「世界上有兩種公司:一種被黑過,一種不知道自己被黑過。」思科公司前董事長約翰•錢伯斯的這句話幾乎成了至理名言。如同企業擔憂商業機密被竊取一樣,用戶擔憂個人資訊的洩漏,政府方面則顧慮內部數據網絡的安全,首要擔心水、電供應系統等關鍵基礎設施遭到網路恐怖襲擊的危險。就在不久前,一則駭客入侵德國聯邦政府網路轟動事件登上報紙頭條。在中國,網路襲擊也並非新鮮事,2017年底就傳出華為公司的網路設備產品遇襲的訊息。因此,不僅歐洲各國和美國意圖立法來維護網路安全,中國亦有志於此,這並不令人感到驚訝。中國推出的核心舉措就是《網路安全法》。該法已於2017年6月1日生效,將在2018年底前通過更多實施細則加以完善。然而,《網路安全法》和數據出境規定的徵求意見稿非但沒有促進更多信任,反而在外國企業中引發強烈不安。原因何在呢?
首先,其法律條文在很多國外觀察家看來表述得過於模糊和寬泛。即便是「網路運營者」這樣的重要概念也模棱兩可,甚至可以理解爲企業只要運營或使用一個網路系統,就必須滿足極高的安全標準,換言之幾乎覆蓋所有企業。該法對需遵守更多更嚴格規定的「關鍵資訊基礎設施」運營者的定義也是含糊不清。德國落實《歐盟網路與信息系統安全指令》的國內法清晰界定了「關鍵基礎設施」的範圍,如公共供水和供電系統。但在中國的法律中,其定義籠統到或也涉及各行各業所有企業的地步。此外,對哪種數據屬於法律適用範圍的描述也十分寬泛。相關表述長到讓人難以辨識哪些數據實際上不被囊括其中。結果是,企業不知所措,不清楚他們和他們的產品是否被納入該法的適用範圍以及他們必須滿足哪些法律要求。與此同時,違反規定面臨的將是最嚴可至禁止運營業務的處罰。另一個緊迫的問題隨之而來:這些規定會對保護智慧財產和商業祕密不受第三方獲取帶來什麼影響呢?如何能保障安全評估公開透明地進行,而不造成專有技術不情願地轉移?同樣的疑問還針對數據本地化存儲的強制性要求,這會嚴重干擾公司的運作流程。畢竟,集中存儲在伺服器上的數據被擷取或丟失的風險比分散式雲端存儲的數據要大得多。
其次,外企日益擔憂已宣佈的針對VPN專線的全面禁令,唯一的例外是國家批准的專線。這方面也籠罩著極大的不確定性。個人通訊還能繼續受到保護麼?有沒有充分考慮中國對外企和他們的員工以及家屬的吸引力會受到什麼樣的影響?企業要承擔哪些額外負擔?每月不得不花費2萬歐元購買經批准的專線將從根本上重創外企在華的商業模式,中小企業更是首當其衝。當VPN連接和跨境數據傳輸成爲嚴控下的特例,而不是靈活的常態,還能實現工業4.0的全面推廣嗎?若基於網路的調研手段持續受限,企業和高校的科研活動會受到什麼樣的影響?儘管VPN的全面禁令據稱應在幾周後生效,但卻缺乏具體的資訊,指導企業和其他用戶必須在何時前以及該如何從技術上適應這些規定。