中國國家互聯網信息辦公室(Cyberspace Administration of China)在2月4日宣佈,該單位根據《中華人民共和國網路安全法》,起草了一份《網路產品和服務安全審查辦法》,將成立一個「網路安全審查委員會」,負責「對網路產品和服務的安全風險及其提供者的安全可信狀況進行綜合評估」。

中國執行網路安全審查有數個動機,例如旨在降低網路設備或服務被「非法控制、干擾與中斷運行」,還有網路用戶個人資訊可能被非法收集、儲存、處理或使用等等風險。根據上述草案,未來中國的黨政部門及重點產業、還有關鍵資訊基礎建設營運者(critical information infrastructure operator,CIIO),不得採購審查未通過的網路產品和服務。

所謂的「關鍵資訊基礎建設營運者」定義廣泛,包括公眾通訊、資訊服務、公用事業部門所採用的基礎設施,還有任何其他如果損壞或故障可能會危害中國國家安全與公眾利益的基礎設施;而公眾資訊服務供應商、資料中心以及雲端服務供應商,有可能會受到限制。

目前還不清楚那些與中國「關鍵資訊基礎建設營運者」交易之相關業者,是否已經在股價上因為中國之最新審查規則而受到衝擊,而任何對進軍中國市場有興趣的網路相關廠商,應該要為中國基於《中華人民共和國網路安全法》越來越複雜的審查要求預做準備。

舉例來說,將在2017年6月1日(編按:作者在原文中指出的生效日期為7月1日,但根據該法條文,施行日應為2017年6月1日)正式生效的《中華人民共和國網路安全法》條文:「關鍵資訊基礎設施的運營者採購網路產品和服務,應當按照規定與提供者簽訂安全保密協定,明確安全和保密義務與責任。」

目前中國並沒有限制來自海外的網路設備業者,許多外國網路設備業者也都在當地設立了全資子公司;不過中國政府一直對外國網際網路服務供應商抱持懷疑態度,嚴格禁止外資在中國經營資料中心。

雖然外資也有可能合法取得網際網路內容供應商經營執照,或是網際網路服務供應商執照,但機率是微乎其微;大多數非中國本地業者會選擇透過可變權益實體(variable interest entity,VIE)架構,以間接方式取得擁有相關執照之當地公司經營權;不過VIE絕對不是完美的方案,中國執法單位可能會將之視為規避中國法規的行為,這種案例已經發生過不少。

為了在中國經營雲端服務,包括Amazon、Microsoft等美國業者,不得不與中國當地有執照的資料中心簽署合作契約;不過這種方式的合法性還不明確,特別是因為中國工信部最近公佈了關於對授權網際網路服務供應商(ISP)重發執照(sublicensing)的一些文件。

而美國政府有關當局最近也有一些與網際網路相關的訊息值得注意;在2月4日,一位美國法官要求Google將儲存於美國境外的電子郵件移交給聯邦調查局(FBI),以進行一樁美國國內詐騙案件的調查;這與先前法官的另一個決策完全相反,Microsoft並沒有被強迫移交儲存於愛爾蘭都柏林(Dublin)伺服器的電子郵件。

如果該法官的命令被堅持執行,可能會賦予美國政府機關例如FBI,取得美國業者在全球各地控制或保存之資訊的權限;這也有可能讓中國即將成立的「網路安全審查委員會」,有更多理由拒絕美國供應商取得與中國之「關鍵資訊基礎建設營運者」交易的必要許可。

編譯:Judith Cheng

(參考原文: Network OEMs Face China Review,by Ning Zhang)