作者 | Eva Dou
强硬的中国网络安全新规提供了一个罕见的机会,外界得以一探美国科技公司与中国政府之间围绕监管规定发生的幕后摩擦。
中国正在采取行动,要求软件公司、网络设备生产商和其它科技供应商披露其专有源代码(这是运行其软件的核心知识产权),以证明其产品不会受到黑客的攻击。
科技公司不愿交出其源代码,称这将加大其代码流入竞争对手或犯罪分子手中的风险,而且可能也无法保证可防黑客攻击。微软(Microsoft Co., MSFT)、英特尔公司(Intel Co., INTC)、国际商业机器公司(International Business Machines, IBM, 简称IBM)等公司提交了反对意见。
微软在评论中写道,共享源代码本身并不能证明有能力做到安全和可控,而只能证明源代码存在。这些评论由一个政府网络安全委员会于11月发布。
英特尔表示,强迫芯片生产商披露其产品细节的规定将损害技术创新并降低产品的安全等级。
这些评论载于一份讨论记录,由全国网络安全标准的制订者全国信息安全标准化技术委员会(Technical Committee 260)公布,该委员会还公布网络安全法规的技术参数。这项法规于11月7日被采纳实施。
该委员会将推出符合规定的操作系统、微处理器、办公软件和其他产品的标准,相关规定将于2017年6月生效。
中国政府有关部门此前称,这些措施对于防范在中国使用的软件被嵌入外国间谍工具是很有必要的。美国国家安全局承包商前雇员斯诺登(Edward Snowden)曾称销往海外的美国科技产品中通常都有这种后门工具,中国政府有关部门反复引用了斯诺登的这一说法。
微软、英特尔和IBM是对规定草案作出回应的最大的美国公司,其他作出回应的还包括数十家中国公司、政府机构和一些安全专家。
上述三家美国科技巨头除了书面声明外不予进一步置评。这三家公司都与中国本土公司在华成立了多家合资公司,通常不愿意公开对中国的政策提出异议。因此,这些公司用中文发表的书面评论给外界提供了一个探看它们如何回避中国政府相关规定的罕见机会。
科技公司认为,在中国监管部门认定其专利技术属于安全可控的过程中,这些公司被迫披露的技术细节过多,这是它们感到不满的原因之一。
微软写道,让来访者查看微软在北京新设立的技术透明中心(Transparency Center)的代码就已足够,没有必要非得分享源代码。全国信息安全标准化技术委员会的工作人员不同意这种观点,他们重申了之前的观点,并表示微软的回应是“不可接受的”。
微软和英特尔还就另一项安全标准提出了质疑;对于开发及交付不能被“政治”中断的产品,这项安全标准赋予了更高的级别,英特尔要求相关机构对此作出进一步说明。
这一要求被注明“部分接受”,虽然在最新草案中依然有政治考量。
IBM称,应该对商业用途的计算服务和政府应用的计算服务加以区分。
IBM认为,完全为商业云计算用途而设立的机房没有必要一定位于中国境内。
全国信息安全标准化技术委员会的工作人员在一份书面回应中表示,许多行业均涉及社会稳定和公共利益,不纯粹是商业问题。
史密夫斐尔律师事务所(Herbert Smith Freehills LLP)的高级律师James Gong表示,虽然美国公司提出各项反对,但它们不太可能因网络安全要求而离开中国市场,因为庞大的中国市场非常重要。该律师事务所为西方客户提供中国法律咨询。