资料照:中国浙江省杭州市阿里巴巴总部的标识。
美国政府日前传出以“国家安全”为由,正在审查中国科技巨头阿里巴巴的云端服务业务(阿里云)是否衍生资安风险,让中国政府得以窃取其美国客户的个人信息和知识产权等相关数据。对此,观察人士分析,美中关系交恶,再加上中国科技威权主义又大举向外扩张,都让美国政府很难信任中国科技企业在美国境内所提供的服务,因此,阿里巴巴步上抖音(TikTok)、微信(Wechat)后尘,遭美国封禁的可能性不低,虽然目前一切仍言之过早。
路透社1月18日引述三位不具名的知情人士报道,美国政府对于阿里巴巴的云端服务(阿里云)已展开国安审查,调查重点在于阿里云如何储存美国客户的个人资料和知识产权相关数据,以及中国政府能否窃取到这些大数据。
阿里云遭美国国安审查
报道称,若审查结果认定有资安风险,美国可能会要求阿里巴巴采取对策,降低云服务所衍生的风险,而最坏的后果,也可能全面禁止美国个人和公司使用阿里云。
对此传闻,白宫至今尚未正面证实,发言人莎琪(Jen Psaki)1月18日仅告诉记者,她将和国安团队核实相关消息。阿里巴巴也以书面向美国之音表示“不予置评”。
不过,数位接受美国之音采访的网络资安专家认为,阿里云遭美国国安审查的消息恐非空穴来风。部分人士认为,中共滥用科技监控国内外人士日益猖獗,阿里云恐难逃中共政府的资安控制,成为中共科技威权主义向外扩张的帮凶,因此,美国完成审查后,可能循抖音和微信的前例,全面封禁阿里云。
然而,也有观察人士认为,阿里巴巴声称合乎欧盟的“一般资料保护规范(GDPR)”,也对云端数据安全和私隐防护相当重视,而且美国的审查才刚起步,阿里云的命运仍言之过早。
美国乔治梅森大学(George Mason University)研究员、现于北台湾桃园的中原大学任教的黄基祯在接受美国之音采访时表示,美国对阿里云的审查是一种“超前布署”,因为美国现在的网路安全政策和措施还追不上云端科技的快速发展,因此,对于任何有可能衍生资安漏洞的公司,为了维护国家安全,美国都会以个案的方式,一一抑制其无法信任的科技服务在美国发展,阿里巴巴是继抖音和微信之后的最新审查对象。
中共有权存取阿里云数据
美国乔治梅森大学研究员、台湾桃园的中原大学任教的黄基祯(照片来源: 黄基祯提供)
黄基祯说:“阿里云有一个问题,就是它储存了很多使用者的资讯、还有商业的一些信息。某种程度,美国政府也了解到,中国政府有存取或者是浏览的权限。就我了解,(美国)没有直接证据证明,中国政府已经存取或者是浏览了阿里巴巴云端服务的一些信息,但是,却引发了美国政府的忧虑。所以在这种情况下,自然美国政府就壮士断腕,在网路安全政策跟法令还没有办法全面地有效去管控这些风险的时候,就个案地处理了阿里巴巴云服务的情形。”
黄基祯说,科技数据的量越来越大,升高各国政府对云端服务的依赖程度,也必须借助民间大厂的协助。以英国为例,三家间谍机构去年底和美国亚马逊公司的网路服务部门(Amazon Web Service, AWS)签约,将其机密资料交由AWS托管,以促进数据分析和人工智能在间谍活动中的应用。根据《金融时报》透露,此一合作已获得英国情报机构的大力支持,还计画让军情五处(MI5)、军情六处(MI6)等部分单位联合参与。
他说,同为五眼联盟的美国自然也可能有类似的作法,因此,对潜在民间云端伙伴的安全性评估当然会相当严谨,不仅要确保美国政府没有直接使用有资安疑虑的服务,例如,阿里云。美国也要确保其他情报交换互享国家的云端环境是安全的。
英国情报界去年5月也曾警告地方政府,不要使用阿里巴巴的智慧城市应用技术,因为他们认为,阿里巴巴的技术和服务可能导致英国的基础设施遭到网路攻击、敏感数据遭窃或是用户个人隐私遭到侵犯。
美中科技争霸的战略筹码
黄基祯说,美国政府因为预见阿里云可能衍生的风险,所以,未来有可能封禁阿里云,一方面做“风险管控”,另一方面,就算没有查到真正的漏洞或风险,还是可能藉由抑制阿里巴巴来赢得“未来美中科技争霸上的战略筹码”。
政治风险咨询公司欧亚集团(Eurasia Group)位于美国的全球科技政策主管特廖洛(Paul Triolo)
不过,政治风险咨询公司欧亚集团(Eurasia Group)位于美国的全球科技政策主管特廖洛(Paul Triolo)说,阿里巴巴在美国的市占还很小,其在安全性上的商誉受到中国数据规范和法规环境的拖累,也让不少美国客户却步,更不利其全球业务的扩展,因此,美国不会像打击华为一样来削弱阿里巴巴的竞争力,因为美国审查最终关切的还是阿里云的数据安全和中国政府的存取问题。
根据市场调研公司Canalys的统计,阿里巴巴目前为全球第四大的云服务供应商,规模落后美国的AWS、微软和谷歌的云服务。不过,拥有约400万个客户的阿里云于2021财年的营收年成长50%,达601亿人民币(约94亿美元),虽只占母公司总销售额的8%,但已是第二大成长支柱,也是中国境内最大的云服务商。
但即使布局美国多年,阿里云在美国市场的年营收仍不到5000万美元。据中媒《观察者》报道,阿里云与福特汽车(Ford)、IBM的红帽公司(Red Hat)及惠普公司(HP)等美商的子公司都有业务往来。
特廖洛说,美国政府依据的是2019年中颁布的“保护资通讯技术与服务供应链安全(Securing the Information and Communication Technology and Services Supply Chain)”行政命令,来对阿里云发动审查。基于此行政命令,美国商务部早于去年初就向多家中国公司,包括华为和中兴通讯等发出过传票,以展开国安审查。包括前年一度封禁的抖音和微信也是遭到同类型的调查。
美国审查机制未臻完善
不过,他说,美国政府对此行政命令的执法尚未建立完整的机制,因此,他断言,美国现在的调查思维可能只停留在对阿里巴巴的美国业务和运作模式进行了解或研究,至于后续供应链的实质调查耗时费力,如何起头,看不出来美国政府已有周全的计划,因此,阿里巴巴未来的命运还很难说,更遑论美国在封禁抖音和微信案所遭遇的挫败,都让其不至于轻易重蹈覆辙。
虽说如此,特廖洛对阿里巴巴在美国的发展前景不甚乐观,因为美国政府非常不信任中企所提供的服务。
特廖洛告诉美国之音:“只要美中关系处于低潮,两国就没有互信。在此前提下,很难看到像阿里巴巴这样的中国公司可以在美国提供大量的网络服务,包括电商业务都很难经营,所以,短期内,对华为和其他主要的中国科技公司来说,美国市场太难拓展,这种困境得等到两国关系好转才会有所改善。”
位于台北的资安公司TeamT5执行长蔡松廷则说,信任和各国资安法规的完善是云服务业务最重要的参考点,如果无法信任阿里云和中国的法规,那么美国客户就不可能使用阿里的服务。不过,他说,或许阿里云可以采取数据在地化的策略来争取美国政府的信任,也就是,把美国人的数据储存在美国境内。
数据在地化帮阿里云解套?
蔡松廷告诉美国之音:“很多国家都要求你资料一定要在境内,可以用你(阿里巴巴)的云,可是你的资料要在境内,那因为你在境内,我就管得到,所以,政府就是,我要管得到,那我对你这个(数据保护),我有我的一套规定。”
不过,黃基祯说,数据上云后,在地化储存的意义并不大,尤其阿里巴巴的数据中心大多建置在中国境内。
基于资安风险,美国政府早于2019年就要求抖音要将储存在阿里云的美国用户个资逐渐转移并分散在多家美国籍的云服务供应商,包括Oracle、AWS和谷歌。
位于澳大利亚悉尼的民主中国阵线澳大利亚分部监事张小刚
对于阿里云遭审查,大部分旅居海外的中国异议人士不仅乐观其成,还呼吁美国应该尽早与这些协助中国在国内外扩展科技威权主义的企业脱钩。
位于澳大利亚悉尼的民主中国阵线澳大利亚分部监事张小刚在接受美国之音采访时表示,中国法律明文规定,所有中企都要服从党的领导,也可以透过企业内部的党委控制公司运作,因此,各国只要使用中企的网络技术或服务,小至个人行踪和人身安全,大至战时情报数据和国家安全,都可能受制于中共。
张小刚说:“他们(中共)对国内的监控非常严密,现在它这种监控已经扩大到海外了,那么,阿里云也会帮助他们做这种监控。”