大陸政府對網路安全的監管，可由2017年的《網路產品和服務安全審查辦法（試行）》、2019年的《網路安全審查辦法（徵求意見稿）》、2020年的《網路安全審查辦法》，到2021的《網路安全審查辦法（修訂草案徵求意見稿）》內容可知，其監管程度不斷升級，並由軟硬體延伸到數據。由於台灣資通訊產業超過八成在大陸生產，每年有超過千億美元的電子零組件出口到大陸供終端組裝使用，但目前《網路安全審查辦法》對「網路產品與服務」定義不明，且安全規範過度模糊、可操作性高，是否會因此受到無形的箝制，應謹慎觀察。

文：黃健群

全球最大的大陸叫車平台「滴滴出行」，今年6月30日在美國紐約證交所上市後不到4天，大陸國家互聯網信息辦公室（簡稱網信辦）突然發布對「滴滴出行」的網路安全進行審查，並要求滴滴旗下的25款App在大陸全面下架；隨後，網信辦也要求「運滿滿」、「貨車幫」、「BOSS直聘」等三個網路平台必須接受網路安全審查。此舉不但引發了各界極大的關注，也看出大陸當局加強網路監管的決心。 

事實上，大陸的網際網路具有高度「中國特色」，也具有高度的管制色彩。可以說，大陸網際網路並非國際互聯網(Internet)，而只能說是「內部網」(Intranet)。近年來，大陸網路管制引發較多關注的，除了較早之前原本強制要在所有個人電腦安裝、為攔截過濾不良網站的「綠壩花季護航」，還有為屏蔽不受認可外國網站的「防火長城」(Great Firewall)，以及主要作為關鍵字過濾的「金盾工程」，這些網路管制一直以來都引發不少討論。而大陸當局一再重申，這些政策都是為了「維護網路安全」。 

鮮少人注意的是，在大陸網信辦公布對「滴滴出行」等企業進行網路安全審查後約莫一周，網信辦即在網上公布了《網路安全審查辦法（修訂草案徵求意見稿）》（以下簡稱2021「修訂草案徵求意見稿」），而這是繼去(2020)年4月後，大陸官方再一次修訂《網路安全審查辦法》。（註1） 

透視《網路安全審查辦法》及其修訂 

大陸《網路安全審查辦法》法源為2015年公布的《國家安全法》及2017年公布的《網路安全法》；今年提出的「修訂草案徵求意見稿」，將《數據安全法》列入。 

由2017年的《網路產品和服務安全審查辦法（試行）》、2019年的《網路安全審查辦法（徵求意見稿）》、2020年的《網路安全審查辦法》（以下簡稱《辦法》），到2021《辦法（修訂草案徵求意見稿）》內容來看，由軟硬體延伸到對數據，大陸政府對網路安全的監管不斷升級。重點解析《辦法》如下： 

「關鍵資訊基礎設施」(CII)是被審查的主體 

共22條的2020年版《辦法》，聚焦「關鍵資訊基礎設施」(Critical Information Infrastructure, CII) 的法規。與過去相較，《辦法》審查主體由原來的「網路產品和服務提供者」調整為「關鍵資訊基礎設施」運營者(Critical Information Infrastructure Operators, CIIO)。從一開始的「預判風險」、「要求產品和服務提供者配合審查」到「督促產品和服務提供者履行承諾」，都由「關鍵資訊基礎設施」運營者負擔責任。 

至於這裡所提到的「關鍵資訊基礎設施」究竟為何？《辦法》第20條指稱「關鍵資訊基礎設施」運營者是指「經關鍵資訊基礎設施保護工作部門認定的運營者」；根據大陸《網路安全法》31條定義，包括公共通信和資訊服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者資料洩露，可能嚴重危害國家安全、國計民生、公共利益都應被歸為「關鍵資訊基礎設施」，但其具體範圍仍有待《關鍵資訊基礎設施安全保護條例》通過後才更明確。 

要求運營商進行安全預判 

值得注意的，是《辦法》的第五條、第六條。 

《辦法》第五條提到，「運營者採購網路?品和服務的，應當預判該產品和服務投入使用後可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網路安全審查辦公室申報網路安全審查。」但到底怎樣的產品或服務可能帶來國家安全風險？2020年通過的《辦法》並沒有明訂，僅提到「由各行業、各領域的關鍵資訊基礎設施保護工作部門」制定各自的預判指南」。反而是2019「徵求意見稿」有明確指出：「關鍵資訊基礎設施整體停止運轉或主要功能不能正常運行」、「大量個人資訊和重要資料洩露、丟失、毀損或出境」、「關鍵資訊基礎設施運行維護、技術支持、升級更新換代面臨供應鏈安全威脅」，以及「其他嚴重危害關鍵資訊基礎設施安全的風險隱患」等四種潛在安全風險需要申報。 

至於《辦法》第六條，除了規範運營者應要求產品和服務提供者應「承諾不利用提供?品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備，無正當理由不中斷?品供應或必要的技術支援服務等」，更重要的是應配合網路安全審查。原來2019年「徵求意見稿」規範，運營者和產品和服務提供者的合同經官方審查通過後才能生效，但2020年《辦法》刪除後，實際操作將更有彈性。根據大陸官方說法，關鍵資訊基礎設施運營商與產品和服務提供方有三種狀況：一是在「簽署合同前」申報網路安全審查。如果提供方不配合網路安全審查或未通過審查，則可以取消採購；二是在「簽署合同後」申報網路安全審查，大陸當局「建議」，運營商應在合同中註明此合同須在產品和服務採購「通過網路安全審查後」方可生效；三是運營者可將網路安全審查的內容寫入合同條款，用違約責任來約束產品和服務提供者遵守相關條款，保障運營方權益不受侵害。 

認定會造成國安風險的幾個因素 

此外，《辦法》第九條提到的「採購網路?品和服務可能帶來的國家安全風險」應考慮五個因素，比較重要的是以下幾個部分： 

一、非法控制風險。《辦法》九條之一指稱，應考慮可能帶來的國家安全風險首要為：「產品和服務使用後帶來的關鍵資訊基礎設施被非法控制」。這裡指的是供應鏈完整性的威脅，例如產品／服務被惡意篡改或植入、違規遠端控制等。與此同時，運營者採購的網路產品和服務投入使用後，可能會採集和處理個人資訊或重要資料，而且在雲端模式下，資料通常會在前端產品、後台系統甚至協力廠商之間流轉。因此，網路產品和服務可能面臨包括敏感性資料洩露、敏感性資料濫用等安全威脅。因此，《辦法》九條之一指稱的國安風險包括「（產品和服務）遭受干擾或破壞，以及重要資料被竊取、洩露、毀損的風險」。換言之，除了軟硬體，「數據」也被列為重要的管控要素。 

二、斷供風險。《辦法》九條之二指稱，應考慮可能帶來的國家安全風險次要為「產品和服務供應中斷對關鍵資訊基礎設施業務連續性的危害」。這裡指出的「業務連續性的危害」，主要考量例如疫情期間，遠端工作和隔離導致某些產品和服務供應中斷。其他的「斷供風險」還有以下幾種可能： 

（一）突發事件：戰爭、地震、颱風等自然的不可抗力引發的突發事件，造成產品和服務的供應鏈中斷。 

（二）國際環境：因貿易管制、限制銷售、智慧財產權、標準差異等因素，導致產品服務必需的元件、演算法或技術等無法獲取、或難以滿足，造成產品不能交付。 

（三）不正當競爭行為：供應商利用使用者對產品和服務的依賴，通過技術手段，限制或阻礙用戶選擇其他供應商的產品。 

（四）支援服務中斷：網路產品和服務，可能由於供應商停止生產和維護某些系統或其中某些元件不被支援，而被迫中斷運行。 

三、數據流出風險。2021「修訂草案徵求意見稿」第十條，新增了對數據的監管，包括數據被竊取、洩露、毀損以及非法利用或出境的風險；以及數據被國外政府影響、控制、惡意利用，都被視為國安風險。 

四、 技術性因素風險。《辦法》九條之三指稱，應考慮可能帶來的國家安全風險還有「?品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險」。雖然大陸官方指稱，這是為了維護供應鏈安全，但應是為了再度避免例如華為因美國「非技術性」抵制而「斷供」的狀況發生。 

2021年《辦法》修訂重點在增加對數據監管 《辦法》第20條指出，「網路產品和服務」定義為「核心網路設備、高性能電腦和伺服器、大型存放區設備、大型資料庫和應用軟體、網路安全設備、雲計算服務，以及其他對CII安全有重要影響的網路產品和服務」。換句話說，這些產品和服務都是《網路安全審查辦法》規範的範圍，未來都受到大陸官方的審查。 

至於日前剛公布的2021年版《網路安全審查辦法》「修訂草案徵求意見稿」，和2020年最主要的不同，是將「數據」被列入審查的範圍，因而第一條法源追溯到《數據安全法》、第二條增列「資料處理者開展資料處理活動」也應受到網路安全審查。且除了上述應考慮可能帶來的國安風險多增加兩項之外，最引起注意的，是原來2020年版沒有、2021年版增列的第六條「掌握超過100萬使用者個人資訊的運營者赴國外上市，必須向網路安全審查辦公室申報網路安全審查」（請見表1）。這樣的修訂方向，除了明顯劍指此次赴美上市的「滴滴出行」等網路平台運營商，也顯見大陸當局對美歐國家的反制。 

結論：《網路安全審查辦法》將加速大陸網路產品和服務的進口替代 

大陸政府一再強調，「沒有網路安全就沒有國家安全，就沒有經濟社會穩定運行」。因此，2017年公布的《網路安全法》強調要針對「關鍵資訊基礎設施」實行重點保護。而2020年4月公布的《辦法》，一般認為可視為《網路安全法》的細化措施，其中重要目的是為了反制美國的科技圍堵。事實上，2020年實施的《辦法》、2021年提出的「修訂草案」，都可被視為大陸當局對網路主權的強化。 

總的來說，《網路安全審查辦法》等一系列監管法令的出台，將可能讓大陸的科技產業朝以下方向發展：首先，境外供應商進入大陸市場將充滿不確定性。《辦法》實施後，運營商需確認供應商無違反大陸法律，才能採購其網路產品和服務，這使得營運商在使用境外產品或服務時，多了一層疑慮。與此同時，境外供應商為了大陸市場，則必須進行自我審查。其次，大陸將以持久戰周旋美國的科技封鎖。《辦法》的推出，首要雖然是「劍指美國」；但大陸當局仍希望透過強化與美國企業界的關係，讓緊張的中美關係得以脫困。因此，《辦法》的國安審查（特別是「事後審查」機制），將會對美國惠普、戴爾、蘋果、高通、微軟等已進入大陸市場的美國企業形成一定影響力。最後，大陸將加速關鍵科技產品和服務的進口替代。《辦法》規範的是運營商，並以「審查採購合同」為手段來確保國家安全。因此，對運營商來說，為避免不必要的風險，在有所取代的情況下，運應商將更多使用可掌控的本土產品和服務（包括台資企業）。基於此，大陸當局勢必透過人才挖角、市場准入、要求外國企業分享技術等方式，加速關鍵科技產品和服務的進口替代。 

值得關注的是，台灣資通訊產業超過八成在中國大陸生產，且每年超過千億美元的電子零組件出口到中國大陸，供終端組裝使用，包括台積電的晶片、大立光的手機鏡頭等蘋果概念股；且IBM、惠普、戴爾等全球知名資訊大廠也常透過台灣購買零組件、代工組裝、製造產品。目前《網路安全審查辦法》規範的「網路產品與服務」定義不明，且安全規範過度模糊、可操作性高，台灣資通訊產業是否會因此受到無形的箝制，應謹慎觀察。（作者為工總大陸事務組組長） 註1 本文所有資料，均引用自大陸網信辦網站。