在各界高度關注「滴滴出行」等網路平台遭受安全審查的同時,較少人注意到,約莫一周後,大陸網信辦隨即公布對《網路安全審查辦法》(簡稱《辦法》)的第三次修訂。由法案修訂的方向來看,彰顯大陸一方面對網路的監管升級;更深一層來看,則是大陸強化網路主權的企圖。由這次公布的《辦法》「修訂草案」來看,大陸網路監管方向主要為:
網路監管方向將更為趨嚴
首先,審查範圍擴大。2021年「修訂草案」除了將日前通過的《數據安全法》與《國家安全法》、《網路安全法》共同列為上位法,也增列「資料處理者開展資料處理活動」應受到網路安全審查的新規範;換言之,將數據安全列入網路安全審查範圍內。
其次,審查行為延伸。「修訂草案」增列第六條,要求「掌握超過100萬使用者個人資訊的運營者赴國外上市,必須向網路安全審查辦公室申報網路安全審查」。換言之,即是對赴國外上市企業列入審查。2021年草案目前雖然對於國外上市的定義還不明確,但各界認為,未來跟網路相關的中概股企業赴海外上市,都可能需要接受事前審查監管。
最後,審查對象的增加。原來《網路安全審查辦法》主要規範對象,為提供公共通信和資訊服務、能源、交通、水利、金融、公共服務、電子政務等「關鍵資訊基礎設施」運營者。但「修訂草案」將「重要通信產品」曾列為審查對象;換言之,即是將能掌握數據的運營者列入審查對象。
可能觸及國安風險的項目增加
事實上,大陸的網際網路本來就具有高度「中國特色」,也具有高度的管制色彩。可以說,大陸網際網路並非國際互聯網(Internet),而只能說是「內部網」(Intranet)。近年來,大陸網路管制引發較多關注的,除了較早之前原本強制要在所有個人電腦安裝、為攔截過濾不良網站的「綠壩花季護航」,還有為屏蔽不受認可外國網站的「防火長城」,以及主要作為關鍵字過濾的「金盾工程」,這些網路管制一直以來都引發不少討論。而大陸當局一再重申,這些政策都是為了「維護網路安全」。
因此,根據2021年的《網路安全法》「修訂草案」來看,大陸強化了採購網路產品和服務可能觸及國安的風險樣態,包括:一、非法控制的風險。其最主要是指要避免供應鏈完整性受到威脅,因此關鍵資訊基礎設施等軟硬體,甚至「數據」都被列為重要的管控要素。二、斷供的風險。主要是避免網路產品和服務的供應突然中斷,而除了不可抗力的天災或突發事件,重點在避免例如外國企業突然斷供等「國際環境」或「不正當競爭行為」的掣肘。
三、數據流出的風險。重點除了包括對數據被竊取、洩露、毀損及非法利用或出境予以監管,「修訂辦法」還強調數據被國外政府影響、控制、惡意利用都被視為國安風險;這是首次將數據列為監管的範圍。四、技術性因素的風險。「修訂辦法」強調應避免供應渠道「因政治、外交、貿易等因素導致供應中斷」;大陸當局雖指稱,這是為了維護供應鏈安全,但主要仍是為了避免例如華為等企業,被美國「非技術性」抵制以致「斷供」情況再次發生。
陸網路產品和服務加速進口替代
總的來說,大陸《網路安全審查辦法》等一系列監管法令的出台及修訂,將可能讓大陸的科技產業朝以下方向發展:
首先,境外供應商進入大陸市場將充滿不確定性。未來運營商需確認供應商無違反大陸法律,才能採購其網路產品和服務,這使得營運商在使用境外產品或服務時,多了一層疑慮。與此同時,境外供應商為了進入大陸市場,則必須進行自我審查。其次,對在陸外企形成影響。
《辦法》的國安「事後審查」審查機制,將對已進入大陸市場的外國企業形成一定影響力。最後,大陸將加速關鍵科技產品和服務的進口替代。為避免不必要的風險,在有所取代的情況下,運應商將更多使用可掌控的本土產品和服務(包括台資企業)。基於此,大陸當局勢必透過人才挖角、市場准入、要求外國企業分享技術等方式,加速關鍵科技產品和服務的進口替代。
值得關注的是:台灣資通訊產業超過八成在大陸生產;且每年超過千億美元出口大陸;且全球知名資訊大廠也常透過台灣購買零組件、代工組裝、製造產品。目前《辦法》規範的「網路產品與服務」定義不明,且安全規範過度模糊、可操作性高,台灣資通訊產業是否會因此受到無形的箝制,應更謹慎觀察。