中国网络安全：无处可藏

本文内容：

• 一、具有中国特色的网络安全：党是万事万物的领导者。
• II. 中国综合网络安全计划
• 三、中国的监管体系：多层次保护机制（MLPS 2.0）
• IV. 加密技术并非解决方案。
• V. 具体实例：黄金税务恶意软件计划 
• VI. 企业如何被推入不安全的网络系统。
• 七、跨境与国际影响

一、具有中国特色的网络安全：党是万事万物的领导者。

在中国共产党的领导下，中国政府正致力于构建具有中国特色的网络安全体系。该体系旨在确保所有跨境网络信息：a) 对中国政府保持透明；b) 防止国内外黑客及非中共政府机构的未经授权访问。

该系统的首要目标是用于监控与控制。监控意味着信息获取。因此，该系统的透明性意味着所有跨越中国边境的信息都应向中共及其代理机构开放。 党无秘密可言。因此，无论对个人还是企业实体——无论本土或外国——该系统都是网络不安全系统。随着系统实施的逐步完善与范围扩大，将无处可逃脱党的视线。

在中国境内运营的所有外国实体均受此网络安全体系约束。鉴于网络系统与通信是现代企业运营的核心，理解中国体系的运作机制至关重要。其影响不仅限于在中国设立外商投资企业的外国实体，凡通过任何网络向中国传输信息（包括个人或技术信息）者均受约束。 凡通过"数字丝绸之路"项目将信息传输至中国数字威权体系覆盖国家的个人，或向中国数据收集行动目标地区（香港/台湾）传输信息的任何主体，均在监管范围内。

要理解该体系的基础，必须先了解当前中国政府体制的某些特征。首先，我们必须理解中国共产党的作用。其具有两大关键特征：

其一，中共被公认为"万事领导者"。在邓小平、江泽民和胡锦涛执政期间，目标是让党退出主导领导地位，从而释放人民和非党机构的经济与创造力。这一计划成效显著，以致许多中国人开始质疑党的作用。

习近平政府的首要目标就是扭转这一趋势。通过习近平主席的努力，中国共产党如今在所有领域都处于领导地位。其在指导中国各方面事务中的作用没有限制。因此，2018年《中国共产党的章程》修订后明确规定：

中国共产党的领导是中国特色社会主义的根本特征。党领导一切，政府领导一切，军队领导一切，民航领导一切，南北东西，中央地方，党领导一切。

中国共产党的领导是中国特色社会主义最本质的特征，是中国特色社会主义制度的最大优势。党政军民学，东西南北中，党是领导一切的。

本声明是对邓小平、江泽民和胡锦涛政策的否定，它回溯至毛泽东1962年阐述的立场。1962年1月30日，中国共产党中央委员会主席毛泽东在扩大的中央工作会议上发表讲话。

尽管中国共产党在一切领域都发挥领导作用，但党的首要目标是引领经济发展。正如《中国共产党章程》序言所阐明：

中国共产党领导社会主义事业，必须坚持以经济发展为中心，其他工作都要围绕这个中心、服务这个中心。党的战略部署要贯彻科学教育振兴战略、人才发展战略、创新驱动发展战略、乡村振兴战略、区域协调发展战略、可持续发展战略、军民融合发展战略。 充分发挥科技作为第一生产力的作用，创新作为第一发展动力的作用，借力科技进步，提升国民素质，推动经济更高质量、更高效、更公平、更可持续的发展。

为履行这一广泛职能，中共还大幅扩展了国家安全的概念。在习近平提出的总体国家安全观下，传统军事边境防御式的国家安全观被彻底革新。新安全观具有两大核心特征：其一，首要目标是维护中共作为中国统治者的绝对权力；其二，重点防范以下对中共权力的威胁：

— 中国未能快速发展成为高科技国家。
— 党未能控制意识形态和信息。

个人和企业实体的网络安全关切不纳入分析范畴。必须保护的是党，而非公众。尤其重要的是，任何公众成员都不可能与党发生冲突。任何此类冲突都是反党的，因此也是反中国的。这个问题在任何层面上都没有得到解决。 上述内容详见习近平关于总体国家安全观论述的标准文集：《习近平关于总体国家安全观论述摘编》（2018年）。英文版精要可参阅马修·D·约翰逊所著 《捍卫社会主义：中国总体安全观的起源、演变与拓展》》一书中。

为了在一切领域保持领导地位，党必须掌握一切信息。在网络空间，中共及其机构通过两种方式满足了这种信息需求：

在国内，中国共产党运用数字技术在中国境内构建了监控体系。通过人脸识别技术、对互联网的管控、对手机、微信及相关信息源的监控，并借助人工智能与大数据进行监控与控制，中国已建立起一套被称为"数字威权主义"的监控与控制体系。 详见美国参议院外交关系委员会报告《新老大哥：中国与数字威权主义》。

在国际层面，该党及其代理机构——国家安全部（MSS）和公安部（MPS）——已成为窃取技术和商业机密的首要网络黑客。国家安全部在网络黑客活动中的作用已有充分记录。美国和英国的最新刑事起诉书及各国政府应对措施可分别在此处（美国）和此处（英国）查阅。

那么，中国共产党究竟是什么？

1.中国共产党是与中国外资企业直接竞争的国有及私营企业的实际控制者。

2.中国共产党是负责根据《中国制造2025》计划及其他高速高科技发展项目开发技术的科研中心的主管机构。

3.中国共产党是中国军队的最高统帅，该军队禁止外国人员接触。根据军民融合的方针，军队能够获取中共掌握的所有信息与技术。

4.中国共产党是国家安全部和中国人民解放军实施的全球网络黑客系统，以及公安部实施的国内网络黑客系统的管理者。

该党完全掌控着这个体系。党是万物的领导者：北、南、东、西及中心皆然。任何试图击溃该体系的企图注定失败。中国境内所有网络与数字数据都将毫无例外地向中共透明化。无处可藏。

那么，它是如何运作的呢？下面将对此进行讨论。

II. 中国综合网络安全计划

中国政府多年来一直在推进一项全面的互联网安全/监控计划。该计划以2016年颁布的《网络安全法》为基础，规模宏大，包含多项配套法规。2018年12月1日，中国公安部宣布将全面启动该计划。

该计划的核心在于，中国国家安全部将全面获取在中国网络传输并存储于国内服务器的海量原始数据。由于原始数据价值有限，该部能否成功关键在于数据处理能力。鉴于此核心问题，国家安全部已任命王英伟为网络安全局新任局长。 王英伟是知名"大数据"专家，其职责将聚焦于解析新系统收集的原始数据。

新体系的规划雄心勃勃且全面。正如该计划的主要倡导者郭启泉所阐释的，新体系的核心目标在于实现"全覆盖"。  "它将覆盖每个区县、每个部委、每个企业和机构，基本实现全社会覆盖。同时涵盖所有需要网络安全保护的目标，包括所有网络、信息系统、云平台、物联网、控制系统、大数据和移动互联网。"

该系统将适用于在华外资企业，其适用标准与中国公民、实体或个人完全一致。任何位于中国境内的服务器所含信息均不得豁免于此全面覆盖计划。所有往来中国的通信均不得豁免。将不存在秘密。不存在VPN。不存在私人或加密信息。不存在匿名网络账户。不存在商业秘密。不存在机密数据。所有数据均将向中国政府开放并可供调取。 鉴于中国政府作为国有企业的股东，现已对主要民营企业实施实质性控制，上述信息将同步向国有企业及民营企业开放。例如：中国计划向包括阿里巴巴在内的100家民营企业派遣政府官员。所有 信息亦将向中国军队及军事研究机构开放。 中方对此计划的意图十分明确。

过去，在华外资企业通常能通过两种方式规避此类系统的影响。主要手段是在自身办公室建立VPN互联网服务器。这些服务器运用VPN技术将数据与受中国管控的网络隔离，使企业内网得以保持电子邮件及存储在中国公司服务器上的数据机密性。 随着云计算的发展，外资企业通常采用相同的VPN技术，将云端服务器与受中国管控的系统隔离。尽管中国当局常对这些VPN系统提出异议，但外资企业通常能以独资企业特殊地位为由，主张其不受中国数据管控的约束。

然而，随着新制度的推行，这一切都将改变。首先，《网络安全法》及相关法规明确规定，其适用于中国境内所有个人和实体，无论所有权或国籍如何，不存在任何例外。更重要的是，2020年1月1日生效的新《外商投资法》取消了外商独资企业（WFOE）及其他外商投资企业享有的特殊地位。 外资企业将与中资企业获得完全同等的法律待遇（详见《中国新外商投资法：徒劳无功的粉饰》）。这意味着《网络安全法》将以完全相同的方式适用于外资企业（包括外商独资企业、合资企业及代表处），其适用标准与中资企业及个人完全一致。外资企业将无处可藏。

这意味着在中国境内，任何企业（包括外资企业）都将不再被允许使用公司内部VPN系统。由此，所有企业邮件及数据传输都必须使用中国运营的通信系统，这些系统需完全向中国网络安全局开放。所有使用中国通信网络的数据服务器，也必须接入网络安全局的监控系统。

必须充分理解这意味着什么。根据《网络安全法》，中国政府有权要求境内任何个人或实体提供其认为对国家安全有影响 的信息。 中国政府深知外国企业和个人不会轻易配合其信息调取要求。因此，中国网络安全部门无意通过礼貌的正式请求获取信息。新网络安全体系的核心前提在于：政府将凭借对通信网络的掌控权限，在未经用户同意的情况下直接获取信息。所有数据都将向中国政府开放。

这种对数据进行持续、全面访问和监控的体系，为在美国和中国运营的众多外国企业制造了根本性冲突，因为美国法律在许多情况下要求对大量信息保密。 但中国现行法律要求，凡涉及跨国边境的商业机密，政府均有权全面获取。这种冲突使众多美国及外国企业陷入无法自拔的法律困境。我特意提及外国企业，因为那些拥有美国子公司或与美国企业存在特定关联的外国公司，同样会受到美国保密法的约束或至少受到影响。

首先，随着美国政府将受控信息和技术范围不断扩大，对中国边境的传输限制也在加剧。参见此文了解美国法律下可能构成限制性"新兴技术"的范畴。美国企业曾主张其在华信息存储于与中国政府隔离的私有服务器，若中方要求提供信息，"我们将拒绝配合"。这种辩解已不再奏效——因为中国政府不再提出请求，而是直接取用。

其次，许多知识产权并非通过专利注册获得保护，而是作为商业秘密受到保护。事实上，许多美国专利的价值在于其支撑性的商业秘密技术诀窍。 商业秘密是美国法律保护的一种财产形式。然而（根据美国、中国和欧盟法律）维持商业秘密的普遍规则是：商业秘密持有者必须采取合理措施保持其秘密性。一旦商业秘密被持有者故意或不合理地泄露，其作为商业秘密财产的保护即告终止。这便导致了冲突。

在中国新制度下，实际上，对中共隐匿的商业秘密将不复存在。这意味着在美国和欧盟企业在中国运营时，必须预见任何试图保存在中国服务器或网络上的"秘密"，都将自动被中国政府获取，进而被其在中国境内的所有受政府控制的竞争对手（包括中国军队）所掌握。这包括电话通话、电子邮件、微信消息以及任何其他形式的电子通讯。 鉴于任何企业都无法合理预期其商业秘密在通过中国控制的网络传输至中国境内后仍能保密，这些企业的商业秘密保护措施在境外同样面临严重风险，其保密性可能随之消失殆尽。

美国或欧盟公司可能与接收其机密信息的中国方签订了具有法律约束力的协议，该协议针对授权接收方对信息提供保护。但若该秘密易于被中国政府获取，则不存在真正的商业秘密保护。

若向中国政府及其关联方全面开放数据访问权限，美国或欧盟企业极可能被认定为非法向中国出口技术，面临数百万美元罚款，其部分高管甚至可能被判处监禁。要求企业不得向中国转移技术的外国法律，与中国实质上强制要求技术转移的法律之间存在根本性冲突。

三、中国的监管体系：多层次保护机制（MLPS 2.0）

中国共产党治理体系的核心理念之一是必须依法治国。法律是党的意志的体现，这种意志的表达必须清晰而坚定。 为贯彻这一基本方针，未来十年将逐步实施的网络安全体系已详细载于《网络安全多层次防护方案（MLPS 2.0）》，该方案于2019年12月1日正式生效。此方案规定了中国境内所有企业和个人必须遵循的技术与组织管控措施，以履行《网络安全法》规定的MLPS相关网络安全义务。 所有企业和个人必须遵守以下三项标准：

1.GB/T 22239 – 2019 信息安全技术 – 多级保护方案基准

2.GB/T 25070 – 2019 信息安全技术——多级保护方案的安全设计技术要求。

3.GB/T 28448 – 2019 信息安全技术 – 多级保护方案评估要求。

这些标准的中文版本可在此处查阅；据我所知，目前尚无这些标准的英文译本。

我关于MLPS 2.0系统相关法律法规的个人档案包含800多页高度技术性的中文文件。 然而即便如此庞大的文件体系，仍不足以全面理解该系统的运作机制。要真正掌握其全貌，还需结合其他关键中国政府规划文件的目标进行研读，例如国家人工智能发展规划、《互联网+》行动计划、面向个人与企业的社会信用体系（参见《中国新型企业追踪系统：合规、合规、再合规》），以及中国正在实施的各类网络/互联网/数据采集与监控项目。

当综合审视这些不同项目时，不难发现MLPS 2.0系统实为一套全面数据收集、监控与控制计划的"硬件"组件。中国的计划是建立覆盖国内所有网络活动的系统：互联网、移动电话、微信类社交网络、云系统、国内外电子邮件。 中国的目标并非建立允许个体参与盈利的商业体系，而是实现由中华人民共和国政府及中国共产党主导的监控与管控。

为实现这些目标，中国正在构建一套旨在达成两个本质上相互矛盾的系统：该系统将对"不良行为者"（外国人和国内异议人士）的入侵保持封闭，但对中华人民共和国政府及中共的公安部及其他网络安全机构则完全透明。所谓对公安部的透明，其含义不言自明：任何阻碍公安部访问的技术均不被允许。 禁止使用VPN、加密技术及私人服务器。若公安部需安装后门或其他信息/数据拦截装置以实现全面监控，中国电信及本土互联网服务提供商必须配合。然而，向公安部开放访问权限与强化安全防护的目标存在根本冲突，如何调和这两大矛盾正是《MLPS 2.0标准》篇幅冗长且结构复杂的核心原因。

允许中国公安部接入网络和获取数据的法律依据，源自一项未纳入《MLPS 2.0标准》的法规。如前所述，要全面理解该标准，必须整合所有适用法规。此处仅举一例说明。赋予公安部直接"获取"权限的书面法规是《公安机关网络安全监督检查规定》（）。该条例于2018年9月15日颁布，2018年11月1日施行。下文对该条例的引用均指）。该规定于2018年9月15日颁布，2018年11月1日正式生效。下文对该规定的引用均基于中国政府发布的中文正式版本条款，而非包含未采纳条款的早期讨论稿。

作为初步问题，《公安机关网络安全监督检查规定》确认的关键事项是：公安部在中国拥有主导权，负责承担与互联网及网络安全相关的执法职责。这意味着工信部（中国电信）、网信办、CNNIC以及其他试图参与网络安全管理的中国机构已被推到一边，公安部成为主导力量。 这意味着执法将由警察而非地方官员执行。这一执法权限划分对在华经营的外资企业及其外籍员工具有实质意义。当中国官员上门索要信息时，企业或许能将其拒之门外；但若两名以上身着制服的警察登门，企业别无选择只能配合。

《公安机关网络安全监督检查条例》规定对联网服务器实施两级检查：现场检查与离线远程访问。详见第十三条。实施现场检查时，须有两名以上当地警察在场。参见第十四条。警务人员须由地方政府网络安全部门工作人员陪同。若地方政府人员不足，公安部可聘请独立承包商执行任务。
检查组对网络系统享有完全访问权限。检查范围既涵盖网络系统的技术层面，也包括服务器存储的数据/信息。参见第十条。

检查人员可全面访问系统并复制其发现的任何数据。详见第15条。检查人员复制贵公司系统数据的唯一限制是必须向贵公司提供收据。尽管第10条"限制"了涉及国家安全事项的访问权限，但中国对国家安全的定义过于宽泛，实际上对可访问、复制和移除的内容并无实质限制。

在公安部认定存在网络安全问题时，有权实施远程接入检查，其范围详见第十条规定。远程接入须提前通知。 此类通知涉及两项问题：首先，通知目的并非保护被检查方权益，而是确保服务器已完全向公安部开放访问权限。 其次，对于云服务商托管的服务器，通知对象究竟仅限云服务商还是同时包含云服务商及其客户，目前尚不明确。因此无法确定云客户是否会收到其服务器及数据被中国公安部查阅复制的通知。此事尚待时间验证，但据我推测，除非云服务商主动告知（这种可能性微乎其微），否则云客户永远不会知晓此事。

这项远程访问规则的管理颇为棘手。根据《网络安全法》2.0标准的架构设计，公安部计划与云服务商及托管服务提供商合作，要求其部署系统以便公安部随时进行远程访问，无需遵循逐次事件预先通知再访问的程序。然而，此类持续访问系统并未在《网络安全法》中有所体现。 即便严格遵守《公安机关网络安全监督检查条例》，也无法回避其赋予中国公安部对所有服务器和数据近乎无限制访问权限的事实。 将此称为"网络安全"实属根本性误导。正如条例本身所言，这是中国政府实施的监控管控机制，与开放互联网世界通常认知的网络安全毫无关联。

那么关键问题就变成了：中国公安部收集的数据——例如贵公司的数据——会发生什么？该部被允许复制并移除其检查的服务器上发现的几乎任何信息或数据。这些信息的保密性如何保障？ 《公安机关网络安全监督检查办法》第五条对此作出规定："公安机关及其工作人员在履行网络安全监督检查职责过程中知悉的个人信息、隐私、商业秘密和国家秘密，应当严格保密，不得泄露、出售或非法提供给他人。"这条规定必须仔细研读，因为它确立了"具有中国特色的保密原则"。

关键点在于，“其他”一词不包括中国政府或中国共产党的任何机构。 换言之，该表述不涵盖由中国政府运营或控制的高校及其他研究机构，亦不包含中国军队或军工企业，更不涉及中国国有企业（SOEs）。尽管表述未明，"其他"一词很可能也不包括实质受中共控制的名义私营实体——例如华为公司 。

那么，这项保密条款究竟意味着什么？在中国实施时，第五条的保密规则旨在防止公安部官员从事两类行为：一是向中外国企业出售数据谋取私利，二是向外国特工（间谍）泄露数据。该规则并非禁止 公安部与上述内部人员共享所收集的数据。 事实上，此类共享是满足整个中国政府及中共数据需求的重要环节。公安部不得囤积数据，而必须在中共控制的体系内进行数据分发。

这一结果进而引出了关键问题：任何位于中国境内的服务器所存储的机密信息，均可能被中国公安部查阅和复制，而这些信息随后将被整个中国政府系统所获取。但中国政府正是国有企业（SOEs）的股东，而这些企业掌控着中国关键产业。 中国政府实质上还掌控着国内关键私营企业，例如华为、中兴通讯，以及近年来的阿里巴巴、腾讯等众多企业。参见中国正向阿里巴巴、吉利等企业派遣政府官员 ，并计划在包括阿里巴巴在内的100家私营企业内部安插政府官员。中国政府同时拥有或控制着整个中国军工产业。

简而言之，公安部从外国公司获取的数据将被提供给外国企业的主要竞争对手、中国政府控制的私营研发体系，以及中国军工产业和军队。

由此产生的负面后果不言而喻。但关键问题在于，这些后果远不止于商业影响。中国的新系统将成为美国及其他政府关切的国家安全问题。这将引发私营企业无法回避的冲突。 企业究竟该遵从中国法律要求，向公安部提供数据？还是依据本国法律规定，拒绝向公安部（进而拒绝向中国军方）提供数据？换言之，企业是否该直接停止向中国业务提供数据？

最终结果将是，就中国而言，关键技术领域的"自由贸易"将遭到严重限制。欢迎来到新常态。

IV. 加密技术并非解决方案。

中华人民共和国全国人民代表大会颁布了备受期待的《密码法》，该法于2020年1月1日正式生效。法律正式文本可在此 查阅， 英文摘要可在此查阅。

密码学是实现全面网络安全计划目标的关键技术。通常，密码学用于保护网络传输和存储信息的机密性。但其应用使政府陷入两难境地：既能向公众隐藏信息的密码技术，同样也能向政府自身隐藏信息。 在此背景下，中国政府面临的核心问题在于：如何在要求使用密码技术的同时，仍能保持对网络系统的开放访问权限。

该法律将加密技术分为三类：核心加密、通用加密和商业加密。核心加密与通用加密适用于传输和存储中华人民共和国国家秘密的系统。商业加密则面向商业及私人用途。外国加密系统若通过尚未明确的认证体系获得批准和认证，即可在中国销售。 加密使用须遵守《网络安全法》及配套的MLPS 2.0规范。第26条规定，中共中央下属机构国家密码管理局将拥有监控和检查密码系统实施与使用的权限。第31条。

该三类体系忽视了密码学通常的实现方式。最重要的密码学系统并非商业系统，多数系统基于Gnu隐私卫士系统——这套完全开放的系统，其源代码通常向公众开放。 您可在此处下载源代码。考虑到PGP系统的核心功能在于帮助企业和个人向政府隐匿信息，提供PGP系统的组织机构不可能配合中国政府对其产品进行审查认证。与任何政府合作都将违背这一原则。

这便引出了新法下的首个问题。大多数加密系统作为开源系统可自由下载。中国政府完全有权审查用于实现PGP及相关开源系统的源代码。 真正的争议在于：鉴于这些系统永远不会提交给中国政府审查批准，中国政府是否会允许在华运营的企业和个人使用PGP及相关系统？若答案是否定的，那么针对外国加密系统的整套规定便毫无意义；若答案是肯定的，那么"商业用途"的界定便失去实质意义。

这便引出了最关键的问题。 密码学技术并非秘密。最重要的算法都是公开的，任何人都可以使用。政府完全清楚这些算法的工作原理，因为政府正是这些算法的主要发明者。网络安全法对密码产品的关注不过是障眼法。密码学中至关重要的并非保护加密算法本身，而是保护能够解密加密信息或数据的密钥。

《密码法》对解密问题未作规定，对防止解密的密码及其他密钥的保护亦未提及。其最终目的是通过将所有密码和解密密钥置于中国政府和中共掌控之下，打破所有形式的端到端加密。换言之，对公众不透明，对政府则透明。

《密码法》第31条规定了由国家密码管理局及其地方机构实施的政府检查控制体系。该体系赋予国家密码管理局及其地方机构对密码系统及该系统所保护数据的完全访问权限。这些系统同时受《网络安全法》下实施的公安部监督控制体系以及本文 所述的MLPS 2.0系统的监管。 因此，无论是SCA（中央密码管理局）还是公安部（协同国家安全部），均可全面访问加密服务器，包括对解密密钥和密码的完全访问权限。一旦获得此类访问权限，端到端加密便不复存在。具体运作机制详见此处说明。

归根结底，邀请外国加密技术供应商和用户不过是设下的陷阱。一旦数据通过网络跨越中国边境，中国政府和中共将100%掌握这些数据的全部内容。加密技术或许能阻止公众访问，但所有数据对中华人民共和国政府而言都如同敞开的书本。

这给依赖中国境内端到端加密作为美国出口管制规则豁免条款的美国及其他国家实体带来了重大问题。根据中国的新制度，端到端加密在中国境内将不复存在，因此这项美国出口管制豁免条款也将失效。随着美国扩大受出口管制技术范围，外国企业面临的风险将日益显著。

许多美国实体将加密技术视为规避中国《网络安全法》的途径，但此举注定徒劳——因为中国政府绝不会允许其奏效。中国政府深谙其道，已构建起一套能够实现完全透明化的监控体系。

V. 具体实例：黄金税务恶意软件计划

中国系统的终极目标是让中共在计算机系统中植入恶意软件，从而使中共及其代理人获得对系统的完全访问权限。这种恶意软件通常是某种形式的远程访问木马（RAT），而中国在这项恶意软件技术领域处于世界领先地位。金税恶意软件项目正是实现这一目标的具体范例。

过去十年间，中国政府及其国有银行致力于推动财务报告与流程的"数字化"转型。如今在中国经营的企业几乎无需亲赴政府机关或银行办事处，所有交易与申报均可在线完成。
日常运营中，这意味着以下事项均可通过互联网办理：

1. 日常银行业务
2. 月度税务报告
3. 每月税款和社会保险费缴纳
4. 增值税发票的开具
5. 向政府机构提交定期报告
6. 对于进出口商而言，向海关申报

若试图通过走访中国政府机关来开展此类工作，你将被拒之门外。

这一切看似现代化且高效，但互联网的广泛使用却隐藏着潜在风险。在所有交易中，中国政府机构和银行都要求企业使用由机构或银行提供的软件，不允许使用独立软件。这类软件通常是包含连接程序和防病毒保护的软件包。 根据我的经验，这些软件包编写粗糙、漏洞百出、运行缓慢且操作繁琐。一旦安装在企业中央计算机上，就会导致系统运行速度严重下降，甚至完全无法使用。

但真正的问题更深层。如前所述，中国政府的目标是使国内信息网络对外封闭，却对政府完全开放。一旦信息进入互联网，该系统的目标就是确保所有信息都能被中国政府获取。更直白地说，中国政府已成为国内最活跃的信息黑客。 企业被迫在其系统上安装的软件，正是由黑客——中共——提供的。风险显而易见。

美国网络安全咨询公司Trustwave近期在一份报告中揭露了该风险的现实案例：某中国银行要求企业安装的纳税软件中暗藏恶意程序。详见《黄金税务部门与黄金间谍恶意软件的诞生》——该报告副标题指出，Trustwave SpiderLabs发现新型恶意软件家族"黄金间谍"，其植入中国某银行强制企业安装的纳税软件中，该软件是企业在中国开展业务的必备工具。 该事件的本质在中国颇具典型性：该银行强制要求安装由中国某私营"大数据"公司开发的软件，而该公司受中国国家税务部门委托进行开发。换言之，强制使用此间谍软件的指令直接源自北京中央政府。

该软件内置后门程序，具有双重功能：首先，所有提交至银行的数据及主机计算机上的其他数据均会被传输至某中国私营企业运营的服务器——该企业与中国国家税务部门存在关联，其服务器托管于阿里巴巴云平台。其次，该软件使后门操作者能够完全掌控整台主机计算机系统。 Trustwave针对此类感染提供了标准处理建议。但其建议的卸载方案并不现实——企业必须使用该间谍软件才能在中国开展业务。替代方案是将软件安装在与公司主计算机系统隔离的专用笔记本电脑上，以此防止主网络系统受感染。 但该方案无法阻止私密数据被传输至当地税务机关，更无法防止数据被发送到恶意软件服务器用于不明目的。此外，中国政府将如何对待将敏感数据隔离在非联网专用计算机上的外资企业，目前尚不明确。

现在我们终于明白，为何中国政府强制安装的软件都如此不堪使用。这些软件充斥着恶意程序、后门程序和监控协议，导致系统运行严重迟缓，许多设备几乎无法正常使用。在中国工作的我们一直对此有所察觉，而Trustwave的报告如今提供了确凿的例证。

更严重的问题在于，这种强制安装后门恶意软件的行为在中国已成常态。这绝非某家银行某款软件的孤立事件。正如本案所揭示的，国家政府正协同政府控制的银行、地方政府、私营软件/大数据公司以及中国本土云服务提供商，构建一套能够全面获取中国境内网络所有信息的监控体系。

正如Trustwave所建议的，针对单一恶意软件实施防护或许可行。但实际上，要抵御中国政府持续且无处不在的获取私营企业数据的手段，防护措施根本无法实现。其入侵点过于分散。例如，政府强制要求的企业网络检查，便为植入类似后门恶意软件提供了便利条件——这些恶意软件常被作为检查流程的一部分进行安装。

问题不仅在于中国本土系统遭受外国投资者的破坏。一旦中国系统遭到破坏，黑客（中国政府）几乎总能进而入侵与被黑系统相连的整个国际网络。病毒由此从中国向全球扩散。信息化、大数据及全谱主导权是中国政府的首要任务。这对在华运营的企业具有重大影响，必须审慎评估这一现实。

网络安全顾问对税务恶意软件风险的标准回应，是宣称西方式网络安全措施能成功抵御中国政府主导的黑客攻击。这些方案注定失败，而宣称其有效性的做法只会制造虚假的安全感，反而加剧风险。直白地说，在中国，政府本身就是黑客，它绝不会允许国内外技术人员提供任何可能挫败黑客最终目标的服务。

让我解释一下为什么常规的网络安全技术行不通。

网络安全顾问通常首先解释，在独立笔记本电脑上设置银行操作流程，能将受感染站点与安全防护的主站点隔离。在中国，使用专用笔记本电脑处理银行业务是标准做法。我当年在中国协助运营公司时也曾这样操作。需要独立笔记本电脑的原因恰恰揭示了问题所在——中国银行软件的设计使其只能在中文版本的Windows操作系统上运行。

此外，该软件仅能在过时、未打补丁且不受支持的Windows版本上运行——通常是旧版Windows 7。其原因在于，软件中隐藏的恶意程序依赖于利用未打补丁的Windows操作系统中普遍存在的各类漏洞。因此，任何使用双语版本、已打补丁且受支持的Windows 10系统的用户都无法使用银行提供的软件。这使得必须使用独立笔记本电脑。

在中国普通企业的日常运营中，这种使用独立笔记本电脑的做法完全不切实际。必须认识到，在上述新体系下，企业在中国的所有财务与监管事务都需通过互联网完成。 若要实现全面防护，则需配备多台独立笔记本电脑：每家银行一台、税务部门一台、增值税发票处理一台、地方政府一台、中央政府一台、货运代理一台、海关一台、（政府监管的）会计师一台、出纳员一台、员工福利服务一台。清单将无穷无尽。 由此产生了将所有软件系统整合到单台笔记本电脑的压力。这台设备将贯穿整个工作日持续使用——并非连接接收方（例如某家银行）后立即关机，而是几乎全天候保持与互联网用户的在线状态。

但等等，情况更糟。如今企业所有重要数据都存储在一台或多台专用笔记本电脑上，这些设备与公司主系统完全隔离。然而开展业务时，公司需要将笔记本电脑中的数据传输至主系统。试想一下：如果贵公司所有银行信息都存放在某办公室的一台笔记本电脑上，且不属于主系统的一部分。因此笔记本电脑中的数据必须定期传输至主系统。

不仅笔记本电脑的数据必须在某个时间点传输到主系统才能使公司正常运转，主系统的数据也必须传输到笔记本电脑才能使用笔记本上安装的各类系统。试想一下，如何才能每天将特定的财务数据从主系统流畅地转移到笔记本电脑上。

实际上，要完全隔离系统是不可能的，而在这些必要的数据传输过程中，您的系统便暴露在恶意软件感染的风险中。最原始的传播方式是通过U盘传输数据时携带恶意软件。然而许多企业仍通过以太网或无线网络在不同系统间传输数据。有些公司干脆放弃防护，将所有重要财务操作转移到专用笔记本电脑上，甚至直接使用中国产的Windows台式机。

这正是中国本土实际发生的情况，且无法阻止。在华外资企业通常会根据外国网络安全专家的建议部署系统：使用打过补丁的最新操作系统、最先进的防病毒防护、顶级加密技术以及复杂的VPN。但这一切努力都徒劳无功——因为当需要网络连接时，中国电信或其他中国政府机构将接管网络系统。 他们会告知：这些系统可用于个人用途，但禁止在中国境内开展任何涉及互联网的业务操作——因为中国法规要求必须遵守以下规定：

1. 中国批准了病毒防护软件。
2. 中国批准了密码学。
3. 一家经中国批准的互联网服务提供商。
4. 中国批准的云服务提供商。
5. 中国批准的连接软件。
6. 我们将为您提供经中国官方认证的中文版本Windows系统。
7. 仅由中国批准（且受其管控）的网络顾问提供的支持服务。

更甚者，如前所述，中国地方当局有权在不事先通知的情况下随时检查您的联网系统，且此类检查无需公司员工参与。检查期间，您的数据将通过U盘被提取。若政府检查人员意图实施，他们可利用同一U盘植入恶意软件。 中国境内多数大型网络连接均通过云系统实现。中国政府部门同样拥有检查云系统的权利。根据相关规定，云服务提供商的客户甚至不会知晓其系统已被检查。

在中国，企业网络系统仅能通过中国政府、中国政府机构或经政府批准管控的IT顾问获取。中国政府是国内主要黑客组织，您的网络安全防护正由黑客本身实施。这已超越普通网络连接范畴——中国政府提供固定电话系统、移动通信系统、互联网接入服务及电子邮件服务器。 许多中国政府机构拒绝使用电子邮件，要求所有联络必须通过微信进行——这个完全不安全的平台始终处于中国政府的监控之下。即便采取顶尖网络安全顾问建议的极端防护措施，在华外资企业或许能规避其中某次数据攻击。但当攻击来自四面八方，且由中国政府亲自组织实施、以监禁威胁为后盾时，任何防御终将溃不成军。

VI. 企业如何被推入不安全的网络系统。

正如我们所见，中共及其代理人的目标是将所有企业——无论国内外——都纳入一个不安全的网络系统，该系统允许中共对在中国境内存储或传输的所有数据进行监控、控制和全面访问。那么：他们是如何做到的？

A. 中国政府就是黑客。

中国在网络领域推行总体国家安全概念的基本目标，是确保所有网络通信和信息对政府开放可获取，同时阻止境外主体访问。 基于此理念，政府致力于确保境内所有网络活动均处于国家监控之下。该机制适用于所有在中国境内（现含香港、澳门）运营的个人或实体。 若在中国境内开展业务，必须认定所有联网数据及通信均可能被中国政府截获。外资企业或外国公民不再享有任何特权地位；一旦进入中国境内，其待遇与本土企业及中国公民完全相同。

那么中国政府如何实施这项计划？关键点在于中国政府本身就是黑客。当黑客直接参与互联网的创建与监管，并成为实施网络安全的关键执行者时，其网络入侵/数据收集活动必然无法被防范——这已是公理。黑客决定着系统的运行方式，而系统自然不会对其自身活动提供任何防护。

B. 航天信息股份有限公司

这个基本事实可通过前文讨论的"黄金间谍/黄金助手"恶意软件程序得到印证。 Trustwave报告指出，Golden Spy软件由航天信息股份有限公司（Aerospace Information Joint Stock LLC.）编写。这家上市IT企业专注于信息安全领域，其官网声明隶属于国有企业中国航天科工集团公司（CASIC）。详见《Golden Spy》第四章：官方金税软件中嵌入的Golden Helper恶意软件。

中国航天科工集团（CASIC）是中国领先的导弹及相关航空航天设备制造商。该集团向朝鲜出售导弹系统，并与俄罗斯军方保持密切合作。作为武器供应商，它是由中国政府和中国共产党直接控制的国有企业。换言之，它就是政府本身。 近期，为推进中国自主研发网络运营与云计算的战略规划，中国航天科工集团通过旗下子公司航天信息进军商业网络领域。航天信息此前主要从事支付处理及财务系统业务，其参与编写"金盾"税务软件并实施相关系统，正是该战略布局的重要环节。

C. 金色间谍/金色帮手恶意软件

航天信息公司编写"黄金间谍"恶意软件，意味着中国政府参与了该恶意软件的开发。简言之，中国政府就是黑客，而该黑客免于承担任何黑客活动引发的法律责任。正因如此，航天信息公司才为该恶意软件采用了粗糙且易被识破的木马系统——它完全不必担心被抓获、受惩罚或遭取缔。

有人向我们及安全专家表示，如此明显的入侵行为反而证明中国政府不可能是该恶意软件计划的幕后黑手。ArsTechnica对此类评论作出了明确回应：

读者评论：“使用特洛伊木马下载器并不隐蔽。”

ArsTechnica的回应：至于说它不够隐蔽……按你设定的标准，这类恶意软件从一开始就谈不上隐蔽，所以这论调实在离奇。更奇怪的是，你居然认为中国政府会在意隐蔽性——毕竟我们讨论的是由政府强制在国内分发的软件。难道中国当局会怎么做？严厉打击吗？

正如Arstechnica所阐明的那样，当恶意软件或非法数据收集行为由政府自身实施时，受害者既无补救途径也无逃避之法。中国政府及其关联的黑客组织在中华人民共和国境内活动时，既无需隐蔽操作也无需掩盖行踪。
迫使企业接入不安全网络的具体手段有哪些？

1. 强制使用含有恶意软件的政府软件。

中国政府要求的纳税软件中包含的"黄金间谍/黄金助手"恶意软件正是此类手法的典型案例。 Trustwave已就该恶意软件及航天信息公司（Aisino）应对公众曝光事件的处理方式发布系列报告，详见《黄金间谍：第二章——卸载程序》《黄金间谍：第三章——升级版卸载程序》及《黄金间谍：第四章——官方黄金税务软件内嵌的黄金助手恶意软件》。任何计划在中国开展业务的外国企业都应将这些Trustwave报告列为必读材料。

Trustwave的后续报告揭示了以下三个关键点：

首先，航天信息公司利用"黄金间谍"软件的自动更新系统传播了卸载程序，该程序不仅清除了恶意软件，还删除了其所有文件及其他存在痕迹。该软件采用标准更新流程，这意味着随时可能被用于下载恶意软件或其他未经授权的程序。今日看似干净的系统，明日便可能遭受感染。这意味着该软件始终是潜在风险的源头。

其次，Trustwave在Golden Tax软件中发现了另一款相关但独立的恶意程序。这款名为Golden Helper的恶意软件在2018年和2019年期间持续活跃。由此Trustwave合理推断，该税务软件恶意程序并非近期事件，而是至少已持续存在数年之久。

第三，Trustwave确认了我先前对中方银行部署"黄金税务"软件及其恶意软件有效载荷所用技术手法的描述：

在调查过程中，我们获悉贵机构环境中可能部署了由银行提供的独立版"黄金税务"软件。多名用户反馈收到预装该软件（含"黄金助手"）的Windows 7家用版实体计算机，开箱即可使用。此部署机制堪称特洛伊木马的生动实体化体现。

参见《黄金间谍》第四章：官方黄金税务软件中嵌入的黄金助手恶意软件。

此前我撰文揭露中共普遍且无法阻挡的黑客行为时，收到诸多质疑，认为这些说法绝无可能属实——因为这意味着大量计算机系统遭到入侵。对非中国大陆工作者而言，中国政府要求企业使用不安全的计算机系统似乎难以置信。但若考量政府目标，此事便不难理解。 被攻破的系统更易遭入侵。政府本身就是黑客，自然要为自己创造便利。银行可能根本不清楚恶意软件和系统漏洞的细节——银行职员不过是在执行指令罢了。

2. 使用内置后门的网络硬件。

长期以来，业界普遍认为中国制造的网络硬件设备内置后门程序，允许中国政府进行未经授权的入侵。近期一份报告证实了这一推测。据ZDNet报道，某研究团队在关键网络光纤连接设备中发现了七处独立的恶意软件/后门程序。详见《中国供应商C-Data旗下29款FTTH设备被发现存在后门账户》。

ZDNet将这些故意留下的后门描述如下：

本周，两名安全研究人员表示，他们在知名供应商C-Data旗下29款FTTH OLT设备的固件中发现了严重漏洞及疑似故意植入的后门程序。FTTH代表光纤到户（Fiber-To-The-Home），OLT则指光线路终端（Optical Line Termination）。FTTH OLT设备是网络基础设施，可帮助互联网服务提供商将光纤电缆铺设至用户终端附近。

正如其名称所示，这些设备是光纤网络的终端节点，负责将光纤线路的数据转换为经典以太网电缆连接，随后接入用户家庭、数据中心或商业中心。它们遍布互联网服务提供商（ISP）的整个网络，因其关键作用而成为当今最普及的网络设备类型之一——全球数百万网络终端节点都需部署此类设备。

对该恶意软件的简单评估是：它糟糕得无可救药。

本文提及的供应商C-Data是中国境内此类硬件的主要来源。关键在于：若该公司敢于在其出口产品中植入后门系统，那么在中国本土市场必然同样肆无忌惮。这意味着所有在华运营的外国企业都应认定，其整个网络系统中的互联网连接已被此类恶意软件/后门彻底渗透。 即便办公系统未被植入，互联网服务提供商或云服务商层面几乎必然存在此类后门。

该系统由中国政府拥有或控制的电信运营商安装。再次强调，正是黑客——中国政府——部署了该系统，而通过这些后门入侵企业网络系统的也是黑客。

3. 使用中国大陆强制安装的杀毒软件。

中国新颁布的《网络安全法》核心条款之一，要求联网用户必须使用中国政府提供的杀毒软件。试想：中国政府强制企业仅使用其提供的"杀毒"软件。这种杀毒软件既为中国政府黑客提供了便捷的入侵用户计算机网络的通道，无疑也经过特殊编程以掩盖中国政府植入的恶意软件。
网络安全界早已知晓被黑客入侵的杀毒软件所蕴含的风险。在《前美国间谍称杀毒软件堪称完美间谍平台》一文中，Cyberscoop详细阐述了杀毒软件如何成为绝佳的间谍工具：

由于大多数杀毒软件厂商都设计了其产品，使其能够通过直接扫描文件在用户系统上自主搜索计算机病毒，然后将数据发送回服务器进行分析，因此这类软件本质上具有高度侵入性。

"除了远程风险外，杀毒软件还会扩大主机的攻击面，"美国国家安全局前计算机网络攻击分析师布莱克·达奇表示，"如果攻击者能进入组织网络内的中央杀毒服务器，该服务器就可能被用于传播恶意软件。"

软件更新虽能修复产品中的漏洞或其他问题，却也开辟了新的攻击途径——它为远程向全球计算机植入代码提供了可信通道。

中国黑客深谙利用杀毒软件实施此类攻击的手段。详见：研究称CCleaner攻击系中国关联组织所为。

在中国境内，强制使用中国政府指定的杀毒软件将黑客攻击风险推向更高层次。在中国境内，根本无需远程入侵——黑客本身（即中国政府）已为企业提供了实质上被预先入侵的系统。

该预先被黑客入侵的系统不会对中华人民共和国政府制造的恶意软件进行拦截，同时该系统还充当了传播载体的角色，持续注入由中华人民共和国政府及其合作伙伴提供的恶意软件流。

试想美国可能出现的类似情形：假设国家安全局（NSA）和联邦调查局（FBI）成为杀毒软件的唯一供应商。这类软件或许能有效拦截犯罪分子和外国势力的恶意软件，但没人会指望它能保护用户免受NSA或FBI的入侵——这未免太天真。而若真相信中国及其政府强制推广的杀毒软件能做到这点，就更显荒谬了。

4. 从电子邮件转向微信。

中国政府禁止Gmail在中国使用后，中国政府机构开始要求外国企业使用经中国批准的电子邮件服务进行通信。这些服务运行不畅且普遍存在安全隐患。因此，大多数外国企业仍继续使用美国和欧洲的替代性邮件服务商。这些服务相对而言不易被中国方面截获通信内容。Proton Mail等采用端到端加密的系统在中国境内具有较高的安全性。

中国政府本可采取下一步行动，封锁所有境外电子邮件服务商的访问通道。但中国相关机构采取了更具创造性的手段。既然中国政府已实质上完全掌控微信平台，中国机构便强制将所有通讯转移至微信应用。若你向银行发送邮件，银行将不予回应。 若向当地税务局发送邮件，对方不会回应；若向当地警方咨询签证状态，同样石沉大海。中国法院亦是如此——他们通常仅要求我们通过微信沟通，甚至在提交文件时亦是如此。中国政府机构几乎无一例外要求以微信附件形式提交材料，而非邮件附件。

这意味着从足够的安全性转向完全没有安全性。从国际特赦组织最近对即时通讯应用的评级中可见一斑。该组织以0到100的评分标准，对11款主流通讯应用的加密和用户隐私保护进行评级。Facebook以73分获得最高评分，而微信则被评为零分。 换言之，国际特赦组织认定微信在防范黑客攻击方面毫无防护能力。零。毫无。毫无。毫无。毫无。毫无。参见《仅限您阅》？对11家科技公司加密技术与人权保护的评级报告。

这种强迫迁移至完全不安全的通信平台的做法，正是中共惯用的手段。没有任何法律法规禁止使用境外邮箱，也没有强制使用微信的法律规定。所谓"规则"实为强制执行：若发邮件则石沉大海，若致电或亲赴政府部门投诉，得到的回应总是："用微信吧，大家都用，你也该用。" 规则就这样强加于人，而中国当局既无义务将此规则正式化，也无需公布其内容。

5. 强制使用不安全的Windows资源管理器版本。

中国政府提供的许多服务现已实现在线化。例如，众多表格和申请仅通过在线系统提交方能被中国政府机构受理：纸质申请不予接受。同样地，政府信息也主要通过网络渠道发布。但问题在于：几乎所有中国政府在线系统都只能在不安全、过时且未打补丁的Windows浏览器版本上运行，通常是Explorer 8。 若尝试使用Chrome、Firefox、Safari或Opera等浏览器访问这些系统，系统将无法运行。没有任何解释，就是无法使用。访问这些系统并非可选项：在中国开展业务必须通过互联网访问这些政府网站。因此，在没有说明且缺乏正式监管的情况下，用户被迫使用不安全的系统。

七、跨境与国际影响

中国的网络安全体系已延伸至国境之外，即使不在中国境内开展业务也无法规避其影响。请考虑以下情况：

1.任何向中国传输的数据都存在被该国政府及其代理机构获取的风险。所有中国企业和组织均受网络安全审查制度约束。假设您正与中国实体合作，且该实体出于自身利益需要对您提供的信息保密。 涉及向中国传输高度机密数据的领域众多：合同制造、联合研发、技术许可。您合作的中方实体同样面临上述披露与访问风险。因此，任何外国实体都必须认定传输至中国的所有数据均存在风险。

2.在"数字丝绸之路"计划下，中国政府正致力于将中国的网络安全漏洞计划推广至所有允许中国实体建设其网络系统的国家。这使中国得以向全球输出其基于互联网的监控与控制体系。详见 中国会通过数字丝绸之路掌控全球互联网吗？ 以及 输出数字威权主义。此类担忧通常被归为人权议题。但我们认为，核心问题在于中国正将网络不安全模式全球化。 通过数字丝绸之路体系，中国政府正向外国政府传授如何建立类似中国的信息透明系统。更微妙的是，中国企业负责系统搭建，使中方政府能全面掌控当地系统。这将形成双重技术数据获取机制：地方政府与中央政府同时掌握外国技术数据。

3.许多行业领域早已被中共及其代理人预先入侵。向这类被黑系统传输数据，实质上就是向中共及其代理人输送数据。台湾半导体产业便是典型例证。台湾半导体制造商已被中国大陆彻底攻破。详见 中国黑客如何掠夺台湾半导体产业。 台湾芯片制造商的高层 员工已被挖角至中国工作。详见 中国为争夺芯片霸权招揽逾百名台积工程师：新兴芯片制造商以丰厚薪酬争抢人才。这意味着机密芯片设计与技术几乎必然正泄露至中国。