|  站内搜索:
牟承晋:数据安全深刻揭示网络空间主权不可让渡
点击:  作者:牟承晋    来源:昆仑策网【原创】  发布时间:2018-05-18 15:36:38

 

 1.webp (10).jpg

 

  涉及数据问题的重要说明:

 

  1、遵照国务院授权的全国科学技术名词审定委员会1997年7月18日公布的信息科学新词规范,Internet应翻译为“因特网”,不应译作“互联网”或“国际互联网”。

 

  2、依照ISO/IEC《信息技术-未来网络-问题陈述与要求》报告(TR 29181)的定义和概念,未来网络(Future network,FN)不是因特网的下一代互联网IPv6(Next Generation Internet IPv6),“是用推倒重来以及增量设计方法完全重新设计的未来网络。它应该超越当前的网络包括因特网的局限性提供未来的能力和服务。”

 

  3、依照ISO/IEC《信息技术-未来网络-问题陈述与要求》报告(TR 29181)第五部分《安全》的定义,未来网络明确界定的网络空间(Net Space)不是美国定义的赛博空间(Cyberspace),它是人类通过通信、计算机等信息技术创造的,为人类提供包括信息采集、处理、存储、传输等全新维度的时空系统,是人类社会生存与发展环境的重要组成部分。

 

  赛博空间只是构成网络空间的一个具有美国特性的部分。

 

  4、数字-figure,数据-data,信息-informatio,数据源-Data source,元数据-Metadata。

 

  伴随计算机网络系统不断深化、细化、多元化、智能化以及多层次、多结构、多方向的应用扩张和科技进步,越来越丰富的数据源和元数据水乳交融于人类的一切经济(商业)、政治(军事)、社会(文化)活动之中。数据离不开人类生存、发展的环境和条件,现代与未来人类的生存、发展也须臾离不开数据。数据已经成为各国网络空间主权的重要标识和安全风向标,成为人类及社会发展进步的重要资源和资本,成为构建网络空间命运共同体的重要元素、动力和纽带。

 

  与此同时,因特网技术从IPv4演进、升级到IPv6,围绕数据日益激烈的价值争夺和资本运作,越来越严重地无时无刻不威胁制约着全球网络空间安全、各国国家主权安全和所有计算机网络用户与网民的切身利益安全。

 

  一、数据是网络空间资本争夺的价值靶向

 

  传统的数据概念认为,数据是表示客观事物的未经加工的原始素材,是信息的表现形式和载体,可以是声音、图像等模拟数据,也可以是符号、文字等数字数据。看起来,数据不过是冰冷、呆板、一成不变的数字及数字组合而已。

 

  从0到9的10个阿拉伯数字本身没有价值,价值的表现却从来都离不开这10个数字。当数字和标识、符号的组合在域名地址的驱动下成为具有各种可利用价值且可以不断增值的数据时,围绕数据价值靶向的资本运作应运而生。羊群效应、鸟笼效应、蝴蝶效应、马太效应、超限效应、半途效应等等,各种正面、负面的激励或贬损效应接踵而来。数据成为网络空间资本的争夺目标和寻租目的。

 

  域名和地址,是美国掌握因特网所有数据的根本、关键与要害所在。正因为此,美国完全控制的因特网根域名服务器解析系统,美国政府授权的因特网数字号码分配机构(IANA)和因特网名称与数字地址分配机构(ICANN),不但紧紧地控制着IPv4的全部域名地址,还牢牢地控制着IPv6的全部域名地址。历经20余年的试验,截至2016年9月底,美国完成了因特网A-M字母打头的13个根域名服务器中的11 个和1346个顶级域名服务器中的1318 个支持IPv6,完成了因特网IPv6根支撑(解析)系统的建设部署。必须指出的是,失去了对IPv4、IPv6域名地址的控制,美国就将从根本上失去对因特网所有数据的控制。

 

  一方面,美军反复验证IPv6不安全、不可靠、不成熟,美军和美国政府重新规划IPv6过渡举措,美国政府、产业界和大学在2012年10月就处于IPv6采用过渡的停滞状态,美国政府一手创建、大量资金扶持和始终控制的因特网工程任务组(IETF)于2017年7月14日出台RFC 8200全新的IPv6标准(STD 86),一举废弃(废止、淘汰)遵循了20多年的“IPv6规范草案”及其指定的“下一代互联网IPng”。美国在保证不失去绝对控制IPv4域名地址的前提下,完成了对IPv6域名地址的系统控制。

 

  另一方面,美国政府放手受其控制的美国民间组织,打着“国际”的旗号向世界各国特别是中国竭力推广IPv6。2012年6月6日,注册设立于美国弗吉尼亚州的“国际互联网协会(Internet Society,简称ISOC)”启动世界IPv6纪念日。其后,热衷于IPv6的各国“因特网之父”和精英被“请入”“国际互联网(Internet)名人堂”。2014年7月,美国因特网名称与数字地址分配机构(ICANN)恢复由其管理维护的因特网13个根之一的L根在中国的镜像服务器支持IPv6试验。2015年,中国“下一代互联网国家工程中心(CFIEC)”挂牌成立,致力于推动IPv6下一代互联网、SDN软件定义网络、IPv6根服务器系统等。

 

  美国因特网名称与数字地址分配机构(ICANN)推出的“雪人计划”,不过是美国试验从设在日本的M根分出一批二级域名根,以更严密地控制和监测各国特别是中国(世界最大的因特网国家局域网)的IPv6系统运行,包括经美国政府批准的260个左右互联网后缀(如.com、.net、.cn等)和一些国家的指定符(如法国的.fr、挪威的.no等)域名地址的网络行为。

 

  “雪人计划”的三个协调员之一、被称为“域名软件之父”的保罗•维克西(Paul Vixie)在2016年3月公开发表文章指出,除了美国政府授权的因特网数字号码分配机构(IANA),任何人添加、更改因特网顶级域名的企图都是不允许的,技术上也实现不了,只能是“死路一条”。也就是说,IPv6同IPv4一样,域名地址都是美国政府授权的因特网数字号码分配机构(IANA)设计、维护和分配的,这是谁也改变不了的绝对权威和事实,谁也不可能盗用因特网的顶级域名根为所谓独立自主的根,美国决不允许。

 

  美国为什么不允许?因为美国必须控制因特网的全部数据和数据利用。数据就是情报,数据就是武器,数据就是今天或明天的财富。美国的数据价值靶向越来越明确、精准、清晰。任何技术的、法律的应用保障措施,都是为了强化基于美国控制的域名地址的数据不失控,这是原则,是根本。只要有丝毫引起或导致数据失控的可能,美国将不惜任何手段严加制止,包括切断域名地址的服务(死路一条)。

 

  2018年2月16日,美国白宫经济顾问委员会(CEA)发布报告称,通过大量的伪装数据包瘫痪网络数据服务的恶意网络行为(DDoS)破坏数据和财产、中断数据业务(有时用于勒索赎金),以及盗窃专有数据、知识产权、敏感的金融和战略信息等,在2016年使美国经济损失570亿至1,090亿美元。

 

  美国雅虎(Yahoo!)公司承认,分别在2014年、2015年被窃5亿、10亿用户的账户信息。专家认为,雅虎数据泄漏的规模和数量是因特网历史上安全事件之最,5亿个失窃的用户密码中即使只有0.1%仍在其他系统或终端使用,也相当于增加了50万个漏洞,不仅造成“网络安全生态链的灾难”,而且“可能会发生重大余震。”威尔森(Verizon)2017年7月收购雅虎的价格因此减少3.5亿美元,威尔森确认,雅虎30亿用户的账户受到数据泄漏的影响。

 

  美国网站披露,2017年1月,上海某信息科技公司2.67亿多条电子邮件地址和电话号码在芒果数据库(MongoDB)曝光。不多日,中国某著名网站的12.21亿多条电子邮件地址和密码  被窃,并在暗网出售。2017年的“亚洲数据大泄漏”事件,充分暴露中国网络机构和用户广泛采用数据库在境外托管和代管的CDN(内容分发网络)技术,有的甚至以“翻越中国防火墙”为商业竞争标签,是造成大量数据泄露的主要原因。

 

  美国最大的社交网站脸谱(Facebook)被曝“5000万用户数据泄漏”,一夜之间股票市值蒸发了367亿美元。据称,事件起因于共和党金主罗伯特·墨瑟(Robert Mercer)、白宫前首席策略顾问史蒂夫·班农(Steve Bannon)等,试图通过数据分析为其政治主张服务,宣传他们的政治理念。知情者称,脸谱在英国的剑桥分析公司,成为发动这场(数据)文化战争的武器库。

 

  在资本的运作下,针对数据的价值靶向日益深入、细致、精准。被“转基因”的数据普遍产生。“转基因”数据又反作用于原始(源)数据,形成了数据价值的重新转换和再循环。以上重大数据泄漏安全事件分析,传统数据被“教化”、被“转基因”再生的过程具有以下主要特点:

 

  1、数据的属性发生转移,如存贮地点、属地、属主等。

  2、数据的用途发生变化,如泄露和失窃的数据及其交易。

  3、数据的开源出现新的关联关系,如IP地址、邮件地址、社交通信目录等。

  4、数据的再标识衍生出新的数据应用,如代管托管数据被再外包等。

  5、数据的合成生成(或克隆)新的数据,如图象、文字、音视频再被重建、重组(PS处理)等。

 

  数据再生及被“教化”、被“转基因”的价值靶向现象,已经成为因特网不可回避的现实、不可扭转的趋势,是当前因特网行为无(共管)规则、无(法治)约束、无(分享)边界导致的必然结果。

 

  二、数据是国家主权和安全的最重要资源

 

  近几年不断爆发和发酵的数据大量泄漏或被大量窃取、交易的网络安全事件,多层次、多角度、多元化地深刻震荡各国乃至世界的经济、政治、社会。数据黑客、数据掮客、数据政客等交织成为操控网络数据的常客。

 

  数据的再生、变异、演化导引出的“转基因数据”越来越活跃。网络空间的是与非、真与假、善与恶、好与坏、利与弊、爱与恨往往被黑白颠倒、本末倒置、胡编乱造,人造打磨、“智能重构”痕迹斑斑,利益寻租目的明显。被“教化”的“转基因数据”,成为颠覆、演变、遏制某个国家、某个民族、某个执政阶层或某些利益集团的主要手段和工具。各国政府日益重视数据的主权属性,以此界定网络空间数据的本源归属,明确国家管理数据、控制和治理网络空间安全的法律基础。

 

  人们越来越清醒地认识,数据不仅是网络安全和国家安全的纽带,也是网络空间主权和国家主权的天然资本及核心资源。数据安全和数据主权,已经从当今网络主权和安全的主要内容、重点对象,上升到国家主权和安全的政治高度和层面。建立在网络无边界之说基础上的跨国界控制数据,遭到了国家主权向网络空间主权全面延伸的强力狙击。

 

  国际通常认为,数据主权包括:政府对本国国内数据收集的控制,数据属地(data residency,即强制数据存储的地点),数据保全(data retention,即强制保留数据交易的记录)。

 

  理论界和法律界的一种看法,公民权是受国家主权保护的基本人权,许多国家的宪法都规定:国家主权属于人民。涉及隐私的个人数据,属于公民权范畴。

 

  2018年5月25日生效的欧盟《通用数据保护条例》(GDPR),竖起了欧洲各国抱团与美国以及包括中国、俄罗斯等世界各国的“数据战争”开打的主权旗帜。条例将数据保护从属地扩展到属人,即只要涉及在欧盟境内向个人提供服务或处理个人数据,就在《条例》适用范围。条例细化了个人隐私数据的分类,包含了可用于直接或间接识别用户的7种数字信息,如规定“数据画像”要获得用户同意。条例明确了数据主体的“同意”要件,保障个人对其数据的访问权、限制处理权和拒绝权,并拥有“可携权”(取得个人数据处理副本)、“擦除权”(又称被遗忘权)等。条例生效后直接适用于各成员国。条例规定,违反数据管理者和数据处理者的义务等,将受到最高1000万欧元或者上一财政年度总营业额2%的行政罚款;违反数据属主权利、限制数据处理、中断数据传输或禁止数据访问等,将受到最高2000万欧元或者上一财政年度总营业额4%的行政罚款。也就是说,如果一家美国公司上一财政年度总营业额1000亿欧元,违反欧盟《通用数据保护条例》将可能被罚款40亿欧元。

 

  特朗普抢在3月23日签署生效了美国国会新近通过的《澄清境外合法应用数据法案》(CLOUD),规定美国联邦调查局(FBI)等执法部门,可以从因特网所及世界各地调取数据。该法案认为,及时获取通信服务提供者持有的电子数据是美国政府为保护公共安全和打击包括恐怖主义在内的重大犯罪的关键;监管、控制或拥有这些数据的通信服务提供者本身受到美国法律的管辖。该法案允许其他国家将非美国公民的个人数据存储在美国。专业人士称,无论数据的存储位置和创建地点在哪里,对服务提供商控制的任何数据,该法案给予美国执法机构无限的管辖权。

 

  也就是说,如果美国企业被依据欧盟的《通用数据保护条例》追诉、处罚,美国政府将依据《澄清境外合法应用数据法案》保护美国企业,认定美国政府和企业获取世界上任何数据都是合法的、正当的。

 

  显然,数据主权保护已经上升为国家主权之争。面对这一继续深入发展的全新局面,中国的网络空间主权立法和执法,凸显重要、必要和迫切。

 

  三、数据安全必须坚持主权不可让渡原则

 

  美国《澄清境外合法应用数据法案》(CLOUD)源起美国政府与微软2013年12月的一起诉讼。纽约地方法官根据美国1986年的“存储通信法(SCA)”发布授权令,要求微软提交与犯罪嫌疑人账户相关的所有电子邮件及信息。微软辩称,对存储在美国境外(爱尔兰都柏林)服务器的信息,美国法官不能发布授权令。联邦裁判法官驳回微软请求,认为微软对存储在境外的数据拥有控制权,授权令具有传票性质,微软必须服从。美国联邦第二法院驳回了授权令,认为“存储通信法(SCA)”的主要重点是保护电子服务的用户隐私。美国司法部向联邦最高法院提出上诉,辩称联邦第二巡回法院的裁决导致微软、谷歌和雅虎等拒绝向执法官员提供美国境外服务器存储的数据,妨碍了许多刑事调查。此案在美国政界(司法界)和商界(企业界)引起争议,也引起全球广泛关注。

 

  美国政府诉微软,看上去是对境外电子邮件数据管辖权和使用权的冲突,实际上是要“依法澄清”数据主权归属。爱尔兰政府认为,美国政府的行为违反了欧盟的数据保护指令和爱尔兰的数据隐私法,披露电子邮件必须遵照美国和爱尔兰之间2001年就形成的长期司法互助条约执行。欧盟2016年4月27日正式批准、2018年5月25日即将生效的《通用数据保护条例》(GDPR),明确将属地、属主是欧盟成员国的个人数据,纳入欧洲主权保护范围。美国《澄清境外合法应用数据法案》(CLOUD),授予美国执法部门“合法”调查全球网络数据的执法权力,并允许各国政府“合法”将非美国公民数据存储在美国。美国最高法院据此撤销政府与微软的争议案。

 

  微软、谷歌、雅虎等设立在美国以外其他国家和地区的因特网数据库,采集、存储、处理、交换所在国家和公民的数据是不是合法?这些数据管辖和使用的主权究竟应归属于谁?法权须听命于主权?还是主权亦须服从于法权?已经成为各方、各国、各利益方争执的焦点。数据主权不可让渡的原则,已经成为各国坚持的底线和红线。

 

  美国苹果公司在中国贵州设置了数据中心。如果美国政府基于《澄清境外合法应用数据法案》(CLOUD)授权,苹果公司必须服从、交出贵州数据中心的数据。另一方面,美国政府还可以透过苹果公司,向中国贵州的数据中心渗透再生的、“教化”的、“转基因”的数据,影响、干扰中国各地、各层次、各种应用的数据库。

 

  贵州曾是中国重要的“三线”工业基地,多位党和国家重要领导人在贵州留下重要足迹,贵州正在打造“国内领先、国际一流”的大数据基地,等等。谁敢保证,美国不会轻而易举、源源不断地从贵州掠取关系中国党政军民商、国计民生重要命脉的大量数据?不会渗透中国的数据系统做手脚、行颠覆?

 

  美国迫不及待推动《澄清境外合法应用数据法案》(CLOUD)的同时,特朗普发起了一连串的与中国的贸易争端,剑指中“芯”,直逼“中国制造2025”,大有“炸平庐山”、“黑云压城城欲摧”之势。奇怪的是,空前激烈的“贸易争端”中,无论是特朗普总统,还是美国“七大金刚”高官们,都绝口不提“IPv6”的知识产权,不提中国规模部署和促进下一代互联网IPv6,似乎是在蓄意回避和保持冷淡、低调。想必美国对全面控制IPv6充满自信,对通过中国规模部署和促进IPv6尽情掠夺中国的巨额数据财富满怀信心,何乐而不为呢?

 

  对于中国,严重的问题在于:中国的数据主权、数据隐私、数据管辖究竟如何界定、谁来保护?谁说了算?美国的逻辑?欧盟的规范?还是中国的主权原则?一旦出事,问责于谁,谁来担责,担多大责?这些,都还不够清楚,甚至很不清楚,却又不能不赶紧明确、赶紧立法、赶紧理顺相应配套的司法执法机制、赶紧落实到实处和明处,丝毫含糊不得、拖延不得、疏忽不得。否则,“网奴”、“网络殖民地”、“公众网络空间全面陷落”将不会是虚言妄语。国家的网络空间主权和安全重大危机就在眼前。

 

  中国是网络大国,也是数据大国。数据主权和安全关系中国国家主权和安全的根基、前途及中华民族复兴的大局和全局。为此,国家网络空间战略应作出坚决的调整,严格审核、控制以至取消有违国家主权、网络空间主权和数据主权的举措,积极鼓励、扶持及明确支持有利于国家主权、网络空间主权和数据主权的战略布局和策略行动。

 

  任何时候、任何情况下,数据主权不可让渡,网络空间主权不可让渡,国家主权不可让渡。

 

  (作者系中国移动通信联合会国际战略研究中心主任;来源:昆仑策网【原创】

 


  【昆仑策研究院】作为综合性战略研究和咨询服务机构,遵循国家宪法和法律,秉持对国家、对社会、对客户负责,讲真话、讲实话的信条,追崇研究价值的客观性、公正性,旨在聚贤才、集民智、析实情、献明策,为实现中华民族伟大复兴的“中国梦”而奋斗。欢迎您积极参与和投稿。

  电子邮箱:gy121302@163.com

  更多文章请看《昆仑策网》,网址:

    http://www.kunlunce.cn

    http://www.kunlunce.com

责任编辑:红星
特别申明:

1、本文只代表作者个人观点,不代表本站观点,仅供大家学习参考;

2、本站属于非营利性网站,如涉及版权和名誉问题,请及时与本站联系,我们将及时做相应处理;

3、欢迎各位网友光临阅览,文明上网,依法守规,IP可查。

昆仑专题

热点排行
  • 一周
  • 一月
  • 半年
  • 建言点赞
  • 一周
  • 一月
  • 半年
  • 图片新闻

    友情链接
  • 北京市赵晓鲁律师事务所
  • 186导航
  • 红旗文稿
  • 人大经济论坛
  • 光明网
  • 宣讲家网
  • 三沙新闻网
  • 西征网
  • 四月网
  • 法律知识大全
  • 法律法规文库
  • 最高人民法院
  • 最高人民检察院
  • 中央纪委监察部
  • 共产党新闻网
  • 新华网
  • 央视网
  • 中国政府网
  • 中国新闻网
  • 全国政协网
  • 全国社科办
  • 全国人大网
  • 中国军网
  • 中国社会科学网
  • 人民日报
  • 求是理论网
  • 人民网
  • 备案/许可证编号:京ICP备15015626号-1 昆仑策咨询服务(北京)有限公司版权所有 举报邮箱:kunlunce@yeah.net