網(wǎng)絡空間供應鏈國際規(guī)范研究
——構建供應鏈生態(tài)系統(tǒng)總體安全觀

黃志雄 陳徽

(武漢大學 國際法研究所，湖北武漢 430072)

引言

伴隨著網(wǎng)絡技術的快速發(fā)展，網(wǎng)絡空間國際治理正受到世界各國的日益重視，網(wǎng)絡空間治理正快速走向法治化。在這一進程中，國際社會已就國際法適用于網(wǎng)絡空間達成了重要的原則性共識。但出于網(wǎng)絡空間的獨特屬性以及主要大國的意識形態(tài)、價值觀和現(xiàn)實國家利益等方面的差異乃至對立，各方對于國際法中的諸項原則與規(guī)則如何具體地適用于網(wǎng)絡空間仍存有巨大爭議。(1)參見黃志雄：《網(wǎng)絡空間負責任國家行為規(guī)范：源起、影響和應對》，載《當代法學》2019年第1期。此外，各方的爭論還在于，面對日益復雜的網(wǎng)絡環(huán)境與日益嚴重的安全威脅，現(xiàn)有國際法是否足夠應對？是否需要制定新的規(guī)則以及新的規(guī)則應當通過何平臺以何種形式制定？(2)參見Michael N. Schmitt, Trends in International Law for Cyberspace, CCDCOE (May 2019), https://ccdcoe.org/uploads/2019/05/Trends-Intlaw_a4_final.pdf，2020年9月14日最后訪問。在此背景下，供應鏈安全作為新興的非傳統(tǒng)安全，已從一個單純的技術與產(chǎn)業(yè)問題，逐漸升格為政治與法律的博弈手段，嚴重威脅到網(wǎng)絡空間的安全與穩(wěn)定。由于供應鏈安全難以通過對現(xiàn)有國際法的解釋適用予以應對，國際社會亟需新的特殊規(guī)則。2015年，聯(lián)合國信息安全政府專家組(UN GGE)在其報告文件中提出了11條網(wǎng)絡空間負責任國家行為規(guī)范，其中的第9條便首次就供應鏈安全問題給出了國際規(guī)則層面的行為指引。本文以此GGE供應鏈規(guī)范(3)本文中各方提出的所有涉及供應鏈的規(guī)范統(tǒng)稱為“供應鏈規(guī)范”， “GGE供應鏈規(guī)范”一詞特指2015年UN GGE報告提出的負責任國家行為規(guī)范第9條。文中最后提出的新規(guī)范稱為“總規(guī)范”。為基礎，結合聯(lián)合國開放式工作組(OEWG)與UN GGE的工作、談判進展，研究提出相應的改進策略。

一、供應鏈規(guī)范的興起與發(fā)展

隨著信息通信技術(ICT)產(chǎn)業(yè)朝著全球互通融合的方向發(fā)展，對供應鏈的爭奪已從企業(yè)間單純的市場競爭向國家間的戰(zhàn)略競爭方向延伸，供應鏈安全威脅已日益突破國家間的傳統(tǒng)界限而上升到國際層面。同時在網(wǎng)絡空間的國際立法中，談判所需的高昂時間成本使得以條約、習慣為代表的“硬法”難以滿足當前需求，相對靈活的“軟法”規(guī)范治理開始受到重視。供應鏈規(guī)范的興起正是二者相結合背景下的產(chǎn)物。

(一)全球供應鏈安全威脅凸顯

當今全球化的信息社會越來越依賴于ICT產(chǎn)品與服務，其對精密性的極高要求催生了一套復雜的全球供應鏈體系。參考美國標準技術研究院(NIST)《聯(lián)邦信息系統(tǒng)供應鏈風險管理實踐標準》文件中的定義：ICT系統(tǒng)的運行依賴于全球分布而又互相聯(lián)系的供應鏈生態(tài)系統(tǒng)，該生態(tài)系統(tǒng)包括制造商、供應商(網(wǎng)絡供應商和軟硬件供應商)、系統(tǒng)集成商、采購商、終端用戶和外部服務提供商等各類實體，產(chǎn)品和服務的設計、研發(fā)、生產(chǎn)、分配、部署和使用等環(huán)節(jié)，以及技術、法律、政策等軟環(huán)境。(4)參見Jon Boyens et al., Supply Chain Risk Management Practices for Federal Information Systems and Organizations, NIST SP800-161 (Apr. 2015), p.1, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161.pdf，2020年9月14日最后訪問。任何一個環(huán)節(jié)中的風險漏洞，都可能給ICT產(chǎn)品與服務的有效運作帶來巨大威脅。尤其是當這類漏洞被網(wǎng)絡空間中的惡意行為體所利用時，將可能導致數(shù)據(jù)泄露、數(shù)據(jù)受損、系統(tǒng)失靈的后果，嚴重時甚至可擾亂社會環(huán)境，造成對財產(chǎn)和人員的物理損害。

然而，當前在網(wǎng)絡空間通過供應鏈實施的惡意行為屢見不鮮，供應鏈攻擊因具有明顯的便捷性、(5)如通過ICT供應鏈安插“后門”(back door)、實施遠程操控等方式獲取情報，可極大的節(jié)約任務成本，同時避免現(xiàn)實中實施間諜行為所具有的高風險性。參見Ariel E. Levite, ICT Supply Chain Integrity: Principles for Governmental and Corporate Policies, Carnegie Endowment for International Peace (Oct. 2019), p.10, https://carnegieendowment.org/files/Levite_SupplyChain_final.pdf，2020年9月14日最后訪問。高效性(6)實施ICT供應鏈攻擊與本國的技術環(huán)境與在供應鏈中所處的特殊位置具有緊密聯(lián)系，因而技術強國、產(chǎn)業(yè)鏈分布集中之國家或地區(qū)具有實施供應鏈攻擊的特殊能力，具有不對稱的戰(zhàn)略優(yōu)勢。此外，ICT供應鏈攻擊可以直接對關鍵基礎設施或重要平臺(如核設施)實施精準打擊。參見Ariel E. Levite, ICT Supply Chain Integrity: Principles for Governmental and Corporate Policies, Carnegie Endowment for International Peace (Oct. 2019), p.10. https://carnegieendowment.org/files/Levite_SupplyChain_final.pdf，2020年9月15日最后訪問。與隱蔽性(7)供應鏈攻擊由于通常可以有相當一段時間的潛伏期，在攻擊指令激活前不易被察覺，激活后對方也難以及時偵測，“零日漏洞”(zero-day)的存在表明用以避免損害結果發(fā)生的反應時間并不充足。參見Jason Healey, The U.S. Government and Zero-Day Vulnerabilities: From Pre-Heartbleed to Shadow Brokers, Columbia Journal of International Affairs (Nov. 2016), https://jia.sipa.columbia.edu/sites/default/files/attachments/Healey%20VEP.pdf，2020年9月14日最后訪問；同時，當前的技術水平也制約了受害方進行準確歸責的能力，在網(wǎng)絡空間如何進行國際法上的有效歸責一直是一個棘手問題。參見Delbert Tran, The Law of Attribution: Rules for Attributing the Source of a Cyber-Attack, Yale Journal of Law & Technology, Vol.20: 1 (2018), pp.376-441；此外，供應鏈攻擊還可借助合法的政策目標作為偽裝，例如以打擊恐怖主義作為安插“后門”的借口。參見劉晴：《“五眼聯(lián)盟”力推“后門”合法化原因與影響》，載《中國信息安全》2019年第11期。而在實踐中越發(fā)為一些國家所青睞。一方面，通過技術手段實施的供應鏈攻擊，可為國家贏取非對稱的戰(zhàn)略優(yōu)勢。早在2010年，美國與以色列即利用“震網(wǎng)”病毒，“無聲”地實現(xiàn)了打斷伊朗核計劃的戰(zhàn)略目標。另一方面，通過政治化渲染，供應鏈攻擊也可從廣義上理解為一種干涉和制裁的手段，借助技術出口管制措施，將供應鏈“武器化”。(8)參見王天禪：《美國新興技術出口管制及其影響分析》，載《信息安全與通信保密》2020年第4期。如美國近段時間以來，借助中興、華為等事件，故意破壞對特定國家產(chǎn)品和服務的信任，通過逐漸提升對高新技術的“斷供”和“圍堵”措施，展現(xiàn)出將供應鏈作為打擊手段從而破壞其他國家供應鏈安全的威力。(9)參見桂暢旎：《對特朗普政府在信息通信領域供應鏈安全政策的初步分析》，載《中國信息安全》2019年第6期。2020年新冠疫情下各國廣泛采取的旅游和貿(mào)易限制措施也使得國際供應鏈體系受到嚴重擾亂。疫情對各國供應鏈自主性的考驗，觸動了此類國家加緊審視和調(diào)整自身的供應鏈政策。疫情因素疊加各國對尖端科技爭奪的大背景，使得“技術民族主義”正逐漸抬頭。

在這一系列事件的累計作用下，ICT供應鏈安全已成為網(wǎng)絡空間國際治理中的一項熱點議題，其安全與穩(wěn)定亟需制度保障。

(二)作為“軟法”的網(wǎng)絡空間規(guī)范治理漸趨主流

在當前網(wǎng)絡空間的國際治理中，國際社會借助于UN GGE于2013年所達成的一份具有里程碑意義的報告文件，已就國際法原則上適用于網(wǎng)絡空間達成了重要共識。(10)參見United Nations General Assembly, Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, A /68 /98*, 24 June 2013, p.8, https://undocs.org/A/68/98，2020年9月15日最后訪問。而2015年報告則更進一步提出了11條負責任國家行為規(guī)范作為對現(xiàn)有國際法適用于網(wǎng)絡空間中的重要補充，確認了以這種自愿性、不具約束力的“軟法”規(guī)范來促進國家在網(wǎng)絡空間中有序行為的主要規(guī)制方式。(11)參見黃志雄：《網(wǎng)絡空間負責任國家行為規(guī)范：源起、影響和應對》，載《當代法學》2019年第1期。此種規(guī)范治理既源于美國為代表的西方發(fā)達國家的推動，也源于中俄等為代表的發(fā)展中國家的認可：一方面，西方國家主張規(guī)范以其靈活的治理形式，更能適應不斷變動的技術特征，同時可借以繞開中俄等國呼吁制定有約束力的網(wǎng)絡空間條約的“不成熟”主張。(12)對美國等西方國家而言，當前談判網(wǎng)絡空間條約的“不成熟”不僅在于國際層面上尚缺乏規(guī)則共識，還在于國內(nèi)程序上的制約。對于美國來說，條約在簽訂后需要經(jīng)過國會的批準，其不僅耗費時間，而且還面臨不被通過的風險。采用規(guī)范的形式則僅僅需要行政部門的授權即可，大大提高了美國政府參與國際規(guī)則塑造過程中的靈活性。參見Martha Finnemore & Ducan B. Hollis, Constructing Norms for Global Cybersecurity, The American Journal of International Law, Vol.110: 3 (Jul. 2016), pp.469-470.最重要的是，相較于條約只能由政府參與制定，規(guī)范可由企業(yè)、國際組織等非國家行為體提出的特性，(13)參見Martha Finnemore, Cybersecurity and the Concept of Norms, Carnegie Endowment for International Peace (Nov. 2017), p.3, https://carnegieendowment.org/files/Finnemore_web_final.pdf，2020年9月16日最后訪問。更好地契合了西方國家所倡導的“多利益攸關方”(multi-stakeholder)治理模式，(14)參見Eric Rosenbach & Shu Min Chong, Governing Cyberspace: State Control vs. The Multistakeholder Model, Belfer Center for Science and International Affairs, Harvard Kennedy School (Aug. 2019), https://www.belfercenter.org/publication/governing-cyberspace-state-control-vs-multistakeholder-model#toc-3-0-0，2020年9月15日最后訪問。方便其借助自身成熟的公民社會，鞏固網(wǎng)絡空間國際規(guī)則制定中的話語權優(yōu)勢地位。另一方面，規(guī)范被中俄等國視為在具有濃厚西方價值觀色彩的傳統(tǒng)國際法外開辟更廣闊規(guī)則塑造空間的重要路徑。以2011年上合組織成員國向聯(lián)大提交的《信息安全國際行為準則》為代表，中俄等國最早提出了一套完整的網(wǎng)絡空間行為規(guī)范，意圖為網(wǎng)絡空間新規(guī)則的構建引入范本。

正因如此，盡管網(wǎng)絡空間的國際治理體系正呈現(xiàn)出國際法、“軟法”規(guī)范、政治聲明、技術標準、社群倡議等治理措施并存的所謂“機制復合”(regime complex)現(xiàn)象，(15)參見Joseph S. Nye Jr., The Regime Complex for Governing Global Cyber Activities, Global Commission on Internet Governance Paper Series, 1. (May. 2014).規(guī)范治理正逐漸成為其中的主流。在聯(lián)合國大會2018年對成立聯(lián)合國信息安全開放式工作組(OEWG)和新一屆UN GGE的工作授權中，推動負責任國家行為規(guī)范的進一步實施與發(fā)展是其二者兼具的重要工作目標。

在以上雙重背景的作用下，各方開始加速搶占供應鏈安全領域的國際規(guī)則主導權，并以GGE供應鏈規(guī)范為基礎達成了初步共識。

(三)GGE供應鏈規(guī)范的誕生

當前各種供應鏈規(guī)范中，最重要、最有影響的無疑是UN GGE的工作成果。早在2010年，UN GGE的一份報告即呼吁各國關注供應鏈中的安全風險，提到“各國擔心，信通技術供應鏈會受到影響或破壞而妨礙正常、安全、可靠地使用信通技術。在信通技術中安裝惡意隱蔽功能會破壞對產(chǎn)品和服務的信心，削弱商業(yè)信任，并影響國家安全”。2013年UN GGE的報告建議：“各國應鼓勵私營部門和公民社會在加強信通技術使用安全方面發(fā)揮適當作用，包括信通技術產(chǎn)品和服務供應鏈的安全。”隨后，UN GGE的2015年報告歷史性地提出了11條負責任國家行為規(guī)范，其中第9 條對各國如何確保ICT供應鏈安全給出了專門指引：“各國應采取合理措施，確保供應鏈的完整性，使終端用戶可以對信通技術產(chǎn)品的安全性有信心。各國應設法防止惡意信通技術工具和技術的擴散以及使用有害的隱蔽功能。”

然而，GGE供應鏈規(guī)范的誕生并未給該領域的討論畫下句號，各方仍在積極通過各種平臺補充新的規(guī)范提議，使得供應鏈規(guī)范得以大量涌現(xiàn)。

(四)其他平臺供應鏈規(guī)范的擴增

在GGE供應鏈規(guī)范誕生后，作為對它的細化或補充，大量供應鏈規(guī)范開始相繼出現(xiàn)于其它多邊平臺中。例如，在2018年11月12日，法國主導提出了《網(wǎng)絡空間信任和安全巴黎倡議》(簡稱《巴黎倡議》)，提議“強化數(shù)字流程、產(chǎn)品和服務在其整個生命周期和供應鏈中的安全性”。(16)Paris Call for Trust and Security in Cyberspace, France Diplomatie, https://www.diplomatie.gouv.fr/en/french-foreign-policy/digital-diplomacy/france-and-cyber-security/article/cybersecurity-paris-call-of-12-november-2018-for-trust-and-security-in，2020年9月16日最后訪問。

在跨國企業(yè)主導的多方合作倡議中，微軟于2017年提出《數(shù)字日內(nèi)瓦公約》，呼吁國家“避免在大眾市場的商業(yè)技術產(chǎn)品中插入或要求設置‘后門’”。(17)Brad Smith, The need for a Digital Geneva Convention, Microsoft (Feb.2017), https://blogs.microsoft.com/on-the-issues/2017/02/14/need-digital-geneva-convention/，2020年9月16日最后訪問。次年2018年4月，微軟又聯(lián)合了其它33家大型科技企業(yè)，啟動并簽署了網(wǎng)絡安全《技術協(xié)議》，從企業(yè)自律的視角要求簽署者“在技術產(chǎn)品和服務的開發(fā)、設計、銷售和使用過程中防止其被篡改和利用”。(18)Cybersecurity Tech Accord, Microsoft (Apr.2018), https://cybertechaccord.org/about/，2020年9月16日最后訪問。同年，西門子也攜手合作伙伴簽署了網(wǎng)絡安全《信任憲章》，提出了企業(yè)與政府在數(shù)字供應鏈中應肩負的行為責任。(19)The Charter of Trust, Siemens (Feb 2018), https://www.charteroftrust.com/about/, 2020年9月18日最后訪問。

在多利益攸關方合作平臺中，全球網(wǎng)絡空間穩(wěn)定委員會(GCSC)在2019年11月發(fā)布了名為《推進網(wǎng)絡空間穩(wěn)定》的最終報告文件，提出了8條具體規(guī)范作為該委員會的最終工作成果，其中的第3條要求：“國家和非國家行為體不應干預或篡改處于生產(chǎn)過程中的產(chǎn)品和服務，同時應積極防止此類行為發(fā)生，以避免損害網(wǎng)絡空間穩(wěn)定。”(20)Advancing Cyberstability: Final Report, Global Commission on the Stability of Cyberspace (Nov. 2019), https://cyberstability.org/wp-content/uploads/2019/11/Digital-GCSC-Final-Report-Nov-2019_LowRes.pdf，2020年9月17日最后訪問。

由此可見，通過利用多樣化渠道，各方正踴躍表達自身對供應鏈安全的關切。但與此同時，隨著越來越多的國家及非國家行為體的加入，規(guī)范治理進程中的碎片化傾向愈趨明顯，不同規(guī)范間難免存在著重復、抵觸乃至沖突的現(xiàn)象。

因而，當前國際規(guī)則博弈中有關供應鏈安全的爭議焦點在于：作為共識基礎的GGE供應鏈規(guī)范是否足以應對當前的安全威脅？我們需要的是何種新規(guī)范？對此，本文的回答是現(xiàn)有GGE供應鏈規(guī)范并不完善，未來新規(guī)范的補充勢在必行。

二、供應鏈規(guī)范的內(nèi)容解析

2015年的GGE供應鏈規(guī)范要求：“各國應采取合理措施，確保供應鏈的完整性，使終端用戶可以對信通技術產(chǎn)品的安全性有信心。各國應設法防止惡意信通技術工具和技術的擴散以及使用有害的隱蔽功能。”通過對該規(guī)范所包含構成要件的分析，筆者認為，該規(guī)范既有一定的可取之處，但也同時蘊藏風險和缺陷，需引起警覺并加以改進。

(一)規(guī)范的結構體系

從結構上看，GGE供應鏈規(guī)范由前后兩句組成。第一句確立了對供應鏈的總體保護原則，要求各國積極采取措施保障供應鏈的完整性，該保護行為的目的是確保終端產(chǎn)品的安全。第二句則從防止惡意技術擴散和使用有害隱蔽功能的具體行為層面，從規(guī)范目的出發(fā)強調(diào)了防止此類行為的后果。就行為方式而言，不同于其它平臺提出的供應鏈規(guī)范，該規(guī)范既有要求積極作為的義務，也有要求消極不作為的義務。(21)參見Oleg Demidov & Giacomo Persi Paoli, Supply Chain Security in the Cyber Age: Sector Trends, Current Threats and Multi-Stakeholder Responses, UNIDIR (2020) , pp.47-51, https://css.ethz.ch/content/dam/ethz/special-interest/gess/cis/center-for-securities-studies/resources/docs/UNIDIR_Supply-Chain-Security-in-the-Cyber%20Age.pdf，2020年9月18日最后訪問。

對于兩部分間的關聯(lián)問題，第二句應理解為是對第一句的細化和強調(diào)，并在相當程度上構成了對其保護范圍的限縮。原因在于：首先，第一款實際暗中指向第二款所述的保護情形，使用有害的隱蔽功能實際上即指安插“后門”一類的供應鏈攻擊方式，直接損害了供應鏈的完整性，使得遭到惡意篡改的產(chǎn)品當然地無法滿足終端用戶所期望的安全需求。其次，從UN GGE的談判歷程來看，保護供應鏈安全項下的討論一直聚焦于使用有害的隱蔽功能這一特殊情形。例如，相比于2010年報告，2013年UN GGE的報告中沒有再以“供應鏈會受到影響或破壞而妨礙正常、安全、可靠地使用信通技術”的宏觀表述去陳述供應鏈安全威脅，而是具體表述為：“各國感到關切的是，把有害的隱蔽功能嵌入信通技術，即可影響信通技術的安全、可靠使用，影響信通技術產(chǎn)品和服務供應鏈，削弱商業(yè)信任，并破壞國家安全。”而2017年未能出臺的UN GGE報告草案中，對執(zhí)行GGE供應鏈規(guī)范所給出的指引也專注于“各國應采取措施，防止包括私營部門在內(nèi)的非國家行為體出于自身目的或其他非國家行為體的目的而使用有害的隱蔽功能，損害本國或他國領土內(nèi)之第三方的利益”，以及“建立可減輕對信息通信技術產(chǎn)品中有害的隱蔽功能的擔憂的信任措施，并鼓勵私營部門和公民社會在其中發(fā)揮適當作用”。(22)參見Oleg Demidov & Giacomo Persi Paoli, Supply Chain Security in the Cyber Age: Sector Trends, Current Threats and Multi-Stakeholder Responses—TECHNICAL COMPENDIUM, UNIDIR (2020) , pp.68-69, https://unidir.org/sites/default/files/2020-02/Technical%20Compendium%20for%20Supply%20Chain%20Security%20in%20the%20Cyber%20Age.pdf，2020年9月18日最后訪問。因此，防止使用有害的隱蔽功能才是GGE供應鏈規(guī)范意圖規(guī)制的核心行為。

(二)規(guī)范的意義與特點

就GGE供應鏈規(guī)范本身在國際上已取得的影響而言，其意義是顯著的，至少有以下三個方面的特點：

首先，該規(guī)范具有開創(chuàng)性。作為國際上第一條真正意義上的供應鏈規(guī)范， GGE供應鏈規(guī)范的誕生，意味著將供應鏈安全問題正式引入了網(wǎng)絡空間國際規(guī)則討論的多邊框架內(nèi)，使對供應鏈安全問題的關注度超越了技術標準與國內(nèi)法層面，進入到全新的國際規(guī)則領域。

其次，該規(guī)范具備權威性。不同于其它平臺的供應鏈規(guī)范尚處于提案或倡議階段，GGE供應鏈規(guī)范作為當前國際社會就供應鏈安全問題達成的唯一普遍共識，不僅獲得聯(lián)合國大會決議通過，還于G7、G20、東盟峰會等多邊場合中被一再重申。盡管不具有約束力，但作為國際軟法，其勸告和引導的作用效力是顯著的，擁有發(fā)展與塑造新的國際法規(guī)則的巨大潛力。(23)參見何志鵬：《逆全球化潮流與國際軟法的趨勢》，載《武漢大學學報(哲學與社會科學版)》2017年第4期。英國、加拿大、澳大利亞、東盟等國家和區(qū)域組織也在積極推動規(guī)范在本國或本地區(qū)的實施。相比之下，盡管《巴黎倡議》也獲得了部分國家、跨國企業(yè)和國際組織的支持，但其本身意在開辟中美互聯(lián)網(wǎng)治理模式間的第三條道路的特性，(24)參見黃志雄：《互聯(lián)網(wǎng)監(jiān)管的“道路之爭”及其規(guī)則意蘊》，載《法學評論》2019年第5期。決定了在缺乏中美等網(wǎng)絡大國直接支持的背景下，影響的范圍仍具有局限性。而其它如GCSC報告、微軟和西門子的提案也只是反映了某一類利益攸關方的利益關切。

最后，該規(guī)范擁有可擴展性。在提出該規(guī)范的2015年UN GGE報告中，已意識到其作為特定時期內(nèi)特定國家間利益妥協(xié)的產(chǎn)物，時效性和完整性必然有所欠缺。故明確指出“鑒于信通技術的獨特屬性，可能需要在一段時間后制定更多規(guī)范”，為新規(guī)范的補充提供了可能。因此，良好的擴展性不僅可以保證規(guī)范在技術的變遷下保持持久的生命力，還可以修正因此前UN GGE進程中專家成員代表性限制問題而導致的利益失衡。(25)參見戴麗娜，鄭樂鋒：《聯(lián)合國網(wǎng)絡安全規(guī)則進程的新進展及其變革與前景》，載《國外社會科學前沿》2020年第4期。特別是在2019年，聯(lián)合國開啟了具有廣泛包容性的OEWG進程后，許多首次獲得參與機會的發(fā)展中國家和國際組織代表，無論在正式會議抑或是與多利益攸關方的非正式磋商中，都明確表達了期望補充新規(guī)范的立場。

(三)規(guī)范蘊含的風險與缺陷

之所以會有補充新規(guī)范的必要，是因為當前GGE供應鏈規(guī)范仍不乏風險與缺陷。為此，本文梳理了當前GGE供應鏈規(guī)范中可能存有爭議的五大方面，吁請各方警覺并擇機改進。

1.尚待明確的“合理措施”(reasonable steps)。GGE供應鏈規(guī)范要求各國采取合理措施來保障供應鏈安全，但首先何為合理措施不明確。(26)參見Tim Maurer, A Dose of Realism: The Contestation and Politics of Cyber Norms, Hague Journal on the Rule of Law (2020), pp. 283-305.對于措施合理性的統(tǒng)一判斷，當前不僅缺乏專門針對此類行為形成的官方解釋或指南文件，也缺乏國際法提供的明確背書。例如，有學者分析指出：GGE供應鏈規(guī)范立基于國際法上的審慎原則，國家所需采取的措施理應滿足審慎義務的標準要求。(27)參見Zine Homburger, Conceptual Ambiguity of International Norms on State Behavior in Cyberspace, EU Cyber Direct (Apr. 2019), p.16, https://eucyberdirect.eu/wp-content/uploads/2019/05/zine-homburger-conceptual-ambiguity-of-norms-april-2019-eucyberdirect.pdf，2020年9月19日最后訪問。然而，并非所有國家都贊同審慎原則當然地適用于網(wǎng)絡空間，作為各方爭論的焦點，對于網(wǎng)絡環(huán)境下國家承擔怎樣的審慎義務是極具爭議而不明確的，(28)參見Peter Z. Stockburger, From grey zone to customary international law: How adopting the precautionary principle may help crystallize the due diligence principle in cyberspace, 2018 10th International Conference on Cyber Conflict (CyCon), Tallinn, 2018, pp. 245-262.存在內(nèi)涵、適用標準以及適用條件等上的不確定性。(29)參見張華：《論非國家行為體之網(wǎng)絡攻擊的國際法律責任問題——基于審慎原則的分析》，載《法學評論》2019年第5期。盡管有學者通過梳理國家實踐，試圖找出當前各國在審慎義務要求下所應采取的合理措施范圍，但這些涵蓋法律、技術、組織、合作的措施總體上看仍是不完全且寬泛的，僅具指向性而非約束性的。(30)參見Antonio Coco & Talita de Souza Dias, States’ Duty of Due Diligence in Cyberspace, presentation at ESIL KRAKW-LEIDEN SYMPOSIUM: Exploring the Frontiers of International Law in Cyberspace (Dec. 2020).

其次，國家采取合理措施的能力與其技術能力緊密相關，國際法上的審慎義務也只要求國家在知情與能力的范圍內(nèi)采取行動，制約了合理性標準的客觀統(tǒng)一性。ICT供應鏈往往涉及到復雜精密的技術，對國家的風險識別和管控能力要求較高，加之國際上針對網(wǎng)絡攻擊歸因的非公開性特點，(31)通過發(fā)表演說、公布國家立場文件等方式，大多數(shù)已表明觀點的國家目前都明確承認歸因的非公開性，這些國家具體包括英國、美國、法國、澳大利亞、荷蘭。參見Przemysaw Roguski, Application of International Law to Cyber Operations: A Comparative Analysis of States’ Views, The Hague Program For Cyber Norms Policy Brief (Mar. 2020), pp.13-17.加劇了網(wǎng)絡能力匱乏國家受到不合理歸因的可能性。故而，一定的能力是使規(guī)范獲得有效推行的前提條件。(32)參見Zine Homburger, The Necessity and Pitfall of Cybersecurity Capacity Building for Norm Development in Cyberspace, Global Society, Vol.33: 2 (Jan. 2019), pp.230-231.正如有評論認為：各方還應非常重視能力建設措施，通過提升關鍵節(jié)點的技術能力，幫助其完善法治環(huán)境，并在必要時提供協(xié)助來保障供應鏈安全。(33)參見Caitriona Heinl, Recommendation 13(i), in Voluntary, Non-Binding Norms for Responsible State Behavior in the Use of Information and Communications Technology: A Commentary, New York: United Nations Publications (2017), pp. 234-235.

最后，國家是否采取了合理措施由誰來判定？(34)參見Tim Maurer, A Dose of Realism: The Contestation and Politics of Cyber Norms, Hague Journal on the Rule of Law (2020), pp. 283-305.理論上，規(guī)范既不同于事后(expost)對行為進行評價的標準，也不同于事前(exante)對行為進行指導的原則與對行為進行規(guī)制的規(guī)則，(35)參見Martha Finnemore & Ducan B. Hollis, Constructing Norms for Global Cybersecurity, The American Journal of International Law, Vol.110: 3 (Jul. 2016), p.441.規(guī)范指的是“給定群體范圍內(nèi)對成員恰當行為的共同期望”。(36)參見Peter J. Katzenstein, Introduction: Alternative Perspectives on National Security, in Peter J. Katzenstein ed., The Culture of National Security: Norms and Identity in World Politics, Columbia University Press, 1996.因而對于這樣一條不具約束力的規(guī)范來說，理論上無所謂來源于更高位階者的權威評判，有的只是來自同集體成員間的評價。然而當前各方不僅缺乏實施規(guī)范的具體舉措的共同理解，集體監(jiān)督機制的缺失也制約了實踐中采取措施的統(tǒng)一性。此時，互相間借助“點名羞辱”(naming and shaming)甚至指控(accusation)的方式對自認為違反規(guī)范的國家施加惡名評價，(37)參見Martha Finnemore & Duncan B. Hollis, Beyond Naming and Shaming: Accusations and International Law in Cybersecurity, European Journal of International Law (forthcoming 2020).以達到單邊推動規(guī)范遵行并推廣自身行為標準的目的，(38)例如美國等27國在2019年9月發(fā)表聯(lián)合聲明，意圖在集體自愿的基礎上共同采取措施，要求違反規(guī)范的國家為惡意行為承擔后果。參見Joint Statement on Advancing Responsible State Behavior in Cyberspace, U.S. Department of Sates (Sep. 2019), https://www.state.gov/joint-statement-on-advancing-responsible-state-behavior-in-cyberspace/，2020年9月19日最后訪問。只能是助長了無序環(huán)境中的混亂。

2.片面地以“完整”(integrity)促“安全”(security)。從條文表述來看，GGE供應鏈規(guī)范中的首要關切是確保完整性，并進而促進安全性。由此可見，安全保障只是附隨于完整性保障的結果，完整性保障水平的高低決定了供應鏈的安全層次。盡管完整性的概念并不是固定的，根據(jù)定義場景與使用背景的不同而可能內(nèi)在地包含一定的安全性因素，(39)參見Supply Chain Integrity: An Overview of the ICT Supply Chain Risks and Challenges, and Vision for the Way Forward, European Union Agency for Cybersecurity (Aug. 2015), https://www.enisa.europa.eu/publications/sci-2015，2020年9月19日最后訪問。然而關于廣義上的供應鏈安全具體包含哪些要件當前尚無統(tǒng)一概念，美國NIST的指南文件中就區(qū)分出了安全、完整、彈性和優(yōu)質四大要素。參見Jon Boyens et al., Supply Chain Risk Management Practices for Federal Information Systems and Organizations, NIST SP800-161 (Apr. 2015), p.3, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161.pdf，2020年9月20日最后訪問。但只對供應鏈完整性進行強調(diào)，恰恰在一定程度上反映了對使用有害的隱蔽功能這一具體情形的過度關注。如同其它平臺提出的供應鏈規(guī)范也多類似地聚焦于植入“后門”問題，如此有限的保護范圍使得完整性保障并不能反映供應鏈安全的全貌。該規(guī)范之所以強調(diào)以“完整”促“安全”，筆者認為更多的是反映西方國家的利益和關切。對此，首先針對整個供應鏈生態(tài)系統(tǒng)，筆者將之劃分為兩類安全觀，一是西方國家所倚重的“技術安全觀”，更為關注的是供應鏈中所潛藏的技術攻擊威脅；二是中國等發(fā)展中國家所注重的“環(huán)境安全觀”，更為關注的是對圍繞供應鏈的法律、政策、市場等軟環(huán)境造成的干預和擾亂。導致兩種安全觀之間差異的因素是各方對供應鏈安全威脅的不同感知。

然而這樣的“技術安全觀”并不完善，“環(huán)境安全觀”的補充則更能呈現(xiàn)出整個供應鏈的安全全貌。早在2011年，中俄等上合組織成員國提出的《信息安全國際行為準則》中就提出了自身的供應鏈規(guī)范，該規(guī)范在2015年更新后指出：各國應承諾“努力確保信息技術產(chǎn)品和服務供應鏈的安全，防止他國利用自身資源、關鍵設施、核心技術、信息通訊技術產(chǎn)品和服務、信息通訊網(wǎng)絡及其他優(yōu)勢，削弱接受上述行為準則國家對信息通訊技術產(chǎn)品和服務的自主控制權，或威脅其政治、經(jīng)濟和社會安全。”(44)《信息安全國際行為準則(2015年版)》，載外交部網(wǎng)站2015年3月5日，http://infogate.fmprc.gov.cn/web/ziliao_674904/tytj_674911/zcwj_674915/t858317.shtml，2020年9月19日最后訪問。中國于2017年發(fā)布的《網(wǎng)絡空間國際合作戰(zhàn)略》中，也尤其強調(diào)了“各國不得利用信息通信技術干涉別國內(nèi)政，不得利用自身優(yōu)勢損害別國信息通信技術產(chǎn)品和服務供應鏈安全”的規(guī)范要求。(45)《網(wǎng)絡空間國際合作戰(zhàn)略》，中央網(wǎng)信辦網(wǎng)站2017年3月1日，http://www.cac.gov.cn/2017-03/01/c_1120552617.htm，2020年9月19日最后訪問。在2019年OEWG第一次會議有關負責任國家行為規(guī)范的討論中，中國更是提出了多條新供應鏈規(guī)范，包括：“各國應維護公平、公正、非歧視的營商環(huán)境。不應濫用‘國家安全’理由限制正常信息通信技術發(fā)展與合作、限制信息通信技術產(chǎn)品的市場準入及高新技術產(chǎn)品出口。”(46)聯(lián)合國信息安全開放式工作組中方立場文件，https://www.un.org/disarmament/wp-content/uploads/2019/09/china-submissions-oewg-ch.pdf，2020年9月19日最后訪問。在2020年3月公布的OEWG首份報告草案中，多項考慮擬定的新規(guī)范中只是就供應鏈安全問題籠統(tǒng)地提及：“有國家表示出于對有害隱蔽功能的擔憂，需進一步增進供應鏈的完整性，加強漏洞通報的責任。”(47)Initial “Pre-draft” of the report of the OEWG on developments in the field of information and telecommunications in the context of international security, p.7, https://unoda-web.s3.amazonaws.com/wp-content/uploads/2020/03/200311-Pre-Draft-OEWG-ICT.pdf, 2020年9月19日最后訪問。這不僅沒有明確吸納中國等國提及的保護供應鏈不受惡意政策擾亂的安全關切，也未能對已有規(guī)范形成實質性突破。(48)陳徽、夏宇清：《2020年上半年國際供應鏈安全形勢與對策建議》，載《中國信息安全》2020年第7期。為此，中國在對報告草案的評論中再次強調(diào)了增添保障供應鏈環(huán)境安全穩(wěn)定的新規(guī)范的堅定立場，(49)China’s Contribution to the Initial Pre-Draft of OEWG Report, https://front.un-arm.org/wp-content/uploads/2020/04/china-contribution-to-oewg-pre-draft-report-final.pdf, 2020年9月20日最后訪問。并得到了來自俄羅斯的全力支持。(50)Commentary of the Russian Federation on the Initial “Pre-Draft” of the Final Report of the United Nations Open-ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security, https://front.un-arm.org/wp-content/uploads/2020/04/russian-commentary-on-oweg-zero-draft-report-eng.pdf, 2020年9月20日最后訪問。有關新規(guī)范的部分內(nèi)容還延續(xù)反映在了2020年9月8日提出的《全球數(shù)據(jù)安全倡議》中，(51)參見《全球數(shù)據(jù)安全倡議》，載外交部網(wǎng)站2020年9月8日，https://www.fmprc.gov.cn/web/wjbzhd/t1812949.shtml，2020年9月20日最后訪問進一步顯示出中國對于供應鏈環(huán)境安全的高度關切與迫切需求。

理論上，根據(jù)國際法院在“尼加拉瓜”案中確定的傳統(tǒng)干涉公式，干涉必須具有強迫性(coercion)。(55)參見Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. United States of America), Merits, Judgment. I.C.J. Reports 1986.在第9版《奧本海國際法》中也指出，干涉是“一個國家對另一個國家的事務的強制的或專斷的干預，旨在針對另一個國家強加某種行為或后果”。(56)[英]詹寧斯、瓦茨修訂：《奧本海國際法(第9版)》，王鐵崖等譯，中國大百科全書出版社1995年版，第313-315頁。在一個國際互賴日益加深、國際分工高度成熟分化的全球ICT產(chǎn)業(yè)體系中，美國作為高端技術壟斷者，單方面對中國的華為等公司施加高端技術貿(mào)易禁令的制裁措施，并在中美貿(mào)易戰(zhàn)導致“技術脫鉤”風險加劇的背景下，要求他國就相關技術問題“選邊站隊”的行為，乃是通過供應鏈綁架他國利益，迫使他國做出符合自身目標的政策調(diào)整，不適當?shù)赜绊懥怂麌闹鳈嘁庠福瑹o疑具有明顯的強迫性因素，構成經(jīng)濟干涉。早在2012年聯(lián)合國人權事務高級專員辦事處在關于單方面強制性措施對享受人權的影響的專題研究報告中即指出：“具有經(jīng)濟性質的單方面強制性措施可能會構成非法干涉的觀點已成為一種日益加強的趨勢，并為許多會員國所認可。”(57)United Nations Human Rights Council, Thematic study of the Office of the United Nations High Commissioner for Human Rights on the impact of unilateral coercive measures on the enjoyment of human rights, including recommendations on actions aimed at ending such measures*, A/HRC/19/33, 11 January 2012, p.5, https://undocs.org/A/HRC/19/33，2020年9月19日最后訪問。

換一個角度來說，現(xiàn)代國際法對非強迫性干涉行為可以構成國際法上禁止的非法干涉的觀點也持越來越開放的態(tài)度。這一派觀點認為國際法禁止的干涉絕大多數(shù)都是強迫性干涉，但也存在極個別非強迫性干涉的情況。(58)參見陳一峰：《論當代國際法上的不干涉原則》，北京大學出版社2013年版，第120頁。對于一個高度交融的國際經(jīng)濟體系，應當謹慎區(qū)分出非強迫性干涉與正常國際影響間的界限，此界限取決于干涉對象所涉及到的一國法律利益的重要性和敏感性程度。根據(jù)滑動比例理論，當干涉對象的重要性和敏感性程度越高，認定其構成非法干涉的手段之強迫性程度要求就越低。(59)參見陳一峰：《論當代國際法上的不干涉原則》，北京大學出版社2013年版，第153-154頁。就“環(huán)境安全觀”下所感知的供應鏈干預而言，干預行為的最終目的在于擾亂一國的戰(zhàn)略目標，乃至在法律、政策和市場環(huán)境等方面的主權事務。對于5G等構筑下一代關鍵基礎設施的新興技術而言，由于其關系到國家的長期重大戰(zhàn)略利益，關涉國家總體安全，重要性和敏感性程度顯著高于一般的經(jīng)濟活動。(60)參見付玉輝：《從國家總體安全觀到5G產(chǎn)業(yè)安全戰(zhàn)略》，載《中國信息安全》2019年第7期。即便手段的強迫性特征不甚明顯，也使得此類干預行為更易落入非強迫性干涉的范圍之內(nèi)。

實踐中，西方發(fā)達國家利用自身作為供應鏈頂端的優(yōu)勢推行對外政策的做法也由來已久。“隨著國際經(jīng)濟的一體化，企業(yè)社會責任運動已逐漸擴展至跨國企業(yè)的供應鏈上，并蔓延到非跨國企業(yè)的商業(yè)行為當中，從而形成了普遍意義上的企業(yè)的社會責任”。(61)李雪平：《企業(yè)社會責任問題給國際法帶來的挑戰(zhàn)》，載《法學評論》2007年第5期，第85頁在這一進程中，企業(yè)社會責任的國際標準化使得其效力超越了傳統(tǒng)的國際關系的范圍。“即使有主權國家對企業(yè)社會責任的國際標準‘拒之門外’，但其他國家國內(nèi)企業(yè)對該標準的適用及其在國際商業(yè)競爭中的要求，必然會導致該標準的域外效力，從而影響到該主權國家國內(nèi)的企業(yè)”。(62)李雪平：《企業(yè)社會責任問題給國際法帶來的挑戰(zhàn)》，載《法學評論》2007年第5期，第89頁。舉例而言，2010年剛果民主共和國發(fā)生了嚴重的內(nèi)亂，各方對礦產(chǎn)開采的爭奪明顯促進了沖突的傳播。美國作為這類沖突礦產(chǎn)的最主要證券交易市場所在地，通過國內(nèi)出臺《多德—弗蘭克法案》，要求公司盡職調(diào)查是否有涉及到此類礦產(chǎn)的供應鏈，并向美國證券交易委員會(SEC)做出披露報告，使得SEC逐漸成為了對證券交易所上市公司供應鏈中涉及潛在沖突礦產(chǎn)的管理機構。此舉迫使許多無論是否在美國上市的企業(yè)，都傾向于在自身商業(yè)行為準則中規(guī)避對“沖突礦產(chǎn)”的采購。類似地，歐盟2016年通過的《沖突礦產(chǎn)法規(guī)》也承諾，錫、鉭、鎢、金四種金屬(3TG)的進口商將以《OECD關于來自受沖突影響和高風險區(qū)域的礦產(chǎn)的負責任供應鏈盡職調(diào)查指南》為指導，打破礦產(chǎn)品貿(mào)易為沖突提供資金的惡性循環(huán)。盡管此舉有助于平息紛爭保護人權，但也成功干預了國際供應鏈對民主剛果礦物的采購，實現(xiàn)了國內(nèi)法/歐盟法的域外效力。

此外，美國近來通過對次級制裁方式日益廣泛且頻繁的使用，也在嚴重威脅著以主權平等原則為基礎的國際秩序。“通過對第三國及其個人和實體采取強制性懲罰措施，迫使其停止與被制裁國之間經(jīng)濟往來的方式，顯然違反了尊重他國主權的義務，違反了主權原則與不干涉他國內(nèi)政原則。”(63)楊永紅：《次級制裁及其反制》，載《法商研究》2019年第3期，第172頁。從美國單邊退出伊核協(xié)議后施壓歐盟的次級制裁威脅，到推出針對德國與俄羅斯間“北溪二號”項目的制裁法案，再到以國家安全為由肆意將中國科技公司列入“實體名單”，限制高端芯片及操作系統(tǒng)等軟硬件產(chǎn)品的供應并制裁違規(guī)企業(yè)等，美國正以供應鏈作為傳導，將施加次級制裁的能力和范圍推向新的高度。這不僅損害了國家間正常的經(jīng)貿(mào)關系，也給全球政治穩(wěn)定造成了極大破壞。

3.狹窄的“終端用戶”(end user)保護群體。根據(jù)GGE供應鏈規(guī)范的表述，保護的對象被設定為終端用戶，終端用戶是指在ICT系統(tǒng)中所服務的最終受益者。無疑，西方國家作為世界上ICT產(chǎn)品與服務的主要消費市場，具有明顯的終端用戶特征，也是許多供應鏈攻擊所指向的對象。然而，整個ICT產(chǎn)品與服務的生命周期內(nèi)所涉供應鏈環(huán)節(jié)眾多，任何一個節(jié)點的漏洞都可能給整條供應鏈帶來安全威脅，受攻擊的目標不只有終端用戶，還包括每一節(jié)點上的供應商，因此GGE供應鏈規(guī)范保護的覆蓋范圍并不全面。有調(diào)查顯示，企業(yè)對自身防范來自供應鏈中商業(yè)伙伴威脅的能力同樣感到普遍焦慮。(64)2019 Global Cyber Risk Perception Survey, Marsh (Sep. 2019), p.18, https://www.microsoft.com/security/blog/wp-content/uploads/2019/09/Marsh-Microsoft-2019-Global-Cyber-Risk-Perception-Survey.pdf，2020年9月19日最后訪問。當研發(fā)商惡意提供帶有缺陷的零部件設計圖紙給制造商，制造商按設計所指示之步驟進行生產(chǎn)時導致設備毀損，此時便使得非終端用戶的制造商成為了供應鏈攻擊的受害者。(65)參見John Villasenor, Compromised By Design? Securing the Defense Electronics Supply Chain, Center for Technology Innovation & Center for 21st Century Security and Intelligence, Brookings (Nov. 2013), https://www.brookings.edu/wp-content/uploads/2016/06/Villasenor_HW_Security_Nov7.pdf，2020年9月19日最后訪問。再如，終端用戶在沒有明顯證據(jù)的情況下，惡意排除特定企業(yè)對市場的參與，損害的恰恰是供應商平等參與供應鏈的權利。因此，良好的供應鏈生態(tài)不僅需要供應鏈上下游間的協(xié)同合作，也需要與終端用戶間培育良好的商業(yè)關系。

4.缺乏限制的安全“信心”(confidence)標準。GGE供應鏈規(guī)范中將供應鏈完整性所需達到的安全評估標準建立于高度不確定的主觀因素上，即達到終端用戶對“對信通技術產(chǎn)品的安全性有信心”。

對安全評估標準的如是設置，積極的一面在于：ICT產(chǎn)品與服務本就不具有絕對的安全性，科技發(fā)展使得產(chǎn)品和服務的安全性會隨著時間的流逝而改變，用戶的信心標準也會是一個相應的動態(tài)過程，信心標準相當于否認了絕對的安全觀。該過程中，不同的產(chǎn)品與服務視特性的不同將承諾不同的保障期限，在安全承諾期限內(nèi)，供應商有必要以各種方式確保用戶維持必要的安全信心。比如產(chǎn)品硬件可通過部件升級來提升安全性，軟件服務則可通過及時的補丁更新以進行修補，必要的風險提示與漏洞披露政策也都有助于維持用戶的安全信心。這也決定了供應商不得利用用戶的依賴性，而強迫用戶采取不必要的升級或更新?lián)Q代等措施，因為這反倒有可能減損信任關系。

但同時，這一標準消極的一面在于：針對用戶經(jīng)供應鏈獲取的產(chǎn)品和服務，信心不僅可以是源于對技術的信任，也可以是源于對法律、政策、市場等軟環(huán)境的寬泛的信任，(66)參見Paul Rosenzweig & Claire Vishik, Trusted Hardware and Software: An Annotated Bibliography, Lawfare (Oct. 2020), https://www.lawfareblog.com/trusted-hardware-and-software-annotated-bibliography，2020年12月15日最后訪問。然而這樣的模糊性卻缺乏必要的限制。從美國近來施壓中國企業(yè)的表態(tài)似乎可以看出，美國將自己的信心標準擴張到一個非常寬泛的范圍，其對中國企業(yè)產(chǎn)品的不信任，并不直接來源于產(chǎn)品依賴的技術本身，而是來自于對中國軟環(huán)境的疑慮。據(jù)美中經(jīng)濟安全審查委員會2018年向國會提交的一份針對美國聯(lián)邦ICT系統(tǒng)中中國供應鏈安全隱患的報告顯示，美國認為中國的供應鏈體系在很大程度上為中國的政治、經(jīng)濟利益服務。報告中提到：伴隨著政策引導，中國正在向產(chǎn)業(yè)鏈上游擴張，擠壓了外資的生存空間，使得中國得以接觸更多的供應鏈節(jié)點，而中國的《國家安全法》和《網(wǎng)絡安全法》賦予了政府以安全審查的名義，強迫外資提供知識產(chǎn)權或其他重要商業(yè)財產(chǎn)如源代碼以供審查的權限，嚴重威脅了美國聯(lián)邦政府的ICT系統(tǒng)安全。(67)參見Supply Chain Vulnerabilities from China in U.S. Federal Information and Communications Technology, U.S.-China Economic and Security Review Commission (Apr. 2018), pp.19-23. https://www.uscc.gov/sites/default/files/Research/Interos_Supply%20Chain%20Vulnerabilities%20from%20China%20in%20U.S.%20Federal%20ICT_final.pdf，2020年9月19日最后訪問。在當前華為5G的問題上，美國同樣是基于對中國軟環(huán)境的指控來實施打壓，而非確鑿的技術證據(jù)。例如，一份來自北約合作網(wǎng)絡防御卓越中心(CCDCOE)的研究報告無端指稱：中國“具有深重的網(wǎng)絡間諜行為劣跡”，2015年頒布的《反恐怖主義法》以及2017年頒布的《國家情報法》為中國政府以國家安全的名義安插“后門”提供了授權。此外，報告還指出華為公司與中國軍方和情報部門間的關系，以及黨組織在公司中的作用總是不明確的。(68)參見Kadri Kaska, Henrik Beckvard & Tomas Minarik, Huawei, 5G and China as a Security Threat, CCDCOE (2019), p.11, https://ccdcoe.org/uploads/2019/03/CCDCOE-Huawei-2019-03-28-FINAL.pdf，2020年9月18日最后訪問。美國主導的《5G布拉格提案》同樣是將安全信心建立于寬泛的因素上，指出：“網(wǎng)絡安全不僅是純粹的技術問題，還在于充分的國家戰(zhàn)略、合理的政策、完善的法律框架、以及專職的人員保障上。”(69)The Prague Proposals, Government of the Czech Public, https://www.vlada.cz/en/media-centrum/aktualne/prague-5g-security-conference-announced-series-of-recommendations-the-prague-proposals-173422/，2020年9月19日最后訪問。相應的，歐盟在其《5G網(wǎng)絡安全協(xié)調(diào)風險評估報告》中也強烈認可非技術性漏洞威脅的存在。(70)參見EU Coordinated Risk Assessment of the Cybersecurity of 5G Networks, NIS Cooperation Group (Oct. 2019), p.22, https://g8fip1kplyr33r3krz5b97d1-wpengine.netdna-ssl.com/wp-content/uploads/2019/10/Report-EU-risk-assessment-final-October-9.pdf，2020年9月19日最后訪問。

然而，這樣寬泛的信心標準會給整個供應鏈生態(tài)系統(tǒng)帶來巨大的負面影響。首先。一國的軟環(huán)境當是國家主權范圍內(nèi)的保留事項，軟環(huán)境水平與各國國情息息相關，對于軟環(huán)境安全水平的評價并不存在統(tǒng)一的標準。其次，將軟環(huán)境安全水平納入信心標準，為行使對外干涉開辟了路徑。最后，供應商的職責與目標是提供安全的產(chǎn)品與服務，他們并無能力左右軟環(huán)境水平的高低。將不在供應商能力范圍內(nèi)的因素納入對其的評判標準是不合理的，助長了泛安全化、經(jīng)貿(mào)問題政治化的實現(xiàn)路徑。軟環(huán)境因素只是對技術安全的支撐和保障，他們只能作為輔助判斷手段，最終還是得回歸以技術檢測所顯示的安全程度為準。因而，正如華為公司在其網(wǎng)絡安全立場文件中所聲明：“華為始終提供安全的產(chǎn)品和服務，并愿意為此接受任何的第三方安全檢測。”(71)Huawei's Position Paper on Cyber Security, Huawei (Nov. 2019), http://www-file.huawei.com/-/media/corporate/pdf/public-policy/huaweis_position_paper_on_cybersecurity.pdf，2020年9月19日最后訪問。這樣一種以第三方安全評估為依據(jù)的安全驗證方式才是符合邏輯與現(xiàn)實安全需要的，其合理性也在實踐中得到了一定程度上的認同。(72)如華為已被接納于英國、德國、加拿大、比利時等國設立網(wǎng)絡安全中心，用以驗證和核實相關產(chǎn)品與技術。特別是在英國，華為網(wǎng)絡安全評估中心監(jiān)督委員會(HCSEC)在設立后持續(xù)發(fā)布年度報告，起到了良好的監(jiān)督協(xié)調(diào)職能。美國東西方研究所2020年6月發(fā)布的《化解技術民族主義》研究報告也肯定了這一思路，并提出了建立區(qū)域和行業(yè)層級的安全測試與評估中心的建議方案。(73)參見Andreas Kuehn & Bruce McConnell, Weathering TechNationalism, EastWest Institute (Jun. 2020), https://www.eastwest.ngo/sites/default/files/ideas-files/weathering-technationalism.pdf, 2020年9月19日最后訪問。

5.無法協(xié)調(diào)的防擴散機制。GGE供應鏈規(guī)范要求“各國應設法防止惡意信通技術工具和技術的擴散”，但首先，不同國家對惡意信通技術工具和技術的理解上存在顯著差異。以網(wǎng)絡監(jiān)控技術為例，在西方特別是注重個人隱私的歐洲，更傾向于從保護人權的角度將此類技術視為惡意信通技術。(74)參見Kanetake Machiko, The EU’s dual-use export control and human rights risks: the case of cyber surveillance technology. Europe and the World: A law review, UCL Press, Vol. 3(1): 3, 2019,然而在中國、印度等人口規(guī)模龐大、社會成分復雜的國家，監(jiān)控技術可以很好地服務于社會穩(wěn)定與國家安全，并不當然被視作是惡意的。此外，“防止惡意信通技術工具和技術擴散”的規(guī)范當前對中國而言是較為不利的。對于美國等西方國家來說，其早已開始關注通過對《瓦森納安排》的更新來納入對網(wǎng)絡技術的出口管制。英國和澳大利亞等國已相繼表態(tài)，以《瓦森納安排》納入對惡意信通技術工具的管控可視為是對GGE供應鏈規(guī)范中防擴散條款的有效執(zhí)行措施。(75)參見Non-Paper on Efforts to Implement Norms of Responsible State Behaviour in Cyberspace, as Agreed in UN Group of Government Expert Reports of 2010, 2013 and 2015, UK Submission to OEWG (Sep. 2019), p.14, https://s3.amazonaws.com/unoda-web/wp-content/uploads/2019/09/uk-un-norms-non-paper-oewg-submission-final.pdf，2020年9月20日最后訪問；Australian Paper - Open Ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security, Australian Submission to OEWG (Sep. 2019), https://unoda-web.s3.amazonaws.com/wp-content/uploads/2019/09/fin-australian-oewg-national-paper-Sept-2019.pdf，2020年9月20日最后訪問。然而，當前中國并非《瓦森納安排》成員國，短期內(nèi)也無加入《瓦森納安排》之可能，國際上又尚缺乏其它類似的防擴散控制體系。在西方國家看來，中國作為全球網(wǎng)絡設備等戰(zhàn)略物資的重要供應商，若無針對其技術出口行為的國際規(guī)制，持續(xù)將其排除于多邊機制之外，無法真正意義上做到防止惡意信通技術和工具的擴散。(76)參見Expanding and sustaining dialogue between China and the Wassenaar Arrangement, Saferworld (Jan. 2015), p.12, https://www.saferworld.org.uk/resources/publications/873-expanding-and-sustaining-dialogue-between-china-and-the-wassenaar-arrangement，2020年9月20日最后訪問。而GGE供應鏈規(guī)范中防擴散條款的設置，恰恰可用以彌補這一缺陷。此外，也正是由于《瓦森納安排》的存在，GGE供應鏈規(guī)范在一定程度上授予了其控制向中國進行技術轉讓的合法性。西方國家內(nèi)部針對《瓦森納安排》名單是否需納入入侵軟件工具的持續(xù)爭論已表明，大部分技術和工具本身并不具有與生俱來的善惡之分，是否為惡意在很大程度上依賴于使用者決定如何使用上(例如入侵軟件既可被用于反恐偵查，也可被用于破解用戶或他國政府、企業(yè)的機密文件)。故而對西方國家而言，在人工智能等伴隨倫理考驗的新興科技不斷興起的當下，若借以將芯片、系統(tǒng)等信通技術產(chǎn)品與服務以潛在的惡意為由納入更新后的《瓦森納安排》時，實施針對中國的技術禁運措施便更具可操作性，(77)參見Brigitte Dekker & Maaike Okano-Heijmans, The US-China trade-tech stand-off and the need for EU action on export control, Clingendael (Aug. 2019), pp.9-10, https://www.clingendael.org/sites/default/files/2019-08/Report_US-China_stand-off.pdf，2020年9月20日最后訪問。同時從出于防止惡意信通技術和工具流入中國以避免其成為不受控制的擴散源的目的而言，也更有利于占據(jù)道義制高點。

三、新供應鏈規(guī)范體系建構與總規(guī)范提議

盡管GGE供應鏈規(guī)范作為指引性而非拘束性條款，對條文表述精確性上的挖掘難免顯得過于苛求，但上述分析也幫助我們看到可進一步改進的空間。本部分提出應站在供應鏈生態(tài)系統(tǒng)的高度，在兼顧各方利益關切的基礎上構建總體安全觀，并在該安全觀的指引下提出一條總規(guī)范。以該總規(guī)范為出發(fā)點，未來應努力就其中各項要件加以更為細致的解釋和補充，通過各種途徑逐步推動其成為國際共識，進而維護網(wǎng)絡空間的和諧秩序，構建網(wǎng)絡空間命運共同體。

(一)確立供應鏈生態(tài)系統(tǒng)總體安全觀

在結合技術安全與環(huán)境安全的基礎上，供應鏈生態(tài)系統(tǒng)總體安全觀可簡要表示為圖1：

圖1：供應鏈生態(tài)系統(tǒng)總體安全觀架構圖

若以“一體四面”來形容，則該總體安全觀要求在確保供應鏈生態(tài)系統(tǒng)之總體安全水平下，具體注重以下四個方面的區(qū)分與統(tǒng)一：

第一，對經(jīng)由供應鏈產(chǎn)出的產(chǎn)品和服務的安全與供應鏈生態(tài)系統(tǒng)的總體安全加以區(qū)分，強調(diào)二者屬于不同層面但又互相聯(lián)系：前者為用戶安全需求所直接指向的對象，是供應鏈安全的關鍵一環(huán)；而后者才是國家戰(zhàn)略層面的關注焦點，是供應鏈安全的全貌。產(chǎn)品和服務的技術安全對應于總體安全觀中的“技術安全觀”，軟環(huán)境因素則對應于總體安全觀中“環(huán)境安全觀”。二者之間在一般情況下存在明顯分野，不得互相干預。細言之，“技術安全觀”不能直接以軟環(huán)境因素作為衡量標準，須以技術本身之安全性為主進行判斷。反之，以“技術安全觀”受損倒推回來要求軟環(huán)境的改變也是不合理的。同理，“環(huán)境安全觀”也不會因技術安全得到提升而自動實現(xiàn)，必須促進國際上穩(wěn)健的法律政策環(huán)境予以保障。若以中美圍繞5G安全紛爭作為分析，美國邏輯的內(nèi)在沖突是其對產(chǎn)品和服務安全水平標準上的寬泛性與供應鏈總體安全觀下“技術安全觀”的狹隘性間的沖突。以中國的軟環(huán)境因素為理由聲稱本國的技術安全受到威脅，這突破了兩面間的分野，在該結構中的邏輯是難以成立的。當然，美國也可辯稱同樣有著基于“環(huán)境安全觀”的憂慮，但此時它便不能否認有保障供應鏈環(huán)境安全的必要性，針對華為等的政策打壓將是站不住腳的。

第二，在產(chǎn)品和服務安全項下，對技術安全與軟環(huán)境安全加以區(qū)分，二者對于用戶安全需求的重要性位階顯著不同。首先，技術安全作為終端用戶對所需產(chǎn)品和服務的核心需求，在可驗證的情況下應作為唯一衡量標準，可靠的方式如經(jīng)由可信第三方的驗證。此舉是為了避免安全標準過于泛化和主觀化，導致供應商處于不利地位而貶損商業(yè)信心，同時也是為了防止外來的不公平干預。其次，只有當技術安全驗證不可行的時候，才可以引用軟環(huán)境因素作為對技術安全能否達到終端用戶安全需求的補充衡量。

第三，對總體安全觀下發(fā)達國家關注的供應鏈“技術安全觀”與發(fā)展中國家關注的供應鏈“環(huán)境安全觀”加以區(qū)分，并強調(diào)二者在貢獻于供應鏈生態(tài)系統(tǒng)總體安全時的統(tǒng)一性。通過本文分析已可得知，供應鏈不僅會被用作實施惡意網(wǎng)絡攻擊的工具，也可被用于推行干涉政策的工具，無論是技術安全抑或是環(huán)境安全，都在供應鏈不安全的威脅之下，因而為了確保供應鏈總體安全，必須對二者予以同等兼顧，如此才能調(diào)和當前不同陣營國家間的利益沖突。

第四，在各安全觀下進一步區(qū)分出積極義務和消極義務。融合了積極義務與消極義務的規(guī)范不僅在內(nèi)容結構上更為全面，同時由于積極義務能促成監(jiān)督消極義務執(zhí)行的機制，也更有利于規(guī)范的實施。(78)參見Oleg Demidov & Giacomo Persi Paoli, Supply Chain Security in the Cyber Age: Sector Trends, Current Threats and Multi-Stakeholder Responses, UNIDIR (2020) , https://css.ethz.ch/content/dam/ethz/special-interest/gess/cis/center-for-securities-studies/resources/docs/UNIDIR_Supply-Chain-Security-in-the-Cyber%20Age.pdf，2020年9月20日最后訪問。在“技術安全觀”下，積極義務要求國家應采取合理措施保障供應鏈安全。中國所提倡的當發(fā)現(xiàn)產(chǎn)品存在嚴重安全缺陷或漏洞時，須及時通知的義務即在此限。(79)參見聯(lián)合國信息安全開放式工作組中方立場文件，https://www.un.org/disarmament/wp-content/uploads/2019/09/china-submissions-oewg-ch.pdf，2020年9月20日最后訪問。消極義務可涵蓋國家不得對供應鏈產(chǎn)品和服務進行干預，(80)參見Advancing Cyberstability: Final Report, Global Commission on the Stability of Cyberspace (Nov. 2019), https://cyberstability.org/wp-content/uploads/2019/11/Digital-GCSC-Final-Report-Nov-2019_LowRes.pdf，2020年9月20日最后訪問。避免在大眾市場的商業(yè)技術產(chǎn)品中插入或要求設置“后門”等。(81)參見Brad Smith, The need for a Digital Geneva Convention, Microsoft (Feb.2017), https://blogs.microsoft.com/on-the-issues/2017/02/14/need-digital-geneva-convention/，2020年9月20日最后訪問。在“環(huán)境安全觀”下，積極義務可囊括國家采取各種措施努力提升政策、法律、市場等軟環(huán)境安全水平，包括建立風險預警體系、產(chǎn)品認證體系、咨詢決策體系等。(82)參見Ariel E. Levite, ICT Supply Chain Integrity: Principles for Governmental and Corporate Policies, Carnegie Endowment for International Peace (Oct. 2019), pp.3-4, https://carnegieendowment.org/files/Levite_SupplyChain_final.pdf，2020年9月20日最后訪問。而消極義務則可包含要求“各國不得營造不公平公正的歧視性營商環(huán)境，不得濫用‘國家安全’理由限制正常通信技術發(fā)展與合作，不得限制信息通信技術產(chǎn)品的市場準入及高新技術產(chǎn)品的出口”等。(83)參見聯(lián)合國信息安全開放式工作組中方立場文件，https://www.un.org/disarmament/wp-content/uploads/2019/09/china-submissions-oewg-ch.pdf，2020年9月20日最后訪問。

(二)總規(guī)范之構成要素與提議

在供應鏈生態(tài)系統(tǒng)總體安全觀指引下構建的總規(guī)范，應具備哪些構成要素？根據(jù)學者瑪莎·芬納莫爾等對網(wǎng)絡規(guī)范的解析，規(guī)范可具體解構出四大要件，分別為：身份(identity)、行為(behavior)、適當性(propriety)和集體期望(collective expectation)。(84)參見Martha Finnemore & Ducan B. Hollis, Constructing Norms for Global Cybersecurity, The American Journal of International Law, Vol.110: 3 (July 2016), p.438-439.

身份指的是該規(guī)范意圖規(guī)制的行為主體。對供應鏈安全而言，其不僅受國家行為體的威脅，在很大程度上也受非國家行為體的威脅。盡管UN GGE與OEWG作為在聯(lián)合國下開展的進程而使其討論的規(guī)制對象多局限于國家，但從保障供應鏈總體安全的角度出發(fā)，新規(guī)范的調(diào)整范圍應足夠囊括國家與非國家行為體。(85)參見呂晶華：《供應鏈安全國際治理制度體系分析》，載《信息安全與通信保密》2020年第4期。正如GCSC在報告中所指出的：“非國家行為體也必須承擔在網(wǎng)絡空間中規(guī)范行為的責任，它們必須克制或采取積極措施，以確保網(wǎng)絡空間的穩(wěn)定。”(86)Advancing Cyberstability: Final Report, Global Commission on the Stability of Cyberspace (Nov. 2019), https://cyberstability.org/wp-content/uploads/2019/11/Digital-GCSC-Final-Report-Nov-2019_LowRes.pdf，2020年9月20日最后訪問。

行為指的是制定該規(guī)范之集體對成員如何行為的期望。從上一部分的分析可以得出，各方在供應鏈生態(tài)系統(tǒng)總體安全觀下所期望的行為應兼具“技術安全觀”與“環(huán)境安全觀”下的積極與消極義務。但具體而言有哪些義務應以更為細致的新規(guī)范或其它形式的配套文件予以補充和明確。

適當性指的是該規(guī)范所期望之行為的正當性依據(jù)，即該規(guī)范為何可被集體成員接受為是恰當?shù)摹Ｇ拔囊呀?jīng)指出，供應鏈規(guī)范與國際法已有原則和規(guī)則間存在緊密聯(lián)系，國際法可為供應鏈規(guī)范提供大量理論支撐。除了國際法外，供應鏈規(guī)范還可從更廣范圍中獲取理論支持，包括社會道德、行業(yè)習慣等。

最后，集體期望指的是根據(jù)規(guī)范意圖爭取到的共識范圍，決定其在表述上的精細程度。一項表述模糊的規(guī)范無疑能兼顧更多成員的利益，從而擴展規(guī)范獲得內(nèi)化(internalization)的范圍，(87)經(jīng)過“內(nèi)化”的規(guī)范才能真正起到行為指引作用，否則只能是還停留在所謂“Quasi-Norms”的倡議階段，盡管可能會被遵守，但缺乏對行為的預測和評價效力。參見Toni Erskine & Madeline Carr, Beyond ‘Quasi-Norms’: The Challenges and Potential of Engaging with Norms in Cyberspace, in Anna-Maria Osula & Henry R?igas ed., International Cyber Norms: Legal, Policy & Industry Perspectives, Tallinn: NATO CCD COE Publications, 2016, pp.87-109.但也存在成員基于理解上的偏差而在實踐中發(fā)生混亂的風險。一項表述精確的規(guī)范盡管能給各方提供明確的行為指引，但所能滿足的利益取向往往是特定的，能夠吸引的成員范圍有限，對該規(guī)范心懷不滿者便不會參與該規(guī)范。此外，就算心懷不滿者迫于被孤立的風險而參加該規(guī)范，也還存在表面上接受但不誠心遵守(insincere conformity)的現(xiàn)象。(88)如有學者指出中國對其所締結之中美網(wǎng)絡安全協(xié)議中有關網(wǎng)絡商業(yè)間諜行為之規(guī)則就是一種“不誠心遵守”的體現(xiàn)。參見Martha Finnemore & Ducan B. Hollis, Constructing Norms for Global Cybersecurity, The American Journal of International Law, Vol.110: 3 (July 2016), p.443.盡管此時該規(guī)范仍能起到較好的行為指引作用，但由于成員并無內(nèi)心的信服，分歧仍不可避免，并且由于缺少法律確信而阻礙了規(guī)范向國際習慣法的形成過渡。因此，就供應鏈生態(tài)系統(tǒng)總體安全觀下的總規(guī)范而言，筆者傾向于取較為宏觀的表述，以圖兼顧各方利益，吸引最大共識，確保供應鏈總體安全觀的實現(xiàn)。后期各方可在這一總規(guī)范指導下，結合最佳實踐細化出更多具體規(guī)范。

綜合以上分析，本文提出如下之總規(guī)范表述：“國家和非國家行為體應當秉持善意，積極采取合理措施，確保供應鏈的(完整性與)安全性及其所依賴之軟環(huán)境的可靠性，同時避免采取措施干預供應鏈的安全與穩(wěn)定，保障供應鏈中各方主體可持續(xù)的安全需求。”

其中，“秉持善意”首先體現(xiàn)中國一貫的和平利用網(wǎng)絡空間的主張，是構建持久和平的網(wǎng)絡空間命運共同體的內(nèi)在要求。(89)參見世界互聯(lián)網(wǎng)大會組委會：《攜手構建網(wǎng)絡空間命運共同體》，載中央網(wǎng)信辦網(wǎng)站，http://www.cac.gov.cn/2019-10/16/c_1572757003996520.htm，2020年9月20日最后訪問。意味著“在國際法的解釋和適用上，必須秉持善意，以有利于實現(xiàn)持久和平為出發(fā)點，準確理解和切實貫徹主權平等、不干涉內(nèi)政、不使用武力、和平解決國際爭端等國際法原則”。(90)徐宏：《人類命運共同體與國際法》，載《國際法研究》2018年第5期，第6頁。其次，“秉持善意”也是對國際法上善意原則的體現(xiàn)，提示行為者在國際法律生活的范圍內(nèi)善意行為。(91)參見[法]M·維拉利：《國際法上的善意原則》，劉昕生譯，載《國外法學》1984年第4期。善意原則要求國家禁止濫用自身權利，(92)參見Steven Reinhold, Good Faith in International Law, UCL Journal of Law and Jurisprudence, Vol.2 (2013), pp.40-63.因而可限制國家將對ICT供應鏈必要的技術管制或國家安全審查濫用作政治工具，通過附加不公正條件而限制技術自由貿(mào)易的行為。

盡管“合理措施”的含義尚待明確，但相關爭議不適合也難以在一條總規(guī)范中予以解決。對合理措施的判定應結合業(yè)界已有的供應鏈安全風險管理實踐，并考慮不同平臺機制間的平衡協(xié)調(diào)。(93)參見Oleg Demidov & Giacomo Persi Paoli, Supply Chain Security in the Cyber Age: Sector Trends, Current Threats and Multi-Stakeholder Responses, UNIDIR (2020) , https://css.ethz.ch/content/dam/ethz/special-interest/gess/cis/center-for-securities-studies/resources/docs/UNIDIR_Supply-Chain-Security-in-the-Cyber%20Age.pdf，2020年9月18日最后訪問。同時，總規(guī)范中“確保供應鏈的(完整性與)安全性及其所依賴之軟環(huán)境的可靠性”與“同時避免采取措施干預供應鏈的安全與穩(wěn)定”作為分別對總體安全觀下積極義務和消極義務的提及，也可對未來合理措施的明確起到一定的指引作用。此外，對合理措施的判定還應靈活考慮能力因素，“促進規(guī)范實施的路線圖應與各國家或區(qū)域自身的獨特處境和能力相適應” 。(94)Canada’s response to questions in Chair’s paper: February 2020 OEWG meeting, https://unoda-web.s3.amazonaws.com/wp-content/uploads/2020/03/canada-responses-to-oewg-chair-questions-Feb-26.pdf，2020年9月16日最后訪問。因而，今后不僅需要增進各方對負責任國家行為規(guī)范具體推進措施的理解與適用，搭建由規(guī)則共識到行為共識之間的橋梁，還需就信任措施、能力建設等配套方面的最佳實踐加強溝通和交流。

“各方主體可持續(xù)的安全需求”將總規(guī)范對供應鏈安全的保障范圍擴展到所有參與方。以“安全需求”代替“安全信心”，目的是鼓勵開發(fā)更客觀的安全標準與認證措施，避免導向主觀化與政治化。施加“可持續(xù)”一詞的限制是為了制約任何一方采取損害雙邊乃至多邊信任關系的單邊舉措，鼓勵合作而非對抗。“可持續(xù)”一詞也同時體現(xiàn)了安全需求的動態(tài)性特征，意味著一段時期內(nèi)的安全性波動是可接受的狀態(tài)，若有關方能及時采取糾正措施，持續(xù)的信賴關系仍可維系。

最后，由于總規(guī)范已經(jīng)突破了單純的完整性保障，并在技術安全外納入了環(huán)境安全，對于防止惡意信通技術和工具的擴散，以及不得利用信通技術從事安置“后門”等有害隱蔽功能的具體行為，應作為具體義務留待特殊規(guī)范去處理。現(xiàn)階段中國無需過度強調(diào)，以避免部分西方國家在圍繞《瓦森納安排》等推動規(guī)范執(zhí)行的機制上快速結成“同理念國家”陣營。

結語

負責任國家行為規(guī)范作為網(wǎng)絡空間軟法治理的主要表現(xiàn)形式，在當前各方對國際法具體規(guī)則的適用缺乏共識的背景下，正表現(xiàn)出強大的吸引力。這類規(guī)范靈活、自愿、非約束性的特點尤其適合解決由互聯(lián)網(wǎng)發(fā)展所帶來的新問題，以彌補現(xiàn)有國際法和國際機制在網(wǎng)絡空間發(fā)展中的滯后性。在以5G為代表的供應鏈安全問題持續(xù)升溫的過程中，供應鏈規(guī)范正是各方可賴以維護網(wǎng)絡空間秩序的有效治理途徑。盡管網(wǎng)絡領域的供應鏈規(guī)范正呈現(xiàn)快速增長的態(tài)勢，國際共識仍僅局限于2015年UN GGE報告中達成的GGE供應鏈規(guī)范，且其中仍不乏缺漏和隱患。對此，應在結合美國等發(fā)達國家對技術安全的利益關切與中國等發(fā)展中國家對環(huán)境安全的利益關切的基礎上，構建供應鏈生態(tài)系統(tǒng)總體安全觀。在本文所提之總規(guī)范的指導下，各方可在未來的研究和談判中逐漸補充新的具體規(guī)則、規(guī)范、標準或指南，增強其指引性和可操作性，為安全穩(wěn)定的全球ICT供應鏈提供制度保障。