风声鹤唳:蔡英文当局“资安”政策措施评述
2021-01-06杨仁飞
■ 杨仁飞
“资安”,即资讯安全或信息安全,指行政机构、社会团体、企业通过法律、技术、人力等手段,保护自身信息系统或网络中的信息资源免受各种类型威胁、干扰和破坏,确保计算机(或其他电子设备)硬件、软件、数据的完整性、可用性、保密性和可靠性。
2016年上台伊始,蔡英文当局就布局全新“资安”战略。经历5年多时间,蔡英文当局已构筑起以“信息战”为重点的“资安”组织体系、规则体系,加紧推进对外“资安战、信息战”合作。其目的是通过打造人人自危的“资安台湾”,从而协助实现蔡英文当局的谋“独”总体目标。
一、 蔡英文当局提出“资安即国安”战略
(一)战略的提出
早在陈水扁执政的2011年,台湾就建立了“资通讯基础设施安全机制”与“国家资通安全会报机制”,反映台湾对资通讯安全的重视。
蔡英文当局2016年以来一直强调“资安”的重要性。2016年8月,蔡英文召开“国安会资安即国安策略会议”,将资讯安全的重视位阶上升到“国家安全”战略层面。2017年11月,颁布“资通安全发展方案”,宣布打造“安全可信赖的数位国家”,目标是建构“资安联防体系、提升整体资安防护机制,强化资安自主产业发展”。2018年9月,“国安会”公布台湾“国家资通安全战略报告”。
蔡英文“资安”战略有几大目标,即“打造‘国安’机制,确保数位‘国家’安全;建立资安体系,加速数位经济发展;推动‘国防资安’自主研发,提升产业成长;加快网络部队组建;加强跨国合作,建立查核和通报机制,共同应对假消息;强化全民资安意识、凝聚各界资安共识,为数位‘国家’、创新经济奠定坚实的基础”。
机制建设方面,设立“数位发展部”统筹行政系统资安管理,通过“资通安全法”及子规定等法规条例构筑“资安”规定体系,扩充网络军队强化信息战的能力。
产业层面,2020年8月,蔡英文在“资安大会”上称,将在原本“5+2产业创新”基础上,进一步聚集六大核心战略产业:“第一是台湾未来的龙头产业,半导体与ICT产业为首的资讯数位产业;第二是结合5G、数位转型和‘国家安全’的‘资安’产业;其次是生物医疗科技、‘国防’战略产业、绿电再生能源产业,以及在抗疫大战后更显得重要的民生战略产业”。其中,“资安”产业为台湾第二类核心战略产业,仅次于半导体与ICT为主的资讯数字产业,可见蔡英文当局的野心。此外,2021年,台湾防务部门提出“四年期‘国防’总检讨”,提出发展“新式电子战、网络战攻防技术作为强化不对称战力”重要组成部分,完善“资安防护,应对大陆资讯战威胁”,将“网络安全作为台湾与美国及其他友台国家拓展双边合作的重要契机”。
(二)战略的“法制化”:强化“资安”法制化,构筑严防死守的“资安”法律体系
加快“资安”立法、修法,是蔡英文当局对抗祖国大陆、阻挡两岸企业合作交流与两岸人民与社会融合的重大“资安”安排。
2017年,蔡英文当局提出“资通安全法”草案,其中第18条规定,当发现重大“资安”缺失或遇到重大资通安全事件时,台湾行政官员得进入非公务场所检查。2018年5月,经过修改后,“资通安全管理法”在台湾立法机构三读通过。此后,蔡英文当局陆续完成“资通安全责任等级分级办法”“资通安全情报分享办法”“资通安全事件通报及应变办法”“特定非公务机关资通安全维护计划”及“公务机关所属人员办理资通安全业务奖惩办法”等6个子规定,旨在让台湾公务机关和关键基础设施供应商有一套统一的“资安”规范和“资安”防护要求。
2020年,蔡英文当局更是将“资安”立法延伸到网络治理、数字通讯与个人资料保护等领域。如举办“数位通讯传播服务规管趋势与法制革新”座谈会,以“网际网络治理”“资安保护”“保障数位人权”之名,蔡英文当局准备在2022年通过“数位通讯传播法”。台湾行政部门下属“国发会”2020年开始进行“个人资料保护法”修法作业,成立“个人资料保护专责机构”,希望能在2020年获得欧盟GDPR适足性认定,让台湾岛内企业能自由与欧盟进行个人资料跨境传输,降低企业营运成本,“提高竞争力”。
此外,2019年蔡英文当局陆续完成“国安五法”修订,包括“刑法”“国家机密保护法”“国家安全法”“两岸人民关系条例”,强行通过“反渗透法”,将“外患罪”范围纳入祖国大陆、港澳与境外敌对势力,提高“为敌发展组织罪”刑责,将网络安全纳入“国安”范畴。
通过上述一系列修法与立法,台湾当局严管公共部门与民间企业,已构建起“资安即国安”相对完整的法律体系。
在密织的法律规范下,蔡英文当局祭起法律武器,对祖国大陆资讯产品与服务开启全面“排外作业”。台湾行政部门下令,为防止安全机密外泄,2020年1月起实施“资安”管理相关规定,重点是在关键基础设施完全禁用祖国大陆信息设备、软件与服务,禁止在公部门、公营事业的办公场所使用华为等手机和计算机。2020年6月,台湾行政部门下令封杀防火墙企业FORTINET,指控其与祖国大陆关系密切。2020年8月,全面禁止台湾任何单位代理或经销祖国大陆流媒体、自媒体平台,将爱奇艺、腾讯、淘宝、华为以及美国华人投资的ZOOM“逐出”台湾。
(三)“资安战略”实战化:强化“资安”组织体系与“资安”能力建设
1.重用“骇客”(黑客)。
蔡英文曾公开肯定台湾年轻“骇客”都是台湾的人才。2016年,蔡英文聘任“骇客”出身的唐凤(原名唐宗汉)出任行政部门“数位政务委员”,督导发展台湾的数字经济、建设“开放政府”、利用网络技术开展资讯战,及协助蔡英文当局拓展台湾网络“外交”。2020年新冠肺炎疫情发生以来,唐凤下令透过互联网技术(IT)作业,制作口罩地图,设立接种疫苗预约平台,以及防疫“简讯实联制”,虽屡屡出丑,效果不佳,但因为蔡英文护航,被吹嘘为“IT大神、天才”“台湾骄傲”。
唐凤是蔡英文当局将“骇客”当作人才、公开洗白的典型,更是台湾“乱港”的幕后军师与实际操盘手。
2.在行政体系整合成立“数位发展部”。
目前,台湾“资安”领导指挥系统由“国安会、行政院资通安全处(数位发展部)、台军网络安全中心”所谓“安全三角”组成。
“数位发展部”成立前,台湾行政部门“资安”组织领导架构为行政部门设立“国家资通安全会报”机制,由行政部门副负责人、“政务委员及科技部部长”担任正副召集人,行政部门“本部资安长、部会及直辖市副首长、国安局副局长”、学者及专家担任委员。具体业务中网际防护体系由科技部门负责,网际犯罪、侦防体系由法务部门、内务部门负责,关键性系统防护体系由行政部门“国土安全办公室”“国家资通安全科技中心”负责。
2021年3月25日,台湾行政部门通过行政部门组织调整法案,增设“数位发展部”。“数位发展部”将整合电信、信息、资安等资源,统筹基础建设、环境整备及资源应用,统筹管理“资通安全研究院、资讯工业策进会、电信技术中心、台湾网络资讯中心、资安署”等机构与部门。
3.扩大台军与台湾安全系统“资安”网络作战部队。
2013年,台湾防务部门宣布成立“资电”作战中队。2015年,台湾安全部门设立负责台湾当局网络安全预警情搜及防卫的“网域安全处”,初期编制70人,分4个小组。2017年,台湾防务部门成立“资通电军指挥部网络战联队”,隶属台军“参谋本部”,首任指挥官(司令编阶为上将,与海陆空三军司令位阶相同)为曾任台军联勤通信电子器材基勤厂厂长、防务部门通资室资通处处长、资电作战指挥部指挥官马英汉。2019年,台湾防务部门网络部队人数从2017年的1200人扩充到6000人,在台湾部署多个网点,隐藏于民间。
2019年,法务部门“调查局”成立“假讯息防制中心”,2020年4月24日升格为“资安”工作站,落实台湾当局的资通安全战略,以冀提升“资安”体系“早期预警、紧急应变、持续维运”能量及效率。2020年9月,蔡英文当局提出“资安园区”计划,由行政部门土地安全办公室及防务部门负责。2021年起,防务部门“军备局”预计投入54亿元新台币,用5年时间,建成主动防御与主动攻击的“资安”系统。
4.提升“资安”技术标准与检测能力。
法务部门“调查局资安鉴识实验室”成立于1996年,2006年重新建置为台湾首座数字鉴识实验室,12月26日陈水扁揭牌启用。2013年11月28日,实验室正式通过ISO/IEC 17025国际认证规范,系率先取得台湾认证基金会(Taiwan Accreditation Foundation;TAF)认可之具备“资讯重现”能力的鉴识科学实验室。目前,实验室主要职能为电脑及相关数字证据之搜集、扣押、鉴识,档案复原、验证、分析并提供鉴识报告。
2021年,“警政署刑事局”下设“数位暨资安鉴识实验室”经台湾认证基金会审核通过Windows程序行为分析认证,也是首个在世界上获认证的台湾地区执法机关,可溯源侦查黑客来源。
财团法人电信技术中心主要配合台湾当局的政策,以支援通讯传播、资通安全监理及相关技术与产业发展之研究。目前,电信技术中心设立“资安科技研究所、资安标准之网络摄影机检测服务之检测实验室、无线网络摄影机资通安全检测之检测实验室、无线区域网络接取设备及路由设备资通安全检测技术指引、检测服务之检测实验室”等。2018年3月,实验室取得台湾认证基金会认可,向经济部门“工业局”提供行动应用App基本资安检测服务。此外,电信技术中心还取得台湾认证基金会认可,提供智能型手机系统内建软件资通安全初中级检测服务、十大项资通设备实机安全检测技术服务、影像监控系统技术服务等。
2021年1月,台湾“通讯传播委员会”(NCC)成立“‘国家级’通讯软件安全实验室”,聚焦4大5G网络“资安”议题,建立应用和基础架构安全性的DevSecOps与安全分析检测(大数据分析)两大新平台。
5.培养军企校相通联“资安”人才(“骇客”)。
台军不定期在台湾高校、企业招收取得世界级网络大赛证书的学生与人员。台军称,信息和“资安”是未来产业发展趋势,许多资讯工程师、资管科技毕业生被台积电等高科技业者挖走,因此台军的资通电主力人员必须自己培养,并在服4个月兵役的人员中物色“资安”人才到军中接受军事训练,特别是资通电训练,有意者可留在军中,若回到民间企业中,军队也会造册,成为“资安”的后备力量,一旦动员征召,即刻可以进入网络作战。
蔡英文当局从法律面、制度面、技术面强化“资安”布局,企图构筑起万无一失的“资安台湾”。
二、蔡英文当局强化“资安即国安”战略主要考虑
(一)“资安”已是全球性议题,蔡英文当局闻之起舞势在必然
随着互联网与资通讯先进技术的广泛运用甚至滥用,信息、网络安全成为每一个国家或经济体必须面对的重大国家安全问题。当下的资通讯安全,是一场攸关国家安全的全新类型战争,具有渗透性强、破坏性强、影响面广以及悄然无声的特点。为了应对“资安”问题,世界各国或经济体纷纷制订或修改“资安”相关法律。如美国国会参众两院2019年11月提出“2019美国国家安全与个人数据保护法案”。2020年3月,美国外国投资委员会通过并生效《外国投资审查法》,严控外国企业对AI及敏感技术的投资与购并,以防止美国尖端技术与个人数据外泄。2021年5月12日,美国总统拜登签署“关于加强国家网络安全的行政命令”,旨在采取大胆举措提升美国政府网络安全现代化、软件供应链安全、事件检测和响应以及对威胁的整体抵御能力。2018年5月25日,欧盟正式发布《通用数据保护条例》,其适用范围包括欧盟成员国境内企业的个人数据、欧盟境外企业处理欧盟公民的个人数据,旨在保护欧盟公民个人隐私和数据。2018年5月23日,英国正式通过新修订的《数据保护法》,废除1998年颁布的《数据保护法》,重新建立英国数据保护框架以促进通用数据保护在英国的有效落实,并在通用数据保护框架下对某些条款做出裁剪规 定。2020年12月15日,欧 盟执委会(European Commission,EC)正式公布《数位服务法》(Digital Services Act)草案。此外,新加坡《个人信息保密条款》(PDPA)、日本《个人信息保护法》(PIPA)也纷纷出炉,均强化信息与资讯数据安全。2021年6月10日,中国全国人民代表大会常务委员会第29次会议通过《中华人民共和国数据安全法》,从总体国家安全角度对数据安全、处理、活动提出了明确规范,明确境外开展的数据活动不得损害中华人民共和国国家安全、公共利益或者公民、组织合法权益,否则将依法追究法律责任。2021年11月1日起,中国实施《中华人民共和国个人信息保护法》,明确不得有过度收集个人信息、大数据杀熟等行为。
可以说,这个世界已经进入全新的“资安”时代。在这一大背景下,怀着强烈企图心的蔡英文当局强化“资安”战略布局并不令人意外。
(二)与“台独忧郁”“统一恐惧”与生俱来的不安全感使然
出于对“台湾被大陆统一”“台独被消灭”的严重恐惧与不安,民进党与蔡英文当局患上集体安全焦虑症,不断渲染台湾的不安全性。
民进党民意代表吴怡农妄称台湾“资安”被侵入的严重性,指“从最高机构‘总统府’到三级单位如气象局,政府的信息网络极为脆弱,并长期遭受境外势力大规模、系统性的侵入,包括全民健保数据库、公文系统,等等,近期更透过委外厂商取得系统权限”。2021年,台湾防务部门推出“四年期国防总检讨”,将认知战、资讯战及机舰“侵扰”列为解放军对台新形态威胁,声称“大陆近年积极提升网络作战能力”以及“窃取台湾的军工商业数据”,“意图掌握台湾关键节点、建立攻击清单,作为后续作战阶段的网络攻击目标”,目的是在“正规作战前动摇台湾的民心士气,消耗台军的战备”。8月底,台军公布的“2021年中共军力报告”更是反映了蔡英文当局的焦虑不安,担心祖国大陆对台湾可能采取包括“认知行动、对灰色地带的威胁、联合军事威慑、联合封锁、征服偏远离岛、斩首行动、联合火器打击、重大入侵”的统一行动。
民进党总是夸大台湾遭受网络攻击的经济损失。台湾负责信息技术的网络公司称,2017年台湾因为上亿次网络攻击而造成的经济损失高达8100亿元新台币,相当于台湾地区生产总值(GDP)的5%。今年年初,美国国务卿布林肯在中美会谈中妄称“大陆网军对美攻击”。此后,蔡英文当局随之起舞,声称台湾企业及“政府部门”也遭网络攻击。
长年以来,民进党对祖国大陆的污蔑、抹黑、攻击,基本上是出于对日益强大的祖国大陆的担心,出于对祖国大陆有可能以武力方式统一台湾、连根拔起“台独”根基的“不安”“焦虑”与“恐惧”。这种与“台独”命运相伴的焦虑、恐惧,最后都演化为上纲上线“防、堵、害”的安全囚徒困境。
(三)出于配合美日在资讯、科技领域封杀中国大陆,联手阻挡中国大陆发展脚步的考虑
2021年5月,根据拜登政府公布的《美国国家安全战略临时(暂行)指南》,美国国防部公布2022财年预算申请文件,国防预算约为7150亿美元。为“重塑美国优势”,美国国防部将使其部队、全球态势和作战概念现代化,利用技术优势,并投资于前沿技术(包括人工智能、高超音速技术、网络和量子计算等),为部队带来新的作战优势,发展网络安全以实现灵活和弹性防御态势,预计投入的网络安全、联络空间作战、研发预算104亿美元中,其中半数56亿美元用于确保国防部信息网络安全网络,提供跨领域解决方案、部署下一代任务系统与平台、嵌入“零信任”架构等,另外43亿美元用于网络情报收集、进攻性或防御性网络作战、网络作战部队和支持网络作战的基础设施。
过去5年,蔡英文当局将美国全力对付中国视为“台独”的最后机会,故不计一切代价全力配合美国,以期获得美国的“坚定保护”。其中,“资安”领域的合作,是美台近期与未来重点推进的领域。
2019年11月,台湾与美国首次举行为期5天的“大规模网络攻防演练”,应对所谓朝鲜、中国大陆的“外敌网络威胁”。2020年9月,美台联合举行网络安全演练。2021年4月,台湾防务部门参谋本部通讯电子资讯参谋次长室与美国、英国、德国、法国、日本等国有关部门开展5项资通电领域合作,包括网络安全、电子战因应以及军事通信LINK-16数据链终端机等议题。2021年,台湾防务部门提出,未来将“网络安全作为台湾与美国及其他友台国家拓展双边合作的重要契机”。
蔡英文在多个场合公开表达要全力、全方位投入台湾供应链重组,加入以美国为首的供应链安全联盟,促使在中国大陆投资的台湾芯片制造及封测企业加速撤离中国大陆。
如今,蔡英文当局一根筋、一路黑跟着美国、日本“反中”,决定了蔡英文当局推出的“资安战略”对祖国大陆充满强烈的敌意,视祖国大陆为最大的“敌人”,危害性不容低估。
过去5年,在蔡英文当局蓄意操弄下,台湾舆论充斥祖国大陆对台湾进行“信息战、网络战、认知战”的负面报道,与对祖国大陆的各种攻击,台湾社会弥漫着“仇中抗中”的暴戾、不安气氛。
虽以安全的华丽外衣包裹“资安”战略,但从2016年开始,蔡英文当局的“资安”战略具有极强的“反中谋独”特点,具有刀口对准台湾岛内统派、国民党内主张两岸交流合作的群体,杀鸡儆猴、威胁的意味极浓,这也决定了蔡英文当局的“资安”战略与政策措施将对祖国大陆非传统安全增加新的威胁。
作为外向型经济体,其一味强调“资安”,不仅不切实际,而且格局小、上纲上线,其相关战略布局很难超越现有的全球“资安”困局,更难以摆脱其因为“台独”属性而注定失败的命运。
也许蔡英文当局的“资安”战略求得了一时的“偏安”,但求不到一世的太平安宁。如果民进党不放弃“台独”主张,蔡英文当局不停止“卖台谋独”行径与图谋,台湾注定沦为危城危地而不能自拔。