要的任务之一就是从事广泛的监听,包括从企业和商业组织收集情报信息并强调旨在加强境外情报收集技术。第12333号行政令授权NSA通过访问大西洋海底电缆,在数据抵达美国之前收集和保留这些数据,且NSA根据该令开展的活动不受成文法约束。也许有人会说,这又怎么样呢?每个国家都有情报机关呀,也都有设立情报机关的法定文件呀。但值得注意的是,这个40年前的文件中对美国情报机关的监听授权,直到今天还在为全世界带来梦魇。2020年7月16日,欧盟法院正是考虑到12333号行政令,认为美国国企业即使加入美欧跨大西洋传输数据的《隐私盾协议》,欧盟数据也仍然要受这些美国监控法律的约束,美国情报机关也依然可以访问,故成为监控目标的欧盟公民缺乏隐私保障,因此欧盟法院据此认定美欧数据跨境转移机制《隐私盾协议》无效。
其次,通过《外国情报监视法》(FISA 1978)、《电子通信隐私法》(ECPA 1986)、《执法通信协助法》(CALEA 1994)建立监听法律体系。FISA第一次将国家安全监听行为从刑事诉讼领域剥离出来单独立法,其内容涵盖电子监听、物理性搜查、通信记录与通信追踪、使用商务记录等秘密调查手段。为配合该法的顺利实施,美国联邦司法系统特地创建了一类特殊法院,即外国情报监视法院。与美国其他法院相比,外国情报监视法院一个显著特殊性在于程序属于单方面进行,当局申请的监视对象没有机会在法院为自己辩护,多数监听判令都由一名法官单独签署,判决结果不对外公开。ECPA则将口头交流、有线通讯、电子通信通通归入监听法律范畴;CALEA则进一步明确了电信运营商的执法协助义务,在法律体系上完善了全方位的监听保障。此外,2001年“911”恐怖袭击后,美国迅速推出了《爱国者法》(即“PATRIOT Act”),授予美国NSA、FBI等机构3项反恐监听特权:截取和长期存储公民通信数据、使用“漫游窃听装置”监听嫌疑人通话、追踪“独狼”恐怖嫌疑人等。《爱国者法》第二章“加强监视程序”大大扩大了政府情报监听的权力与范围。根据《爱国者法》第215条,美执法部门有权对任何与恐怖活动有关的信息进行调查,该条款是NSA大规模搜集公民通话数据的法律依据。但该条款此后引发广泛批评,最终导致该条款于2015年6月1日后未能再继续。
第三,立法为实施境外监听大开绿灯。FISA的一个重要的原则就是“内外有别”,涉及美国人时,要求情报机关谨慎使用技术侦查措施,遵循严格的目标确定原则,制定和采用严格的最低限度规程,以及向FISA法院申请令状并接受监督;而一旦对象换成非美国人,条件与程序都变得相当简便,甚至无需事先得到司法令状的批准。在FISA的702条款下,授权司法部长和国家情报总监为收集涉外情报信息,只要有合理理由怀疑位于美国境外的非美国人,就可以共同授权NSA实施1年期限的情报收集活动,而无需FISA法院批准。NSA自2007年开始实施的“棱镜”监听项目,就是依据上述第702条的授权(详见后文)。《爱国者法》第206条授权执法机构在外国情报调查中可以对个人进行机动性监听,将对特定线路的监听改成了对特定人的监听,增加了情报监听的灵活性和机动性。
第四,对抗各国的互联网数据保护要求,强化域外执法能力。2013年,美国纽约联邦地区法院签发了一份搜查令,要求微软公司协助一起案件调查,将一名用户的电子邮件内容和其他账户信息提交给FBI。由于该名用户的电子邮件数据存储在微软位于爱尔兰的数据中心而非美国境内,微软表示,根据欧盟及爱尔兰的数据保护要求,无法向FBI提供数据,并提出了废除搜查令的动议。随后,美国司法部正式起诉微软。在经历了为期5年的“马拉松”诉讼后,该案无疾而终。因为2018年3月,美国通过了《云法》(CLOUD Act)。司法部表示,该法解决了微软案件核心的法律问题,此案件的继续审理“现在已没有实际意义”。为什么会这样说呢?因为《云法》修订了1986年《存储通信法》,其规定:美国执法机关有权通过传票或令状要求受美国“长臂管辖”的企业提供位于美国境外的数据(包括电子邮件内容、聊天记录、姓名、地址、元数据、服务时长、话费记录等)。为了进一步减轻美国获取境外数据的技术难度,美国政府长期以来激烈反对其他国家的数据本地化存储要求,DHS《数据安全商业咨询》中对中国的批评之一便来源于此。
第五,为商业利益服务。2019年1月22日,美国发布了最新的《国家情报战略》,明确了7大任务目标:战略情报、预期情报、当前行动情报、网络威胁情报、反恐情报、反扩散情报、反间谍和安全。但实际上,自出生时起,美国情报机关就有为商业利益服务的职能,尤其是当涉及到“军工联合体”投标时,如洛克希德·马丁、波音、雷神等。这些公司对美国政治施加了巨大影响,以维持其巨大利润,故受到情报机关的支持毫不奇怪。2020年11月,丹麦公共广播公司援引匿名消息来源透露,美国NSA对丹麦财政和外交部实施了监听,目的是收集有关丹麦的战斗机采购计划信息,以确保哥本哈根采购洛克希德·马丁公司的F-35。斯诺登披露的美国“棱镜”计划文件显示,美国NSA开展的大规模监听行动不仅包括世界各国领导人,还包括众多国际组织和商业领袖。据德国《明镜》周刊报道,NSA监听对象还包括国际间的金融交易,尤其是信用卡交易,全球知名的信用卡品牌Visa公司和总部设在布鲁塞尔的环球银行金融电信协会均在其监视范围之内。当然,美国政府又会说,这是为了追踪恐怖分子募集资金的活动,但真相到底是什么呢?
绝无仅有的监听能力
美国成为世界上独一无二的“监听帝国”,这在很大程度上是由其能力决定的。作为一系列重大IT技术的发源地,美国在技术和服务上被其他几乎所有的国家高度依赖。其结果就是,别人的东西,美国能拿到;别人看不到的,美国能看到;别人看不懂的,美国能看懂。
一是掌握互联网基础资源的分配权力。全世界一共有13台互联网根域名服务器,其中一个为主根服务器,其余12台为辅根服务器。主根服务器设在美国,12台辅根服务器中有9台设在美国,其余分别设在英国、瑞典、日本。这些根服务器的管理者是由美国政府授权的互联网域名与号码分配机构(ICANN)。虽然ICANN自称是非营利性组织,但它却实际上受美国控制。因此,美国政府通过ICANN掌握了对互联网域名和地址的资源分配,由此管理和控制着全球互联网运行。如果美国想对任一国家进行打压,可以停止对该国顶级域名的解析,使该国的互联网访问中断,被迫从互联网世界“蒸发”。例如,伊拉克战争期间,“.iq”(伊拉克顶级域名)的申请和解析工作被终止,伊拉克被美国在互联网世界中“消灭”了。此外,美国还曾将“.ly”(利比亚顶级域名)移交给利比亚反对派,直接干涉利比亚内政。美国这种对互联网的超级垄断能力引起了其他国家的强烈不安,近年来ICANN国际化改革始终在推进,但美国真的会放弃这一控制权吗?
二是主导各种网络基础设施部署和网络内容生成。美国控制着互联网通信干线。1988年12月,第一条跨洋海底光缆(TAT-8)进入商业服务,从那时起直到2008年,欧美公司垄断了全球光缆市场,其铺设的海底光缆普遍发端于欧美发达国家,或者以欧美发达国家为中枢桥接点。虽然2008年后,相关公司将投资方向转向了基础设施薄弱的非洲等地区,但欧美公司垄断海底光缆的事实没有改变。目前,全球网络空间的海底光缆线路是以美国为核心节点连接起来的,跨境数据从一边到另一边,几乎必然经由美国。正如斯诺登泄露的文件所显示的,美国NSA与一些特定的美国科技和电信公司保持着“企业合作关系”,让NSA能够“访问分布在全球各地的高容量国际光缆、交换机路由器”,进而使美国可以在全球开展不受节制的大范围监听。美国还控制着互联网的信息源。美国拥有世界上最大的网站访问量,如全球访问量最大的搜索引擎Google、最大的视频网站YouTube、最有影响力的社交网站Facebook和Twitter。通过纷繁芜杂的情报法律体系,这些网站收集存储的数据都被美国情报机关收入囊中。
三是控制了IT产业链上的每一个关键环节。美国是全球信息通信设备的最大供给者,产业链上的每个关键环节基本上都由美国所主宰。从基础网络设施(思科、Juniper)、云(亚马逊)、数据库(Oracle)、操作系统(微软、安卓系统、iOS系统)、芯片设计(Intel、高通)到内容服务提供商(Facebook、Twitter、Google)再到软件和终端(苹果)等在内,美国制造商垄断了全球信息技术产品硬件和软件核心部分的研发、生产,并在全球广泛部署,几乎渗透了全球网络的每一个环节。不仅如此,为了维护其在产业链上的绝对优势,美国还不断通过并购交易,直接或间接地实现对原产他国的核心技术的掌控。此外,美国还通过国家安全审查措施,阻止外国投资者获取关键技术。2018年8月,美国发布《外国投资风险审查现代化法》(FIRRMA),将“重要技术”的范围从“对美国国家安全必不可少或重要的科技技术”扩展至包含“新兴技术与基础技术”。但凡涉及这些领域的外国投资,美国几乎都通过国家安全审查手段予以否决,通过严防死守来维护其在核心技术领域的垄断。
四是以“网络安全”、“清洁网络”为由打压供应链上的“异己”,意在维持其全球网络监听能力。凭借其在产业链关键环节的主导权,美国在网络空间拥有了绝对的监听优势。然而,近年来中国通信企业的崛起使美国的利益受到挑战,华为、中兴、抖音、微信等非美国企业是其产业链中的“异已”,美国的卧榻之侧自然不容他人鼾睡。如果美国NSA想通过修改路由器或交换机来进行监听,一家中国公司不会与其合作,美国颠覆和渗透目标网络的难度将大大增加。其结果将是,华为等中国企业的设备在全球电信网络中部署得越多,美国“收集一切信息”就越难。每部署一台,美国的监听版图便后退一步。讽刺的是,美国政客的“清洁网络”行动却声称要通过排除“不受信任的中国供应商”来促进隐私和数据安全。很明显,美国掌控下的安全网络并不存在,因为其能够随意渗透。美国试图“清洁”中国企业的真正原因不是出于合理的安全理由,而是极力维持其全球网络监听能力。
肆无忌惮的网上行动
中国古代神话中,塑造了两个拥有超凡能力的神仙——千里眼和顺风耳。但“千里眼”执行“观”千里灾难的任务,“顺风耳”执行“听音”救苦的任务。遗憾的是,美国将其监听能力用到了邪路。
美国实施网络监听主要有三种技术手段:直接进入互联网公司的服务器和数据库获取数据;美国NSA的特别机构主动、秘密、远程入侵获取信息;通过光缆获取世界范围内的数据。因此,没有任何通信手段可以逃脱NSA的大规模监听,如互联网用户数据、光缆通信、电话或者电子邮件的“元数据”、语音或短信、传真;也没有任何国家、个人或组织能逃脱美国的监听,因为美国的外国情报法院允许NSA监听全球所有国家,即使是美国的盟友,甚至是情报合作伙伴,美国也可以基于“国家最大利益”在特定场景下进行监听。
在各种技术手段支撑下,美国开展了几类行动。
一是建立不同监听执行部门,分工合作。美国情报机关的现代监听技术起始于二战时期的军事通信破译,此后其将监听向网络空间拓展。NSA是其主要监听机构,下设“获取特定情报行动办公室”,“特殊来源行动小组”和“全球入侵行动处”。“获取特定情报行动办公室”通常负责网络攻击技术研发、实施网络攻击和入侵国外计算机,其实质就是网络攻击窃密;“特殊来源行动小组”主要负责搜集、处理和监视互联网元数据;“全球入侵行动处”主要负责截获来自卫星和其他国际情报平台上的情报。在该体系下,NSA至少于2008年起,向全球数十万台计算机植入专门软件,旨在时刻监控或攻击目标计算机;NSA曾秘密侵入Yahoo、Google在各国数据中心之间的主要通信网络,窃取了数以亿计的用户数据;NSA通过接入全球移动网络,每天收集全球高达近50亿份手机通话的位置纪录;NSA还大规模搜集全球手机短信息,每天收集大约20亿条;苹果和安卓手机操作系统在美国NSA内部被称作“数据资源的金矿”,美国长期从移动设备应用程序(App)中抓取各类个人数据,为此一度将相关预算从2.04亿美元追加到7.67亿美元,涉及的应用程序则包括手机游戏“愤怒的小鸟”、应用程序“谷歌地图”以及Facebook、Twitter、网络相册Flickr等手机客户端。
二是设立专门网络监听项目。NSA内部与网络监听直接相关的项目近十个,涵盖互联网和电信网。其中最为外界熟知的是被斯诺登爆料的“棱镜”项目。2013年6月,前中情局雇员斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》,美国NSA的“棱镜”秘密监听项目大白于天下。资料显示,“棱镜”要求美国微软、Google、Facebook、Yahoo、苹果、PalTalk、AOL、Skype、YouTube等至少9家主要互联网公司为NSA提供数据,包括电子邮件、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料的细节等互联网用户的通信信息。数据通过这些公司的服务器以电子方式传输给政府,有时一些公司的服务器还会建立独立的安全入口,便于情报机关调取信息。不仅如此,NSA自2009年针对122名外国领导人实施监听,并建有一个专门存放外国领导人信息的数据库,其中关于德国总理默克尔的报告就有300份。《华盛顿邮报》获得的文件显示,美国总统的日常简报内容部分来源于“棱镜”项目,该项目被称作是获得此类情报的最全面方式。事件曝光后引起全球哗然,其侵犯人群之广、程度之深让人咋舌,为此,欧盟一些国家一度试图建设“欧盟互联网”,摆脱美国的监听。
三是与盟友合作,建立全球监听网络。二战结束后的1948年,美国与英国、加拿大、澳大利亚、新西兰等国家共同签署了电子间谍网络协议,旨在使这五个英语国家联盟间进行情报分享与联合拦截敌国情报。每份联盟情报不仅标有秘密等级,还标明了哪个国家具备阅读权限。比如,一份加拿大人才能阅读的情报上会盖上“绝密——仅限加拿大”的红色印戳。久而久之,五国情报人员开始在私下交流时使用“五眼”这个简洁的名字,这就是“五眼联盟”的来历。“五眼联盟”的监听系统称为“梯队”(ECHELON),其核心部位设在美国西弗吉尼亚的舒格格罗夫山、华盛顿的亚基马以及英国的两个空军基地内。地面站内大大小小的碟形天线负责截收国际通信卫星的信号,全世界134个国家通过国际通信卫星进行的电话、电报和计算机通讯,都有可能被这个地面站截收。“梯队”系统被曝光之后,引起了国际社会的极大关注,许多国家都严厉斥责这一严重侵犯人权乃至违反国际公约的罪恶行径。欧洲一些国家为现代通信无密可保而担心,更为自己的隐私权遭到侵犯而愤怒,为此进行了全方位调查。重点是,“梯队”电子监听系统是否大规模介入了针对欧盟商业贸易的间谍活动,欧盟总部的政治和经决策机构是否遭到了“梯队”的全面监视等。
毫无疑问,美国已经成为当前网络空间最大的安全威胁,危及全球公民的基本人权和各国的国家安全。长期以来,世界各国对美国设备和技术的依赖,使全球对美国形成“单向透明”。美国可以凭借其设在本国的根服务器、安装在设备中的监听器、植入软件中的“后门”程序等技术优势监控全球网络,即使其声称是盟友的国家也不放过,从而实现美国的军事、政治和经济利益最大化。
贻害无穷的流毒恶果
美国在网络空间倒行逆施,公然破坏国际关系基本准则,严重威胁世界和平发展,产生了一系列恶果,对美国自身也造成了严重影响。已经占到便宜的美国政客们,自然是不会承认有什么后果。但善恶若无报,乾坤必有私。须知,国际力量对比新格局的演进正在提速换挡,新一轮科技革命和产业变革蓄势待发,人类社会对安全、和平、发展的认知更加深刻。2020年新冠病毒全球肆虐,百年变局骤然加速,世界已经回不到过去了。中国进入新发展阶段,世界也在求索新未来。让我们冷眼观螃蟹,看其横行到几时。
我相信,“监听帝国”所作所为带来的流毒恶果,会让美国尝到“现世报”。
一是破坏网络安全。据路透社报道,美国NSA曾与加密技术公司RSA达成了1000万美元的协议,联合在加密算法中加入漏洞后门,旨在削弱软件加密标准,辅助相关机构开展大规模监听。斯诺登泄露的一份情报预算文件显示,NSA每年花费2.5亿美元用于"Sigint Enable Project",其目的是破坏安全标准和实践。对原产美国的IT产品,如高端路由器,美国多次破坏其供应链,即在产品交付给客户前在其中植入后门,便于美国情报机关入侵。全世界都知道,应当密切关注IT产品漏洞信息并及时打补丁。但事实上,很多漏洞在发现后并没有第一时间告知用户,而是提供给了美国情报机关,这个时间差为美国情报机关的网上行动提供了极大便利。甚至有些漏洞永远都不会向用户公布,供美国研发针对性的网络武器。以上这些行为使目标系统的安全防线十分脆弱,不但对美国政府的监听毫无防御能力,也很容易被黑客、网络犯罪集团或其他网络攻击者利用。
二是侵犯人权。美国情报部门对全球实施无差别、全方面、多层次的大规模监听,严重侵犯了包括隐私权、信息和言论自由权、公平审判权、宗教自由权等在内的基本人权。特别是,美国毫无区分地大量保留通信数据从根本上违背了法治,使个人隐私暴露无遗,直接违反了以欧盟《通用数据保护条例》(GDPR)为代表的个人数据保护法律。处在被监听下的人们不敢就敏感主题发表言论或与外界沟通,这不仅影响到其言论自由,更危害了他人的信息自由。甚至美国的盟友都认为,如果情报机关可以绕开民主政治和法律渠道对海量的私人通话进行拦截,此种不分青红皂白的行为将给民主制度的根基带来破坏性威胁。
三是影响本国企业形象和商业利益。2020年7月16日,欧盟法院认定,美欧数据跨境转移机制《隐私盾协议》无效。这是欧盟法院继2015年认定美欧《安全港框架》无效以来,废止的第二项美欧间个人数据跨境转移机制。法院认为,隐私盾机制不能令人信服,因为它不能保护欧盟公民免受美国情报机关实施的大规模监听计划的侵害。从欧盟数据保护委员会(EDPB)于2020年11月10日发布的两份指南草案来看,基本杜绝了将欧盟公民数据转移到美国的合法性,“当数据接收国的公共当局访问被转移数据的权力超出民主社会的必要和比例性时,EDPB无法设想有一种有效的技术措施来防止这种对数据主体权利的侵犯”。显然,由于美国情报机关不光彩的监听行动,美国企业已经丧失了跨境开展对欧业务的最便利条件,为美企在欧洲的未来发展带来了巨大不确定性。不仅如此,美国企业在一系列监听行动中对美国情报机关的主动或被动配合,动摇了人们对美国企业的基本信任。更为严重的是,当美国政府对为数不多进入美国市场的几家中国企业如临大敌时,我们不禁疑虑,那么多美国企业已经在中国攻城略地几十年了,我们这个国家是不是已经对美国彻底透明了?那我们要怎样对待这些美国企业?
四是危害本国公民福祉。网络新技术的发展不断将人类文明推向新的高度,对社会变革带来深刻影响,也极大地解放了生产力,使人类生活更美好。5G技术是其中的最突出代表之一,其问世堪比造纸术、蒸汽机、互联网,石破天惊,意义非凡,未来无限可期。但美国以数据安全风险为由,对中国的5G技术百般诋毁,不但在本国全力封杀,还动用外交、贸易等手段要求其他国家不得采用中国5G技术,这个曾经的技术创新大国自导自演了一场因一己之私拒绝文明进步、开历史倒车的反智秀。DHS居然沾沾自喜,在最新发布的对抗中国的战略行动计划中大言不惭:“近期的行动减缓了中国在全球5G市场中占据主导份额的势头”。那么我问一句,且不说其他国家,你美国政府拒绝了世界上最安全、性价比最高的5G技术,你得到什么了?你的国民使用上安全可靠的5G技术了吗?啥时候能用上?联想到新冠疫情中美国政府的表现,美国政府此举其实是可以“理解”的:一个连国民生命都弃之不顾的政府,哪里还能顾得上国民其他福祉?
五是损毁国际互信。在美国全球无差别监听阴影下,甚至与美国有着相同意识形态的其他西方国家,也毫不犹豫对美国投下了不信任票,这在很大程度上改变了网络空间国际合作格局。特别是欧盟国家,他们愈加担心丧失了对数据的控制权、数据执法权以及本土企业的创新能力。正如欧盟委员会副主席玛格丽特·维斯塔格所说,欧盟公民希望在使用技术时信任技术,而不是开始新的监听时代。美国技术公司,正在收集海量的欧盟个人数据,同时其商业模式是基于收集和利用在线用户数据去获得广告收益。不但如此,“剑桥分析”丑闻展示了,在线平台可以提取个人数据用于政治画像目的。欧盟将这一趋势称为“监听资本主义”。在数据执法方面,欧盟成员国高度关注美国《云法》赋予美国执法机构域外获取个人数据的能力,并担心美国的大型在线平台将主导欧盟经济的所有领域,剥夺了欧盟成员国在版权、数据保护、税收或运输等领域的主权。在本土技术创新方面,专家警告说,高科技经济越来越依赖于无形资产(如数据和知识产权),处于先发优势的美国公司将进一步拉大与欧盟在技术创新问题上的距离。2020年,欧盟集中发布了《塑造欧洲的数字未来》、《欧洲数据战略》以及《欧洲的数字主权》等一系列战略文件,以反击美国“数据霸凌主义”。正如欧盟委员会副主席玛格丽特·维斯塔格所说:“我们到了必须采取行动的地步。在这个问题上,数字企业的力量— —尤其是最大的门户平台— —威胁着我们的自由、机会,甚至我们的民主。因此,对于世界上最大的门户平台来说,情况将不得不改变。”
下
明日风开千里雾——中国方案的新主张
树欲静而风不止,惹来萧萧暗雨打窗声。
和平、安全、开放、合作、有序,这是中国政府对全球网络空间安全的希冀,是中国网络空间安全战略目标,也是中国的行动方向、中国对全球释放的最大善意。然而,美国政府为了达到遏制中国的目的,连续就数据安全向中国发难。
——2019年5月,美国纠集32个国家和地区的代表,在捷克首都布拉格开了为期两天的5G安全准则讨论会。这个“小圈子”在会上炮制了《布拉格提案》,对5G安全风险提出了4项关切。其中3项与数据安全相关,目标直指华为等中国5G技术供应商。《布拉格提案》尤其提出要基于供应商的“出生国”来评估风险,特别是关于其治理模式,是否缺乏安全合作协议或类似安排(如数据保护方面的充分性认定),或者该国是否是关于网络安全、打击网络犯罪或数据保护的多边性、国际性或双边性协议的缔约国。这些刻意挑选的安全评估要素无法被客观度量和评估,在缺乏公正程序的情况下会被主观使用,最终试图直接将“中国”认定为高风险源,欲将所有中国企业阻拦在全球市场之外。具有讽刺意味的是,美国在牵头搞这个《布拉格提案》的时候,绝没有想到其同欧盟签署的《隐私盾协议》在一年后会被判无效。
——2020年8月,特朗普签署总统令,以涉嫌获取美国公民数据为由封杀微信、Tiktok。该总统令要求,任何美国公民都不得使用这两个源自中国的App,任何美国公司也不得同中国公司腾讯与字节跳动,甚至是与这两家公司有关联的公司,发生任何的交易行为。当然,由于此事太过荒谬,这份总统令最终也没有落地。
——2020年8月,美国国务院以防范中国窃取数据为由,在官网公布了“清洁网络计划”,包括5项内容:清洁运营商,不受美国信任的中国电信公司不能为美国和其他国家提供国际电信服务;清洁应用商店,从美国应用程序商店中删除不受信任的中国软件;清洁应用程序,阻止华为和其他不受信任的供应商预先安装或下载美国最受欢迎的应用软件;清洁云端,保护美国最敏感的个人信息和商业知识产权,防止一些重要信息被阿里巴巴、百度、腾讯等中国公司运营的云端系统所获取;清洁电缆,努力确保连接全球互联网的海底电缆传输的信息不会被破坏和泄露。美国如此大动干戈,名为“实现没有中国元素的清洁网络”,实为“维系美国治下的全球监听网络”,是在建设真正的“不清洁网络”。
——2020年12月,美国联邦通信委员会(FCC)表态,拒绝把华为从国家安全威胁名单删除。FCC此前曾表示已将中国的华为和中兴正式列入所谓的“威胁名单”,此举意味着美国禁止美国公司通过83亿美元的政府基金从这些中国公司购买设备。事情还可追溯到2019年5月,特朗普签署了一项行政令,禁止美国公司使用“存在国家安全风险的公司制造的电信设备”,并将华为列入贸易“黑名单”。
——2021年1月,特朗普签署行政令《解决由中国公司开发或控制的应用程序和其他软件造成的威胁》,禁止美国司法辖区的任何人与8个中国App有关的人或其子公司进行任何交易。涉及的8个应用软件为支付宝、扫描全能王(CamScanner)、QQ钱包、茄子快传(SHAREit)、腾讯QQ、短视频平台VMate、微信支付和办公软件WPS Office。理由是,这些应用程序可以获取用户的私人信息,这些信息可能被中国政府用来“追踪联邦雇员和承包商的位置,并建立个人信息档案”。
一系列事件充分表明,数据安全已经被推向了国与国博弈的第一线,是霸权国家“污名化”中国的主要借口。信息流引领技术流、资金流、人才流、物资流,数据安全本质上关系到政治、经济、文化、军事等全局性议题。近年来,国际贸易、安全等领域的国际规则、双边多边协定等,也都深刻涉及数据安全。作为当前国际治理的焦点,数据安全正在对全球政治经济发展产生广泛深远影响。
被狗咬了一口,没有必要咬回去。但在全球网络空间已经被搅得乌烟瘴气,并事实上严重阻碍了人类科技创新和文明发展的形势下,关于数据安全,需要有正义的声音、妥善的解决方案,以及公平合理的国际规则。
铁肩担道义,中国将展现大国的责任与担当,并必然对美国的监听作出回应。
岂能背绳墨以追曲,可笑竞周容以为度
网络空间是人类活动新空间、治理新领域,发展不平衡、规则不健全、秩序不合理,一些国家正是看到了这一点,为所欲为,公然实施“数据霸凌”。中国古代伟大的诗人屈原早就描述了这副嘴脸:“背绳墨以追曲兮,竞周容以为度”——违背准绳而随意歪曲,竞相把苟合取悦于他人奉为法度。因为没有规则,美国才可以倒行逆施、我行我素;而英国、加拿大、澳大利亚等这些“跟班”,自然不会放弃谄媚美国的机会,丛林法则正是这些所谓的文明国家遵循的“法度”。2021年1月15日,瑞典的斯德哥尔摩上诉法院作出判决,驳回华为的上诉。此前,瑞典电信管理局曾宣布封杀华为,华为随后对其发起诉讼,于是瑞典这个比肩瑞士的所谓“永久中立国”为“竞周容”增添了最新注脚。
世界呼唤规则,正义不能迟到。2020年9月8日,中国国务委员兼外交部长王毅在“抓住数字机遇,共谋合作发展”国际研讨会高级别会议上发表题为《坚守多边主义 倡导公平正义 携手合作共赢》主旨讲话。王毅国务委员指出,中国建设性参与联合国、二十国集团、金砖国家、东盟地区论坛等多边平台的数据安全讨论,致力于为加强全球数字治理贡献中国的智慧。为应对新问题新挑战,中国愿发起《全球数据安全倡议》,欢迎各方的积极参与。
上帝说,要有光,于是世界就有了光。《全球数据安全倡议》正是数据治理赤字的黑暗空间中一道闪耀的光。这一倡议为制定数字安全国际规则提供了一个蓝本,宣告了一个全球进程的开启,善莫大焉。
全球性问题需要全球性解决之道。中国主张,有效应对数据安全的风险挑战,应该遵循以下原则:
第一,秉持多边主义。共商、共建、共享是解决全球数字治理赤字的正确出路。应在各方普遍参与的基础上,达成反映各国意愿、尊重各方利益的全球数据安全规则。个别国家大搞单边主义,以“清洁”为名向别国泼脏水,以安全为借口对其他国家领先企业进行全球围猎,这是赤裸裸的霸凌行径,应该予以反对和摒弃。
第二,兼顾安全发展。保护数据安全对数字经济健康发展至关重要。各国都有权依法保护本国的数据安全。同时,也都应为所有企业提供开放、公正、非歧视的营商环境。数字保护主义违背经济发展的客观规律,不符合全球化的时代潮流,不但有损全球消费者公平获得数字服务的权利,最终也会阻碍自身的发展。
第三,坚守公平正义。维护数字安全应以事实和法规为依据。把数据安全问题政治化,刻意搞双重标准,甚至不惜造谣抹黑,违背国际关系基本准则,也严重干扰和阻碍全球数字合作与发展。
数据安全议题包容甚广,与供应链、情报监听、网络攻击、执法取证、跨境贸易、IT产品安全设计、产业垄断等议题密切相关。美国攫取全球数据的实践,以及对中国的发难,几乎全部涉及了上述领域。此前,全球不但缺少数据安全规则,更没有解决数据治理难题的综合性方案。而且,维护数据安全的责任并非单一,与政府、企业等均有关。为此,《全球数据安全倡议》面向各国政府、国际组织及所有利益攸关方,首次提出了全面的数据安全承诺,欢迎各国通过双边或地区协议等形式支持这些承诺:
一是客观理性看待数据安全,致力于维护全球供应链开放、安全和稳定。
二是反对利用信息技术破坏他国关键基础设施或窃取重要数据。
三是采取措施防范和制止侵害个人信息的行为,不得滥用信息技术对他国进行大规模监控,或非法采集他国公民个人信息。
四是要求企业尊重当地法律,不得强制要求本国企业将境外产生、获取的数据存储在本国境内。
五是尊重他国主权、司法管辖权和对数据的管理权,不得直接向企业或个人调取位于他国的数据。
六是应通过司法协助等渠道解决执法跨境数据调取需求。
七是信息技术产品和服务供应企业不应在产品和服务中设置后门,非法获取用户数据。
八是信息技术企业不得利用用户对产品依赖,谋取不正当利益。
2020年11月,中国国家主席习近平在G20领导人第15次峰会第一阶段会议上发言指出:面对各国对数据安全、数字鸿沟、个人隐私、道德伦理等方面的关切,我们要秉持以人为中心、基于事实的政策导向,鼓励创新,建立互信,支持联合国就此发挥领导作用,携手打造开放、公平、公正、非歧视的数字发展环境。前不久,中方提出了《全球数据安全倡议》。我们愿以此为基础,同各方探讨并制定全球数字治理规则。
秉青萍干将之器,不可拂钟无声
好战必亡,忘战必危。面对美国在网络空间的咄咄逼人态势,一个国家应当具备维护自身安全的基本手段,掌握反制霸凌的坚强利器。但网络空间已经成为各国休戚与共、命运相连的“地球村”,试图通过隔绝网络、仅以国别为由排斥特定产品来实现安全,既违背网络空间的开放属性,也不可能实现真正的安全。
如何建立在开放环境下维护国家网络空间安全的能力,如何在受制于人局面下确保供应链安全性,这成为摆在除美国外世界各国面前的一道难题。中国在网络安全实践中,始终强调要处理好安全与发展、开放与自主的关系。中国国家主席习近平指出,要坚持促进发展和依法管理相统一,既大力培育人工智能、物联网、下一代通信网络等新技术新应用,又积极利用法律法规和标准规范引导新技术应用;要坚持安全可控和开放创新并重,立足于开放环境维护网络安全,加强国际交流合作。
我们不拒绝任何新技术,新技术都是人类文明发展的成果,是全世界科学家们相互学习、彼此互鉴、接力传递、共同创造而来。目前几乎所有的全球治理难题,都有赖于各国科学家们的共同努力。特别是在经济全球化深入发展的今天,创新要素在世界范围内加快流动,各国经济科技联系更加紧密,任何一个国家都不可能仅仅依靠自己的力量解决所有创新难题。
不拒众流,方为江海。中国的自主创新不是闭门造车,不是单打独斗,不是排斥学习先进,不是把自己封闭世界之外。
同时,对采用国外技术和产品,中国一视同仁,不搞国别歧视。但为了保障供应链安全,中国实施了网络安全审查制度。2020年4月,中国国家互联网信息办公室等12个部委联合印发了《网络安全审查办法》,正式启动了这项工作。
中国实施网络安全审查制度,目的仅限于维护国家安全。《国家安全法》第五十九条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的网络信息技术产品和服务,以及其他重大事项和活动,进行国家安全审查。该条明确无误指出,网络安全审查是一种“国家安全审查”。《网络安全法》第三十五条规定,“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。该条再次强调,网络安全审查指向的是“国家安全”。审查制度发布后,在一些境外媒体的歪曲下,外国企业曾谈之色变。但事实证明,合法经营的国内外企业并没有受到任何影响。
中国实施网络安全审查制度,重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险。包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况。
中国实施网络安全审查制度,不限制或歧视国外产品和服务,并充分保护企业的商业秘密和知识产权。网络安全审查对象既包括国外产品,也包括国内产品,且不以国别作为风险判断依据。网络安全审查充分尊重和严格保护企业的知识产权。参与网络安全审查的相关机构和人员严格保护企业商业秘密和知识产权,对接收到的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务。
中国实施网络安全审查制度,不是一项日常性工作,其作用在威慑。中国境内关键信息基础设施使用的网络产品和服务,一旦威胁或可能威胁中国国家安全,就必然会受到审查。进入审查程序,就意味着产品和服务提供者可能要付出很大的信誉成本,或失去市场机会,后果十分严重。这将迫使提供者主动回避国家安全风险点,切实为关键信息基础设施用户负责。唯有这样,才能使这一制度体现为对外部威胁的反制利器。“威慑兕虎,莫之敢伉”,除了美国,世界上还没有哪一个国家动不动就祭出威慑手段,那不是在维护国家安全,那是耍宝。
中国实施网络安全审查制度,当显锋芒、扬正气。中国有句古话,“秉青萍干将之器,拂钟无声,应机立断”。意指刚能斩金削玉,柔可拂钟无声。但我要对“拂钟无声”反其意用之,网络安全审查制度应如神剑出鞘,果断发挥作用,不必悄无声息。对于已经暴露出国家安全风险的产品,以及曾积极与美国情报机关合作的企业,应当将其列入审查名单。特别是,一些国际企业曾忙不迭配合特朗普政府,充当对华遏制的“马前卒”,以所谓域外执行其本国法律为由对华积极实施断供,对这些企业,也应纳入审查范畴。
试问岭南应不好?此心安处是吾乡
欧盟在2018年开始实施《通用数据保护条例》(GDPR)时,用“石破天惊”形容对世界带来的影响毫不为过,其确实开启了数据保护的新纪元。与美国很多机构和企业纷纷指责GDPR“重返中世纪黑暗”所不同,中国官方和各类研究机构、行业协会对GDPR均持积极态度,开辟了海外市场的中国企业尤其自觉加强了对GDPR的合规。
很快就有欧洲议员说话了:中国的个人信息保护状况堪忧,将无法通过欧盟的数据保护充分性认定。仅以历史而言,这句话不好反驳,因为中国开展个人信息保护工作的历史较短,侵害公民个人信息的事件确实多发频发,社会公众的期盼还没有得到满足。
但欧洲议员忽视了两个因素:一是中国政府保护公民在网络空间合法权益的强大决心;二是中国有着全球发展最为快速的移动互联网市场,以及最具创新活力的移动互联网业态。这个市场和业态,为个人信息保护提供了前所未有的丰富场景,其中很多场景是GDPR在制定时并未考虑到的。虽然为这些场景探索解决方案的挑战巨大,但实践出真知,政府正在与其他各利益攸关方合作,谨慎而细致地解决个人信息保护面临的一系列新问题。
因此,中国绝不是全球个人信息保护的洼地,反而正在为全球贡献新的思路和方法。
中国不断完善数据保护法律体系。自2000年以来,中国政府构建的个人信息保护法律体系已经具备坚实的基础,例如《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《网络安全法》、《电子商务法》、《儿童个人信息网络保护规定》、《电信和互联网用户个人信息保护规定》、《民法典》中“人格权编”和《刑法》对侵犯个人信息犯罪行为的打击。中国国务委员、外交部长王毅强调,中国法律对于保障公民和组织的合法权益,包括数据安全和个人信息等,都做出了明确规定。中国政府严格践行数据安全保护有关原则,没有也不会要求中方企业违反别国法律向中国政府提供境外数据。不仅如此,中国全国人大正在制定《数据安全法》与《个人信息保护法》,并已于2020年完成了第一轮公开征求意见。这两部法,目的是为了保护、规范和促进,且《个人信息保护法》在“个人信息处理规则”中专设了“国家机关处理个人信息的特别规定”一节,以约束国家机关的行为,防止滥用个人信息。
中国正在建立数据安全标准规范体系。除了等同采用国际标准外,中国全国信息安全标准化技术委员会针对个人信息保护的关键技术、典型场景、重要环节,组织制定了一批国家标准,很多是在国际上首次制定。已经发布的有GB/T 35273-2020《个人信息安全规范》、GB/T 37964-2019《个人信息去标识化指南》、GB/T 37988-2019《数据安全能力成熟度模型》、GB/T 39335-2020《个人信息安全影响评估指南》、GB/T 39725-2020《健康医疗数据安全指南》。正在制定中的有《个人信息安全工程指南》、《个人信息告知同意指南》、《移动互联网应用程序收集个人信息基本规范》、《网络数据处理安全规范》、《数据出境安全评估指南》、《个人信息去标识化效果分级评估规范》、《移动互联网应用程序个人信息安全测评规范》、《移动互联网应用程序SDK 安全指南》。需要指出,在参与这些标准起草的机构中,有相当比例的外国企业,全国起草过程都是开放的。
中国借鉴并扩展了GDPR。如果GDPR是个“人”的话,那么这个人在中国所到之处,皆会受到礼遇。这足以说明,中国对国际规则和国外先进做法的尊重。为了使中国个人信息保护工作与国际紧密衔接,中国充分吸收了GDPR的内容,并结合中国发展互联网的具体实践,组织编制了国家标准GB/T 35273-2020《个人信息安全规范》,这成为中国制定的一系列个人信息安全标准规范的“母标准”。就此而言,中国对个人信息保护的要求,与GDPR同源。遗憾的是,在中国制定GB/T 35273之前,一些西方人士批评中国缺少个人信息保护要求。但当GB/T 35273发布后,同样还是这批人,竟然批评中国对个人信息保护过于严格,甚至猜测这是行贸易保护主义之实。他们所针对的具体条款,有很多直接来自GDPR,而且批评者本身也是欧洲人,这种“双重标准”耐人寻味。
中国提出了重要数据的概念,拟建立全面数据保护体系。迄今为止,欧洲和美国的数据保护实践主要集中于个人信息。但显然,介于国家秘密信息与个人信息之间的,还有一类数据,例如基因数据、一定精度的地理信息等,它们也关系到国家安全,理应得到保护。为此,中国《数据安全法(草案)》提出,国家对数据实行分级分类保护,各地区、各部门应当确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。除此之外,中国《网络安全法》和国家互联网信息办公室制定的《数据安全管理办法(征求意见稿)》等政策法规中也都使用了“重要数据”的概念,并将其与数据安全管理、数据出境安全评估等多项网络安全制度的实施密切关联。只有区分不同类型的数据,才能建立全面的保护体系,这是真正的对人民、对国家负责。一些西方人士质疑,中国提出的“重要数据”不是国际惯例,有扩大合理保护范围之嫌。那么,知识产权是不是要保护的数据?机场、海关、银行等场所禁止拍照,相关照片是不是要保护的数据?我认为,中国在这方面的探索,对完善全球数据保护实践有非常积极的意义。有关质疑,无非是希望中国的数据保护出现“漏斗”与“短板”。
中国针对移动互联网应用程序App治理,创新发展了新的数据保护策略。全世界都在为细化个人信息保护规则殚精竭虑,对其倾心打磨。但中国的市场监管经验显示,无论规则制定得多么精细,总有打擦边球的情况。为此,中国制定了App收集使用个人信息违法违规认定办法,并实施了专项治理行动。移动互联网时代,为了抢夺互联网流量入口、增加用户黏性,各类App纷纷集成多种功能,导致一揽子授权、超范围收集信息情况频发。中国制定了《常见类型移动互联网App必要个人信息范围》,明确了地图导航、网络约车、即时通信等38类常见类型App的核心功能、最小权限以及最少必要个人信息范围。由于移动互联网生态发展阶段的差异,欧美人士难以理解这些做法。但他们可以去了解一下,2018年5月,中国河南省郑州市发生一起刑事案件,一名网约车司机沉溺于网约车App上的“交友”功能,心生邪念,杀害了一名空姐。为了保护人民群众的生命,中国政府不敢有丝毫懈怠。
结语
朝真暮伪何人辨?古往今来底是无?
但爱臧生能诈圣,可知宁子解佯愚?
草萤有耀终非火,荷露虽团岂是珠!
不取燔柴兼照乘,可怜光彩亦何殊?
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
