上海WTO事务咨询中心

全球贸易投资研究咨询中心
世界产业运行研究咨询中心
首页>WTO动态研究>USCBC关于改善中国信息技术环境的建议

USCBC关于改善中国信息技术环境的建议

18-03-08

2018年2月,“美中贸易全国委员会”(USCBC,以下简称“委员会”)发布评估报告《优化互联:改善中国信息技术环境的最新建议》,报告指出当前中国信息技术环境面临的三大挑战,并提出相应改进建议。以下是该报告的主要内容,供参考。

自2017年6月中国的《网络安全法》生效以来,中国政府颁布了一系列与网络安全有关的法规和规章,对在中国境内经营的中外企业产生了广泛的影响。

据2017年“委员会”成员单位调查结果显示,82%的“委员会”成员单位担心中国政府的做法对信息流动和技术安全造成负面影响,这主要是因为这些新的网络安全政策影响了企业的日常经营能力。中国政府关于投资、数据出口、产品安全审查以及关键信息基础设施的政策影响到了中外企业的日常经营,而这些政策在其他市场是前所未见的。这些政策制约了企业使用全球最佳实践和技术解决方案的能力,使得企业无法获取在全球范围内被广泛认可的技术保护措施。这些政策还使企业在信息互换以共同应对安全威胁时变得愈发困难,将消费者和企业置于更不安全的境地。

“委员会”提出了相应的改进建议,旨在消除企业在中国境内使用信息技术时面临的特定障碍。“委员会”基于大量的调研访谈(如与企业的技术官)得出这些建议,能为平衡好经营和安全需求提供潜在的解决方案,以一种务实的方法为中国政府和企业提供富有建设性的应对方法。“委员会”希望能有机会与中国政府监管者进一步就上述问题进行探讨。

挑战1:数据流动和本地化

中国的数据政策干扰了企业的中国设备与全球其他设备的正常通讯,遏制了跨境创新,增加了成本(如要求重复安装信息技术基础设施)。这些政策还影响了中国发展规划的落实推进,如“互联网+”和“国家大数据战略”。这些限制措施影响了中外企业整合全球平台、开展电子商务、推动尖端研发的能力。

在“委员会”调研访谈的过程中,一些技术执行官表示,中国政府关于数据流动和本地化的政策使企业在运用大数据分析时困难重重,影响了产品支持、安全和创新。例如:

·经营风力涡轮机的能源企业需要与其全球总部时刻保持沟通,使得一旦发生断电事故,全球团队能迅速采取应对措施。

·在“智能制造”行业提供高技术、互联网接入设备的企业要求能在其自己的设备上获取数据,使得企业能够远程控制或维修。

·那些销售工业车辆用于基础设施开发的企业需要获取遥测和性能数据,为其客户提供机器性能和预防维修方面的信息。

·金融服务企业通过分析跨境数据来预测消费者趋势,向消费者提供特定服务,识别潜在的非法交易。

过度限制性的数据监管制度阻碍了企业的正常经营,损害了企业和消费者的利益。

在多数情况下,数据流动监管的目标在于保障公民个人信息和其他重要数据的安全。然而,实际上,那些要求数据本地化或跨境流动安全审查或使用国内技术的政策对于实现上述目标丝毫起不到任何作用。保护数据隐私的国际标准是由行业共识、全球最佳实践来确定的,与数据的存储地并没有什么关联。网络安全专家一致认为,网络攻击主要由不完善的保护系统、工程误差、用户过失等因素造成。将用户的选择权仅限于中国的基础设施而非经全球认可的安全实践只会损害个人信息和重要数据的安全性。

将中国和全球网络脱钩只会带来安全风险。当地软件或当地供应商无法沟通或解决在使用全球技术过程中产生的问题。当遇到维修问题、技术问题或网络犯罪,碎片式的全球沟通网络限制了企业做出快速响应的能力。

确保数据的跨境自由流动是创新型数字经济必不或缺的组成部分,中国政府将其作为优先事项予以重点推进。如“十三五规划”、“中国制造2025”、“互联网+”等规划突出强调了开发智能和互联网技术。中国政府高级官员反复强调在G20框架下一个开放、互联的网络的极端重要性。

为培育这种开放度、确保数据安全,中国应按照全球标准制定流程,接受由国际公司提供的最佳实践和专业知识,将传统的商业模式与全球信息网络相整合。允许某些企业、支持团队在全球范围内获取特定的信息是“智能技术”(“十三五规划”的一项目标)的关键要素,也是成功推动政策(如“互联网+”、“大数据促进计划”、通过智慧城市提高能源效率、金融行业)落地见效的必要条件。

建议

·中国政府在定义“国家安全”和“国家秘密”时应避免过于宽泛,确保企业在涉及此类信息的存储和转移时不会无意违反规则。此类定义应仅限于与“国家安全”直接相关的信息。

·中国政府应确保只有原始的个人信息和“重要数据”才遵守本地化要求,并且在出于分析和处理目的时,允许此类数据的拷贝件传输到境外,保障经营效率,鼓励大数据创新,在保留数据的“属地管辖权”的同时不影响企业重要的经营活动。中国政府还应确保只有个人信息和重要数据才遵守数据本地化和数据出口安全审查要求。网络经营者应能豁免这些要求。

·中国政府应确认“默示同意”是向境外传输数据的一项充分标准。在允许信息跨境传输前要求个人明确同意的做法给中外企业的国际经营和沟通带来严重的负担。数据主体能意识到,当其参与电子商务市场、订阅金融服务、从事在线活动时,其信息在某种程度上被他人使用。正式承认“默示同意”标准可以消除与现有数据保护措施不一致的部分,确保该行业完全符合中国的政策标准。

·中国的政策制定者应在征求国际同行意见的基础上,基于全球最佳实践(如安全的数据管理和监管透明)制定和实施政策,并履行中国的国际承诺和义务,确保监管透明。中国政府与其他政府间的多边或双边网络对话应超越网络犯罪的范畴,与业内人士共商如何应对新兴网络威胁和监管问题带来的挑战。此外,中国政府还应积极参与关于信息交换机制和执法的多边和双边对话,有力解决国际管辖权问题。

·中国政府应成为“亚太经合组织”(APEC)“跨境隐私规则体系”(CBPRS)的成员,该体系致力于在个人信息的跨境流动方面构建消费者、企业和监管者之间的信任。“委员会”建议,符合APEC“跨境隐私规则体系”被视为向中国境外传输数据的一项基础和前提。

·中国政府应在数据出口的安全审查流程方面制定一套清晰的决议申诉体系。中国政府还应澄清,中央网信办的角色到底是仅限于协调和指导,还是其权力在于驳回由其他相关行业部门或监管当局做出的决议。“委员会”建议,中央网信办应澄清其与其他相关行业部门、监管当局之间的关系和各自的职责,中央网信办将如何处理好复审和申诉。中国政府应限制强制性数据出口安全审查的使用频率,减轻对业内利益相关方的行政负担。“委员会”建议,每三年开展一次强制性安全审查,以减轻对业内利益相关方的行政负担。中国政府还应取消关于要求业内利益相关方证明某国或某地区在保护数据的转移方面足够安全的义务,因为该举措由政府来推动更为合适,明显超出了业内人士的能力范围。

挑战2:市场准入和全球解决方案

由于中国政府过于严苛的许可制度,中外企业无法在中国境内使用创新型云计算解决方案。这些政策使在中国境内经营的中外企业的成本、效率和信息安全考虑更趋复杂。例如,由中国工信部颁布的《电信业务分类目录》(2015版)为“基础电信服务”和“增值电信服务”设定了许可要求。虽然该《目录》并没有使用诸如“云计算”等词眼,但在“增值电信服务”中确实包含了“云计算”的要素。其结果是,为了能在中国境内提供云解决方案,企业必须获得三种不同的认证——“互联网数据中心”、“互联网服务提供者”和“互联网内容提供者”。一些外国企业为获得许可,必须与中国当地的企业建立合作伙伴关系。即便外国企业能控制公司50%的股权,但仍无法申请或获得此类许可。因此,许多外国服务提供者无法在中国境内提供云服务,迫使外国企业使用不同的认证体系。

那些购买全球云服务产品的企业有充分的权利在任何地方使用云服务——这也是云解决方案的一项核心目的和好处。这会影响到中国和国际团队的有效沟通,反过来也会影响到基于云服务的“客户关系管理”软件的使用;在内部团队和外部客户之间共享业务文件;用于主机数据和提供研发平台的云技术应用。

虽然中国本地有一批提供云解决方案的企业,但缺乏足够的全球影响力。中国政府的保护性政策可以轻易地在国内培育行业巨头,但无法培育富有全球竞争力的技术领头羊。其结果是,这些限制性措施与“互联网+”、“十三五规划”等目标背道而驰,这些规划旨在利用云计算使中国的经济转型升级。

建议

·中国政府应允许中外企业提供云计算服务。尤其是,“委员会”建议中国工信部重新评估关于云计算的监管政策,使用国际标准将云计算归为“计算机服务”而非“增值电信服务”,使中国的分类方法与国际通行的分类方法相一致。

·只要云计算服务仍被定义为《电信业务分类目录》(2015版)中的“增值电信服务”,中国政府就应该给那些试图进入中国云计算服务市场的外商独资企业或中外合资企业授予“互联网内容提供者”许可和“互联网数据中心”许可。“委员会”建议,应给予中外合资企业中的外国投资方对软件和专有技术的所有权或控制权,确保知识产权得到有效保护,鼓励最佳技术在中国境内的推广使用。

·中国政府应提高“互联网数据中心”、“互联网服务提供者”和“互联网内容提供者”许可审批流程的透明度,使得外国企业能与中国监管者积极互动,共同解决好风险和安全问题。

·中国政府应允许业内利益相关方使用合法注册的“虚拟专用网络”(VPN),出于合法的商业目的不受约束地访问全球网络。在VPN的注册环节上,中国政府应仅要求统计VPN的用户数量,而不要求上报特定的用户个人信息。

·随着一些产品升级为通过互联网直接向消费者提供信息(如车载显示系统),中国政府应对符合“互联网内容提供者”条件的服务类型做出明确的定义。

挑战3:安全和可控的技术以及过于宽泛的网络安全审查制度

企业通过使用全球技术系统,为其客户提供最高的数据保护(如“个人身份信息”)安全等级,免于盗用或滥用。为此,那些强制要求使用“安全和可控”技术的政策实际上会阻碍上述安全目标的实现。

据“委员会”成员单位反映,一些本地信息技术产品的采购招标仍要求使用“安全和可控”技术,并且完全基于国别而非技术评估而倾向于采购本地产品,歧视外国技术和产品。

对于中央网信办能澄清中外企业的技术都具备“安全和可控”资格的做法,“委员会”及其成员单位表示感谢,并且希望这些产品和服务在接受安全审查时能严格按照上述原则执行。

过去几年里,中国政府在不公布测试标准、产品范围、所需文件、时间表或其他许可程序等必要细节的前提下对信息和通信技术产品开展网络安全审查。其结果是,中国政府的做法与现有的审查评估制度(如“多层保护计划”、其他非公开的审查机制、《网络安全法》规定的网络安全审查机制等)存在何种关联模糊不清。

此外,一些草案和颁布的规章要求使用本地的加密算法,这种做法与全球最佳实践不一致,会产生一些安全问题。一些跨国企业使用国际加密标准,这种标准经国际专家大量的安全测试,确保用户数据得到有效保护,将问题和风险降至最低,对于金融行业来说尤为需要。对于中国企业来说,使用互不兼容的加密标准会给中国的网络造成漏洞和缺陷。这些风险与中国政府增强信息技术安全性的目标背道而驰,阻碍了中国企业成长为全球领导者和打入国际市场。

使用中国特有的技术系统会限制中国企业应用全球解决方案和最佳实践的能力,无利于中国的消费者。此外,本地采购的强制性要求意味着设备使用不相兼容,容易产生安全风险。到底是在全球还是本地采购信息技术产品取决于企业的风险评估而非政府指令,政府强制性指令只会使资源错配。

建议

·中央网信办应确保在落实“安全和可控”技术要求时做到非歧视,不给中国的产品、技术、知识产权和标准在采购和使用过程中任何优惠待遇。当对某一项网络产品或服务进行安全审查以获得“安全和可控”资质时,其范围应仅限于对国家安全构成特定和被证实存在风险的产品和服务。

·中国应简化其网络安全审查机制,构建一个单一、清晰的审查机制,将接受审查的产品范围降至最低程度,并对许可要求、时间表、测试程序和其他信息提供必要的细节。该机制应该是透明的,在与国际同行充分磋商的基础上形成,确保中国能从国际安全审查机制的先进经验中获益。任何网络安全审查机制应澄清其与现有的安全审查机制(如“多层保护计划”)之间的联系。此举会提升流程效率、降低经营成本、消除国际担忧(如潜在的歧视性做法)。

·中国政府应禁止潜在的利益冲突,继续增强网络安全审查过程中的商业秘密保护机制。中央网信办还应制定规则禁止委任具有明显利益冲突的专家介入相关案件。中国政府还应建立一套关于专家组提名的正式程序,包括公布考虑、审查和争议解决的公开时间表。“委员会”还建议,允许受到网络安全审查的企业对专家组人选进行提名。为此,中央网信办应公布最新最全的专家名单,允许部分专家提名进入专家组。最后,中央网信办应要求专家支持关于证实事实、商业经验和可靠科学的信息请求。

·中国政府应允许企业使用单一、全球技术平台,采购最适合企业安全需求的信息技术产品和解决方案,并充分考虑诸如全球网络整合、网络安全风险框架、全球安全标准等因素。

·中国政府在起草技术安全标准的过程中应咨询外国企业和行业协会的意见,确保全球最佳实践能体现在中国的信息技术安全体系中。关于技术安全的标准草案不应包含公开源代码、使用本地加密标准、“安全和可靠”技术、自主创新、知识产权等强制性要求。

·中国政府应要求关于技术安全的标准草案能够反映出其在2015年“中美商贸联委会”和2016年“战略和经济对话”中所做出的承诺,即技术安全不应与产品国内挂钩,而是基于技术评估加以确定。

·中国国务院应要求所有新技术标准至少设置60天的征求意见期,并且不得给予国内技术优惠待遇。