美國或禁阿里巴巴?分析人士:“阿里雲”難逃中共資安控制

0

資料照:中國浙江省杭州市阿里巴巴總部的標識。

台北 —美國政府日前傳出以“國家安全”為由,正在審查中國科技巨頭阿里巴巴的雲端服務業務(阿里雲)是否衍生資安風險,讓中國政府得以竊取其美國客戶的個人信息和知識產權等相關數據。對此,觀察人士分析,美中關係交惡,再加上中國科技威權主義又大舉向外擴張,都讓美國政府很難信任中國科技企業在美國境內所提供的服務,因此,阿里巴巴步上抖音(TikTok)、微信(Wechat)後塵,遭美國封禁的可能性不低,雖然目前一切仍言之過早。

路透社1月18日引述三位不具名的知情人士報道,美國政府對於阿里巴巴的雲端服務(阿里雲)已展開國安審查,調查重點在於阿里雲如何儲存美國客戶的個人資料和知識產權相關數據,以及中國政府能否竊取到這些大數據。

阿里雲遭美國國安審查

報道稱,若審查結果認定有資安風險,美國可能會要求阿里巴巴採取對策,降低雲服務所衍生的風險,而最壞的後果,也可能全面禁止美國個人和公司使用阿里雲。

對此傳聞,白宮至今尚未正面證實,發言人莎琪(Jen Psaki)1月18日僅告訴記者,她將和國安團隊核實相關消息。阿里巴巴也以書面向美國之音表示“不予置評”。

不過,數位接受美國之音採訪的網絡資安專家認為,阿里雲遭美國國安審查的消息恐非空穴來風。部分人士認為,中共濫用科技監控國內外人士日益猖獗,阿里雲恐難逃中共政府的資安控制,成為中共科技威權主義向外擴張的幫凶,因此,美國完成審查後,可能循抖音和微信的前例,全面封禁阿里雲。

然而,也有觀察人士認為,阿里巴巴聲稱合乎歐盟的“一般資料保護規範(GDPR)”,也對雲端數據安全和私隱防護相當重視,而且美國的審查才剛起步,阿里雲的命運仍言之過早。

美國喬治梅森大學(George Mason University)研究員、現於北台灣桃園的中原大學任教的黃基禎在接受美國之音採訪時表示,美國對阿里雲的審查是一種“超前布署”,因為美國現在的網路安全政策和措施還追不上雲端科技的快速發展,因此,對於任何有可能衍生資安漏洞的公司,為了維護國家安全,美國都會以個案的方式,一一抑制其無法信任的科技服務在美國發展,阿里巴巴是繼抖音和微信之後的最新審查對象。

中共有權存取阿里雲數據

美國喬治梅森大學研究員、台灣桃園的中原大學任教的黃基禎(照片來源: 黃基禎提供)美國喬治梅森大學研究員、台灣桃園的中原大學任教的黃基禎(照片來源: 黃基禎提供)

黃基禎說:“阿里雲有一個問題,就是它儲存了很多使用者的資訊、還有商業的一些信息。某種程度,美國政府也了解到,中國政府有存取或者是瀏覽的權限。就我了解,(美國)沒有直接證據證明,中國政府已經存取或者是瀏覽了阿里巴巴雲端服務的一些信息,但是,卻引發了美國政府的憂慮。所以在這種情況下,自然美國政府就壯士斷腕,在網路安全政策跟法令還沒有辦法全面地有效去管控這些風險的時候,就個案地處理了阿里巴巴雲服務的情形。”

黃基禎說,科技數據的量越來越大,升高各國政府對雲端服務的依賴程度,也必須藉助民間大廠的協助。以英國為例,三家間諜機構去年底和美國亞馬遜公司的網路服務部門(Amazon Web Service, AWS)簽約,將其機密資料交由AWS託管,以促進數據分析和人工智能在間諜活動中的應用。根據《金融時報》透露,此一合作已獲得英國情報機構的大力支持,還計畫讓軍情五處(MI5)、軍情六處(MI6)等部分單位聯合參與。

他說,同為五眼聯盟的美國自然也可能有類似的作法,因此,對潛在民間雲端夥伴的安全性評估當然會相當嚴謹,不僅要確保美國政府沒有直接使用有資安疑慮的服務,例如,阿里雲。美國也要確保其他情報交換互享國家的雲端環境是安全的。

英國情報界去年5月也曾警告地方政府,不要使用阿里巴巴的智慧城市應用技術,因為他們認為,阿里巴巴的技術和服務可能導致英國的基礎設施遭到網路攻擊、敏感數據遭竊或是用戶個人隱私遭到侵犯。

美中科技爭霸的戰略籌碼

黃基禎說,美國政府因為預見阿里雲可能衍生的風險,所以,未來有可能封禁阿里雲,一方面做“風險管控”,另一方面,就算沒有查到真正的漏洞或風險,還是可能藉由抑制阿里巴巴來贏得“未來美中科技爭霸上的戰略籌碼”。

政治風險諮詢公司歐亞集團(Eurasia Group)位於美國的全球科技政策主管特廖洛(Paul Triolo)政治風險諮詢公司歐亞集團(Eurasia Group)位於美國的全球科技政策主管特廖洛(Paul Triolo)

不過,政治風險諮詢公司歐亞集團(Eurasia Group)位於美國的全球科技政策主管特廖洛(Paul Triolo)說,阿里巴巴在美國的市佔還很小,其在安全性上的商譽受到中國數據規範和法規環境的拖累,也讓不少美國客戶卻步,更不利其全球業務的擴展,因此,美國不會像打擊華為一樣來削弱阿里巴巴的競爭力,因為美國審查最終關切的還是阿里雲的數據安全和中國政府的存取問題。

根據市場調研公司Canalys的統計,阿里巴巴目前為全球第四大的雲服務供應商,規模落後美國的AWS、微軟和谷歌的雲服務。不過,擁有約400萬個客戶的阿里雲於2021財年的營收年成長50%,達601億人民幣(約94億美元),雖只佔母公司總銷售額的8%,但已是第二大成長支柱,也是中國境內最大的雲服務商。

但即使布局美國多年,阿里雲在美國市場的年營收仍不到5000萬美元。據中媒《觀察者》報道,阿里雲與福特汽車(Ford)、IBM的紅帽公司(Red Hat)及惠普公司(HP)等美商的子公司都有業務往來。

特廖洛說,美國政府依據的是2019年中頒布的“保護資通訊技術與服務供應鏈安全(Securing the Information and Communication Technology and Services Supply Chain)”行政命令,來對阿里雲發動審查。基於此行政命令,美國商務部早於去年初就向多家中國公司,包括華為和中興通訊等發出過傳票,以展開國安審查。包括前年一度封禁的抖音和微信也是遭到同類型的調查。

美國審查機制未臻完善

不過,他說,美國政府對此行政命令的執法尚未建立完整的機制,因此,他斷言,美國現在的調查思維可能只停留在對阿里巴巴的美國業務和運作模式進行了解或研究,至於後續供應鏈的實質調查耗時費力,如何起頭,看不出來美國政府已有周全的計劃,因此,阿里巴巴未來的命運還很難說,更遑論美國在封禁抖音和微信案所遭遇的挫敗,都讓其不至於輕易重蹈覆轍。

雖說如此,特廖洛對阿里巴巴在美國的發展前景不甚樂觀,因為美國政府非常不信任中企所提供的服務。

特廖洛告訴美國之音:“只要美中關係處於低潮,兩國就沒有互信。在此前提下,很難看到像阿里巴巴這樣的中國公司可以在美國提供大量的網絡服務,包括電商業務都很難經營,所以,短期內,對華為和其他主要的中國科技公司來說,美國市場太難拓展,這種困境得等到兩國關係好轉才會有所改善。”

位於台北的資安公司TeamT5執行長蔡松廷則說,信任和各國資安法規的完善是雲服務業務最重要的參考點,如果無法信任阿里雲和中國的法規,那麼美國客戶就不可能使用阿里的服務。不過,他說,或許阿里雲可以採取數據在地化的策略來爭取美國政府的信任,也就是,把美國人的數據儲存在美國境內。

數據在地化幫阿里雲解套?

蔡松廷告訴美國之音:“很多國家都要求你資料一定要在境內,可以用你(阿里巴巴)的雲,可是你的資料要在境內,那因為你在境內,我就管得到,所以,政府就是,我要管得到,那我對你這個(數據保護),我有我的一套規定。”

不過,黃基禎說,數據上雲後,在地化儲存的意義並不大,尤其阿里巴巴的數據中心大多建置在中國境內。

基於資安風險,美國政府早於2019年就要求抖音要將儲存在阿里雲的美國用戶個資逐漸轉移並分散在多家美國籍的雲服務供應商,包括Oracle、AWS和谷歌。

位於澳大利亞悉尼的民主中國陣線澳大利亞分部監事張小剛位於澳大利亞悉尼的民主中國陣線澳大利亞分部監事張小剛

對於阿里雲遭審查,大部分旅居海外的中國異議人士不僅樂觀其成,還呼籲美國應該儘早與這些協助中國在國內外擴展科技威權主義的企業脫鉤。

位於澳大利亞悉尼的民主中國陣線澳大利亞分部監事張小剛在接受美國之音採訪時表示,中國法律明文規定,所有中企都要服從黨的領導,也可以透過企業內部的黨委控制公司運作,因此,各國只要使用中企的網絡技術或服務,小至個人行蹤和人身安全,大至戰時情報數據和國家安全,都可能受制於中共。

張小剛說:“他們(中共)對國內的監控非常嚴