國家網(wǎng)絡(luò)安全審查制度的法律困惑與中國策略*

馬民虎， 馬 寧

(西安交通大學(xué)法學(xué)院，陜西西安710049)

國家網(wǎng)絡(luò)安全審查制度的法律困惑與中國策略*

馬民虎， 馬 寧

(西安交通大學(xué)法學(xué)院，陜西西安710049)

我國網(wǎng)絡(luò)安全審查制度存在諸多亟待解答的法律困惑，對于網(wǎng)絡(luò)安全審查制度本身也存在需要修正的“誤讀”，為了避免“貿(mào)易保護(hù)主義”對制度本身正當(dāng)性造成的減損，應(yīng)當(dāng)有針對性地實施中國策略，實現(xiàn)網(wǎng)絡(luò)安全審查的應(yīng)然狀態(tài)，堅持以風(fēng)險控制為審查目的，以IT供應(yīng)鏈為審查范圍，以立法和標(biāo)準(zhǔn)為審查基礎(chǔ)。

網(wǎng)絡(luò)安全審查制度;法律困惑;中國策略

2014年5月22日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布公告稱，我國將實行網(wǎng)絡(luò)安全審查制度，主要針對關(guān)系國家安全和公共利益系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù)實行安全性和可控性審查，防止產(chǎn)品提供者非法控制、干擾、中斷用戶系統(tǒng)，非法收集、存儲、處理和利用用戶有關(guān)信息。①張洋，鄭會燕.網(wǎng)絡(luò)安全審查乃順勢而為[OB-EL].人民網(wǎng).http://politics.people.com.cn/n/2014/0523/ c1001-25053486.html.2015-04-22.該制度被認(rèn)為是“國家網(wǎng)絡(luò)空間治理體系頂層設(shè)計逐漸完善的重要標(biāo)志”②秦安.國家出臺網(wǎng)絡(luò)安全審查制度的戰(zhàn)略思考[J].中國信息安全，2015，(3).，因此自公布伊始便備受關(guān)注。目前，受限于披露細(xì)節(jié)的有限性，我國網(wǎng)絡(luò)安全審查制度存在諸多亟待解答的法律困惑，對于網(wǎng)絡(luò)安全審查制度本身也存在需要修正的“誤讀”。網(wǎng)絡(luò)安全審查制度會在國家安全與技術(shù)利用之間引入額外的平衡機(jī)制，特別是將強(qiáng)化對國外信息技術(shù)的審慎態(tài)度。因此，國家網(wǎng)絡(luò)安全審查制度必須建立在法律理性的基礎(chǔ)上，避免利益保護(hù)的“偏在性”對制度本身正當(dāng)性造成減損。我們認(rèn)為，首先，網(wǎng)絡(luò)安全審查制度不是應(yīng)對國外“貿(mào)易壁壘”的被動的反制措施，而是保障國家網(wǎng)絡(luò)安全的主動的風(fēng)險防范措施，應(yīng)當(dāng)以風(fēng)險控制為審查目的，這也決定了其不同于外資并購的國家安全審查制度，因而具有制度獨立性。其次，網(wǎng)絡(luò)安全審查應(yīng)當(dāng)將圍繞“最終產(chǎn)品”和“核心企業(yè)”的審查范圍擴(kuò)展至整個IT供應(yīng)鏈，這不僅適應(yīng)信息技術(shù)全球化的趨勢，也有助于修正“國別化審查”的思路。最后，網(wǎng)絡(luò)安全審查不公開、不透明的審查方法并不能提高審查的有效性，反而容易使網(wǎng)絡(luò)安全審查制度降格為簡單的政策工具，網(wǎng)絡(luò)安全審查應(yīng)當(dāng)以立法和標(biāo)準(zhǔn)為審查基礎(chǔ)，通過提高審查的透明度，為政府信息安全保障提供指引，為供應(yīng)商安全遵從提供參考框架，在保障國家安全的同時，兼顧經(jīng)濟(jì)發(fā)展和技術(shù)利用。

一、國家網(wǎng)絡(luò)安全審查制度應(yīng)以風(fēng)險控制為審查目的

中國對于網(wǎng)絡(luò)安全審查制度的關(guān)注與美國2012年前后針對中國的種種舉措息息相關(guān)。2012年10月9日，美國國會眾議院情報委員會公布針對華為和中興的調(diào)查報告，該報告認(rèn)為“華為和中興向美國關(guān)鍵基礎(chǔ)設(shè)施提供的設(shè)備存在風(fēng)險，會削弱美國國家安全的核心利益”③U.S.House of Representatives.Investigative Report on the U.S.Mational Security Issues Posed by Chinese Telecommunications Companies Huawei and ZTE[R].112th Congress，2012:5.。根據(jù)上述結(jié)論，委員會向美國政府提出了5點建議，要求美國政府和私營部門都不應(yīng)當(dāng)在其系統(tǒng)中使用華為和中興的設(shè)備。①該5點建議包括:(1)美國政府應(yīng)當(dāng)以懷疑的態(tài)度審查中國通信企業(yè)向美國通信市場的滲透;(2)鼓勵美國的私營企業(yè)正視與華為和中興商業(yè)合作中存在的長期安全風(fēng)險，鼓勵美國的網(wǎng)絡(luò)提供商和系統(tǒng)開發(fā)商尋求其他合作伙伴; (3)美國國會司法委員會和執(zhí)法機(jī)構(gòu)應(yīng)該對中國電信部門的不公平貿(mào)易行為進(jìn)行調(diào)查，尤其應(yīng)當(dāng)關(guān)注中國對主要公司的持續(xù)財務(wù)支持;(4)中國公司應(yīng)該迅速變得更加開放和透明，包括提供獨立第三方評估機(jī)構(gòu)對于他們財務(wù)信息和網(wǎng)絡(luò)安全進(jìn)程的評估。(5)美國國會司法委員會應(yīng)該促進(jìn)立法，以更好應(yīng)對與其他國家政府相關(guān)的電信公司所帶來的風(fēng)險，否則就不要充分信任他們來建造關(guān)鍵基礎(chǔ)設(shè)施。2013年3月26日，美國《2013年合并與持續(xù)撥款法案》生效，該法案第516條款限制聯(lián)邦機(jī)構(gòu)對中國信息技術(shù)系統(tǒng)進(jìn)行采購，②美國“2013年合并與持續(xù)撥款法案”第516條a款規(guī)定，美國商務(wù)部、司法部、國家宇航局和國家科學(xué)基金會不得利用任何撥款采購信息技術(shù)系統(tǒng)，除非上述聯(lián)邦機(jī)構(gòu)負(fù)責(zé)人與聯(lián)邦調(diào)查局或其他適當(dāng)機(jī)構(gòu)對網(wǎng)絡(luò)間諜或破壞行為進(jìn)行了風(fēng)險評估，該風(fēng)險包括由中國擁有、管理或資助的一個或多個機(jī)構(gòu)所生產(chǎn)、制造或組裝的信息技術(shù)系統(tǒng)有關(guān)的任何風(fēng)險。該條b款規(guī)定，上述聯(lián)邦機(jī)構(gòu)不得利用任何撥款采購根據(jù)a款規(guī)定需要進(jìn)行評估的信息技術(shù)系統(tǒng)，不得采購由中國擁有、管理或資助的一個或多個機(jī)構(gòu)所生產(chǎn)、制造或組裝的信息技術(shù)系統(tǒng)，除非a款規(guī)定的評估機(jī)構(gòu)的負(fù)責(zé)人決定并向眾議院和參議院的撥款委員會報告中稱，該系統(tǒng)采購符合美國的國家利益。該條款所含的信息技術(shù)安全審查規(guī)定被認(rèn)為開創(chuàng)了非常糟糕的先例，嚴(yán)重違反“非歧視原則”。但是，該條款同樣被認(rèn)為，“中國依據(jù)WTO非歧視原則否定該法案效力的努力會相當(dāng)艱難，除非有極具說服力的理由，否則該限制條款被修訂的可能性很小?！雹垴R民虎，馬寧.技術(shù)中立:政府IT采購中信息安全審查的法律理性——兼評美國《2013年合并與持續(xù)撥款法案》第516條款[J].河北法學(xué)，2014，(8).隨后，美國《2014年合并與持續(xù)撥款法案》第515條款仍然沿用了對中國信息技術(shù)系統(tǒng)的限制策略。

與此前美國開展安全審查的情況不同，上述案例是直接針對中國信息技術(shù)設(shè)置的準(zhǔn)入限制，帶有強(qiáng)烈的主觀偏見和針對性。為此，中國在2014年宣布實施網(wǎng)絡(luò)安全審查制度被認(rèn)為在很大程度上是一種反制措施。誠然，“網(wǎng)絡(luò)安全審查有利于反擊外國不公平競爭格局”④劉兵.從國家網(wǎng)絡(luò)治理看國家網(wǎng)絡(luò)安全審查制度[J].中國信息安全，2015，(3).。從我國出臺網(wǎng)絡(luò)安全審查制度的背景來看，這也可以被理解為是針對美國行為的應(yīng)對策略。但是，我們不希望這種認(rèn)識成為構(gòu)建我國網(wǎng)絡(luò)安全審查制度的主導(dǎo)思想，這會導(dǎo)致網(wǎng)絡(luò)安全審查制度偏離應(yīng)然的法治路徑，使其降格為單純的“政策工具”。我們在抨擊美國上述缺乏法律理性的審查規(guī)定時，并不希望我國的網(wǎng)絡(luò)安全審查制度“重蹈覆轍”。畢竟，這對于維護(hù)國家網(wǎng)絡(luò)安全并無益處。我國的網(wǎng)絡(luò)安全審查制度應(yīng)當(dāng)是主動的網(wǎng)絡(luò)安全風(fēng)險防范措施，應(yīng)當(dāng)以風(fēng)險控制為審查目的。

鑒于信息技術(shù)對國家和社會運行的支撐作用，其脆弱性所產(chǎn)生的安全風(fēng)險是多元化的，對國家、社會、產(chǎn)業(yè)和個人均有影響。但是，過于寬泛的審查范圍會削弱網(wǎng)絡(luò)安全審查的有效性和可行性，對于民用領(lǐng)域信息技術(shù)進(jìn)行過度審查也會阻礙技術(shù)的自由流通。因此，各國的網(wǎng)絡(luò)安全審查制度主要關(guān)注于政府信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施和國家安全系統(tǒng)⑤美國2000年頒布的《國家信息安全保障認(rèn)證認(rèn)可流程》(MIACAP)中將國家安全系統(tǒng)(MSS)定義為:任何由政府機(jī)構(gòu)、政府機(jī)構(gòu)合同商或代表機(jī)構(gòu)履行職責(zé)的其他組織使用或運維的下列信息系統(tǒng)(包括通信系統(tǒng)):(1)其功能、運行和使用涉及情報、與國家安全相關(guān)的密碼技術(shù)、軍事事項，或其包括武器或武器系統(tǒng)的設(shè)備;(2)涉及由行政命令或國會法案特別授權(quán)永久保護(hù)的信息系統(tǒng)。等直接關(guān)系國家安全和公共利益的風(fēng)險控制。這類信息系統(tǒng)通常屬于國家的關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵資源(CIKR)，⑥美國愛國者法案將CIKR定義為:“systems and assets，whether physical or virtual，so vital to the United States that the incapacity or destruction of such systems and assets would have a debilitating impact on security，national economic security，national public health or safety，or any combination of those matters”.一旦遭受破壞，將對國家安全、國家經(jīng)濟(jì)安全和社會福祉產(chǎn)生災(zāi)難性影響。我國擬實施的網(wǎng)絡(luò)安全審查制度將重點確定為“關(guān)系國家安全和公共利益的系統(tǒng)”，盡管我國目前并未對這類系統(tǒng)進(jìn)行明確界定，但可以預(yù)見，其審查活動仍然需要將圍繞關(guān)鍵基礎(chǔ)設(shè)施展開，重點關(guān)注政務(wù)、金融、能源、醫(yī)療、國防、電信、交通、科研、化學(xué)和核工業(yè)等重要單位和部門的網(wǎng)絡(luò)安全風(fēng)險。

網(wǎng)絡(luò)安全審查制度的風(fēng)險控制目的與關(guān)鍵基礎(chǔ)設(shè)施對信息技術(shù)的依賴性密切相關(guān)。我們比以往任何時候都更加依賴信息技術(shù)的安全性，特別是CIKR的信息化本身就是向信息技術(shù)遷移的過程，其中所部署的信息技術(shù)產(chǎn)品和服務(wù)是否安全，將直接決定國家和社會能否良好有序地運行。2007年針對愛沙尼亞政府網(wǎng)絡(luò)的攻擊、①愛沙尼亞是第一個政府和關(guān)鍵基礎(chǔ)設(shè)施遭受大規(guī)模攻擊的國家，在2007年4月至5月的3個星期里，其政府網(wǎng)站、在線媒體和銀行部門遭受了高強(qiáng)度的網(wǎng)絡(luò)攻擊，國家通信能力受到很大限制。2009年針對韓國②2009年7月7日，韓國總統(tǒng)府、國防部、外交通商部等政府部門和主要銀行、媒體網(wǎng)站同時遭到分布式拒絕服務(wù)攻擊，致使上述部門癱瘓長達(dá)4小時。2013年3月20日，韓國多家大型銀行及數(shù)家媒體和企業(yè)遭受惡意程序攻擊，關(guān)鍵業(yè)務(wù)運行出現(xiàn)中斷。的大規(guī)模拒絕服務(wù)攻擊、2010年針對伊朗核設(shè)施的震網(wǎng)病毒攻擊③2010年9月，伊朗政府宣布大約3萬個網(wǎng)絡(luò)中斷感染“震網(wǎng)”病毒，病毒攻擊目標(biāo)直指伊朗核設(shè)施，此次攻擊造成伊朗暫時卸載該國首座核電站的核燃料。等安全事件一再驗證了網(wǎng)絡(luò)安全風(fēng)險給國家安全所帶來的可怕后果。早在2009年，美國審計局(GAO)就提醒美國政府關(guān)注持續(xù)增加的網(wǎng)絡(luò)威脅對聯(lián)邦信息系統(tǒng)產(chǎn)生的風(fēng)險，并認(rèn)為這些風(fēng)險主要包括政府重要信息資源丟失或被盜，遭受未經(jīng)授權(quán)的訪問和攻擊，敏感信息遭受身份盜竊、網(wǎng)絡(luò)間諜或其他形式的犯罪，政府關(guān)鍵部門運行的中斷，數(shù)據(jù)被篡改并用于欺詐或入侵。④GAO.information security:Cyber Threats and Vulnerabilities Place Federal Systems at Risk[R].GAO-09-661T，2009:2.為了應(yīng)對上述威脅，網(wǎng)絡(luò)安全保障成為各國政府最為關(guān)注的優(yōu)先事項，控制和弱化網(wǎng)絡(luò)安全風(fēng)險是實現(xiàn)網(wǎng)絡(luò)安全保障的有效方法和策略。那么，作為國家網(wǎng)絡(luò)安全保障工作組成部分的網(wǎng)絡(luò)安全審查制度，便也應(yīng)當(dāng)以關(guān)鍵領(lǐng)域的網(wǎng)絡(luò)風(fēng)險控制⑤絕對排除網(wǎng)絡(luò)安全風(fēng)險對國家安全的威脅是不可能的，網(wǎng)絡(luò)安全審查制度是通過風(fēng)險控制過程將網(wǎng)絡(luò)安全風(fēng)險降低到國家可能接受的程度。為審查目標(biāo)。

這同時也可以澄清網(wǎng)絡(luò)安全審查的制度獨立性問題。在探討網(wǎng)絡(luò)安全審查制度的過程中，將外資并購國家安全審查和國家網(wǎng)絡(luò)安全審查制度混同的情況并不少見，并且援引美國外國投資委員會(CFIUS)訴訟華為并購3Com、3Leaf的否決案來闡述美國嚴(yán)格的網(wǎng)絡(luò)安全審查制度。事實上，美國外資并購國家安全審查制度是為“防止外資影響美國國家安全”⑥邵沙平，王小承.美國外資并購國家安全審查制度探析——兼論中國外資并購國家安全審查制度的構(gòu)建[J].法學(xué)家，2008，(3).，其主要通過政府干預(yù)，降低外國資本通過直接或間接投資控制本國重要行業(yè)的風(fēng)險，主要關(guān)注的是國家經(jīng)濟(jì)安全，我國也在2008年的《反壟斷法》⑦我國《反壟斷法》第31條規(guī)定:對外資并購境內(nèi)企業(yè)或者以其他方式參與經(jīng)營者集中，涉及國家安全的，除依照本法規(guī)定進(jìn)行經(jīng)營者集中審查外，還應(yīng)當(dāng)按照國家有關(guān)規(guī)定進(jìn)行國家安全審查。中建立了外資并購國家安全審查制度。而如前所述，國家網(wǎng)絡(luò)安全審查制度主要關(guān)注國家網(wǎng)絡(luò)安全，盡管隨著信息技術(shù)全球化趨勢的加強(qiáng)，國家經(jīng)濟(jì)安全和網(wǎng)絡(luò)安全存在相互滲透的情況，而且同屬于國家安全的范疇，但二者的制度基礎(chǔ)仍然存在較大差別。因此，我國的國家網(wǎng)絡(luò)安全審查制度既不應(yīng)當(dāng)?shù)韧跇I(yè)已確立的外資并購國家安全審查，也不應(yīng)當(dāng)從屬于外資并購國家安全審查中的網(wǎng)絡(luò)安全部分，其應(yīng)當(dāng)具有制度獨立性，但是外資并購國家安全審查的經(jīng)驗和做法仍然可以為網(wǎng)絡(luò)安全審查的制度設(shè)計提供可資借鑒的藍(lán)本。

二、國家網(wǎng)絡(luò)安全審查制度應(yīng)以IT供應(yīng)鏈為審查范圍

我國擬實施的國家網(wǎng)絡(luò)安全審查制度將審查范圍確定為“關(guān)系國家安全和公共利益系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù)”，這表明審查活動將主要圍繞“直接供應(yīng)商”和“最終產(chǎn)品”展開，我們認(rèn)為這樣的審查是不充分的。信息技術(shù)利用的全球化是以供應(yīng)鏈為基礎(chǔ)，信息技術(shù)產(chǎn)品和服務(wù)的提供更加依賴廣泛的全球市場，IT供應(yīng)鏈的復(fù)雜程度客觀上造成網(wǎng)絡(luò)安全風(fēng)險將有更多的滲透渠道，①例如，伊朗核設(shè)施遭受的震網(wǎng)病毒就是通過IT供應(yīng)鏈進(jìn)行滲透的。在產(chǎn)品和服務(wù)的生產(chǎn)、組裝和分發(fā)過程中都可能引入不確定的安全風(fēng)險，這些安全風(fēng)險包括嵌入惡意程序，使用不合格的產(chǎn)品組件，存在非惡意的漏洞，存在惡意或不合格的供應(yīng)商等等，而且這些風(fēng)險可能出現(xiàn)在部署信息系統(tǒng)生命周期中的任何階段。微軟公司在《網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理》白皮書中，將上述風(fēng)險總結(jié)為“攻擊者可能在產(chǎn)品開發(fā)、制造、生產(chǎn)或交付過程中篡改產(chǎn)品”②Scott Charney，Eric T.Werner.Cyber Supply Chain Risk Management:Toward a Global Vision of Transparency and Trust[R].Microsoft，2011:1.。

事實上，早在2008年，美國政府發(fā)布的《國家網(wǎng)絡(luò)安全綜合計劃》(CMCI)中就曾提出應(yīng)當(dāng)建立多元化的全球供應(yīng)鏈風(fēng)險管理，應(yīng)對試圖通過供應(yīng)鏈滲透進(jìn)行未經(jīng)授權(quán)的數(shù)據(jù)訪問、數(shù)據(jù)篡改及通信信息攔截等供應(yīng)鏈風(fēng)險。③John Rollins，Anna C.Henning.Comprehensive Mational Cyber Security Initiative:Legal Authorities and policy Considerations[R].Congressional Research Service，2009:5.并在第11項計劃中為美國構(gòu)建了總體性的框架策略，強(qiáng)調(diào)采用綜合方式應(yīng)對供應(yīng)鏈風(fēng)險，從技術(shù)和運營兩個方面降低產(chǎn)品生命周期內(nèi)的風(fēng)險。根據(jù)上述建議，美國2011《國防授權(quán)法案》第806節(jié)授權(quán)國防部長或陸軍、海軍和空軍秘書長排除存在重大供應(yīng)鏈風(fēng)險的合同商。GAO同樣認(rèn)為，“通過全球供應(yīng)鏈提供的IT產(chǎn)品和服務(wù)存在威脅，提示聯(lián)邦機(jī)構(gòu)識別和防范IT供應(yīng)鏈風(fēng)險?！雹蹽AO.IT Supply Chain Mational Security-Related Agencies Meed to Better Address Risks[R].USA，2012:6.為此，美國的網(wǎng)絡(luò)安全審查“不僅包括產(chǎn)品和服務(wù)的安全性能指標(biāo)，還包括產(chǎn)品研發(fā)過程、程序、步驟、方法、產(chǎn)品的交付方法等”⑤石峰，張紅軍，等.實行網(wǎng)絡(luò)安全審查制度是保障國家安全的重要舉措[J].信息安全與通信保密，2014，(6).。

考慮到信息技術(shù)的脆弱性和供應(yīng)鏈的復(fù)雜性，網(wǎng)絡(luò)安全風(fēng)險可能出現(xiàn)在任意供應(yīng)節(jié)點，僅針對直接供應(yīng)商和最終產(chǎn)品并不能滿足網(wǎng)絡(luò)安全審查的要求，審查對象向供應(yīng)鏈擴(kuò)展是必要的。這也決定了網(wǎng)絡(luò)安全審查不僅僅是單純的“技術(shù)審查”，針對IT供應(yīng)鏈安全管理的“管理審查”也應(yīng)當(dāng)包含在內(nèi)，這與我國網(wǎng)絡(luò)安全審查的基本思路相契合?！爱a(chǎn)品規(guī)格的變化，持續(xù)改進(jìn)的措施，外包，內(nèi)部網(wǎng)絡(luò)重設(shè)，IT更新，技術(shù)升級過程，供應(yīng)商關(guān)系都會影響IT供應(yīng)鏈的不確定性?！雹轍elen Peck.Drivers of supply chain vulnerability:an integrated framework[J].International Journal of Physical Distribution&Logistics Management，2005，(4).這些要素都應(yīng)當(dāng)成為網(wǎng)絡(luò)安全審查的重點，覆蓋信息技術(shù)產(chǎn)品和服務(wù)從生產(chǎn)到交付的全過程。針對IT供應(yīng)鏈進(jìn)行審查也決定了國家網(wǎng)絡(luò)安全審查應(yīng)當(dāng)是一個動態(tài)的審查過程，產(chǎn)品和服務(wù)安全審查僅僅是審查活動的起點，持續(xù)性的風(fēng)險評估、風(fēng)險監(jiān)控、應(yīng)急響應(yīng)和風(fēng)險恢復(fù)也可以考慮納入網(wǎng)絡(luò)安全審查制度之中?！熬W(wǎng)絡(luò)安全審查制度的出臺，將從積極審查、事中檢測、事后懲處等環(huán)節(jié)對IT產(chǎn)品和服務(wù)進(jìn)行安全性和可控性的把控”⑦王珞.美國網(wǎng)絡(luò)安全審查制度的戰(zhàn)略效應(yīng)[J].中國信息安全，2015，(3).。

IT供應(yīng)鏈安全審查同時也是修正“國別化審查”思路的突破。我國確立的網(wǎng)絡(luò)安全審查制度已經(jīng)明確“不針對特定國家、企業(yè)和產(chǎn)品”⑧方言.審時度勢，亮出信息安全將牌[J].中國信息安全，2014，(8).，這與我們一貫秉承的“技術(shù)中立”審查理念保持一致，同時也要求網(wǎng)絡(luò)安全審查應(yīng)當(dāng)以“供應(yīng)鏈審查”替換傳統(tǒng)“國別化審查”的概念?！皣鴦e化審查”的典型例子是上述提及的美國2013年《合并與持續(xù)撥款法案》，在批判其第516條款直接針對中國信息技術(shù)的限制規(guī)定時，我們認(rèn)為其喪失了基本的法律理性，違反非歧視原則，構(gòu)成實質(zhì)性的貿(mào)易壁壘。與此同時，在探討我國建立網(wǎng)絡(luò)安全審查制度的必要性問題中，國外信息技術(shù)在我國重要領(lǐng)域的大規(guī)模部署引起了各界的廣泛擔(dān)憂，認(rèn)為“國外品牌設(shè)備已在我國各大企業(yè)和政府部門重要信息系統(tǒng)中形成壟斷之勢”①薛高.網(wǎng)絡(luò)安全審查制度研究及對我國金融業(yè)的啟示[J].金融科技時代，2015，(1).。這種擔(dān)憂在華為中興調(diào)查案后體現(xiàn)得尤為明顯，催生了“國產(chǎn)化”概念的興起，也引起了網(wǎng)絡(luò)安全審查制度將主要針對國外信息技術(shù)的誤解。

誠然，在“棱鏡門”事件之后各國普遍對國外信息技術(shù)持審慎態(tài)度，國外信息技術(shù)向本國關(guān)鍵基礎(chǔ)設(shè)施的滲透容易引起政府的警惕，美國針對華為中興的調(diào)查也正是基于這種原因。同時，網(wǎng)絡(luò)安全審查制度加強(qiáng)對國外信息技術(shù)的限制也被認(rèn)為有助于促進(jìn)本國信息產(chǎn)業(yè)的發(fā)展。為此，網(wǎng)絡(luò)安全審查制度的審查重點向國外信息技術(shù)傾斜似乎也成為應(yīng)然之勢。但是信息技術(shù)利用和供應(yīng)的全球化是客觀事實，復(fù)雜性導(dǎo)致信息技術(shù)組件的設(shè)計、生產(chǎn)、組裝、交付和使用可能在全球范圍內(nèi)進(jìn)行。例如，筆記本電腦的液晶演示器、內(nèi)存、處理器、主板和硬盤可能源于眾多國家和地區(qū)。②GAO.IT supply chain:Mational Security-Related Agencies Meed to Better Address Risks[R].USA，2012:5.那么，對信息系統(tǒng)進(jìn)行產(chǎn)品和服務(wù)進(jìn)行來源調(diào)查就變得非常困難，在存在廣泛外包業(yè)務(wù)的情況下甚至是不可行的。因此，在網(wǎng)絡(luò)安全審查中區(qū)分產(chǎn)品和服務(wù)的來源地是毫無意義的，片面排除國外信息技術(shù)的利用也排除了本國信息技術(shù)產(chǎn)業(yè)作為次級供應(yīng)商進(jìn)入本國市場的可能。國家網(wǎng)絡(luò)安全保障能力水平?jīng)Q定于保障框架最薄弱的環(huán)節(jié)，國家應(yīng)當(dāng)充分利用可獲得的一切資源提升保障能力，盲目排外的安全審查會造成本國喪失利用先進(jìn)信息技術(shù)的機(jī)會，對于國家安全并無益處。③例如，盡管美國對信息技術(shù)采購有嚴(yán)格限制，但信息技術(shù)對于國家和社會繁榮的推動也不容忽視，美國1994年的《聯(lián)邦采購簡化法》鼓勵政府采購滿足安全要求的商業(yè)產(chǎn)品，同時預(yù)算與管理辦公室的A-130也要求政府在采購信息技術(shù)時，最大限度地使用商業(yè)現(xiàn)貨供應(yīng)的信息技術(shù)。為此，我國網(wǎng)絡(luò)安全審查應(yīng)當(dāng)“堅持開放的基本原則，避免自我封閉”④方興東，胡懷亮.網(wǎng)絡(luò)安全審查制度的根本在于掌握防御主動權(quán)[J].信息安全與通信保密，2014，(8).。

但是，IT供應(yīng)鏈審查仍然無法解決“可信”的問題，鑒于國家安全保障的敏感性，安全性和可控性的驗證標(biāo)準(zhǔn)并不能完全打消國家對于網(wǎng)絡(luò)安全的顧慮。這也是為何大多數(shù)能夠滿足CC準(zhǔn)則的供應(yīng)商卻無法出現(xiàn)在美國政府采購的清單上，為何華為在極力自我證明滿足安全標(biāo)準(zhǔn)的基礎(chǔ)上仍然受到美國政府的排斥。如果國家政府認(rèn)為供應(yīng)商不可信，那么供應(yīng)商的任何努力都將是徒勞的。但是在排除政治因素的條件下認(rèn)定供應(yīng)商不可信的過程是艱難的，我們的努力是希望增加網(wǎng)絡(luò)安全審查的透明度，在有效保障國家安全的前提下同樣可以促進(jìn)信息技術(shù)產(chǎn)業(yè)的發(fā)展。

三、國家網(wǎng)絡(luò)安全審查制度應(yīng)以立法和標(biāo)準(zhǔn)為審查基礎(chǔ)

在明確網(wǎng)絡(luò)安全審查制度的獨立性、目標(biāo)和范圍之后，便需要探討“如何審查”的問題，也就是判斷信息技術(shù)安全性和可控性的依據(jù)如何確定，這構(gòu)成網(wǎng)絡(luò)安全審查制度的審查基礎(chǔ)。有學(xué)者認(rèn)為我國可以借鑒美國的做法，“審查過程、標(biāo)準(zhǔn)、機(jī)制完全不公開，也不需要披露原因和理由?！雹輳埨?網(wǎng)絡(luò)安全審查的國際經(jīng)驗及借鑒[J].信息安全與通信保密，2014，(8).也有學(xué)者認(rèn)為“信息網(wǎng)絡(luò)安全審查決策是在對相關(guān)產(chǎn)品、技術(shù)、服務(wù)、系統(tǒng)等安全性能和提供人背景等情況進(jìn)行判斷基礎(chǔ)上，依據(jù)國家經(jīng)濟(jì)社會發(fā)展情況、對外經(jīng)貿(mào)和外交形勢做出，不需要有具體的審查標(biāo)準(zhǔn)?！雹拊S長帥.從國家行為角度探討構(gòu)建信息網(wǎng)絡(luò)安全審查制度[J].現(xiàn)代電信科技，2014，(10).我們認(rèn)為，網(wǎng)絡(luò)安全審查是法律制度，法律制度的功能價值在于在社會主體之間形成穩(wěn)定的“規(guī)范性期待”，社會主體能夠根據(jù)確定的規(guī)范性要求約束自己的行為。

如前所述，網(wǎng)絡(luò)安全審查制度并不是簡單的市場準(zhǔn)入制度，而是提升國家網(wǎng)絡(luò)安全能力的底層性保障制度。國家網(wǎng)絡(luò)安全能力依賴于所部屬的信息技術(shù)產(chǎn)品和服務(wù)，而供應(yīng)商在網(wǎng)絡(luò)安全方面的努力能夠減少國家在后續(xù)審查過程中的投入。排除惡意供應(yīng)商的考慮，信息技術(shù)產(chǎn)品和服務(wù)的安全性主要取決于供應(yīng)商在供應(yīng)鏈各環(huán)節(jié)以合規(guī)性為基礎(chǔ)的風(fēng)險控制措施，如果審查標(biāo)準(zhǔn)完全不公開，不透明，那么就無法通過確定性的安全要求對供應(yīng)商給予明確指引和規(guī)范，畢竟“政府采購功能的實現(xiàn)需要供應(yīng)商滿足政府的要求”①謝俊貴.網(wǎng)絡(luò)虛擬社會管理的工作機(jī)制建構(gòu)[J].思想戰(zhàn)線，2014，(2).。特別是當(dāng)國家對網(wǎng)絡(luò)安全有特殊要求時，通用性的國際安全標(biāo)準(zhǔn)并不能使供應(yīng)商滿足審查要求。由于我國的網(wǎng)絡(luò)安全審查制度并不專門針對國外供應(yīng)商，不公開的審查標(biāo)準(zhǔn)也會造成國內(nèi)供應(yīng)商無所適從，對于提升國內(nèi)信息技術(shù)產(chǎn)業(yè)的核心競爭力也會構(gòu)成阻礙。而且，封閉式的審查過程會產(chǎn)生以“國家安全例外條款”構(gòu)筑“貿(mào)易壁壘”的口實，這也是我們批判美國網(wǎng)絡(luò)安全審查制度的主要觀點。作為負(fù)責(zé)任的國家，我國的網(wǎng)絡(luò)安全審查制度至少在審查標(biāo)準(zhǔn)方面應(yīng)當(dāng)做到公正透明。

事實上，任何國家的網(wǎng)絡(luò)安全審查制度并非完全無跡可尋，我們對于網(wǎng)絡(luò)安全審查“不公開、不透明”的理解蓋因于大多數(shù)國家會在立法表述上避免引起別國的抵觸。在信息技術(shù)全球化的態(tài)勢下，技術(shù)的自由流動成為各國恪守的基本原則，審查活動往往帶有強(qiáng)烈的行政色彩，并被認(rèn)為在一定程度上構(gòu)成技術(shù)自由流動的障礙。但國家網(wǎng)絡(luò)安全的訴求又是各國需要最為優(yōu)先解決的事項，因此，國家網(wǎng)絡(luò)安全與技術(shù)利用和自由流動之間的平衡就成為國家網(wǎng)絡(luò)安全審查必須考慮的要素。例如，美國網(wǎng)絡(luò)安全審查的相關(guān)立法中很少出現(xiàn)“審查(Review)”的直接表述，而是以“風(fēng)險評估”、“風(fēng)險控制”等中性術(shù)語闡述安全審查的要求，確立審查制度的正當(dāng)性。中國同樣面臨類似的問題，在構(gòu)建支撐網(wǎng)絡(luò)安全審查制度的立法和標(biāo)準(zhǔn)體系時，應(yīng)當(dāng)避免可能引起爭議的表述，考慮將網(wǎng)絡(luò)安全審查要求滲透進(jìn)不同的法律制度中，重點以政府采購、認(rèn)證認(rèn)可、信息安全保障立法和標(biāo)準(zhǔn)規(guī)定網(wǎng)絡(luò)安全審查的要求。如果對美國目前涉及網(wǎng)絡(luò)安全審查制度進(jìn)行細(xì)分，也可以歸集為上述3類立法，并且立法之間相互配合，相互支撐，綜合適用。

簡單來說，美國以國家信息安全保障為基礎(chǔ)，構(gòu)建了完善的政府采購和認(rèn)證認(rèn)可制度。在政府采購領(lǐng)域，2000年，美國國家安全通信和信息系統(tǒng)安全委員會(MSTISSC)發(fā)布了名為“國家信息保障采購政策”②原文為“Mational Information Assurance Acquisition Policy”，國內(nèi)有學(xué)者譯為“國家信息安全采購政策”，考慮到該文件旨在保障“國家安全信息(national security information)”，同時為了區(qū)別于“information security”的信息安全概念，本文將該文件譯為“國家信息保障采購政策”。的第11號文件，該政策文件認(rèn)為在所有訪問、處理、存儲、顯示或傳輸國家安全信息的系統(tǒng)中考慮信息保障(IA)事項，并在政府和商業(yè)IT產(chǎn)品現(xiàn)貨供應(yīng)(Off-the-Shelf)的采購和評估驗證過程中實現(xiàn)信息保障。為此，該文件規(guī)定，自2002年7月1日起，所有國家安全信息系統(tǒng)中采購的IT產(chǎn)品必須評估和認(rèn)證，滿足互認(rèn)的國際信息安全技術(shù)評估通用標(biāo)準(zhǔn);滿足國家安全局(MSA)、國家技術(shù)標(biāo)準(zhǔn)研究院(MIST)和國家信息保障合作組織(MIAP)的評估認(rèn)證程序;滿足MIST聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)的認(rèn)證程序。采購?fù)瑫r必須接受MSA的評估或符合MSA批準(zhǔn)的流程。針對與關(guān)鍵基礎(chǔ)設(shè)施保護(hù)第63號總統(tǒng)令相關(guān)的非國家安全系統(tǒng)也可以考慮適用上述評估和認(rèn)證要求。2002年的《聯(lián)邦信息安全管理法》(FISMA)明確了聯(lián)邦信息安全的程序要求，用以支持信息安全控制的有效性，該要求實質(zhì)上建立聯(lián)邦政府信息安全風(fēng)險生命周期的管理框架。FISMA要求所有聯(lián)邦機(jī)構(gòu)建立信息安全程序，指定MIST開發(fā)政府信息安全的標(biāo)準(zhǔn)和指南。③除要求聯(lián)邦機(jī)構(gòu)遵從MIST的相關(guān)標(biāo)準(zhǔn)和指南外，各聯(lián)邦機(jī)構(gòu)也被要求在機(jī)構(gòu)范圍內(nèi)部開發(fā)、文檔化和實施信息安全程序。為此，MIST頒布了FIPS199④FIP199用于信息和信息系統(tǒng)分類，建立了安全保護(hù)的通用框架，將信息和信息系統(tǒng)分為高、中、低3級。和FIP200⑤FIP200用于明確聯(lián)邦信息和信息系統(tǒng)的最低安全要求，該標(biāo)準(zhǔn)要求聯(lián)邦機(jī)構(gòu)使用安全控制措施以符合MIST制定的SP800-53標(biāo)準(zhǔn)。標(biāo)準(zhǔn)，并在SP800-53標(biāo)準(zhǔn)中規(guī)定了保護(hù)聯(lián)邦信息和信息系統(tǒng)的安全控制措施和技術(shù)指南，在2009年修訂的SP800-53中，首次加入對供應(yīng)鏈保護(hù)的安全控制要求，建議政府機(jī)構(gòu)在與供應(yīng)商簽訂信息技術(shù)采購合同之前，對供應(yīng)商進(jìn)行盡職審查。美國預(yù)算與管理辦公室(OMB)的A-130要求聯(lián)邦機(jī)構(gòu)使用SP800-53作為非國家安全系統(tǒng)的安全標(biāo)準(zhǔn)，2009年，美國國家安全系統(tǒng)委員會發(fā)布1253號指令，將SP800-53作為國家安全系統(tǒng)信息安全控制的通用標(biāo)準(zhǔn)?！堵?lián)邦采購條例》(FAR)是美國政府采購的基礎(chǔ)性法規(guī)，其針對政府IT采購規(guī)定，政府機(jī)構(gòu)根據(jù)OMB A-130識別安全需求，包括對信息安全、隱私保護(hù)、國家安全和應(yīng)急響應(yīng)進(jìn)行考慮。同時要求政府機(jī)構(gòu)采用適當(dāng)?shù)男畔⒓夹g(shù)安全政策和要求，包括MIST發(fā)布的通用安全標(biāo)準(zhǔn)。美國2011《國防授權(quán)法案》第806節(jié)授權(quán)國防部長或陸軍、海軍和空軍秘書長排除存在重大供應(yīng)鏈風(fēng)險的合同商。

在認(rèn)證認(rèn)可領(lǐng)域，早在1994年，美國政府就建立了《國家安全通信和信息系統(tǒng)認(rèn)證認(rèn)可政策》，①Mational policy on certification and accreditation of national security telecommunications and information systems，MSTISSP Mo.6，1994.要求所有的聯(lián)邦政府機(jī)構(gòu)對其控制和運行的國家安全系統(tǒng)②根據(jù)該政策，國家安全系統(tǒng)(MSS)是指:任何由政府機(jī)構(gòu)、政府機(jī)構(gòu)合同商或代表機(jī)構(gòu)履行職責(zé)的其他組織使用或運維的下列信息系統(tǒng)(包括通信系統(tǒng)):(1)其功能、運行和使用涉及情報、與國家安全相關(guān)的密碼技術(shù)、軍事事項，或其包括武器或武器系統(tǒng)的設(shè)備;(2)涉及由行政命令或國會法案特別授權(quán)永久保護(hù)的信息系統(tǒng)。建立和實施強(qiáng)制性的認(rèn)證認(rèn)可，所建立的認(rèn)證認(rèn)可制度應(yīng)當(dāng)能夠有效保證國家安全系統(tǒng)中的信息處理、存儲和傳輸?shù)谋Ｃ苄?、完整性和可用性?000年，美國政府建立了逐漸趨于一致的國家信息保障認(rèn)證認(rèn)可流程(MIACAP)。③Mational Information Assurance Certification and Accreditation Process(MIACAP).MSTISSI Mo.1000，2000.MIACAP本身可以認(rèn)為是美國在這一時期統(tǒng)一的認(rèn)證認(rèn)可標(biāo)準(zhǔn)，其中規(guī)定了涉及國家安全系統(tǒng)的安全實踐、任務(wù)、管理框架和相關(guān)機(jī)構(gòu)的職責(zé)，并在后續(xù)的MIACAP實施手冊中規(guī)定了認(rèn)證認(rèn)可程序的細(xì)節(jié)。2005年，美國政府再次重申了國家安全系統(tǒng)認(rèn)證認(rèn)可的重要性，發(fā)布了專門的國家安全系統(tǒng)認(rèn)證認(rèn)可政策，④Mational policy on certification and accreditation of national security systems，CMSS Mo.6，2005.要求所有的聯(lián)邦機(jī)構(gòu)對其控制和運行的國家安全系統(tǒng)建立和實施強(qiáng)制性的認(rèn)證認(rèn)可制度，所建立的認(rèn)證認(rèn)可制度應(yīng)當(dāng)能夠有效保證國家安全系統(tǒng)中的信息處理、存儲和傳輸?shù)谋Ｃ苄?、完整性和可用性。在該政策中，MIACAP被規(guī)定為各機(jī)構(gòu)實施認(rèn)證認(rèn)可的最低標(biāo)準(zhǔn)，各機(jī)構(gòu)所實施的認(rèn)證認(rèn)可制度必須遵從MIACAP或與MIACAP相一致的標(biāo)準(zhǔn)。同時，F(xiàn)ISMA與OMB A-130同樣被認(rèn)為是美國信息安全認(rèn)證認(rèn)可的參照性政策立法，在實施FISMA的過程中，OMB A-130要求聯(lián)邦機(jī)構(gòu)通過實施安全計劃，確保在使用和變更任何通用性支持系統(tǒng)或主要應(yīng)用程序之前需要獲得管理官員的書面授權(quán)。OMB的認(rèn)證認(rèn)可要求具有持續(xù)性，其會要求各聯(lián)邦機(jī)構(gòu)提交信息系統(tǒng)認(rèn)證和認(rèn)可的數(shù)量，這種持續(xù)性還體現(xiàn)在OMB依據(jù)FISMA授權(quán)的職責(zé)審查各機(jī)構(gòu)實施的安全政策、原則、標(biāo)準(zhǔn)和指南。在FISMA和A-130的框架性規(guī)定下，MIST負(fù)責(zé)開發(fā)了信息安全認(rèn)證認(rèn)可標(biāo)準(zhǔn)，⑤例如SP800-37，Guide for the Security Certification and Accreditation of Federal Information Systems.同時一些政府機(jī)構(gòu)也開始推行自己的認(rèn)證認(rèn)可指南。⑥例如DOD就開發(fā)了自己的認(rèn)證認(rèn)可標(biāo)準(zhǔn)。

可見，美國的網(wǎng)絡(luò)安全審查制度即是由上述立法和標(biāo)準(zhǔn)體系構(gòu)成，明確的立法和標(biāo)準(zhǔn)不僅為政府信息安全保障的相關(guān)活動提供指引，而且為供應(yīng)商提供安全遵從的參考框架。從安全審查的有效性而言，公開和透明的審查標(biāo)準(zhǔn)無論對于政府的網(wǎng)絡(luò)安全保障，還是供應(yīng)商的風(fēng)險控制自證明過程，都具有積極的指導(dǎo)意義。我國目前在政府采購、認(rèn)證認(rèn)可和信息安全保障領(lǐng)域的立法和標(biāo)準(zhǔn)仍然較為薄弱，如果秉承公開透明的審查原則，則無法有效支撐網(wǎng)絡(luò)安全審查的要求，應(yīng)當(dāng)加快上述領(lǐng)域立法和標(biāo)準(zhǔn)層面的制定和完善工作。我們同時希望國家網(wǎng)絡(luò)安全審查制度嚴(yán)格依照明確的立法和標(biāo)準(zhǔn)開展審查活動，增加國家網(wǎng)絡(luò)安全的透明度，在保障國家安全的同時，兼顧經(jīng)濟(jì)發(fā)展和技術(shù)利用。

四、結(jié) 語

國家網(wǎng)絡(luò)安全審查制度并不是簡單的市場準(zhǔn)入制度，而是提升國家網(wǎng)絡(luò)安全能力的底層性保障制度。在國際上已經(jīng)出現(xiàn)了網(wǎng)絡(luò)安全審查濫用的實例，如何保持網(wǎng)絡(luò)安全審查制度的法律理性成為我國必須正視的問題。我們應(yīng)當(dāng)意識到，網(wǎng)絡(luò)安全審查必須以風(fēng)險控制為基礎(chǔ)，通過對整個IT供應(yīng)鏈進(jìn)行安全審查，防止針對國家重要信息的破壞，將國家網(wǎng)絡(luò)安全風(fēng)險降低到可以接受的程度。立法和標(biāo)準(zhǔn)仍然需要作為網(wǎng)絡(luò)安全審查制度的基礎(chǔ)，重點以政府采購、認(rèn)證認(rèn)可、信息安全保障立法和標(biāo)準(zhǔn)規(guī)定網(wǎng)絡(luò)安全審查的要求，我國應(yīng)當(dāng)努力加快上述領(lǐng)域中的立法和標(biāo)準(zhǔn)的完善，為政府信息安全保障提供指引，為供應(yīng)商安全遵從提供參考框架。

Legal puzzlements and the Chinese strategies for the national cyber-security inspection system

MA Min-hu&MA Ning
(School of Law，Xi'an Jiaotong University，Xi'an 710049，China)

Currently，China's national cyber-security inspection system still has many legal puzzlements waiting to be solved urgently，as well as some“misinterpretations”.To avoid the damage to its justification caused by the“trade protectionism”，we should purposely implement the Chinese strategies in order to achieve the ideal state for this system with the risk-control as the aim，IT supply chain as the inspection coverage and the legislation and criterion as the basis.

cyber-security inspection system;legal puzzlement;Chinese strategy

喬小洺]

D923

A

1000-5110(2015)05-0042-08

馬民虎，男，陜西周至人，西安交通大學(xué)教授，博士生導(dǎo)師，研究方向為信息安全法。