《網絡安全法》與國家網絡安全審查制度的塑造

編者按：以《網絡安全法》為網絡空間基本法，其意義不僅在於規范網絡安全行為，更體現於對國家網絡安全法律體系的內在塑造，特別是對於當前形勢迫切的國家網絡安全審查制度，在戰略設計上要注重使國家網絡安全審查成為保障國家網絡安全的積極策略，在威脅態勢感知上要注重形成由“節點控制”轉變為“過程控制”的全覆蓋能力﹔在審查范圍上要注重向IT供應鏈遠端拓展，建立體系化和標准化的審查要求。通過《網絡安全法》龍頭引領，全面塑造國家網絡安全法律體系，同步加快信息安全標准化建設，從而形成安全穩定的網絡空間法律制度和國家治理的法律遵循。

2015年6月，第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網絡安全法（草案）》。該草案第三十條明確規定，關鍵信息基礎設施的運營者採購網絡產品或者服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的安全審查。該條規定與《國家安全法》規定的國家安全審查和監管制度相互呼應，共同組成了我國目前國家網絡安全審查的法治框架。依據現有規定，草案已然能夠回答國家網絡安全審查的兩個基本問題，即“審查什麼”和“如何審查”。但是將我國的國家網絡安全審查視為一項法律制度還為時尚早，因為現有規定並不足以支撐審查活動的有效開展，仍然存在需要回應的諸多問題。正如任何初創法律制度需要經歷修正和豐富的完善路徑一樣，國家網絡安全審查也存在針對法律制度本身的塑造過程。

一、國家網絡安全審查是主動的“保障措施”

信息時代的網絡安全議題是沉重的，在付出了極大的安全努力和代價之后，我們所處的安全環境並沒有發生實質性的變化，唯一改變的是我們對於信息技術愈發的依賴。特別是在“后棱鏡”時代，全球網絡安全的可信環境跌入冰點。在這種情況下，我國建立國家網絡安全審查制度具有充足的正當性基礎和現實安全需求。然而，不可否認的是，我國國家網絡安全審查制度的創設與美國針對華為、中興的調查事件和美國《合並與持續撥款法案》中對中國信息技術產品的歧視性規定密不可分。因此，在很多場合下，我國的國家網絡安全審查制度被解讀為針對美國不公正行為的反制措施，認為在美國延續非理性的信息技術“排華政策”時，我國可以依據對等原則，通過國家網絡安全審查制度予以應對和反制。

誠然，保持特定法律制度的“威懾效果”在平衡大國關系中能夠起到積極效果，對於不公平競爭格局的形成也有抑制作用。但是我們並不希望這種認識成為構建我國網絡安全審查制度的主導思想，因為這會導致網絡安全審查制度偏離應然的法治路徑，使制度本身降格為單純的“政策工具”。同時，我們必須意識到片面反制思維的風險性，因為陷於“以牙還牙”的網絡安全審查勢必將帶有鮮明的“國別化”色彩。在信息技術供應全球化的客觀態勢下，考慮到任何信息技術產品都可能由不同的國家進行設計、生產、組裝和調試，來源地將愈發復雜和模糊，國別化審查除了“彰顯”歧視和非理性的狹隘性之外，並無任何實際的風險控制意義。盡管美國針對我國的審查是非理性的，但同時也起到了積極的效果——我們比以往任何時候都更為審慎地對待國家網絡安全問題——這也是重新審視網絡安全審查法律價值的初衷，我們不希望我國的網絡安全審查制度“重蹈覆轍”。畢竟，這對於保障我國的網絡安全並無裨益。

有效或具備功能化的國家網絡安全審查制度應當能夠實現保障國家網絡安全的制度設計初衷，是一種積極的“保障措施”。對信息技術的依賴性和安全風險的泛在化是我們對目前網絡安全態勢的基本判斷。國家信息化本身就是社會生產生活向信息技術的遷移過程，國家重要領域和關鍵部門的持續性運行高度依賴於廣泛部署的信息技術產品和服務，其安全性和可信性成為評估國家網絡安全的重要指標。與此相伴的是，網絡安全風險正在變得日益嚴峻，美國審計局將這些風險概括為政府重要信息資源丟失或被盜，遭受未經授權的訪問和攻擊，敏感信息遭受身份盜竊、網絡間諜或其他形式的犯罪，政府關鍵部門運行的中斷，數據被篡改並用於欺詐或入侵等。2007年針對愛沙尼亞政府網絡的攻擊、2009年針對韓國的大規模拒絕服務攻擊、2010年針對伊朗核設施的震網病毒攻擊、2015年烏克蘭電網遭受攻擊等安全事件一再驗証了網絡安全風險給國家安全所帶來的可怕后果。為此，國家網絡安全審查應當是由國家積極實施保障策略，追求安全穩定狀態的法律制度，其目的是識別、防范、控制和應對信息技術產品和服務在使用過程中出現的上述安全風險。

二、國家網絡安全審查需加強態勢感知能力

在全球網絡風險日益嚴峻的態勢下，各國為實現信息技術產品和服務安全均建立了相對完備的審查制度或過程，特別是針對關鍵部門和重要領域中部署的信息技術產品和服務的審查力度在逐年增強，但網絡安全的改善狀況卻並不樂觀，“棱鏡事件”能夠充分印証這一論斷。

如前所述，網絡安全風險的泛在化是目前我們所面臨的客觀事實，這也造成審查活動必須面對“風險殘余”的棘手問題。例如，網絡攻擊和入侵借助的常用途徑是漏洞，這也是網絡安全審查普遍關注的重要內容。然而，漏洞在信息技術產品和服務中廣泛存在，其類似於產品或服務缺陷，在技術上被証明是不可能完全避免的。這意味著我們必須默認任何信息技術產品和服務的引入和部署都存在風險，而且這種風險是廣泛存在的。使用尚未披露的漏洞進行入侵和攻擊在實踐中非常有效，因為這類漏洞通常不為公眾所知，也缺乏相應的補丁和應對措施，安全審查過程幾乎不可能對此進行識別。

為此，網絡安全風險的絕對排除已然成為“鏡花水月”，將風險降低到可以接受的程度就成為更為可行的選擇，對風險識別和控制的及時性也更為重要。盡管目前威脅態勢感知通常被視為一種技術方法或策略，在政策法律領域鮮有論及，但其抽象出的方法論確實能夠提供具有指導意義的“法律范式”。威脅態勢感知不要求審查活動實現絕對的風險排除——事實上這也是不可能實現的——而要求國家保有對風險的實時感知和應對能力，這與網絡安全審查目前面臨的困境極為契合。

網絡安全審查中引入威脅態勢感知理念並不是全面否認現有審查方式的有效性，而是在預設所有審查方式都存在風險識別疏漏或不可能性的情況下，對傳統審查有效性的補強。從目前我國《網絡安全法（草案）》的規定來看，審查活動將主要針對關鍵信息基礎設施的採購環節，這是典型的“節點控制”模式，意味著在採購環節之后的信息技術產品和服務應用過程將不能納入審查范圍。特別是在服務商能夠在后續運維過程中訪問關鍵信息基礎設施敏感數據的情況下，採購環節的審查並不能對相關風險進行識別和應對，也無法實現安全保障功能。

為此，有效的網絡安全審查應當是一個動態的風險控制過程，貫穿於信息技術產品部署和使用的整個生命周期，能夠通過審查活動提供必要的態勢感知的能力。為此，網絡安全審查應當具有足夠的覆蓋度，由“節點控制”轉變為“過程控制”，將我國現有僅針對採購環節的審查延伸至整個產品和服務的應用環節。事實上，針對信息技術產品和服務應用的安全審查往往更重要。因為正如木桶原理一樣，國家網絡安全的整體水平取決於保護措施最為薄弱的環節，而持續性的動態審查恰恰能夠識別和強化這類環節。

目前，已經有國家開始在全國范圍內針對網絡安全狀況進行持續性的安全審查。例如，美國在2009年針對聯邦政務網絡安全開展了為期60天的網絡安全審查，以此來判斷聯邦層面的數據保護水平。2014年，澳大利亞政府也宣布在全國范圍內開展網絡安全審查，旨在評估公私領域的網絡攻擊風險，評估政府網絡和信息保護水平，確保對政務和關鍵基礎設施威脅有足夠的應對能力。

三、國家網絡安全審查應向IT供應鏈擴展

為了實現國家網絡安全審查的態勢感知能力，僅針對信息技術“終端產品和服務”進行審查遠遠不能滿足要求。信息技術的全球化在客觀上增加了IT供應鏈的復雜程度，出於成本和效率的考慮，大量的信息技術產品和服務存在業務外包的情況，復雜的供應鏈系統導致安全邊界變得異常模糊，安全風險具有更多的滲透途徑。任何產品規格的變化，持續性的改進措施，技術更新和升級過程，供應商內部的雇員變更和外部與第三方關系的變化都會增加相關供應鏈的不確定性，缺乏審查和安全保障的IT供應鏈將是致命的。因為在大多數情況下，IT供應鏈的安全狀況對於信息技術產品和服務的使用者而言都是不可見的，大量的攻擊行為可以借由供應鏈漏洞予以實現。例如，臭名昭著的震網病毒亦被証實是通過IT供應鏈進行滲透和擴散的。

IT供應鏈審查的意義在於實現“端到端”安全的可視化，考慮到IT供應鏈的復雜程度和審查機構能力的局限性，IT供應鏈審查需要特別強調供應商的自我聲明和各審查事項的文檔化。在必要的情況下，例如涉及國家安全和社會公共利益的信息技術產品和服務應用過程中，審查機構可以考慮強制要求供應商簽訂安全協議，明確供應商的安全保障義務，特別規制源自供應商的惡意行為，並針對此建立“黑名單”制度，一旦出現供應商利用提供的信息技術產品和服務惡意實施危害網絡安全的行為，將永久禁止其產品和服務在我國境內使用。

威脅態勢感知理念下的IT供應鏈審查包含更多的控制要素，遠比單一的產品和服務審查要復雜。從國家安全和社會穩定的角度考慮，精細化審查事項能夠提升安全保障水平，但同時也會對審查活動產生負面影響。復雜的安全保障一方面會令審查機構感到無所適從，另一方面也會對供應商遵從產生障礙。為此，以實現“保障功能”為目的的國家網絡安全審查制度就不可能不公開和不透明，而是需要建立體系化和標准化的審查要求。

盡管很少有國家具備真正意義上的國家網絡安全審查法律制度，但這並不意味著各國缺乏實質性的安全審查要求，只是各國通常會以“合規”“遵從”或“安全保障”等更為彈性的表述來闡述審查要求。以美國內政部為例，其在信息技術產品和服務中對供應商存在廣泛的網絡安全保障要求，包括背景調查、保密審查、培訓審查、位置審查、服務標准審查、獨立認証審查（IV&V）認証認可審查（C&A）、安全事件報告審查、質量控制審查、安全控制審查、業務連續性審查等諸多內容，大量的審查環節關注了IT供應鏈中涉及人員、系統和環境的安全要素，並規定了由供應商完成的安全事件報告和持續性安全審計。但是顯然，美國針對我國華為、中興的審查並沒有依據上述明確的審查標准，而是充斥著無端的猜忌和歧視。因此，即便是在美國國內，美國針對華為、中興的審查也被認為是“開創了非常糟糕的審查先例”。

盡管我們批判美國的審查結果有失理性，但也迫使我們重新反思國家網絡安全審查制度面臨的重大問題，即依托標准化的技術性審查隻能解決產品和服務“安全性”的問題，而不能涵蓋供應商“可信性”的要求，由惡意供應商引入的安全風險在實踐中並不少見。在“棱鏡門”事件之后，國外信息技術向本國關鍵基礎設施的滲透更容易引起各國政府的警惕，這也決定了國家網絡安全審查不同於單純的測評認証，對於IT供應鏈中供應商可信性的驗証變得越來越重要。但是認定供應商可信性的過程是艱難的，我們的努力是希望增加國家網絡安全審查的透明度，在有效保障國家安全的前提下同樣可以促進信息技術產業的發展。

（作者單位：西安交通大學信息安全法律研究中心）

（來源：中國信息安全）