近期,美國程式碼託管平臺 GitLab.com 要求中國大陸、香港和澳門使用者將資料遷移至中國平臺 GitLab.cn(極狐),引發了 Reddit 使用者的廣泛擔憂1、2。不少使用者擔心在當前的政治環境下,將資料遷移至中國平臺會面臨安全風險。
Please be advised that GitLab can no longer service GitLab.com accounts for individuals and organizations located in Mainland China, Macao, and Hong Kong. Our system indicates that you are visiting GitLab from one of these locations. We advise you to sign up with JiHu https://gitlab.cn/saasmigration/. JiHu is an independent company with a localized GitLab offering that has an exclusive right to provide GitLab to individuals and organizations located in this region. You must complete the transition by 18-02-2025, after which GitLab will delete your account from our systems. If you believe you are receiving this notification in error, please log in to GitLab.com from a supported service location. For further information or support, please feel free to contact [email protected]. Best Regards, GitLab Team
GitLab.com 與 GitLab.cn 的關系
Gitlab 跟開源專案共享平臺 Github 略有不同, Gitlab是一家針對企業和團隊提供程式碼託管和協作服務的基於 Git 版本控制系統的網路平臺。他們有三個版本,開源社群版(CE,Community Edition),企業版(EE,Enterprise Edition)和中國版(JH,JiHu Edition)。
GitLab.com 是一家美國上市公司,而 GitLab.cn(極狐)則是一家獨立的中國公司。2021 年,GitLab.com 向極狐獨家授權了技術和品牌, GitLab Inc.和 高成資本還有紅杉資本中國基金都有投資極狐,由此成為“中國版 GitLab”。值得注意的是,極狐並非 GitLab.com 的子公司,而是獨立運營的合資公司,擁有自己的管理團隊和業務支援功能。相對於其他跨國公司設置全資中國子公司或合資子公司的做法,這是一種非常慷慨也非常現實的合作模式。
GitLab.com 的退出:早有規劃還是被迫撤離?
GitLab.com 此次要求中港澳使用者遷移資料並非突然之舉。早在 2021 年授權極狐時,GitLab.com 就已表明極狐作為一家獨立公司,極狐將管理自己的技術和基礎設施。極狐的 SaaS 服務 ( GitLab.cn ) 和 GitLab Inc. 的 SaaS 服務 ( GitLab.com ),將不共享任何公共基礎設施、網路連線、系統、服務、資料或資源。因此,此次遷移可以視為 GitLab.com 為了遵循中國法律法規,並履行其對極狐的承諾而採取的行動。
臺灣市場是否受影響?
目前,雖然在臺灣使用臺灣IP和簡體漢文的瀏覽器user-agent訪問 GitLab.com 會導致首頁提示使用者轉移到極狐,但使用繁體漢文的瀏覽器user-agent沒有相關提示,這表明臺灣市場並不在 GitLab.com 的轉讓計劃之內,或説沒有針對臺灣市場發表看法。
資料可以在GitLab.com與GitLab.cn之間轉移嗎??
GitLab.com 此次要求中國政府行政管轄區域內的使用者把資料從 GitLab.com 單向轉移到 GitLab.cn,但不提供從 GitLab.cn 轉移到 GitLab.com,因為《網路安全法》第三十七條要求,如果需要向境外提供數據,需要進行安全評估。
第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
GitLab 四個網站的關系
- GitLab.com:美國公司GitLab Inc. 運營的全球平臺。
- GitLab.cn:極狐運營的中國平臺,面向中國大陸、香港和澳門使用者。
- JihuLab.com:極狐運營的使用國際域名的平臺,面向香或澳門港市場。
- GitLab.hk:極狐運營的平臺,面向香港市場。
中國法律法規對資料安全的規定
中國近年來頒布了一系列法律法規,加強對資料安全和國家安全的保護,其中包括《網路安全法》、《反間諜法》、《資料安全法》和《國家安全法》。這些法律法規都明確規定,涉及國家安全的資料必須無條件配合政府調查和使用。
《網路安全法》第三十七条“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
《个人信息保护法》
第三十六条 “国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。”
《反間諜法》第二十五条 “国家安全机关工作人员依法执行反间谍工作任务时,经设区的市级以上国家安全机关负责人批准,出示工作证件,可以查验有关个人和组织的电子设备、设施及有关程序、工具。查验中发现存在危害国家安全情形的,国家安全机关应当责令其采取措施立即整改。拒绝整改或者整改后仍存在危害国家安全隐患的,可以予以查封、扣押。”
第三十二条 “在国家安全机关调查了解有关间谍行为的情况、收集有关证据时,有关个人和组织应当如实提供,不得拒绝。”
《數據安全法》第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
第三十六条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
《國家安全法》第七十九条 “企业事业组织根据国家安全工作的要求,应当配合有关部门采取相关安全措施。”
對香港和受影響地區 IT 人員的影響
- 香港IT人員無法與使用 GitLab.com 的外國團隊合作,除非繞過限制注冊為外國團隊成員,如 “log in to GitLab.com from a supported service location” 或者外國團隊將資料遷移到極狐。
- 資料安全風險,因為使用者資料將受中國法律法規的管轄。
極狐為何要區分自由世界/中國大陸/中國非大陸地區三個平臺?
- 中國法律法規的要求:中國對境內運營的網路公司實施了嚴格的資料儲存和管理規定,要求將重要資料儲存在中國境內。
- 極狐的市場策略: 極狐可能希望通過區分不同市場來更好地服務不同地區的使用者,比如透過更近的機房提供更快的訪問速度。
香港軟體工程師使用極狐與外國企業團隊合作的風險
由於 GitLab.cn 和 GitLab.com 的資料不共享,香港軟體工程師可能無法使用極狐與使用 GitLab.com 的外國團隊合作。此外,使用極狐也可能面臨資料安全風險,因為使用者資料將受中國法律法規的管轄。
對極狐的不信任是否合理?
移居臺灣的前中國網路工程師佐拉認為:“我覺得 Gitlab 要另立中國平臺的原因是因為中國的法規環境,外國公司在中國運營需要遵守資料存取和管理的法律規範,依照中國的《網路安全法》《反間諜法》《資料安全法》《國家安全法》,中國政府有權要求商業公司提交資料。使用者不信任極狐是因為使用者不信任沒有在野黨和媒體監督的中國政府。”
部分使用者對極狐的不信任源於對中國政府的不信任,尤其是對資料安全和隱私保護的擔憂。這種擔憂在一定程度上是合理的,因為中國政府對資料安全和國家安全有嚴格的管控,並且缺乏獨立的監督機制。
總而言之,GitLab.com 退出中港澳市場是多種因素共同作用的結果,包括中國法律法規的要求、GitLab.com 的商業考量以及使用者對資料安全的擔憂。對於受影響地區的 IT 人員來說,需要權衡使用極狐的利弊,並採取必要的措施來保護自己的資料安全。