值得担忧的反恐法

两会期间热点频发,也让一些原本应该成为焦点的新闻不再成为焦点。比如说《反恐怖主义法》这部很可能彻底改变中国互联网业界格局的法律的二审。

对于网友和从业者来说,最应该关切的,是其中第十五条,第十六条的相关规定(这里引述的,是去年十一月份公开征求意见的版本,根据近来的报道,新的法规加强了审批流程方面的规定):

http://www.npc.gov.cn/npc/xinwen/lfgz/flca/2014-11/03/content_1885027.htm

    第十五条 …

    电信业务经营者、互联网服务提供者应当在电信和互联网的设计、建设和运行中预设技术接口,将密码方案报密码主管部门审查。未预设技术接口,或者未报审密码方案的,相关产品或者技术不得投入使用。已经投入使用的,主管部门应当责令其立即停止使用。

    在中华人民共和国境内提供电信业务、互联网服务的,应当将相关设备、境内用户数据留存在中华人民共和国境内。拒不留存的,不得在中华人民共和国境内提供服务。

    第十六条 电信业务经营者、互联网服务提供者应当依照法律、行政法规规定,落实网络安全、信息内容监督制度和安全技术防范措施,防止含有恐怖主义内容的信息传播;发现含有恐怖主义内容的信息的,应当立即停止传输,删除相关信息,保存相关记录,并向公安机关或者有关主管部门报告。从事互联网加密传输服务的企业应当向网信部门、公安机关备案密码方案,配合主管部门调查工作。

我比较关心其中的几条规定,第十五条要求ISP/ICP在互联网架构中预留『后门』,并将后门向相关部门汇报;要求所有向境内提供互联网服务的设备和数据留存在境内。第十六条则要求从事互联网加密传输服务的企业向相关部门备案密码方案。

简而言之,这部法律构建了一个明确的白名单:只有服务器和数据留存境内,并且按规定预留后门,报备加密方案的互联网服务,才能够在中国境内生存。如果真的实施,这很可能是自从『墙』建立起来,对中国互联网生态产生最根本的影响。而老实说,这种影响很有可能是负面的。

从安全层面上来说,由政府管控一个安全后门和所有软件的设计方案是否有必要?抛去这些后门可能被不恰当使用的担忧,这些后门数据和政府存放的密码方案,本身就构成巨大的安全隐忧——这意味着所有使用这些服务的用户的数据、隐私都潜在的暴露在政府的审计下,而一旦出于疏忽或是缺陷被攻陷,所有境内的互联网和电信服务将都受到安全威胁,进而危及到每个人的用户。这并非危言耸听,互联网本就没有绝对安全可言,韩国实名制网络的泄密事件(http://news.imeigu.com/a/1325209797054.html), 近年来诸如heartbleed之类的严重漏洞频发,都向我们暗示着,一个统一的、包含所有互联网信息、服务后门和密码方案的数据库,很可能将会是一颗定时炸弹,一旦爆炸,后果不堪设想。

从市场层面来说,条款取消了所有服务器和数据在境外的互联网服务在中国的合法性,而这很可能影响中国用户享受最新科技成果的能力。云的魅力之一,就是它从一定意义上来说,打破了国境的界限——你无需在每个国家建立服务器,就可以为全世界的用户提供服务。而并不是所有的公司,特别是新兴的科技公司,都有能力、有意愿在中国设立服务器,而根据规定,政府有权屏蔽所有这样的服务。这样的屏蔽,很容易导致中国用户无法享受到新兴的,最好的科技服务。在最近的MWC 2015手机展上,华为推出的基于Android Wear的手表Huawei Watch赢得各家媒体交口称赞,可由于相关服务在中国难以访问,这款手表的发布地区并不包括中国,作为中国公民,却无法在中国享受中国自己的企业的先进产品,不由得让人感到遗憾。

从业界层面来说,这一规定将更加加剧中国IT业者采纳先进技术、参与全球竞争的难度。一方面,在云计算的时代,很多开发生产技术有赖于对国外服务的顺畅访问,而出于技术周期、成本的考量,在国内实现这类服务并不一定全部现实。对此类服务的进一步限制,和对国内用户数据留在境内的要求,很可能会导致我们无法使用类似Heroku的云服务构建产品;同时,在一个终身学习的时代,无法顺畅的访问国外的技术网站,和国外拥有不同的服务环境,也会增大技术人员与国外同行交流、学习、提高的难度。另一方面,类似后门的规定,很可能会增加注重安全和隐私的国外用户对中国互联网产品的担忧。国内的用户数据必须留在国内的规定,也很可能给国内国外用户的互联互通、在国外为国内用户提供流畅顺利的服务提供障碍。新法律的通过,很可能给中国创造的产品走出国门,增加进一步的难度和限制。

最后,这一规定并不一定真的能够防止恐怖活动。互联网巨大的数据量和流量,注定了传播比屏蔽简单、加密比破解简单、传输比审查简单。除非彻底屏蔽国际出口,否则这样的规定,恐怕给中国互联网公司和用户带来的麻烦,比给恐怖主义分子带来的麻烦大得多。这一规定甚至可能加剧中国的雾霾气候和碳排放——现代数据中心的耗电惊人,留在中国境内的服务器,将会给中国的电网增加新的负担。

众所周知,恐怖主义最可怕的地方,不在于他到底杀死多少人,而在于他致力于让人们的日常生活蒙上阴影,让人们自愿放弃方便、放弃权利、放弃自由。而这部法律,让人不由得有这种担心。或许,互联网界应该主动关切这样一部可能彻底改变中国互联网形态的法律。

『我们最需要恐惧的,是恐惧本身』

——富兰克林-D-罗斯福,1932