数据作为新型生产要素,已成为驱动经济社会发展的重要力量。伴随着数据与生产、分配、流通、消费和社会服务管理等各个环节的快速融合,数据安全的重要性日益凸显,保护数字信息在其整个生命周期中免受损坏、盗窃或未经授权访问对维护国家安全、促进数据要素流通、支撑数字经济发展等具有重要意义。数据安全作为中国—东盟非传统安全合作治理的重大主题之一,其复杂性、高风险性和不确定性促使各国亟须通过合作治理来谋求安全。
中国与东盟在数据安全领域合作存在广泛的利益契合点,中国-东盟关系协调国菲律宾外长洛钦代表东盟表示,中国提出的《全球数据安全倡议》反映了各国共同关切,东盟各国高度重视。信息安全对包括东盟在内的各国未来发展至关重要,东盟愿同中方加强全球数字治理、网络安全合作。《中国—东盟非传统安全领域合作谅解备忘录》《网络安全合作战略草案(2021—2025)》等一系列文件的签署执行进一步拓展了中国与东盟在数据安全、数据基础设施建设、网络空间安全治理等方面合作的广度与深度。
尽管中国与东盟在数据安全领域合作具有广阔空间并取得了积极进展,但由于网络安全问题形势严峻、东盟内部数字鸿沟差距和美西方地缘竞争带来合作的复杂性和不确定性,中国-东盟数据安全合作前景面临挑战。
一、网络安全问题形势严峻
近年来,东南亚经历了引人注目的技术和数字化转型,互联网用户的渗透率迅速提至71.6%,现拥有超过4亿互联网用户。这一转型推动了该地区数字经济的飞速发展,预测表明,东盟的数字经济将在2030年达到惊人的1万亿美元,使其成为全球增长最快的互联网市场。然而,随着该地区数字潜力的增长,针对其发起的网络攻击威胁也在增加。
在整个东南亚地区,网络犯罪激增了82%,截至2022年7月,东盟因网络攻击损失287万美元,针对关键基础设施的恶意软件攻击正成为增长最快的网络犯罪形式之一。来自新加坡的网络安全公司Cyfirma最近的一份报告显示,今年仅在八个月内,东南亚就遭受了86次全球先进持续威胁(APT)攻击中的68次,这些攻击主要针对新加坡,有26家机构成为受害者,其次是泰国、越南和印度尼西亚。新加坡在2021年至2022年间遭遇的网络钓鱼攻击增长了174%。派拓网络(Palo Alto Networks)在其针对东盟的网络安全报告中指出,菲律宾和马来西亚是该地区遭受恶意攻击最多的国家,至少四分之一的菲律宾公司面临着日益增加的破坏性攻击。2023年9月25日,菲律宾健康保险公司(PhilHealth)向国家隐私委员会(NPC)报告,其系统遭到了Medusa勒索软件组的攻击,导致系统瘫痪。该国家保险公司的调查揭示,黑客在暗网上披露了大约1300万至2000万名成员的个人信息,占菲律宾人口的约18%。国际刑警组织的“东盟网络威胁评估2021”报告概述东盟地区面临的主要网络安全威胁:企业电子邮件欺诈、网络钓鱼、勒索软件、电子商务数据截取、犯罪软件、网络诈骗、加密货币挖矿。
尽管发生了大量严重的网络攻击,但该地区的网络韧性,即“准备、应对和从网络攻击中恢复的能力”,仍然相对较低。实现有效的网络韧性需要一种全面的方法,包括治理、风险管理、对数据所有权的清晰认识、积极的区域和国际合作,以及对基础设施和机构能力的持续改进。尽管在增强东南亚国家和该地区的网络安全方面已经取得了显著进展,但缺乏协调的网络安全标准仍然是障碍。
当前,东盟地区的网络安全架构仍然是分散的,这种缺乏全面网络安全治理战略的现状对东盟构成了重大挑战。该地区新兴的网络安全架构在很大程度上依赖于个别东盟成员国的承诺和行动,这些成员国受到各自经济和数字差异的影响,并受到不同法规的制约,导致各国在处理网络安全问题上有不同的优先事项。此外,敏感数据的及时信息共享面临重大挑战,因为东盟各国优先考虑国家安全和主权,国家间的不透明性阻碍了在管理网络威胁方面的集体进展。鉴于东盟在网络安全治理方面的路径存在固有的多样性,东盟成员国之间的互操作性不可避免地存在不足。
二、东盟内部数字鸿沟差距
东盟内部较为严重的“数字鸿沟”阻碍了中国与东盟在应对数据安全威胁的集体行动能力。当前,东盟国家间的互联网资源存在较大差距,互联网普及率从老挝的26%到文莱的95%不等。国家内部,较贫穷或处于偏远地区的家庭和社区的网络基础设施薄弱。例如,印度尼西亚首都雅加达有66%的人口可以上网,而巴布亚新几内亚只有20%。此外,一些东盟国家的固定宽带网络发展不足,部分原因是缺乏电力等基础设施。根据国际能源机构(IEA)的报告,尽管东南亚地区90%的人口已经用上了电,但仍有6500万人存在用电困难。网络较不发达国家更关注于解决基础网络问题,从而相对减少了安全防护层面的考虑和要求。东盟各国每百万人拥有的安全互联网服务器数目逐年增加,但各国间数量相差悬殊,2020 年新加坡每百万人拥有的数目为128378个,缅甸仅有14个。根据国际电信联盟发布的《2020年全球网络安全指数》,除新加坡、马来西亚入围全球防范网络攻击的前二十强国外,老挝、柬埔寨、缅甸等国应对网络安全能力不足。[15]菲律宾63%的组织因网络安全人员有限而难以招募具有网络安全知识的IT专业人员。
东盟各成员国的数字化发展水平同样具有明显差异。东盟地区是2022年世界上增长最快的地区之一,亚洲开发银行(ADB)预测,2022年东南亚的经济增长将相当于5.5%。与此同时,区域内部国家间发展极不平衡,既存在以新加坡和文莱为代表的高收入国家,也有越南、菲律宾、老挝、柬埔寨、缅甸等属于世界银行划定标准下的中等偏下收入国家。国内生产总值(GDP)和国民总收入(GNI)较高的国家一般具有推动数据安全合作的强烈意愿并高度响应区域宏观政策,国内公民对于享受数据服务的需求也更为强烈,而经济不发达地区则相反。国家层面衡量数字化发展基础的指标是东盟数字一体化指数,该指数着眼于数字一体化准备的六个维度,即:数字贸易和物流、数据保护和网络安全、数字支付和身份、数字技能和人才、创新和创业以及机构和基础设施。2021年,马来西亚和新加坡的得分高于地区平均水平,而柬埔寨、老挝和缅甸在所有六个维度上的得分均低于地区平均水平。与此同时,印度尼西亚、泰国、越南、菲律宾和文莱的得分参差不齐。
网络准备水平的持续差异,大致将东盟国家分为三个类型:新加坡、马来西亚为网络安全治理“体系完善群体”,印度尼西亚、泰国、越南、菲律宾和文莱为“体系欠缺群体”,缅甸、老挝和柬埔寨为“体系落后群体”。新加坡和马来西亚在地区网络能力方面位列前二,并在应对恶意软件攻击方面展示了出色的危机响应能力,成为亚太地区国家网络安全指数(NCSI)和东盟数字一体化指数(ADII)中表现最好的国家。泰国、印度尼西亚和菲律宾被认为在网络能力方面处于发展阶段,并增强网络抵御能力方面取得了重大进展。文莱和越南被认为是网络能力“新兴国家”,但在机制建设等方面仍存在不足。柬埔寨、老挝和缅甸的网络能力“有限”,由于资源可用性、技术基础设施和国家优先事项,它们在提高网络安全排名方面面临挑战。
三、美西方地缘竞争
东盟地区成为大国网络空间博弈的“主战场”,面临的数据安全环境更趋复杂。拜登政府执政以来,美国极力谋求增强网络空间的主导地位,互联网未来联盟的提出和推进,实际上是拜登政府强化网络空间霸权的重要战略举措,目标主要包括维护美国的网络空间霸权地位、促进美国数字经济发展、打造网络空间“志愿者联盟”和争夺网络空间治理主导权。该战略强化了美国在东南亚区域的互联网合作,增强其在东南亚地区网络空间话语权和影响力,加剧东盟国家网络空间“选边站队”的压力。
一方面,美西方不断炒作中国对东盟数据安全带来的威胁,通过“泛意识形态化”与“泛安全化”抹黑中国。将中国的数字技术和产品冠以“数字威权主义”,将中国帮助东盟国家建设“智慧城市”“平安城市”抹黑为对信息技术的滥用。毫无根据地指责中国数字产品存在所谓的“安全漏洞”,以此为理由在国际社会污名化中国的数字化设备,并鼓动盟友一起抵制中国的数字产品。美智库Recorded Future污蔑与中国有关的黑客针对东南亚和其他地区的国家进行攻击,对东南亚地区的政府构成特定威胁。
另一方面,美国以对冲影响的方式干涉中国与东盟之间的数字基础设施合作与数据安全合作。在2022年5月举行的“美国—东盟特别峰会”上,双方就加强数字经济发展达成共识,美国通过“印太经济框架”笼络其他国家接受美国互联网标准引起部分东盟国家关注。同时,拜登政府通过《国家网络安全战略》与互联网未来联盟战略,构建议题联盟,排查关键技术过度依赖中国的“风险”,严格对中国相关技术项目的投资审查,挤压中国在东南亚区域的网络话语权,加剧了东南亚在亲中和反中路线上的分裂。
四、结语
中国与东盟在数据安全领域的合作,尽管取得了积极进展,却面临一系列挑战。首先,网络安全问题在东南亚地区呈现严峻态势,网络犯罪激增,各国面临来自全球的先进持续威胁。尽管有所努力,但地区整体的网络韧性仍相对较低,需要更全面的治理方法和国际合作。其次,东盟内部存在数字鸿沟,各国在数字化发展水平和网络基础设施上存在差异,这影响了区域内的协同行动。最后,美西方的地缘竞争使得数据安全合作环境更加复杂,各方对中国的数字技术进行污名化,导致地区国家在面临合作选择时面临更大的压力。
面对这些挑战,中国与东盟应加强对话与协调,共同应对网络安全的威胁。同时,需要促进数字化发展的协同,缩小数字鸿沟,使地区内各国在网络安全合作上形成更为一致的立场。对于外部压力,中国与东盟可以通过加强信息共享、制定共同的网络安全标准等方式,保护各自数字基础设施的安全,并共同捍卫地区的数字主权。在这一背景下,中国提出的《全球数据安全倡议》为地区合作提供了新的契机。通过共同努力,中国与东盟有望在数据安全领域取得更为深化的合作,为地区的数字化未来搭建更加安全、可持续的基石。