【资安周报第73期】中国网络安全专法是中国迈向IT专政第一步

中国第一部网络安全专法“中华人民共和国网络安全法”由中国政府最高的权力机关，也是最高立法机构“中华人民共和国第12届全国人民代表大会常务委员会”通过，于去年11月7日通过，并在6月1日正式实施。

先前【资安周报第49期】在中国第一部网络安全专法出炉时，就曾经比较过中国网络安全法和台湾资安管理法的差异，但随着该法正式施行，即便许多外国政府纷纷向中国政府抗议，例如该法包括实名制在内的规定，都已经违反许多使用者网络隐私的保障，甚至于，该法强制外国科技公司必须提供中国政府留有相关的后门管道供其稽核审查，加上政府人员有权可以自由进出稽核的规范，甚至已经严重妨害到这些外国科技公司的营业机密。

中国政府从第一部开始实行网络安全专法，加上根据“中国共产党网络社会维稳计划”，一直到2020年，所有中国公民在网络上所有行为都可以被中国政府“记录”、“评价”甚至“控制”等，就如同成功大学电机系教授李忠宪的观察，当中国透过这种全面的网络监控系统已经逐步走向“IT专政”的同时，“网络和科技将在2020年成为中国政府控制人民的重要工具，中国政府将形塑21世纪极权互联网社会。”李忠宪说道。

因此，即便两岸商业交流因为民进党政府执政后，出现一些停滞不前的状况，但是对于许多长期布局中国的台资企业而言，随着中国网络安全法正式施行，台资企业更得深刻意识到，面对中国政府朝向IT专政迈进的同时，更应该持续关注企业永续经营的重要性，包括：营运相关资料的异地备份及系统的异地即时备援机制等，在在都会影响台资企业营运的稳定性。

最糟最糟的状况，因为中国政府有权验证相关产品的的安全性，也有权进入企业进行搜索查核，至少，这些台资企业如果可以做到营运机密资料可以即时同步回传到台湾总部，并且也有备援系统可以切换运作时，如果遇到强迫查核与搜索时，至少还有重要的资料和系统，可以确保该企业仍有持续营运的能力。

台资服与软件开发业者，应关注中国网络安全法开后门条款

从中国网络安全专法的实施来看，至少可以明确认定，包括中国政府在内，各国已经体认到网络安全是国家安全重要的环节之一，尤其是对于关键基础设施（公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业）以及网络安全的防护等，都是各国政府在制定相关的资安或网络安全专法时的优先项目之一。

行政院资安处处长简宏伟表示，台湾已经送到立法院进行审查的资安管理法，也同样在法规内规范重要的关键基础设施的安全性，这其实已经是世界潮流，多数国家都不会置外于这样的趋势之外。但他也强调，由于各国政府实际推动资安防护的作法，都会依据各国实际需求和要求的强度来订定相关规范，他则会提醒，包括台湾的资讯服务业者以及软件开发业者在内，一旦进军中国市场时，就必须将中国网络安全专法的法规遵循，纳入企业持续营运的风险之中。

相关的规范例如，该法第23条规定：“网络关键设备和网络安全专用产品应该按照相关国家（中国）标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。”

该法条中隐含中国政府有权要求相关的网络关键设备和网络安全专用产品的业者，必须符合中国政府认证规定，且经“检测合格”后，相关产品才能够在中国进行销售。至于，这些企业的资安产品要如何做到符合中国政府规定，以及符合中国政府相关的资安检测标准，陆续引发许多外国科技公司的忧心，尤其是，进行资安产品检测时，甚至得提供相关资安产品源代码供中国政府进行检测，形同在资安产品中开一个后门，让中国政府在必要时可以使用。

实名制入法且可强制中断资通服务，成企业营运炸弹

另外，像是中国网络安全专法第24条强制实名制的规定：“网络营运者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络营运者不得为其提供相关服务。”

李忠宪则认为，实名制应该会造成一定程度的寒蝉效应，中国正式将实名制入法以后，不管申请网络上任何服务，都必须提供真实的身份；外商被迫要提供数据库的后门，对不同文化的外商可能会造成道德和心理的压力，且在遵守中国的法令与西方言论自由避免侵犯隐私之间，两者往往很难取得平衡。他也说，许多人在赞叹中国电子支付与电子商务蓬勃发展之余，也应该注意，中国政府对人民在资讯世界里面严格的控管与对个人隐私权的侵犯。

此外，根据第37条规定：“ 关键信息基础设施的运营者在中华人民共和国境内运营中，收集和产生的个人信息和重要数据应当在境内储存。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

李忠宪认为，当所有外国公司提供中国服务的资料，完全都要留在中国，随时提供国家安全原因的查询（即是开后门），并且不允许将中国境内的资料做跨境传输，相关的公司包括；资讯关键基础设施，App服务厂商，网页服务供应商，只要在中国设置服务器服务的公司全部包括在内，因此，不管是电子商务、电子支付、线上旅游公司、线上广告公司、或是线上游戏公司等等，都在这个法律的范围之内，不遵守相关规定者，中国政府都可以对这些业者吊销执照或是封锁其线上服务内容。

与政府或者是关键基础设施相关的机敏资料，限制跨境传输是许多国家的共通作法，但多数政府会透过签署跨境传输的协议，在彼此信任的前提下，允许机敏资料跨境传输。但中国政府目前看来，并没有其他签署合约可以跨境传输的选项，要求机敏资料全数在中国落地的作法，已经是中国政府的不变政策。

另外也有资安专家表示，因为中国政府可以依据该法第58条规定：“因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。”也就是中国政府有权中对企业的各种资通讯服务，这对于许多在中国的台资与外资企业而言，已经是一种极度不确定的营运风险，甚至可能比在发展中国家因为基础建设不足会导致资通服务中断的情况，更让人感到棘手。

根据英国营运持续协会（Business Continuity Institute，BCI）公布的地平线扫描报告，在前五大会影响企业持续营运的趋势，排名第四名的就是“新法规和更严谨的监管审查”，而趋势往往就是会对企业持续营运带来威胁和冲击的关键原因。从中国正式实施网络安全法后，对于包括外商与台资企业带来的影响的确可以证明，任何一项法规遵循要求都会影响企业如何落实持续营运管理。

根据英国营运持续协会（Business Continuity Institute，BCI）公布的地平线扫描报告，在前五大会影响企业持续营运的趋势，排名第四名的就是“新法规和更严谨的监管审查”，而趋势往往就是会对企业持续营运带来威胁和冲击的关键原因。从中国正式实施网络安全法后，对于包括外商与台资企业带来的影响的确可以证明，任何一项法规遵循要求都会影响企业如何落实持续营运管理。