本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:刘畅,编辑:朱弢,头图来自:视觉中国


阿里云可能成为美国新的调查目标。


1月18日,有媒体援引知情人士的话称,美国政府正在对阿里云进行审查,以确定其“是否对美国国家安全构成风险”。


其中一位知情人士称,当前调查的重点是阿里云存储美国客户数据的形式,内容包括个人信息和知识产权,以及“中国政府是否可能取得这些数据”;另一位知情人士表示,美国方面认为中国“可能破坏其用户对存储在阿里云上信息的访问”。


消息人士称,美国监管机构下一步可能禁止其境内/境外的美国人使用阿里云业务。


美国商务部发言人表示,该机构不对“存在或不存在交易审查”发表评论,中国驻华盛顿大使馆没有回应置评请求。


《财经》E法就此询问阿里巴巴方面,截至发稿未获回应。


谁在调查阿里云?


根据媒体报道,调查由美国商务部情报及安全办公室(Office of the Intelligence and Security)负责。


浏览美国商务部网站,这个办公室甚至没有出现在其“组织机构”名单里。


“这个机构曝光度不高,”世辉律师事务所合伙人王新锐介绍,“以往中国出海企业经常会碰到的美国国家安全审查机构,是美国外资投资委员会(CFIUS)。”


CFIUS隶属于美国联邦政府,主要职责是对可能影响美国国家安全的外商投资交易进行审查,此前蚂蚁金服收购美国速汇金,TikTok收购musical.ly,均由CFIUS审查。


“这个机构(情报及安全办公室)的人其实非常少,也就17个人,预算也不是特别多。”美国亚太法学研究院执行长、暨南大学特聘教授孙远钊对《财经》E法表示,这一机构是美国前总统特朗普通过总统行政命令成立,其主要职责是针对“特定国家”的网络安全调查。总的说来,它拥有广泛权力,可禁止或限制美国公司与“外国对手国家”的互联网、电信和科技公司的交易。


孙远钊认为,此次调查的关键部分“显然从特朗普时代就已开始”,现在则已进入审查阶段,“公开信息显示,从2020年下半年开始,这个办公室就已对阿里云的业务进行调查”,其主要关注点在于阿里云究竟搜集了美国的客户的哪些信息,以及其中是否违反了美国对隐私、网络安全、商业秘密及其他知识产权的法律规制。”


根据媒体报道,在特朗普任期内,美国商务部就曾担忧阿里巴巴的云业务,但正式的审查是由拜登政府在2021年1月上任后启动的。


另一则旧闻也从侧面反映,调查并非“即时起意”。2020年8月,特朗普政府曾对包括阿里巴巴在内的中国云供应商发出警告称,它们“可能被禁止继续与我们(美国)做生意”,包括履行涉及美国的云服务。


另一个值得注意的信息是,阿里巴巴在2021年7月27日公布的英文财报中,就已明确表示,“出口管制、经济或贸易制裁以及贸易和技术‘脱钩’趋势的加剧”可能会使“我们受到监管调查、罚款、处罚或其他行为和声誉损害,对我们的竞争力和业务运营产生重大不利影响”。“与我们有现有合同或其他关系的美国实体和个人可能被禁止继续与我们开展业务”。


王新锐指出,从现有的报道来看,引发调查的一个重要原因是美国担心中国政府可以访问和利用阿里云服务器上的美国客户数据。


“这其实涉及到数据的跨境传输问题,也是目前个人信息保护和数据安全领域牵涉利益最复杂,与国家利益、国际局势关系最密切的一个领域。”王新锐认为,个人信息原本只涉及私人权益,但随着数字经济的发展,个人信息也逐渐上升为重要的经济和国家安全要素,其跨境传输是国际博弈的敏感和重要议题。近年来,国际主流经济体都在积极探索并试图主导数据跨境传输的机制构建,从而争取更多主动权。


此外,云服务器一向被视为黑客发起网络攻击的重要渠道,因为它们可以隐藏攻击的来源并接入对大量客户端网络的访问。


据美国知名研究机构高德纳(Gartner Group)2021年底发布的报告,阿里云IaaS基础设施能力获评全球第一,在计算、存储、网络、安全四项核心评比中均斩获最高分。但另一方面,其在美国的云业务规模较小,年收入不到 5000 万美元,与微软、亚马逊等巨头的份额相去甚远。


打铁还需自身硬


孙远钊认为,一旦调查认定存在风险,美国政府可能限制与阿里云有业务往来或订立合同的企业,要求其与阿里云终止关系。否则可能让其无法承接与美国政府相关的任何业务,已有业务的也可能被中断。


这种方式类似于此前美国政府对支付宝和微信支付等应用的处置手段。当地时间2021年1月5日,特朗普曾签署行政命令,禁止美国企业与包括支付宝在内的8款中国应用软件进行交易。


不过孙远钊也认为,此前的特朗普时代以“简单粗暴的行政命令”为鲜明特征,其任上对中国互联网应用的若干行政禁令,事后均被拜登政府废除。在他看来,可以预期拜登政府会按照更正当的法律程序完成审查,“如果真的做出对阿里云不利的行政处分,它也可以诉诸司法程序”。


一位不愿具名的资深从业者表示,审查的后果可能有两种:一种是通过 “共享数据中心”合作模式,要求阿里云将数据存储在美国本土服务器;另一种则是媒体提到的,阿里云“将被禁止使用,或无法扩大服务规模”。


根据公开信息,阿里云目前与包括福特、IBM、Red Hat 和惠普等美国企业的旗下部门建立了商业合作关系。如2020年6月,上海-福特智能交通有限公司的全资子公司Autonomic及阿里云签署谅解备忘录,将自动驾驶云(TMC)引入中国,这是由Autonomic开发的用于互联汽车的标准运输和移动解决方案。


那么,类似的美国公司的海外子公司的行为,是否会受到美国的监管呢?


孙远钊给出了肯定回答。“只要有任何潜在的风险,都会受到制约,”他指出,“但是因为涉及所谓国家安全问题,具体内涵亦从未公开,所以外界无法研判究竟是否的确如此。所以这种规制一直有很大争议。”


2015年3月,阿里在硅谷建立在美国的第一家云计算中心;同年10月,又在弗吉尼亚开设了第二座云计算中心。此后几年,阿里云未在美国市场开设新的云计算中心。2018年,有媒体报道称,阿里将暂停其在美国的云计算扩张计划。


美国政府的调查是否会对阿里云产生不利影响?


孙远钊认为,至少目前,美国政府一直在试图扭转特朗普时代一些过激的举措,“但类似这样的调查,拜登政府此前曾表示不会干涉,换句话说,就是让专业的调查人员去独立决定要如何处置,不受政治的干扰。”


孙远钊指出,美国著名的数据公司Equinix已将阿里云列入其整体数据系统中,故阿里云虽然表面上在美国的业务量不大,其背后的客户对象、操作运营方式与数据的传输等,对于所有在美国从事云业务的企业而言“具有指标性的意义”。


孙远钊表示,类似举措“确实意味着美国对中国互联网技术某种程度的担忧”。目前,这种担忧主要集中在对信息、知识产权和网络安全的关注上。他认为,只要在这些方面尽量做到公开透明,就不会有大问题。他表示,“没有人喜欢被调查。但是一旦经过调查的洗礼,反而会让自己变得更为强壮,更经得起考验,也愈能建立公信力。”


在王新锐看来,相关的举措反映出美国政府对中国互联网企业的忧虑。他认为,随着数字经济的深入发展,个人信息保护和跨境数据传输会越来越成为国际博弈的焦点,这是所有涉及国际业务或计划拓展海外市场的企业不得不面对,且必须积极适应的现实。企业必须做好个人信息保护和数据安全方面的合规工作,并且需要国内外统筹规划,积极利用国际合规资源增加背书。


本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:刘畅,编辑:朱弢