國家網絡安全審查制度的題中之義

馬寧

國家網絡安全審查制度的題中之義

馬寧

國家網絡安全審查制度是我國提升網絡安全保障能力的創新制度，但是限于現有規定的模糊性，仍然存在諸多制度誤讀。本文綜合梳理了我國建立國家網絡安全審查制度的法治化進程，分析了目前各國網絡安全審查的相關實踐，試圖更為科學地還原網絡安全審查制度的應有之意，并對其未來發展路徑提出了基于自身理解的研判。

網絡安全審查；制度獨立性；制度性質；制度擴展

馬寧西安交通大學信息安全法律研究中心博士研究生，主要從事信息安全政策法律相關問題研究。

自我國開始建立國家網絡安全審查制度伊始，“網絡安全審查”一直被作為不證自明的概念加以使用，我們似乎天然地認為已經在其應然的正確涵義上理解和構建著整個制度框架，但卻一直怠于去理清這一本應首先明確的問題，我們目前所面臨的諸多制度“誤讀”概因于概念混淆所產生的片面理解。本文綜合梳理了我國建立國家網絡安全審查制度的法治化進程，分析了目前各國網絡安全審查的相關實踐，試圖去更為科學地還原網絡安全審查制度的應有之意，并對其未來發展路徑提出了基于自身理解的研判。

一、過去：與外商投資國家安全審查的制度糾纏

如果站在今天的規范角度去反溯我國國家網絡安全審查制度的緣起，我們會發現在相關制度出臺之前，學理研究層面基本屬于空白，與其他法律制度先有研判再有制度設計建設的過程形成鮮明反差。盡管在全球網絡安全環境日益嚴峻的態勢下，緣何或因何建立網絡安全審查制度似乎均可以獲得自我證成的基礎，但這種緊迫性并不能對充分理解網絡安全審查提供必要的幫助，反而會因為模糊性而產生制度本身的曲解。其中，在網絡安全審查制度建立之初，存在兩個突出的認知問題，一是將外商投資國家安全審查和網絡安全審查相混同；二是將網絡安全審查視為一種“反制措施”。

2012年美國針對華為和中興的安全審查，以及2013年英國針對華為網絡安全評估中心的安全審查普遍被認為是導致我國下定決心建立網絡安全審查制度的誘因，很多學者也以上述兩個事例來印證國外存在嚴格的網絡安全審查制度。但在仔細研究了美國眾議院情報委員會的《中國通信公司華為和中興對美國國家安全事項的調查報告》之后，筆者認為這兩項審查更貼近于目前各國普遍建立的外商投資國家安全審查制度，而非我們所認為的網絡安全審查制度。例如，在美國的調查報告中，盡管報告宣稱的調查目的是反間諜和安全威脅，但整個調查內容的核心是驗證華為和中興受中國政府的控制程度，在報告建議中也明確提出要求美國外國投資委員會（CFIUS）阻止涉及華為和中興的、可能威脅美國國家安全利益的采購、收購和并購活動，并將CFIUS的審查程序擴展至采購合同。而英國針對華為網絡安全評估中心的審查則更為純粹，其本身即是為了回應英國情報與安全委員會于2013年發布的《外國參與關鍵國家基礎設施：國家安全的影響》，①Foreign involvement in theCritical National Infrastructure: The implications for national security, https://www.gov.uk/ government/uploads/system/uploads/attachment_data/file/205680/ISC-Report-Foreign-Investment-in-the-Critical-National-Infrastructure.pdf審查目的在于調查華為在英國關鍵基礎設施的投資是否會影響國家安全。由此可見，上述兩項安全審查均在于驗證中國通信公司的獨立性問題，而這恰恰是外商投資國家安全審查的核心內容。

正是在這種模棱兩可的制度認知下，我國學者出現了將CFIUS視為美國網絡安全審查機構，將30天和45天視為美國網絡安全審查期限的認識誤區，將外商投資國家安全審查制度混同于網絡安全審查制度，或將外商投資國家安全審查制度視為網絡安全審查制度的基礎。筆者認為，盡管外商投資國家安全審查和網絡安全審查在制度保障功能方面具有相似性，二者均以特定領域的國家安全保障為制度功能，均以特定活動所產生的風險評估和控制為制度目的，但二者不能混同對待。在審查重點方面，外商投資國家安全審查更側重保護國家經濟安全，防止因外國資本受控于來源國而對東道國的國家安全產生威脅；網絡安全審查則更側重保護國家網絡安全，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。在審查對象方面，外商投資國家安全審查以“外國人”為審查對象，以“國別化”或“資本來源”作為確定審查對象的基礎；網絡安全審查則不區分“產品和服務來源”，對國內供應商和國外供應商一視同仁，不進行“國別化”區分。在審查內容方面，外商投資國家安全審查主要針對外商投資對國家安全的負面影響，例如《美國外國投資委員會國家安全審查指南》確定CFUIS的審查活動僅限于交易引起的“純粹的國家安全問題”，而不涉及其他的國家利益，主要包括美國《外國投資與國家安全法》規定的11項審查內容；而國家網絡安全審查的審查內容主要針對信息技術產品和服務的安全性和可控性。為此，外商投資國家安全審查與網絡安全審查是兩項完全不同的法律制度，由來已久的網絡安全審查制度獨立性問題需要進行必要的澄清。

此外，同樣是受美英對華安全審查的影響，我國建立的網絡安全審查制度在很多情況下被認為是一種“反制措施”，筆者認為這是一種非常危險的理念。從網絡安全審查制度的功能出發，基于“反制思維”的制度設計會忽視保障國家網絡安全的原初意義，將制度本身降格為一種“政策工具”，對制度正當性構成減損。我們需要注意，創設法律制度的初衷和方式不能同等對待，初衷正當并不意味著方式正當，而反之亦然。 “反制思維”下的網絡安全審查制度無異于“毒樹之果”，盡管其初衷在于維護國家安全，但在實現方式上存在明顯瑕疵，象征意義大于實際意義。首先，反制措施注重等同效力，以“在先行為”為制度的啟動條件。這種制度設定會產生一個明顯的弊端，即只有在別國已經針對我國實施了不公正審查的情況下，網絡安全審查才有可能啟動。那么，如果有證據表明某國的信息技術產品和服務存在威脅我國國家安全的風險，但該國并未針對我國實施不公正審查，在此種情況下，網絡安全審查制度還能發揮何種作用？其次，反制思維決定了審查目的在于限制、制約和應對別國的安全審查，并不一定以網絡安全為出發點——例如典型的出于報復目的的審查活動，這無疑弱化了網絡安全審查制度對國家網絡安全的保障作用。再次，“反制”意味著審查對象的特定性，網絡安全審查就必然直指外國供應商，產生“國別化”審查的必然要求。這一點已經在網絡安全審查制度的實施過程中產生了極大困擾，形成了我國的網絡安全審查是“專門針對外國企業”的錯誤認識。最后，國別化的反制措施很容易被規避掉，外國供應商只要作為我國供應商的次級供應商，而不直接向用戶提供信息技術產品和服務就可以輕易規避網絡安全審查。為此，我國的網絡安全審查制度應當極力避免基于“反制思維”的制度建設思路，而應當將網絡安全審查真正作為防范網絡安全風險，提升國家網絡安全保障能力的主動防御策略。

由此可見，我國在建立網絡安全審查制度之初帶有一定的倉促性和盲目性，對制度本身缺乏必要的研究，產生了一系列需要澄清和解釋的現實問題。隨著我國網絡安全審查制度法治化進程的深入，上述情況獲得改觀，諸多制度“誤讀”得到了修正。特別是在2017年2月4日，我國國家互聯網信息辦公室發布了《網絡產品和服務安全審查辦法》（征求意見稿），細化了我國網絡安全審查制度的內容、機構和程序等多項核心規定，基本明確了制度結構，使我國的網絡安全審查制度逐步明晰，擺脫了純粹的象征意義，進入到具備可操作性的制度實踐階段。

二、現在：關于網絡安全審查制度性質的設問

我國的網絡安全審查制度從最初的提案動議到最終的立法確立歷時三載，其間，相關的制度結構和制度內容屢次變動，并最終在《網絡安全法》第三十五條中確定下來。目前，我國對立法具有參考和指引價值的政策或提案主要包括2013年全國人大代表、浪潮集團董事長孫丕恕向兩會提交的《建立信息安全審查制度》的立法提案，2014年國家互聯網信息辦公室發布的“施行網絡安全審查制度”的公告，2014年國家互聯網信息辦公室發布的《關于加強黨政部門云計算服務網絡安全管理的意見》（以下簡稱管理意見）和2016年中共中央辦公廳、國務院辦公廳印發的《國家信息化發展戰略綱要》。立法則包括2015年的《國家安全法》，2016年的《網絡安全法》和2017年的《網絡產品和服務安全審查辦法》（征求意見稿）（以下簡稱意見稿）。盡管在各項政策立法中，有關網絡安全審查制度的規定略有不同，但已然大致勾勒出網絡安全審查制度的雛形，具體內容見表1。

從現有的政策立法規定來看，我國的網絡安全審查制度在審查范圍、審查對象和審查主體方面相對確定且爭議不大。筆者認為，目前最大的矛盾焦點在于我國所規定的網絡安全審查制度是否僅限于國家安全審查？如果根據《國家安全法》和《網絡安全法》的規定，這一設問能夠獲得絕對確定的答案，即我國所規定的網絡安全審查只包含國家安全審查一種，即只有在關鍵信息基礎設施采購網絡產品和服務可能影響國家安全時，才進行相關安全審查。但是根據意見稿的規定，我國則似乎規定了兩類不同的安全審查，即通用性審查和國家安全審查。意見稿第二條規定，“關系國家安全和公共利益的信息系統使用的重要網絡產品和服務，應當經過網絡安全審查”，也就是說，只要在重要信息系統中使用列入審查目錄的網絡產品和服務，就需要進行安全審查，即本文所稱的通用性審查，2014年互聯網信息辦公室發布的公告事實上就屬于這種安全審查。但是從意見稿本身的性質判斷，意見稿的規定應當是對《網絡安全法》第三十五條的細化，并且在法律位階上屬于《網絡安全法》的下位法，其規定應當與《網絡安全法》嚴格保持一致。據此，意見稿就應當刪除第二條的規定，或者將第二條和第十一條做合并處理，同時將第十一條規定的“應當經過網絡安全審查”改為“應當經過國家安全審查”，僅規定國家安全審查的內容。

但是筆者并不贊成簡單認為“網絡安全審查就是國家安全審查”的觀點，因為國家安全審查是一類特殊的安全審查，具有特定的制度內涵和外延。各國普遍建立的成熟的國家安全審查制度是外商投資國家安全審查制度，在網絡安全領域并沒有國家具有真正法律意義上的國家安全審查制度。目前，各國所廣泛采取的針對網絡產品和服務的安全審查實際上更接近于本文所稱的通用性審查，即只要意欲部署在重要信息系統中的網絡產品和服務，均需要在采購之前進行有別于傳統測評認證的安全審查。例如美國2000年的《國家信息保障采購政策》要求所有進入國家安全系統的信息技術產品和服務必須保障能夠提供系統的可用性，保障信息的完整性和保密性。2001年7月1日之后所有國家安全信息系統中采購的信息技術產品必須滿足相應的審查要求。2003年該政策的修訂版指出，考慮到信息技術發展過于迅速，要求所有的國家安全系統的采購活動充分而及時地滿足安全審查要求存在困難，允許各聯邦機構申請“延遲遵從授權”。這也在側面說明了美國針對信息技術產品和服務所開展的安全審查活動屬于通用性審查。為此，筆者認為網絡安全審查事實上不僅僅限于國家安全審查，還應當包括通用性審查的內容；反之，國家安全審查也并非專指網絡安全審查，根據《國家安全法》的規定，國家安全審查還包括外商投資、特定物項和關鍵技術、涉及國家安全事項的建設項目等多項審查內容。由此可見，網絡安全審查與國家安全審查二者之間是交叉包含的關系（見圖1），我國《網絡安全法》事實上僅規定了二者的交叉部分。

圖1.網絡安全審查和國家安全審查的關系

此外，在審查內容方面，筆者認為意見稿的現有規定更適合作為通用性審查的審查內容，與國家安全審查的制度性質不符。國家安全審查具有某種程度的準入限制性質，審查內容通常限于更為宏觀的國家安全事項，為了盡量擴大國家安全的適用范圍，國家安全審查不會將審查內容細化到技術細節層面。為此，意見稿在國家安全審查性質下僅將審查內容規定為網絡產品和服務的安全性和可控性，實際上弱化了國家安全審查制度的功能。例如，我國《國務院辦公廳關于建立外國投資者并購境內企業安全審查制度的通知》（國辦發[2011]6號）第二條規定的審查內容包括：并購交易對國防安全，包括對國防需要的國內產品生產能力、國內服務提供能力和有關設備設施的影響；并購交易對國家經濟穩定運行的影響；并購交易對社會基本生活秩序的影響；并購交易對涉及國家安全關鍵技術研發能力的影響。我國目前僅規定了具備國家安全審查性質的網絡安全審查，那么相應的審查內容也需要體現上述國家安全考慮。

綜上所述，我國目前已經初步建立了網絡安全審查的制度框架，規定了較為明確的審查主體、審查內容、審查范圍和審查程序，并通過《國家安全法》和意見稿劃清了外商投資國家安全審查和網絡安全審查的界限，澄清了制度建設初期存在的制度獨立性爭議。在現階段，我們面臨的問題是如何更為科學地理解“網絡安全審查”的涵義，是否需要止步于《網絡安全法》和意見稿的現有規定，將網絡安全審查僅限于國家安全審查的范疇。筆者認為，我們應當忠于網絡安全審查的應然解釋，即網絡安全審查是國家針對特定網絡安全事項所開展的檢查、調查和驗證活動，是一項內涵非常豐富的網絡安全保障制度。為了應對日益嚴峻的網絡安全威脅，我國在未來的制度塑造過程中需要建立更為多元化的網絡安全審查架構，真正將網絡安全審查作為提升我國網絡安全保障能力的基礎性制度。

三、未來：更為多元化的國家網絡安全審查架構

根據我國《網絡安全法》的規定，網絡安全是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。那么，一切對這種能力產生威脅或構成減損的風險事實上都可以納入網絡安全審查的制度范疇。從各國與網絡安全保障的相關實踐考察，除我國目前已經規定的網絡產品和服務采購安全審查之外，還存在多種形式的網絡安全審查，涵蓋了網絡安全政策、技術和管理等諸多領域。

（一）云服務安全審查

鑒于云服務分布式數據存儲和處理的特殊性，各國通常對云服務安全進行有別于其他網絡服務的安全審查。例如美國要求向聯邦機構提供的云服務必須滿足由美國技術和標準研究院、通用服務管理局、國防部和國土安全部共同開發的《聯邦風險和授權管理程序》（FedRAMP）。美國預算管理辦公室（OMB）在2011年12月8日的政策備忘錄中強制要求，2012年6月以后政府采購的云服務必須滿足FedRAMP的安全要求，現存的已經采購的云服務到2014年6月前必須通過FedRAMP安全審查。FedRAMP規定了聯合授權委員會模式、聯邦機構授權模式和自行審查模式供云服務商選擇，三種模式在審查主體和程序略有區別，但具有同等的審查效力。FedRAMP同時依據NIST SP 800-53和SP 800-37這兩個基礎性標準建立了包括文檔化、評估、授權和監控四個部分的審查框架。

英國則實行統一的云服務采購公共服務平臺G-Cloud，為保障G-Cloud平臺提供的云服務的安全性，英國國家網絡安全中心和內閣辦公室開發了包括供應鏈安全管理、用戶安全管理、認證和授權、外部接口保護、安全服務管理、用戶審計信息、用戶服務安全使用、資產保護與彈性、用戶隔離、管理框架、操作安全、個人安全、安全開發和數據傳輸安全保護等十四項云安全原則，用于驗證云服務的安全性，這些安全原則同樣被用于向政府提供云服務的供應商安全審查中。

我國目前同樣規定了云服務安全審查的要求，2014年12月30日國家互聯網信息辦公室發布《關于加強黨政部門云計算服務網絡安全管理的意見》明確規定建立云計算服務安全審查機制。該意見第四條規定，中央網信辦會同有關部門建立云計算服務安全審查機制，對為黨政部門提供云計算服務的服務商，參照有關網絡安全國家標準，組織第三方機構進行網絡安全審查，重點審查云計算服務的安全性、可控性。黨政部門采購云計算服務時，應逐步通過采購文件或合同等手段，明確要求服務商應通過安全審查。鼓勵重點行業優先采購和使用通過安全審查的服務商提供的云計算服務。

（二）供應鏈安全審查

美國2014年《合并與持續撥款法案》第515條款規定，美國商務部、司法部、國家宇航局和國家科學基金會不得利用任何撥款采購NIST SP199中規定的高影響或中度影響的信息技術系統，除非上述聯邦機構：（1）根據NIST制定的有關標準進行供應鏈風險審查；（2）通過由聯邦調查局或其他相關機構提供的威脅信息審查供應鏈風險；（3）聯邦調查局或其他機構對與系統采購相關的網絡間諜或破壞行為進行了風險評估，包括由美國政府認定實施了網絡威脅的一個或多個組織生產、制造或組裝的信息系統，包括但不限于由中國擁有、管理該法案或資助的組織。

（三）網絡安全政策審查

2009年，美國奧巴馬政府開展了為期60天的國家網絡安全政策審查，評估美國網絡安全政策架構的有效性。①http://www.cfr.org/cybersecurity/cyberspace-policy-review-60-day-cybersecurity-review-may-2009/p19537此次審查的網絡安全政策包括與網絡空間安全和運維有關的國家戰略、政策和標準，涵蓋降低威脅、降低脆弱性、威懾、國際參與、事件響應、彈性和恢復等方面的策略和行動。2009年5月，針對此次審查結果，美國白宮發布了名為《網絡空間政策審查：確保可信和彈性的信息通信基礎設施》的審查報告，該報告認為，美國需要在數字國家能力建設、網絡安全責任分配、建立信息共享和事件響應機制以及鼓勵創新等方面進行必要的制度設計，并據此制定了短期和中期行動計劃。

（四）網絡安全狀態審查

美國由國土安全部聯合網絡安全多狀態信息共享和分析中心、國家首席信息安全官協會和國家郡縣協會共同實施國家網絡安全審查（Nationwide Cyber Security Review ，NCSR），該項審查是面向所有聯邦和地方政府機構開展的自愿性的自評估審查，主要內容是審查各機構對2014年NIST發布的網絡安全框架的遵從和落實情況，并于每年十月的“網絡安全意識月”期間進行該項審查。

2014年11月，澳大利亞總理Tony Abbott宣布實施為期6個月的全國性國家網絡安全審查，①http://www.theregister.co.uk/2014/11/27/australia_to_conduct_national_cybersecurity_review/對公私部門遭受網絡攻擊的風險進行評估，確保澳大利亞政府能夠先于網絡和關鍵基礎設施威脅做出應對。

本文開篇舉例的英國所開展的網絡安全審查也屬于此種形式。

（五）網絡彈性審查

網絡彈性審查（Cyber Resilience Review，CRR）②https://en.wikipedia.org/wiki/Cyber_Resilience_Review是由美國國土安全部主導的自愿性安全審查，主要用于評估各政府機構和關鍵基礎設施部門的網絡安全能力和運維彈性，包括資產管理、控制管理、配置和變更管理、漏洞管理、安全事件管理、服務持續性管理、風險管理、外部依賴性管理、培訓和意識、態勢感知共十方面的相關內容。

（六）網絡安全能力審查

2015年英國政府發起了一項針對國家網絡安全能力的安全審查，③https://www.sbs.ox.ac.uk/cybersecurity-capacity/system/files/Cybersecurity%20Capacity%20Review%20of%20the%20 United%20Kingdom.pdf該項審查根據全球網絡安全能力中心建立的網絡安全能力成熟度模型，綜合審查了英國網絡安全政策和戰略、網絡安全文化和社會、網絡安全教育、網絡安全立法和規范體系以及網絡安全標準的整體情況。

由此可見，各國已經對網絡安全事項開展了形式多樣的審查實踐，其中既包括對網絡產品服務安全和國家網絡安全態勢的常態性審查，也包括回應特定網絡安全事件的非常態性審查。筆者認為，這些安全審查關注了國家網絡安全保障的不同方面，對不同類型的網絡安全風險起到了防范和控制效果，為國家網絡安全能力的提升起到了顯著的支撐作用。鑒于我國與各國面臨的網絡安全風險的同步性，我國可以對目前各國在此方面的有益經驗進行充分借鑒和吸收，在未來網絡安全審查的制度塑造過程中建立更為多元化的國家網絡安全審查架構，切實保障國家的網絡安全。

（責任編輯：鐘宇歡）

The Past, Present and Future of National Cyber Security Review Legal System

Ma Ning

National Cyber security review system is an innovative system to enhance the ability of Cyber security protection in our country, due to the fuzzy of the legislation, there is still a lot of system misunderstanding. This paper reviews the legislation process of the system, analyzes the related practice in the world at present, in order to de finite Cyber security review system more scienti fically, and put forward the system development path.

National Cyber security review system; system independence; system nature; system extension

G20

A