中共今年7月份《數據安全法(草案)》甫出,就引發坊間熱議。近日有美國律師表示,中共的網絡系統逐步擴大,你的私隱和商業機密在這個系統中無處可藏。受影響的可不僅僅限於在大陸的外資企業。

國際律師事務所哈里斯‧布里肯(Harris Bricken)的律師、中國法律網誌(China Law Blog)作者迪金森(Steve Dickinson)最近在網絡研討會上討論了中國的網絡安全,本周連續四天刊出系列文章,本文摘要一些要點。

具中共特色的網絡安全:黨領導一切

迪金森表示,中國的網絡安全系統主要用於監視和控制,旨在使跨中國邊界的所有網絡信息對中國政府透明,但是禁止不屬於CCP(中國共產黨)的國內外黑客和政府擅自訪問。

監視意味著獲取信息。隨著這個系統的逐步完善和擴大,你的私隱在這個系統中將無處可藏。受影響的不僅僅限於在大陸的外資企業;也適用於通過網絡將信息傳輸到中國的任何人及將信息傳輸到已經實施了中國「數字絲綢之路」項目的任何國家的任何人。

迪金森說,私人和私企對網絡安全的擔憂不在中共的《數據安全法》分析範圍,它要保護的是黨,而不是老百姓。特別是,任何百姓都不可能與黨發生衝突。任何衝突都被說成「反黨,因此也是反華。」

新系統要「全覆蓋」機密無處可藏

那麼,這個系統是怎麼工作的呢?迪金森說,新系統的主要目標是「全覆蓋」,涵蓋面之大,在中國的外資公司「與中國的來往交流均不予豁免。不會有任何秘密。沒有VPN。沒有私人或加密的消息。沒有匿名在線帳戶。沒有商業秘密。沒有機密數據。所有數據都將向中國政府開放。」

過去,在中國的外資公司使用VPN技術將數據與中國受控網絡隔離開來,從而使公司的郵件和存儲在中國服務器中的數據得以保密。但是,隨著新系統的推出,這一切都會改變。

這意味著甚麼?這意味著所有數據將向中國政府開放,無需與用戶討論,就可以拿到你的信息,包括外國公司的商業機密和知識產權。但商業秘密是受美國法律保護的一種財產形式,許多知識產權被保護為商業秘密,而不是因為它已被註冊為專利。一旦被洩密,保護即告終止。這就會造成一些衝突。

加密技術不是解決方案

迪金森說,中共的《密碼法》沒有提及解密問題,也沒有提及保護密碼和其它防止解密的密鑰。其最終計劃是將所有密碼交到中共手中,換句話說,對公眾不透明但對政府透明。

他說,在中國,你的所有網絡數據和通信都可能被中國政府捕獲。「外商投資公司或外國國民不再享有任何特權;一旦進入中國境內,他們的待遇與國內公司和中國國民相同。」就像所有中國公民一樣,你無處可藏。

中國政府講如何執行《數據安全法》?迪金森說,「關鍵是中國政府是黑客」,當黑客直接參與創建和管理互聯網以及實施網絡安全的關鍵代理,並對其進行監管時,黑客決定系統將如何工作,當然不會阻止自己的數據收集活動。

中國政府是黑客

迪金森討論了一個案例,CASIC(中國航天科工)向北韓出售導彈系統,並與俄羅斯軍方密切合作。作為武器供應商,它是直接由政府和中共控制的國有企業,也就相當於是政府(直屬)。

CASIC通過其子公司航天信息公司起草了Golden Spy惡意軟件,相當於中共政府起草了該惡意軟件。「簡而言之,中共政府就是黑客,所以它可以免於因其黑客活動所引起的任何責任。」

這就是中國的情況。迪金森說,正如Arstechnica網站明確指出的那樣,當惡意軟件或非法數據收集由政府自己完成時,那就沒有補救措施也沒有後路。中國政府及其相關的黑客組織在境內開展業務時,不必隱蔽或遮掩自己的蹤跡。

在中國境內,使用強制性的中國防病毒軟件會將中國政府的黑客風險提高到更高水平。在中國境內,無需進行遠程黑客攻擊。黑客本身(中國政府)為公司提供了一個本質上預先被黑客入侵的系統。

這個預先入侵的系統不會針對中國政府創建的惡意軟件進行篩選,並且該系統還可以作為插入連續惡意軟件流的媒介。

從電子郵件轉到微信

迪金森說,大多數外國公司使用歐美的電子郵件提供商,這些服務相對安全。可是微信打破了這個局面。外企被迫進入一個不安全的網絡系統。

「當中國政府基本上完全控制微信後,中國機構就開始強制所有的通信轉到微信平台上。」迪金森說,這種強制轉移是通過典型的共產黨方式完成的。

雖然中共沒定法規禁止外國的電子郵件,沒用法律規定使用微信。但是這個「規則」是在實踐中強加的:你發電子郵件到銀行,銀行不理你;你電郵給稅務局,得不到任何回應;你電郵警察局詢問簽證情況,毫無動靜;中國法庭也一樣,只有使用微信才見回應。如果你致電或親自登門到政府機構投訴,對方回復你說:「使用微信。其他人都這樣。你也一樣。」

即使不在中國開展業務也躲不開

迪金森指出,高度機密數據進入中國的情況很多:合同製造、聯合研發、技術許可等。與你合作的中國公司面臨上述的風險。因此,任何外國公司都必須承擔將數據傳輸到中國的風險。

第二,迪金森說,根據數字絲綢之路計劃,中國政府正努力將中國的網絡不安全計劃擴展到允許中國公司建網絡系統的所有國家。這使中國可以將其網絡監視和控制系統出口到世界各地。

第三,中共及其代理人已經預先入侵了許多行業。許多人可能想不到,當你將數據傳輸到此類被黑系統中,就是將數據傳輸到中共及其代理處。

迪金森說,台灣半導體產業就是一個例子。台灣半導體製造商已被中共徹底入侵。台灣晶片製造商的高級員工已被僱去中國工作。這意味著幾乎可以肯定機密晶片設計和技術正在洩露給中國。

該怎麼辦?

迪金森說,很多人以為不切實際的依賴技術,以為會有一個技術網絡安全解決方案,事實上,技術在這裏「幾乎無能為力。你跨中國傳輸的任何形式的數據都可供共產黨及其代理人檢查和使用。一旦進入中國邊界,你便沒有真正的藏身之處。」你只能直面這個問題。

強制使用微信是一個示例。他說,有人說用微信會「感染」系統上的惡意軟件,「不是這樣,微信本身就是惡意軟件。如果你在系統上安裝微信,你就是安裝惡意軟件。不需要複雜的網絡釣魚活動(騙你)。這是你自己做的。」

還有很多的例子,他說,CCP的目標是將這些網絡的所有用戶推入一個不安全的環境。

因此,針對「可以做甚麼」?迪金森的回答是:「你得了解現實,別自欺欺人,以為自己可以擊敗中國無處不在的網絡不安全系統。從這個意義上講,答案很簡單:如果你有不希望中共訪問的數據,就不要將這個數據發送到中國。除此之外,沒有變通辦法。」#