绉议滴滴出行下架与网络空间安全_风闻

最近引起朝野和国人高度关注的“滴滴出行”下架事件表明，网络空间安全，特别是信息主权和跨境数据安全已经成为网络时代国家安全的重要领域，而且是一个与每个人息息相关的方面。这使我们重新开始关注网络安全，特别是跨境数据安全问题。此问题之所以变得越来越紧迫，与当前严峻的网络安全形势和中美之间愈演愈烈的冲突局面有直接的关系。

近年来网络空间的进展和大量事实已经表明，当今民族国家面临的安全威胁已经超出入侵和战争的概念。目前在全球范围内出现了推动网络攻击、安全干预和安全服务国际化的四个主要趋势：IT“云计算化”在全球范围不断加速、全球网络移动性不断扩展从而创造了一个系统互依的风险环境、无边界企业引发了全球网络界限的消失，以及大数据的全球流动和无边界分析与应用。总体上说，全球网络和其运作机制，以及支撑这一切的前沿技术，基本上都是美国控制的。美国等国已建立了相对最发达的网络安全服务企业，开拓并运营着功能强大的安全服务市场。这样，美国和其西方盟国，不仅掌握和控制了全球网络这个平台，因而使中国处于被威胁挨打的被动局面，而且还掌握和控制了大部分防护与对抗技术和资源。

对于中国来说，最现实而严酷的挑战是，掌握了信息和网络技术优势的国家和实力雄厚的西方网络技术与信息安全服务企业，正借助这股国际化的浪潮对中国发动或明或暗的进攻。而另一方面，一些国内的互联网服务企业和依托互联网开展社会服务的企业，特别是那些有外资参与和有外资控股的企业，或出于盈利目的，或出于对国家和社会的敌视，抑或迫于外资的诱骗和外国政府的压力，也会利用网络技术提供的便利和监管缺失提供的机会，自觉或不自觉地配合外国敌对势力，收集和提供与国家安全相关的信息，或配合敌对势力对我国的网络安全实施破坏，而成为真正的美国的第五纵队，成为美国在网络安全领域的利益代理人。滴滴出行的所作所为，就是一个典型的例证。

滴滴出行在多年经营中违法收集民众的出行信息和相关的道路与行为数据，这已是不争的事实。现在匆忙去美国上市，为了合规，向美方出卖这些敏感信息，这就严重影响到了国家安全。这个事件再次向我们敲响了警钟，从中我们可以获得以下认识和警示。

第一，随着网络安全干预和网络安全服务国际化的不断加强，跨境数据流动问题越来越突出，对国家的信息主权和治理模式带来冲击和挑战。

这方面的问题和挑战有很多，综合起来看有两大类，一类与信息（数据）的跨境流动有关。在这种情况下，网络空间技术正崛起成为社会的“力量工具”，逐渐成为对手国可以利用的工具。这有至少两种可能和途径。其一是，对手国可以直接使用这些技术来攻击、削弱、破坏别国的通讯和信息传输。网络空间的门槛很低，而且可以实施匿名行动，潜在的敌人在国外，这样就会出现管理真空。由于网络的跨国界性质，罪犯，恐怖分子，情报服务机构和军队网络部门的地理位置特征变得日益复杂，使人们很难把恶意数字活动归属于具体个人，从而进一步增加了对网络威胁进行溯源的困难。敌对势力特别是像美国这样具有敌意的外国政府，便可利用这些便利直接跨越统治管辖权，收集并恶意使用从开源网络获取的，或者从受保护网络盗取的数据。其二是, 通过某种安排，迫使和诱骗对手国的网络服务商和数据平台向美国提供涉及国家安全的敏感数据和信息。在滳滴出行事件中，美国利用上市合规的要求，使滴滴出行这样的无良企业走上了出卖国家安全之路，就是美国阴谋败露的一个事例。在这个事件中，至于滴滴出行本身就是一个违法收集、储存和利用敏感数据的公司，并自觉的走上了卖国的道路，是我国法律必须严肃处理的问题，另当别论。在这里我们必须指出并认真对待的是，美国利用上市合规等手段，诱骗或迫使中国企业非法介入跨境数据活动的阴谋。

另一类与主权及司法管辖有关。这方面新出现的跨界问题包括国际数据保护规则，数据传输，数据携带与相关性标准，以及云服务的责任成本等。此外移动通讯技术的普及以及万维网的广泛应用，可能会受到来自限制跨界数据传输以及万维网相关全球贸易服务等政策的消极影响和限制。某些通过万联网进行的交易可能为现行的国际贸易法所允许，而其他类型的交易和服务则可能是禁止的。进而言之，像Apple和Blackberry这样的系统可能会将数据储存在境外，这就会与当地的立法产生冲突。由于国际社会并未形成统一的关于网络治理管辖的法理和法律框架，所以全球范围内的网络空间以及当前被忽视的国境，都对现存的法律体系提出了挑战，妨碍民族国家有效地应对威胁和意外事故，从而进一步限制了民族国家行使其信息主权。

第二, 在美国针对中国等国的战略和行动中，当前我们应该特别警惕在网络战叫嚣中隐藏的“和平渗透”阴谋。

根据官方透露，大量美国的网络技术和信息安全服务公司，正在努力开发监听网络空间的预警系统，以改进互联网，使攻击的来源、攻击者地理位置、情报分析和影响评估，变得可以掌控。同时还积极收集与对手国的国家安全相关的海量信息和敏感数据，千方百计地派出具有特殊背景的人员，渗透进对手国家的相关实体和机构。为此，美国政府“创造了一个可以交易美国网络威胁信息的市场”。有报道称，“五角大楼正在扩展并制定长期的试点项目，将政府和互联网服务供应商连接起来，从而保护防御公司的计算机网络抵御敌国盗窃数据---这是为扩大政府和企业机密和非机密网络威胁数据共享所做出的努力的一环。”这是其中的一个功能方向，另一个功能方向就是通过所谓第三方将这些人员派往国外，从事网络间谍活动，其形式包括肆无忌惮的监控私人和企业网络交流信息，非法获取贸易机密、商业信息和涉及国家安全的敏感信息，或从国外直接削弱、重挫、破坏和攻击网络，用病毒感染政府、企业和个人的计算机硬件、软件及通讯设施。

从服务体系的人员背景来看，美国已经为我们设置了许多陷阱和圈套。这些人员或者在美国本土受雇于网络安全部门，或者以其他身份渗透进别国的企业，承担网络间谍工作。资料透露，大多数网络项目执行者都来自中央情报局和五角大楼国家安全部，夜以继日地实施美国的数字间谍行动。其他的参与者则在联邦调查局，美国国家航空和宇宙航行局和国土安全局供职。所以就是从服务体系的人员背景来看，我们也可以得出结论认为，美国已经为我们设置了许多陷阱和圈套。滴滴出行事件中暴露出的那个美国身份的独立董事，就是一个很好的证明。此人毕业于美国西点军校，担任过美国陆军情报官和美国苹果公司的独立董事等职，2016年6月在滴滴担任现职至今。这样背景的美国人在滴滴担此要职，难道不发人深思吗？

第三，在中国的网络技术和信息安全服务，仍然主要依赖外国，特别是依赖美国公司的背景下，美国政府与第三方信息安全服务商的联合和勾结，构成了对中国国家信息和网络安全的现实威胁，必须认真对待和严密防范。

在美国的信息安全体系中，情报与国家安全联盟（INSA）为“全部美国情报体系领导的集结”，它“将政府、私营行业和学术界精英的经验结合在了一起。”频繁参与美国网络事件的核心人物，要么来自美国情报体系，要么为防御承包商效力，或兼任两职。他们在退休后持续谏言，持续影响着美国的信息安全战略。过去若干年中信息安全服务公司已经雇用了数百名从政府退出的，也就是曾经在政府工作过的黑客。以前服务于政府的间谍和黑客，目前正在转向信息安全服务产业的第一线。据信息安全服务市场的领导者FireEye公司的董事长兼首席执行官 David DeWalt透露，2013年以来，该公司已经雇佣了100多名曾经在政府任职的黑客。国外信息安全行业这样的人员变化和组成趋势，应当向我们敲响警钟：当我们依赖国外特别是美国的第三方服务商时一定必须认真甄别，稍不小心就可能落入别有用心者设置的圈套。

这些为美国官方服务的所谓第三方信息安全服务商，几乎都是全球信息网络技术的把持者，而且是全球最主要的国际化信息安全服务公司，主宰了全球的信息安全服务市场。全球的关键技术源几乎都掌握在美国大公司和国防/情报机构手上，中国的主要技术和服务也都直接或间接的来自这些供应商和服务商。事实上美国等国家的一部分信息安全服务公司，已经成为美国破坏中国等国的信息安全，对中国等国家实施网络攻击的别动队，或至少可以认为，并非所有外国的第三方信息安全服务商都能为我们提供安全服务。相反，即使这些第三方公司能为中国提供外包服务，中国敏感的安全数据也会完全暴露在外国势力掌控和影响的服务提供商面前，而成为另一个重大的安全漏洞。就是说，他们的所谓国际化市场服务潜伏着大量安全风险。在信息安全服务越来越走向国际化的背景下，美国政府与这些服务商的联合和勾结，无疑构成了对中国国家信息安全的威胁。关注并防范这方面动向，显然是我们研究全球信息安全和其安全服务市场动态的主题之一。

我们还必须指出，从全球服务市场上能够获得的信息和数据可能是不完全、不真实的，甚至是严重误导的；所获得的产品和服务可能是有缺陷的，包含着潜在风险。我们的深入研究揭示，在没有经历过信息供应方层层严格的过滤，或者没有被供应方蓄意进行修改的情况下，向中国传送数据流是一项十分复杂的任务，他们会控制中国的终端用户，引诱他们进行错误的假设，并且缺失一部分信息，这部分信息也是被他们故意删减掉的。更不用说，大多数美国和英国为主的数据供应方，在过去1~2年内都经历了翻天覆地的变化。为了适应各自政府的特别要求来提供服务，这些服务也是根据其各自所服务的国家内部的政治和战略野心特意构想的。为了配合和实施各别政府的政治和战略企图，英美等国主要的数据商和服务供应商的主要和关键工作人员，要么现在仍然受雇于美国中央情报局和国家安全局，要么是这些机构的退休者。在国家利益依然至上，网络空间已成为国家竞争主战场之一的今天，人们能绝对相信他们的产品和服务的可信度吗？面对所有这一切挑战和威胁，我们必须始终保持清醒，监督自己不要掉入外国数据提供商和信息安全服务提供商所设下的陷阱。

由于第三方服务的机制缺陷、第三方服务商本身的能力缺憾和道德风险、服务商与客户之间的信息不对称和利益冲突，特别是国外敌对势力对第三方服务商的收买和利用，将信息安全事务外包给第三方机构的风险便是固有的、无法克服的。由于这些固有漏洞的存在，服务提供商便成为真正的安全风险之源，特别是经由第三方服务商所引发并放大的系统互依性风险，则具有巨大的破坏力。这是因为他们为多个客户服务，外包之后客户的系统相互连接了，许多客户通过服务提供商共用同样的安全保护平台，结果可能会使客户安全系统的结构和平台“同类化”，从而会使所有客户的安全风险有效地“内源化”。在某种程度上，服务提供商的网络成了单点故障，即一个节点的安全破坏就可能外溢到其他节点，如果一个黑客成功渗透到某客户的系统，并利用系统漏洞的话，就可能通过通用的漏洞损害成千上万个其他客户系统。这就是系统互依性风险的含义：一个客户的任何安全破坏，都可能溢出到其他客户，造成全面的风险。在当前安全服务国际化的背景下，中国又不得不依赖国外的产品和服务，那么国内外的第三方固有漏洞和风险就可能相互耦合，结果带来严重的全网安全挑战，甚至可能酿成严重的国家安全后果。

这里我们并不是耸人听闻，滴滴出行的网络系统和专用软件，就包含了美方的技术，并受到美方网络间谍行为的监控。随滴滴出行下架而曝光的中国邮政网络的问题，也印证了我们的上述判断和警示。据报道，中国邮政储蓄银行最近又决定继续采购使用美国甲骨文的系统，特别是其数据储存和处理系统。理由是该行的原有网络系统和数据系统都是用的甲骨文，可见，对外国技术的依赖度已高得不可须臾或缺。这已不仅仅是中国邮政银行一家的问题。据悉，中国的绝大多数银行所使用的网络设备、技术和服务的90%以上都是外国的，其中大部分来自美国。由此可见问题和形势的严重与紧迫。