中国网络安全标准如何影响在华商业活动

国际战略研究中心：中国网络安全标准如何影响在华商业活动

文|Samm Sacks，国际战略研究中心科技政策项目高级研究员；Manyi Kathy Li，国际战略研究中心科技政策项目实习生

研究概要

自2015年中国《网络安全法》的立法程序启动以来，国家信息安全标准化技术委员会（TC260）已经针对网络安全发布了接近300项标准。这些标准的作用以及他们在商业和安全领域产生的影响并没有得到广泛重视。我们发现外国公司在网络安全审查标准方面面临风险，这些风险不仅存在于主要客户是政府和国有企业的企业，而且可能会影响所有依赖于ICT基础设施的经济部门。本报告创建了一个用于分析一系列网络安全标准的框架，用以追踪这些标准的动态，并确定哪些标准将会产生最大的影响。

中国政府建立网络安全标准的动力

中国将国家标准理解为政策工具，它是一种监管方式，阐明了企业能够被审计或用作测试和认证的基础。其中一些标准是市场准入或在政府采购清单上出售的先决条件，这些标准都带有GB前缀，是通常所说的“国标”。其他标准则只具有推荐性，并不具有正式的约束力，带有“GB/T”的标志。在中国，即便相关产品只是不符合推荐的标准，也可能会面临巨额的成本。政府可能会根据相关标准对企业进行审计，即便这些标准并非官方强制要求实施的。因此，即使表面上说这些标准只是“被推荐的”，但若想在中国开展相关业务，就必须符合这些“推荐”标准。

实际上，中国可能是打算通过将相关标准归类为“推荐性标准”以避免政策出台后的巨大震动。在国内法层面，所有强制性的标准都必须经过官方批准的程序，而这一程序并不简单。在国际法层面，中国制定的强制性标准必须要向世界贸易组织（WTO）披露。外国企业如果想在中国市场上取得成功，便需要将推荐性标准视为强制性标准予以落实。在中国政府寻求相关手段以在贸易战中对美国企业实施制裁时，这一风险会进一步升高。

为什么网络安全标准至关重要

中国日渐增多的网络安全标准为外国企业带来了三个主要挑战。

首先，为了符合中国相关政策要求，外国企业可能面临着提交源代码或接受侵入性的知识产权检测的压力。许多标准在认证和检测方面使用了大量模糊性措辞，这赋予了中国政府广泛的自由裁量权。实际上，大多数的标准并没有明确的源代码要求，但标准中的其他措辞，例如测试或核查，意味着若想在安全性评估环节获取一个更高的分数，必须提交源代码和其他敏感性的材料。尽管中国政府不会总是选择去执行这些不成文的规定，但是由于这些规则条款的模糊性，政府的立场可以随时改变。这使得外国在华企业只能根据中国政府的要求行事。

其次，网络安全标准的数量也给外国企业带来了巨额的合规成本，因为外国企业必须重新设计其产品或者改变其商业模式以符合中国政府的要求。这也造成了系统的重复，因为企业在生产ICT产品时必须建立两套不同的标准：一套符合中国政府的要求，另一套符合其他国家的标准。

网络安全标准带来的一个更为迫切的挑战在于这些标准可能会成为中国政府用以针对美国在华企业的工具。如果中国政府使用这一工具，成本是难以量化的，而且破坏力也会是长期的。中国政府可能使用这些标准来改变在华外国公司运营的方式，且即使短期的中美双边紧张局势结束，标准的影响仍能持续很长时间。

2016年，TC260接纳外国企业的相关代表加入委员会，帮助起草中国的网络安全标准。现在一共有16家外国企业通过加入有关的工作组成为TC260的成员。这一改进使外国企业得以参加相关讨论并及时获得最新资讯，但总的来说他们发挥的作用有限。

理解网络安全标准影响的框架

在过去的几年间，有将近300项网络安全标准以终稿或草案的方式被提出，我们创建了一个框架以分析这些标准的作用，这一框架是按照8个对产业有最重要影响力的因素建立的。

一是网络产品和服务的网络安全审查。中国的《网络安全法》为对网络产品和服务进行网络安全审查提供了依据，也被称为网络安全审查体制（CRR）。中国网信办（CAC）针对网络产品和服务的安全审查措施发布了一项（临时性的）草案，尽管使用了“临时”一词，但这些措施已经被视作确定的并准备实施。

二是网络密钥设备和网络安全专用产品的认证和评估。中国《网络安全法》实施以后，发布了一个目录，列举了需要经受审查和认证的设备和产品，即网络关键设备和网络安全特定产品目录，其列举的所有产品在未取得认证前不得在中国市场进行销售。

三是安全和可控的产品及服务。中国政府使用“安全的和可控的”以及“本土的和可控的”来支持本土企业。这一观点认为产品和服务更安全仅仅因为是本土企业提供的。

四是多层次的保护方案（MLPS）。保护方案根据《网络安全法》的新原则对2007年的原始方案进行了改进。

五是关键信息基础设施（CII）网络安全保护。中国政府内部对于MLPS和《网络安全法》下CII的新要求存在争论，这一问题尚未解决，我们不清楚CII会归到哪个部门管辖。

六是跨境数据转移。对跨境数据转移（CBDT）的限制是在华跨国企业最关注的问题。中国有关CBDT的规定（仍处于草案阶段）旨在填补网络安全法律的细节。

七是个人数据和数据保护。《网络安全法》和被称为《个人信息安全规范》的附带标准规定了用户同意的广泛规则以及公司应该采取哪些措施来收集、存储、处理和传输个人数据。中国政府认为保护个人数据免受公司或罪犯的欺诈或盗用是网络安全的基本要素，这与西方的数据隐私概念有着根本的不同。

八是加密数据。中国加密监管制度的模糊性使当局在执法方面拥有广泛的自由裁量权。此外，关于将加密技术纳入产品以及在自己的通信中使用加密技术，外国公司需要遵守的规则正在发生重大变化。这种不确定状态增加了外国公司面临的风险。

研究结论

中国政府应当制定一套更明确的流程，更清晰地阐明外国公司需遵循的一系列标准，避免对外国企业进行任意审计。

在面临不确定的环境时，外国企业的应对措施主要有三点。首先，外国企业必须清楚地了解中国监管环境的层级性及各部门职责的模糊性，并根据这一点明晰自己在与中国合作伙伴以及中国政府打交道时可采取的谈判立场。理解标准带来的实际影响，特别是认识到越来越多的新的网络安全标准可能改变现状，这可以帮助外国公司做好准备。其次，这些标准和法律中的模糊语言经常被用来保护中国体系内的不同利益群体的利益。外国企业和政府应该认识到分歧的存在，并选择与自身利益相近的团体进行合作。最后，随着中美经济关系走向对抗，美国必须认识其行动的后果以及美国企业将会付出的成本。网络安全标准不会成为头条新闻，但他们将成为美国与中国技术和商业关系的重要组成部分。

https://www.csis.org/analysis/how-chinese-cybersecurity-standards-impact-doing-business-china

END

荟萃智库思想

推动智库合作

提升智库成就

中国智库网