6月1日文《中华人民共和国网络安全法》于今日起正式实施,从此在国家的法律当中明确了网络空间安全和网络空间主权。同时,我国7.31亿网民有了专门的法律保护,这意味着占全球22%以上的人口的信息安全有了法律保障。
据E安全长期观察,自去年11月到近期一直有跨国企业和组织机构担心《网络安全法》会制造贸易壁垒、限制跨国企业和技术产品进入中国市场。跟随E安全小编一起看看国外如何看待我们的《网络安全法》,他们的关注焦点在哪里?
(声明:文中内容和观点不代表E安全的立场和观点, E安全只是采撷海外要点以飨读者,目的仅在于为大家的思考和研究提供最真实的第一手资料。)
焦点一:涉及关键信息基础设施的数据保护令国外承包商倍感焦虑
《网络安全法》规定:关键信息基础设施不仅包括传统的关键行业,例如能源、交通、金融,此外还包括一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
同时,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
国外分析人士认为,作为关键信息基础设施主要供应商的国外公司,以及持有中国公民大量信息的公司可能会成为监管机构执行《网络安全法》的主要目标。《网络安全法》将主要压力落到关键信息基础设施运营者的头上。许多跨国公司很可能将倍感压力。
国外分析人士认为,此法对关键信息基础设施缺乏明确定义,这一点很重要,因为有些公司存在潜在义务,例如,将数据本地化到中国,须经过网络安全系统和程序的检查。某些技术须通过中国“国家安全审查”,以确保关键信息基础设施使用之前无法受到非法控制或干扰。国外分析人士认为,此法或将为中国国家互联网信息办公室、网络空间监管机构和其它行业监管机构提供广泛的权力进行审查。
焦点二:个人信息和重要数据定义模糊或增大规避监管成本
《网络安全法》规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。重要数据指的是与国家安全、经济发展和社会公共利益密切相关的数据。
国外分析人士认为,此法有关个人信息和重要数据的定义模糊。这一点很重要,因为网络和关键信息基础设施运营者必须将这类信息本地化到中国,而将这类数据转移到中国境外之前,还必须经过相关监察机构进行安全评估或予以批准。重要数据方面,监管机构可能会关注企业是否存在任何与官方数据冲突的数据,例如行业或人口健康统计。——有分析认为,此法有关个人信息和重要数据的定义将会对未来监管企业数据提出更大挑战。
按照《网络安全法》的规定,企业必须引入数据保护措施,这对许多中国企业而言是新鲜事物。中国公民或国家安全相关数据必须保存在中国服务器上。企业将大量个人数据提供到境外之前,必须提交监管机构审查。
企业从《网络安全法》中需要解读出什么信息?
收集私人数据的政府部门和企业必须保护数据安全,例如通过加密;
未经许可收集公民个人信息会构成刑事犯罪;
所有企业将数据(其包含超过五十万用户的个人信息或可能影响国家安全或社会公共利益)带出国门之前,必须经过安全评估;
关键基础设施企业须将在中国境内收集的个人信息和其它重要数据存储在中国境内;
重要网络产品和服务在中国境内销售之前必须经过国家安全审查;
4月公布的补充加密法草案也许会迫使跨国公司为刑事调查数据或中国的国家安全解密数据。
国外企业代表及分析人士对中国《网络安全法》进行了以下分析:
肯定的声音
一部分国外分析人士称,此法是中国保护数据免遭国外政府窥探的举措之一。因为,斯诺登此前曝光的资料显示美国正在监听跨国公司的通信。
法新社引用耶鲁大学法学院的中美关系专家格雷厄姆韦伯斯特对网信办针对《网络安全法》的内容与企业和媒体沟通,并表示中国的监管体制正在演变,不是像6月1日那样简单地改变。同时,他还对中国在网络安全立法方面的尝试表示称赞。
全球网络安全是每个国家都会面临的问题,最近的一项针对勒索软件的攻击表明,任何国家都有可能受到网络威胁。《网络安全法》可以看做是中国政府实践全球网络安全规范的典范。
格雷厄姆韦伯斯特认为,北京正在努力应对每个国家都面临的合法挑战,大部分的谨慎和模棱两可都来自于想要把事情尽最大可能做好的愿望。新法的实施可以逐步进行,这也使企业能够更好地评估他们的义务和借鉴其他公司的经验。
DLA Piper律师事务所驻香港合伙人斯科特·蒂尔表示,虽然此法让外资企业董事会产生焦虑,但个人数据隐私条例符合世界各地的惯例。例如,此法与欧洲《一般数据保护条例》一致。
负面的质疑
据称,有境外组织曾表示过,希望中国延迟施行《网络安全法》。欧盟商会北京副主席Michael Chang指出,《网络安全法》中的措施应当是适当、一致、非歧视性的,制定过程须透明,这一点至关重要的,但他认为中国《网络安全法》不具备这些。欧盟商会呼吁消除“歧视市场准入壁垒”。
从关键信息基础设施、个人信息及重要数据安全为出发点,看看外企究竟担忧些什么问题?
国外企业代表及分析人士对中国《网络安全法》进行了以下分析:
一部分国外分析人士称,此法是中国保护数据免遭国外政府窥探的举措之一。因为,斯诺登此前曝光的资料显示美国正在监听跨国公司的通信。
然而相当一部分国外分析师认为,我国的《网络安全法》将给他们的企业(在中国的国外企业)带来阻碍:
1、将增加跨国企业的成本;
Simmons & Simmons律师事务所驻上海律师杨迅表示,其传达的信息很明确,中国如今将隐私和网络安全视为国家之重大关切,必将鼓励、加大本土企业的技术开发。《网络安全法》将给跨国公司带来的最大的冲击,因为数据本地化措施会阻止其将客户数据集中在云存储数据库中。按照此法规定,要将某些数据存储在中国服务器,将数据存储到其它地方将加剧分裂性,并会增加成本。国外公司重构业务的工作量相当巨大。
2、担心易遭受网络间谍侵害;
对于要求对技术产品进行安全审查,以及将在中国境内收集的数据存储在中国境内的要求,国外企业已经对此表示不满。
国外分析人士警告称,《网络安全法》允许中国要求企业提供通常只有软件开发人员知道的计算机程序源代码。
国外分析人士非常担心,此法可能会有助于中国窃取国外公司的商业机密或知识产权。
3、法律执行受干扰
然而,有其他国外分析师怀疑,《网络安全法》的执行可能会受政治目标干扰。我国4月份公布了一份补充性加密法律草案,其允许中国政府以国家安全为由,要求企业提供“解密技术支持”,这实际上意味着政府可以迫使企业破解加密数据。
国外某律师指出,苹果公司曾拒绝帮助FBI解锁枪击凶手的iPhone,他无法想象这样的事情会在中国发生。
4、跨国企业担心不公平竞争
国外企业担心《网络安全法》可能将它们关在市场大门外。
风险管理咨询公司Control Risks副总监卡尔利·拉姆齐表示,此法范围极其广泛、模糊,可能会使公司面临与网络安全无关的监管执法风险。
美中贸易委员会北京副总裁杰克·帕克表示,要做好准备履行此法相当困难,因为此法有太多方面仍不够明确,缺乏足够的信息让企业制定内部合规做法,他表示,另一条款已经带来影响,其要求企业在中国部署IT硬件和服务之前,须经过检查和验证实现安全可控。他表示,已经听说国内银行和国营企业更多地考虑购买国内技术,而非国外产品,尽管没有明确规定要求他们这样做。
帕克还指出,几乎所有中美贸易委员会的企业正在采取行动,以确保其在中国收集的绝大多数数据存储在中国的服务器上。不只科技公司受到影响,金融服务、半导体制造商、中国每个行业的企业都受到影响。尽管此法适用于中国的所有企业,但预计国外公司将受到更大影响,因为它们通常更需要跨境将信息转移到海外的数据处理中心。
华尔街日报也称“《网络安全法》中有诸多内容尚不明确,充满不确定性和不明确的条款,缺乏切实的业务规则,给中国政府执政留有了相当的余地。”
云的阻碍
欧亚集团(Eurasia Group)网络安全专家保罗·崔欧罗写到,监管机构将可能为行业的国外公司引入新的合规与运营障碍,例如云计算。
有国外律师称,云存储公司同样会受到影响,他的国外客户将数据从新加坡Amazon Web Services上转移至阿里巴巴中国云服务上,并认为这存在保护本国企业的嫌疑。
然而阿里巴巴表示,中国本土科技公司也会受到冲击,阿里巴巴的大部分电商业务在中国开展,但阿里巴巴正日益在全球设立云数据中心,今后涉及的全球范围内的服务将会更多,阿里巴巴的国际扩张或多或少会受到各国的法律法规的约束,同时阿里巴巴表示会遵守业务运营所在司法管辖区的适用法律。
国家立法程序中,会将与政府关系密切的大型银行考虑在内。同样的道理也适用于阿里巴巴这样的大科技公司。
DLA Piper律师事务所驻香港合伙人斯科特·蒂尔表示,虽然此法让外资企业董事会产生焦虑,但个人数据隐私条例符合世界各地的惯例。例如,此法与欧洲《一般数据保护条例》一致。
本文转自d1net(转载)
