從中國《網絡安全法》分析 中國「資料在地化」
2018.07.27
瀏覽數
114
壹、新聞重點
中國於2017年6月實施《網絡安全法》,規定提供網路服務的公司必須將資料儲存於中國境內。為了配合新法規,美國蘋果公司(Apple Inc.)在貴州設立資料中心,並且授權當地的雲上貴州大數據產業發展有限公司(簡稱雲上貴州)營運其iCloud雲端數據。
在2018年6月底,雲上貴州與中國電信旗下的天翼雲簽約,在其資料中心啟用之前,由天翼雲為iCloud提供雲端儲存服務。由於中國電信為國有公司,引發外界對中國政府可取得iCloud用戶資料的疑慮。
貳、安全意涵
在2013年史諾登(Edward Snowden)揭發美國國家安全局(National Security Agency, NSA)秘密監控全球網路後,「資料在地化」(data localization)成為一股風潮,其係指資料蒐集者不得在境外蒐集境內當事人之個人資料。目前已有超過30個國家與地區採取相關措施,惟各國作法不一,有些國家如中國、俄羅斯及越南,要求資料必須儲存於境內;有些國家如歐盟會員國,則是對資料的跨境傳輸作出限制。
一、中國以「資料在地化」維護網路主權
當資料儲存於境外,一國政府在打擊犯罪或是調查國家安全事件時,會面臨難以取得資料的窘境,而「資料在地化」可以幫助解決此問題。基於此,中國《網絡安全法》第37條規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內儲存。另第28條規定,網路運營者應當為公安、國安機關依法維護國家安全和偵察犯罪的活動提供技術支持和協助。
在《網絡安全法》實施之後,所有在中國提供服務的網路公司都必須把資料儲存於中國境內,中國政府可以透過司法程序要求取得資料,就算是外國網路公司也必須配合提供,否則會受到處罰。「資料在地化」的規定讓中國政府不再無法取得外國網路公司的資料,成為中國維護網路主權的重要手段。
二、資料儲存於國有企業便於打壓異己
當蘋果公司用戶的雲端服務由中國的國有企業提供,更可能為中國政府獲取個人資料大開方便之門,中國政府可以不經過法律程序,藉由中國電信就能暗中監控特定人士。因此,以國有企業配合「資料在地化」的規定,讓中國政府更便於進行網路言論的監控及打壓異議人士,乃是本次事件中最大的資訊安全疑慮。
參、趨勢研判
一、將有更多威權國家要求外國網路公司將資料儲存於境內
將資料儲存於境內是一把雙面刃,其優點是政府對資料擁有司法管轄權,有需要時可以取得,對於打擊犯罪與維護治安會有很大的幫助。但是境內儲存一旦被濫用,反而會成為政府監控人民、打擊異己的利器,有利於鞏固政權。由於這個特性,可以預期會有愈來愈多的威權國家仿效中國,要求外國網路公司在境內設立伺服器或建立資料中心儲存資料,以便於政府進行社會監控。
歐盟在2018年5月25日生效的《一般資料保護規則》(General Data Protection Regulation, GDPR)當中亦有「資料在地化」的規定,與中國不同的是,歐盟並不要求資料必須儲存於境內,而是對資料的跨境傳輸設立嚴格的限制。其第45條規定,接收資料者所處的國家或地區必須是經歐盟認定,對隱私提供了適當程度的保護,否則不得傳輸資料過去該國。
歐盟在2018年5月25日生效的《一般資料保護規則》(General Data Protection Regulation, GDPR)當中亦有「資料在地化」的規定,與中國不同的是,歐盟並不要求資料必須儲存於境內,而是對資料的跨境傳輸設立嚴格的限制。其第45條規定,接收資料者所處的國家或地區必須是經歐盟認定,對隱私提供了適當程度的保護,否則不得傳輸資料過去該國。
由於中國實施「資料在地化」的目的是讓政府便於取得個人資料,有侵犯個資之虞;兼以中國政府過去對隱私權保護的記錄不佳,可以預料中國在現行的《網絡安全法》之下,將無法達到歐盟《一般資料保護規則》的要求,成為歐盟認定可以接收跨境資料傳輸的國家。這個結果將使得中國的網路通訊相關企業難以進入歐盟市場,這對於中國正在極力發展的第五代行動通訊(5G),會是一個不小的傷害。