中國網絡安全法：外企為何抱有疑慮?

“世界上有兩種公司：一種被黑過，一種不知道自己被黑過?！彼伎乒厩岸麻L約翰?錢伯斯的這句話幾乎成了至理名言。如同企業擔憂商業機密被竊取一樣，用戶擔憂個人信息的泄漏，政府方面則顧慮內部數據網絡的安全，首要擔心水、電供應系統等關鍵基礎設施遭到網絡恐怖襲擊的危險。就在不久前，一則黑客入侵德國聯邦政府網絡轟動事件登上報紙頭條。在中國，網絡襲擊也并非新鮮事，2017年底就傳出華為公司的網絡設備產品遇襲的消息。因此，不僅歐洲各國和美國意圖立法來維護網絡安全，中國亦有志于此，這并不令人感到驚訝。中國推出的核心舉措就是《網絡安全法》。該法已于2017年6月1日生效，將在2018年底前通過更多實施細則加以完善。然而，《網絡安全法》和數據出境規定的征求意見稿非但沒有促進更多信任，反而在外國企業中引發強烈不安。原因何在呢？

首先，其法律條文在很多國外觀察家看來表述得過于模糊和寬泛。即便是“網絡運營者”這樣的重要概念也模棱兩可，甚至可以理解為企業只要運營或使用一個網絡系統，就必須滿足極高的安全標準，換言之幾乎覆蓋所有企業。該法對需遵守更多更嚴格規定的“關鍵信息基礎設施”運營者的定義也是含糊不清。德國落實《歐盟網絡與信息系統安全指令》的國內法清晰界定了“關鍵基礎設施”的范圍，如公共供水和供電系統。但在中國的法律中，其定義籠統到或也涉及各行各業所有企業的地步。此外，對哪種數據屬于法律適用范圍的描述也十分寬泛。相關表述長到讓人難以辨識哪些數據實際上不被囊括其中。結果是，企業不知所措，不清楚他們和他們的產品是否被納入該法的適用范圍以及他們必須滿足哪些法律要求。與此同時，違反規定面臨的將是最嚴可至禁止運營業務的處罰。另一個緊迫的問題隨之而來：這些規定會對保護知識產權和商業秘密不受第三方獲取帶來什么影響呢？如何能保障安全評估公開透明地進行，而不造成專有技術不情愿地轉移？同樣的疑問還針對數據本地化存儲的強制性要求，這會嚴重干擾公司的運作流程。畢竟，集中存儲在服務器上的數據被截取或丟失的風險比分散式云存儲的數據要大得多。

其次，外企日益擔憂已宣布的針對VPN專線的全面禁令，唯一的例外是國家批準的專線。這方面也籠罩著極大的不確定性。個人通信還能繼續受到保護么？有沒有充分考慮中國對外企和他們的員工以及家屬的吸引力會受到什么樣的影響？企業要承擔哪些額外負擔？每月不得不花費2萬歐元購買經批準的專線將從根本上重創外企在華的商業模式，中小企業更是首當其沖。當VPN連接和跨境數據傳輸成為嚴控下的特例，而不是靈活的常態，還能實現工業4.0的全面推廣嗎？若基于網絡的調研手段持續受限，企業和高校的科研活動會受到什么樣的影響？盡管VPN的全面禁令據稱應在幾周后生效，但卻缺乏具體的信息，指導企業和其他用戶必須在何時前以及該如何從技術上適應這些規定。