中美密钥之争

　　一部中国国内法草案，引发美国上至总统、部长，下至信息通信技术（ICT）企业、商会的高度关注和强烈反弹。

　　奥巴马3月2日指责中国《反恐法》草案。“中国如果想和美国做生意，就必须改变有关做法。”

　　美国为何如此紧张？问题的核心在于ICT企业密钥是否应上交给中国政府。

　　据中国人大网公布的草案全文，第十五条拟规定，电信业务经营者、互联网服务提供者应当在电信和互联网的设计、建设和运行中预设技术接口，将密码方案报密码主管部门审查。未预设技术接口，或者未报审密码方案的，相关产品或者技术不得投入使用。已经投入使用的，主管部门应当责令其立即停止使用。

　　《反恐法》草案在去年10月进行了第一次审议，今年2月进行了第二次审议。按规定，中国法律一般原则上要通过三审才能正式颁布实施。在今年“两会”上，《反恐法》草案没有提交大会进行审议和表决。

　　卡内基国际和平基金会副主席、前白宫国家安全委员会亚洲事务高级主任包道格（Douglas Paal）对财新记者表示，中国政府要求公司提供软件代码和可供政府监控的后门，意味着公司要在没有补偿的前提下向政府提供商业机密，并承担着这些商业机密可能泄漏给竞争对手的风险。“不过，‘两会’上并没有对《反恐法》草案进行审议，意味着北京可能在重新考虑这一诉求。”

　　美国没有要求企业对IT产品安装后门的规定，但是可以根据执法需求要求企业提供相关信息，接受财新记者专访的多位美国网络安全专家表示，美国希望中国也能按美国的方式去做。

　　华盛顿智库美国信息技术和创新基金会的主席阿特金斯（Robert D. Atkinson）告诉财新记者，一些外资企业可能会认为，政府不应在没有法律监督的情况下监控公司机密信息。“政府不需要密钥，需要的是通过法令在需要的时候要求公司提交相关信息。”

　　阿特金斯是美国白宫科技政策办公室和中国科技部共同发起的中美创新对话的美方专家组领衔专家。他坦言，《反恐法》草案可能会加剧中美之间的贸易紧张。

　　中国美国商会主席吉莫曼（James Zimmerman）也向财新记者表达了担忧，认为中国正在国际化进程中，但是《反恐法》草案中关于ICT的内容将拖后这一进程。

　　他分析，如果ICT公司因为《反恐法》或其他政府限制无法进入市场，中国将无法获得最新的技术，与世界隔绝，希望双方政府能坐下来就信息安全制定计划。

　　《反恐法》草案成为摆在外资ICT企业面前的一道难题。不过，中国巨大的市场规模或使其很难放弃。根据国际数据公司（IDC）研究报告，中国2015年在信息和通信技术上的开支将达4650亿美元，中国的科技市场为全球科技领域增长贡献至少43%。

　　包道格预计，对外国公司而言，可能有三种选择：退出中国市场，找到一家中国合作伙伴共享部分代码，向中国政府提供代码看是否会有消极后果。大多数外国公司可能会选择前两种办法。

　　对于密钥之争的终极前景，美国海军战争学院国家安全教授、信息专家陆华容（Derek Reveron）对财新记者表示，IT公司的目标客户是广大消费者，假以时日，消费者对于隐私和安全的要求最终将是各方考虑的首要诉求。

　　此外，多位网络安全专家都认为，不论出于什么原因，设置后门这类增加系统脆弱性的行为将削弱网络安全，使其更容易遭到攻击。

　　美国密码学学者、信息安全专家与作家施纳尔（Bruce Schneier）撰文指出，“被削弱的加密标准、被掩盖的后门、新的黑客攻击手段，被做手脚的硬件，这些既可以被好人所用，也可以被坏人所用。”施纳尔说，这些风险绝不是假想敌，希腊、意大利等多国都出现了政府所设的系统后门被罪犯所利用。

“去美国化”

　　密钥之争是中国自去年以来在信息安全领域一系列动作之一。另一备受关注的是中国银行业的“去IOE”举措。

　　中国银监会去年9月发布《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》（下称《意见》），要求从2015年起，各银行业金融机构对“安全可控”信息技术的应用以不低于15%的比例逐年增加，直至2019年达到不低于75%的总体占比。

　　若想实现金融领域的信息安全可控，首先要面对的是“IOE”三大巨头，即IBM（服务器）、甲骨文（数据库）、EMC（高端存储）。《意见》要求银行的IT供货商在中国开展研发、并向中国银监会提交源代码。银行应在3月15日前提交其落实计划，并在4月1日前开始部署新设备。

　　欧盟和美国的商业团体及政府官员都对此表示了担忧。德国驻华大使柯慕贤（Michael Clauss）表示，银行业信息技术产品新规设置远高于在德国要求的安全标准。满足这些标准，中国供应商与外企相比要容易得多。

　　“不只在银行业，这引发了新的网络安全政策大大增加外国供应商进入中国市场难度的担忧。”

　　此外，外资ICT企业在中国政府采购领域也遭遇寒冬。2012年，中国中央政府采购中心的名录上共有60款思科产品，而这一数字在2014年已降为零。同时期内中央政府采购中心名单上的商品数量增加了2000多个，几乎全部为本土品牌，获批的外资科技产品数量下滑三分之一。

　　微软公司副总裁、可信计算部门政府安全高级总监Jing de Jong-Chen撰文指出，中国对于ICT产品的“去美国化”被外界视作对重点部门信息安全的保护。如果这种趋势继续的话，将削弱全球生产力、创新、贸易以及网络安全。中美必须形成一种谈论信息安全问题的机制，推进共识，找到双赢方案。

　　她认为，对于中国国内的ICT产业发展而言，设定安全标准是非常重要的一部分，对于提升信息安全至关重要，应有更多处于技术前沿的国际专家参与进来。目前许多国际技术提供商都在落实这些标准上感到信息不足。

　　不过，中国对于主要国际标准组织的参与还是可圈可点。中国在不少国际标准组织中已经发挥领导作用，比如国际标准化组织（ISO）、国际电工委员会（IEC）、国际电信联盟（ITU）等。成为这些组织的会员帮助中国获得有价值的技术信息，促进国内标准发展。

　　她分析，这其中的一个挑战在于，大多数国际标准并没有依照中国国内安全政策而设计，因此在国际标准和中国标准之间可能存在差异。对于外国公司而言，这意味着将中国安全标准商业化的成本会很高。

“两极化”

　　美国近年来危害信息安全事件频发。2013年初，苹果、脸书（Facebook)、推特(Twitter)、《纽约时报》、《华尔街日报》等多家企业都表示自身是在过去三年中数千家遭网络攻击的美国公司之一。

　　2013年12月，美国第二大零售商Target遭遇恶意软件攻击，泄漏了1100万客户信用卡和个人信息。2014年4月，安全公司Codenomicon和谷歌安全工程师发现了迄今为止互联网最大安全漏洞Heartbleed，攻击者从服务器内存中可读取包括用户名、密码和信用卡号等隐私信息在内的数据，大量互联网公司受波及。2014年，网络威胁第一次在《美国情报界全球威胁评估》报告中被列为首要威胁。

　　美国印第安纳大学信息安全法教授凯特（Fred Cate）分析，奥巴马政府两个任期的网络安全政策呈两极化。

　　第一个任期内，在网络防御层面，政府反对通过立法保护私营部门网络安全，对于来自中国的可能威胁也没有采取行动，而是建立一种网络安全协调者的身份，但是这种身份既没有权威性，也没有预算支持。在网络攻击层面，政府加大了将网络攻击作为国家安全工具的使用力度，并且数次对伊朗的铀浓缩设施发动网络攻击。

　　在第二个任期内，奥巴马政府在网络防御和攻击两方面都加大了力度，尤其是在立法层面。2013年2月，奥巴马签署行政命令，加强电力、运输和电信等所谓“关键基础设施”部门的网络安全。

　　2013年3月，国会通过《2013财年综合继续拨款法案》，其中第516条规定，美国商务部、司法部、美国航空航天局和国家科学基金会不得利用任何拨款采购由中国政府拥有、管理或资助的一个或多个机构生产、制造或组装的信息技术设备，除非上述机构负责人与联邦调查局或其他适当机构进行会商，对网络间谍或蓄意破坏风险进行评估后，认定这一采购符合美国国家利益。

　　2014年2月，隶属美国商务部的国家标准与技术研究院推出一项可自愿加入的“网络安全框架”项目，该框架吸纳了全球现有的安全标准以及做法，以帮助有关机构了解、交流以及处理网络安全风险，私营部门可在自愿基础上使用该框架加强自身网络安全能力。

　　回顾历届美国政府对信息安全的态度，可以看出明显转守为攻的趋势：克林顿时期网络安全战略主题是基础设施保护，重点在“全面防御”；布什时期的主题是网络反恐，重点在“攻防结合”；奥巴马时期的主题是网络威慑，重点在“主动出击”。

　　不过，受斯诺登事件影响，一方面ICT巨头纷纷将自家产品提升加密级别，以防政府窃取；另一方面美国政府对于搜集个人信息的态度显得更为谨慎。根据美国国家情报总监办公室于2月3日发布的消息，政府将加强对美国联邦调查局（FBI）、美国中央情报局（CIA）以及其他情报机关使用互联网和电话通讯手段收集个人隐私信息的监管。

　　细则中称，情报机关只能在抓捕外国间谍、打击恐怖主义、反武器扩散、保障网络安全、消除对美及其同盟军事力量构成的威胁以及打击跨国犯罪用途的前提下才能大范围调用个人信息数据，但是并不会改变坚持对个人信息数据的监控和收集。

　　在美国，政府与私营部门之间实现信息共享一直备受争议，民众最大的担忧在于政府可能滥用私人信息。因此，“棱镜门”事件后，奥巴马政府鼓励政府向私营机构多分享信息，但是对私营部门向政府公开信息一直没有硬性规定。

　　凯特对财新记者表示，世界上许多国家的政府都面临这样困境，应推动立法，形成法律框架，加强对信息的保护和对政府的监督，增强公众信心。

中美过招

　　2013年6月5日，前美国中央情报局雇员斯诺登（Edward Snowden）曝光了国安局等美国政府部门监视公民隐私的“棱镜”项目。美国政府在信息安全上的国际可信度因斯诺登事件遭遇重创。

　　根据被斯诺登公开的国安局文件，美国情报机构2011年共发起231起互联网攻击，其中75%针对中俄两国。文件还显示，美国多次对包括华为在内的中国电信企业发动网络攻击，在华为的网络系统中安装后门，获取源代码，不仅搜集中国用户的信息，也搜集其他国家使用华为系统的用户的信息，以此发动网络攻击。

　　此外，美国还禁止华为在美国运营，禁止美国公司购买华为的设备，并且游说其他国家将华为逐出市场。“这显然会产生避免竞争以及可见的经济影响，不管是否是出于国家安全考虑。”凯特表示。

　　包道格对财新记者表示，奥巴马政府试图在信息安全上划清了一道界限，即政府对其他国家政府、军方、外交等领域的网络间谍行为是可以接受的，而政府从外国公司窃取知识产权、商业秘密是不可接受的。

　　凯特则认为，尽管美国官方一再表示针对政府的间谍行为和为获取商业机密而进行的间谍行为性质不同，但是其针对华为的行为让这种说法很难自圆其说。前国防部特别顾问古德史密斯（Jack Goldsmith）也曾表示，对华为的行为使美国之前对中国入侵美国网络的指责，以及对中国通过盗取知识产权来帮助本国公司获益的指责都显得“很虚伪”。

　　从历史上看，中美在信息与网络安全领域的关系大致经历三个阶段：2000年以前，中方以引进、吸收国外技术为主。2000年至2011年，随着中国崛起与中国威胁论甚嚣尘上，美国开始监控华为、清华大学和中方部分政府机构。2011年以后，双方交相攻伐，交手不断。2013年6月的“习奥会”将网络安全列为主要议事日程，7月中美第一次在华盛顿举行中美网络安全工作组会议。然而不到一年后，2014年5月底，面对美国“中国军官网络窃密”的指控，中国中止了中美网络工作组的活动。

　　中美信息与网络安全之争走向何处？凯特告诉财新记者，如果目前态势继续发展，美国可能限制向中国出口技术产品或采取其他贸易手段，中国政府也可能以相似的办法回击。不过他预计，两国关于信息安全的争端不会变成一场热战，能够达成一定共识。■