美國土安全部警告美國企業遠離中國科技包括資料勿留於中國境內

美國國土安全部警告美國企業，任何存放在中國資料中心資料都不安全，中國設計的硬體藏有後門，和中國公司合資的企業，他們的資料會遭第三方單位看光。

美國國土安全部 (DHS) 本周發佈安全建議，警告美國企業使用中國生產的科技，或是和中國有業務往來的可能風險。

國土安全部發佈 15 頁《資料安全企業建議》(PDF) 開宗明義警告企業如果將敏感資料分享給位於中國的公司，或是使用核心擁有權在中國的公司開發的設備和軟體，將使自身及客戶暴露於高度風險中。

國土安全部指，相關風險包括「竊取商業祕密、智財及其他機業商業資訊；違反美國出口管制法；違反美國隱私法；觸犯合約及服務條款；對客戶和員工形成安全和隱私風險；中國監控和追蹤異議人士的風險；以及對美國企業造成名譽損害。」

該份文件表明，中國於 2017 年上路的《國家情報法》是風險的主要來源，因為該法迫使所有中國公司和實體必須支持、協助和配合中國情報機關，要求這些公司和實體有義務交出由中國境內、外蒐集而來的資料。

中國新公佈預計 2021 年生效的《資料安全法》也成為抨擊目標，因為該法賦多中國政府更大的監控權力，可「迫使外國市場對中國資料服務供應商大門洞開」。文件也提到中國的加密法迫使企業必須交出加密金鑰給當局。

國土安全部警告美國企業，任何存放在中國資料中心資料都不安全，中國設計的硬體藏有後門，和中國公司合資的企業，他們的資料會遭第三方單位看光。

此外，中國製的手機應用程式，如 Tiktok 也不安全，連健身量測裝置也很危險，因為這些東西蒐集的資料會被共產黨拿去，用來和財產稅紀錄比對，進一步找出使用者姓名和家人身份。

在驚怵的描述後，該文件建議企業應儘可能避免在中國，或是中國政府可存取到的地方儲存和使用敏感資料，也應徹底搞清楚打交道的資料服務供應商的所有權、資料基礎架構地點，以及任何可疑外國業務關係或主要外資。

文件也建議美國企業儘量找值得信賴的供應商合作。但從最近的 SolarWinds 事件來看，連美國公司也疑似遭俄羅斯駭客駭入，借道其軟體以駭入多家政府單位及企業，顯示要找一家真正安全的公司挺不容易。

該文件也告誡 IT 管理員「做好網路隔離以避免任何外部軟體使用」。同時，所有企業也應強化網路安全意識及技能。

這些建議都很有道理，但是未說明要如何知道某家供應商網路架構裏有華為路由器，或是怎麼判斷怎麼樣的業務合作會導致落入中國政府法令陷阱中。

不過本文件建議企業做好盡職調查 (due diligence)，這意謂著律師和安全顧問應該會很忙，未來安全廠商的行銷文案也一定會出現這份報告。