我们的中国数据隐私律师一直在收到关于我们最近的文章《中国的新网络安全计划》 的源源不断的问题:无处可藏, 关于中国政府推出的监测公司数据的新系统。
这些问题来自我们的读者、我们的客户和媒体。大多数人在寻求以下两个问题的答案:
- 在帖子中,我提到了在2019年12月1日 "推出 "这个新的监测系统,人们想知道到底会推出什么。
- 我在帖子中说,中国政府将有机会获得并能够获得它想要的任何信息。我们被问及我是根据中国的书面法律还是根据我在中国的实地经验说的。
这个帖子回答了这两个问题。
首先,即将推出的 "计划 "是网络安全多层次保护计划("MLPS 2.0"),该计划将于2019年12月1日生效。该计划规定了中国所有公司和个人必须遵守的技术和组织控制措施,以遵守中国《网络安全法》规定的与MLPS有关的互联网安全义务。所有公司和个人都必须遵守以下三个标准:
- GB/T 22239 - 2019《信息安全技术--多级保护方案基线》。
- GB/T 25070 - 2019《信息安全技术--多级保护方案安全设计技术要求》。
- GB/T 28448 - 2019《信息安全技术--多级保护方案的评估要求》。
这些标准的中文版本可以在这里找到;我们不知道这些标准的任何英文翻译。
我个人有关MLPS2.0系统的法律法规文件包括800多页非常专业的中文。但即使是这些庞大的文件,也不足以完全理解该系统的功能。要完全理解,还必须考虑中国政府其他关键规划文件的目标,如国家人工智能计划、互联网+计划、个人和企业的社会信用体系(见中国新公司追踪系统:遵守、遵守、遵守),以及中国正在实施的其他各种网络/互联网/数据收集和监控计划。
当我们把所有这些不同的计划放在一起研究时,就会发现MLPS 2.0系统是一个全面的数据收集、监视和控制计划的 "硬件 "组成部分。中国的计划是建立一个涵盖中国所有形式的网络活动的系统:互联网、移动电话、微信类型的社交网络、云系统、国内和国际电子邮件。中国的目标不是创建一个商业系统,让个人玩家可以参与并赚钱。它的目标是由中华人民共和国政府和中国共产党进行监视和控制。
为了实现这些目标,中国正在创建一个系统,以实现两个最终相互矛盾的目标:该系统将是封闭的,以防止 "坏人"(外国人和内部持不同政见者)的入侵,但对公共安全部和中国政府及中共的其他互联网安全机构是完全透明的。对公安部的透明意味着它所说的一切:不允许有任何阻挡公安部访问的技术。没有VPN,没有加密,没有私人服务器。如果公安部需要安装后门或其他信息/数据拦截设备或系统来实现完全访问,那么中国电信和基于中国的互联网服务供应商就必须遵守。但是,由于向公安部提供开放的访问权限与加强安全防范入侵的目标直接冲突,如何在这些冲突的目标之间进行调解是MLPS 2.0标准的长度和复杂性的主要原因。
第二,允许中国公安部访问网络和数据的法律依据来自于一个不包括在MLPS 2.0标准内的法规。正如我在上面指出的,充分理解需要把所有适用的法规拉到一起。这只是其中的一个例子。赋予公安部直接 "拿下 "权利的书面规定是《公安机关互联网安全监督检查规定》(公安机关互联网安全监督检查规定)。该条例于2018年9月15日颁布,并于2018年11月1日开始生效。我在下面提到的这个条例是指中国政府公布的中文版本的文章。重要的是,对该条例的评论应以实际通过的内容为基础,而不是以包含未被采纳的条款的早期讨论草案为基础。
作为一个初步的问题,《公安机关互联网安全监督检查条例》所确认的一个关键事项是,公安部有主导权来承担与中国互联网和网络安全有关的一线执法职责。这意味着工信部(中国电信)、中汽协、CNNIC和其他寻求在网络安全管理方面发挥作用的中国机构的字母汤已被推到一边,而由公安部负责。这意味着执法工作将由警方而不是地方官僚来处理。这个关于执法的决定对在中国做生意的外国公司以及在中国生活和工作的外国雇员有实际意义。当一个中国官僚出现在你的门口要求提供信息时,你也许可以让这个官僚上路。但是当两个或更多穿制服的警察出现在你的门口时,你几乎没有选择,只能服从。
公安机关互联网安全监督检查条例》规定了对联网服务器的两级检查:现场检查和离线、远程访问。见第13条。进行现场检查时,必须有至少两名当地警察在场。见第14条。警员将由负责互联网安全的地方政府机构工作人员陪同。如果当地政府机构的工作人员不足,公安部可以聘请独立的承包商来做这项工作。
检查小组可以完全进入网络系统。检查可以包括网络系统的技术方面和服务器上保存的数据/信息。见 第10条。检查人员可以完全访问该系统,他们被允许复制他们发现的任何数据。见第15条。对检查员复制贵公司系统中的数据的唯一限制是,检查员必须向你提供一份收据。虽然第10条 "限制 "涉及国家安全事项的访问,但在中国,国家安全的定义非常广泛,对可以访问、复制和删除的内容没有真正的限制。
在公安部确定存在互联网安全问题的情况下,它有权进行远程访问检查。其范围在第10条中规定。远程访问需要事先通知。与这种通知有关的问题有两个:首先,通知的目的不是为了保护被检查方的权利。相反,通知的目的是为了确保服务器已经完全开放给公安部访问。第二,对于由云提供商维护的服务器,不清楚通知是只发给云提供商还是同时发给云提供商和云提供商的客户。也就是说,目前还不清楚云客户是否会收到其服务器和数据被公安部查看和复制的通知。时间会证明这一点,但我的猜测是,云客户永远不会知道,除非其云供应商告诉他们。
这种非现场访问规则在管理上是很尴尬的。MLPS 2.0标准的结构表明,公安部计划与云供应商和管理服务提供商合作,让他们安装系统,允许公安部在任何时候轻松地进行非现场访问,而不需要通过一个事件一个事件的事先通知,然后进行访问程序。然而,这种类型的持续访问系统并不是《条例》所考虑的。然而,即使严格遵守《公安机关互联网安全监督检查条例》,也无法回避这样一个事实:它规定中国公安部基本上可以不受限制地访问所有服务器和数据。将此称为 "网络安全 "从根本上是一种误导。正如条例本身所述,这是中国政府的检查和控制制度。它与开放的互联网世界中通常认为的网络安全毫无关系。
然后,关键问题变成了中国公安部收集的数据会发生什么?例如,你们公司的数据。公安部被允许复制和删除它在检查的服务器上发现的几乎任何信息或数据。那么,这些信息的保密性如何呢?公安机关互联网安全监督检查条例》第5条涉及这个问题:"公安机关及其工作人员在履行互联网安全监督检查职责中知悉的个人信息、隐私、商业秘密和国家秘密,应当严格保密,不得泄露、出售或者非法为他人提供。"这条规定必须仔细阅读,因为它规定了 "具有中国特色的保密"。
关键的一点是,"其他 "一词不包括中国政府或中共的任何机构。换言之,它不包括由中国政府经营或控制的大学和其他研究中心。它也不包括中国军队或中国武器制造商。它也不包括中国的国有企业(SOEs)。虽然不清楚,但 "其他 "一词也可能不包括由中国人控制的名义上的私人实体。例如,见 华为。
那么,这个保密规定又是什么意思呢?在中国的应用中,第5条的保密规则旨在防止公安部官员做两件事:一是向中国或外国公司出售数据以获取个人利益,二是向外国特工(间谍)披露数据。这条规定并不是为了防止公安部与上述内部人员分享其收集的数据。事实上,这种共享是作为整个中国政府和中国共产党的数据需求的一部分而被授权的。公安部不被允许囤积数据;它被要求四处传播数据。
这一结果导致了关键的问题。位于中国的任何服务器上的机密信息都会被中国公安部查看和复制,然后这些信息就会被整个中国的政府系统公开获取。但是,中国政府是国有企业(SOE)的股东,而国有企业是中国的关键产业。中国政府也基本上控制着中国的主要私营公司,如华为和中兴,以及最近的阿里巴巴和腾讯和许多其他公司。请看中国正在向阿里巴巴和吉利等公司派遣政府官员,中国还将在包括阿里巴巴在内的100家私营公司中安排政府官员。中国政府还拥有或控制中国的整个军火工业。
简单地说,公安部从外国公司获得的数据将提供给外国企业的主要竞争对手、中国政府控制的和私人的研发系统,以及中国的武器工业和军队。
这方面的负面后果应该是显而易见的。但关键问题是,其后果远远超出了商业影响。中国的新系统将成为美国和其他政府的国家安全问题。这就为私人公司设置了一个无法避免的冲突。他们是按照中国法律的要求向中国公安部提供他们的数据,还是按照本国法律的要求向公安部(以及中国军队)保留这些数据?换句话说,他们是否干脆停止使用或向其中国业务提供数据?
最后的结果将是,就中国而言,关键技术领域的 "自由贸易 "最终将被严重削减。欢迎来到新常态。
