《网络安全法》与国家网络安全审查制度的塑造

编者按：以《网络安全法》为网络空间基本法，其意义不仅在于规范网络安全行为，更体现于对国家网络安全法律体系的内在塑造，特别是对于当前形势迫切的国家网络安全审查制度，在战略设计上要注重使国家网络安全审查成为保障国家网络安全的积极策略，在威胁态势感知上要注重形成由“节点控制”转变为“过程控制”的全覆盖能力；在审查范围上要注重向IT供应链远端拓展，建立体系化和标准化的审查要求。通过《网络安全法》龙头引领，全面塑造国家网络安全法律体系，同步加快信息安全标准化建设，从而形成安全稳定的网络空间法律制度和国家治理的法律遵循。

2015年6月，第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法（草案）》。该草案第三十条明确规定，关键信息基础设施的运营者采购网络产品或者服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的安全审查。该条规定与《国家安全法》规定的国家安全审查和监管制度相互呼应，共同组成了我国目前国家网络安全审查的法治框架。依据现有规定，草案已然能够回答国家网络安全审查的两个基本问题，即“审查什么”和“如何审查”。但是将我国的国家网络安全审查视为一项法律制度还为时尚早，因为现有规定并不足以支撑审查活动的有效开展，仍然存在需要回应的诸多问题。正如任何初创法律制度需要经历修正和丰富的完善路径一样，国家网络安全审查也存在针对法律制度本身的塑造过程。

一、国家网络安全审查是主动的“保障措施”

信息时代的网络安全议题是沉重的，在付出了极大的安全努力和代价之后，我们所处的安全环境并没有发生实质性的变化，唯一改变的是我们对于信息技术愈发的依赖。特别是在“后棱镜”时代，全球网络安全的可信环境跌入冰点。在这种情况下，我国建立国家网络安全审查制度具有充足的正当性基础和现实安全需求。然而，不可否认的是，我国国家网络安全审查制度的创设与美国针对华为、中兴的调查事件和美国《合并与持续拨款法案》中对中国信息技术产品的歧视性规定密不可分。因此，在很多场合下，我国的国家网络安全审查制度被解读为针对美国不公正行为的反制措施，认为在美国延续非理性的信息技术“排华政策”时，我国可以依据对等原则，通过国家网络安全审查制度予以应对和反制。

诚然，保持特定法律制度的“威慑效果”在平衡大国关系中能够起到积极效果，对于不公平竞争格局的形成也有抑制作用。但是我们并不希望这种认识成为构建我国网络安全审查制度的主导思想，因为这会导致网络安全审查制度偏离应然的法治路径，使制度本身降格为单纯的“政策工具”。同时，我们必须意识到片面反制思维的风险性，因为陷于“以牙还牙”的网络安全审查势必将带有鲜明的“国别化”色彩。在信息技术供应全球化的客观态势下，考虑到任何信息技术产品都可能由不同的国家进行设计、生产、组装和调试，来源地将愈发复杂和模糊，国别化审查除了“彰显”歧视和非理性的狭隘性之外，并无任何实际的风险控制意义。尽管美国针对我国的审查是非理性的，但同时也起到了积极的效果——我们比以往任何时候都更为审慎地对待国家网络安全问题——这也是重新审视网络安全审查法律价值的初衷，我们不希望我国的网络安全审查制度“重蹈覆辙”。毕竟，这对于保障我国的网络安全并无裨益。

有效或具备功能化的国家网络安全审查制度应当能够实现保障国家网络安全的制度设计初衷，是一种积极的“保障措施”。对信息技术的依赖性和安全风险的泛在化是我们对目前网络安全态势的基本判断。国家信息化本身就是社会生产生活向信息技术的迁移过程，国家重要领域和关键部门的持续性运行高度依赖于广泛部署的信息技术产品和服务，其安全性和可信性成为评估国家网络安全的重要指标。与此相伴的是，网络安全风险正在变得日益严峻，美国审计局将这些风险概括为政府重要信息资源丢失或被盗，遭受未经授权的访问和攻击，敏感信息遭受身份盗窃、网络间谍或其他形式的犯罪，政府关键部门运行的中断，数据被篡改并用于欺诈或入侵等。2007年针对爱沙尼亚政府网络的攻击、2009年针对韩国的大规模拒绝服务攻击、2010年针对伊朗核设施的震网病毒攻击、2015年乌克兰电网遭受攻击等安全事件一再验证了网络安全风险给国家安全所带来的可怕后果。为此，国家网络安全审查应当是由国家积极实施保障策略，追求安全稳定状态的法律制度，其目的是识别、防范、控制和应对信息技术产品和服务在使用过程中出现的上述安全风险。

二、国家网络安全审查需加强态势感知能力

在全球网络风险日益严峻的态势下，各国为实现信息技术产品和服务安全均建立了相对完备的审查制度或过程，特别是针对关键部门和重要领域中部署的信息技术产品和服务的审查力度在逐年增强，但网络安全的改善状况却并不乐观，“棱镜事件”能够充分印证这一论断。

如前所述，网络安全风险的泛在化是目前我们所面临的客观事实，这也造成审查活动必须面对“风险残余”的棘手问题。例如，网络攻击和入侵借助的常用途径是漏洞，这也是网络安全审查普遍关注的重要内容。然而，漏洞在信息技术产品和服务中广泛存在，其类似于产品或服务缺陷，在技术上被证明是不可能完全避免的。这意味着我们必须默认任何信息技术产品和服务的引入和部署都存在风险，而且这种风险是广泛存在的。使用尚未披露的漏洞进行入侵和攻击在实践中非常有效，因为这类漏洞通常不为公众所知，也缺乏相应的补丁和应对措施，安全审查过程几乎不可能对此进行识别。

为此，网络安全风险的绝对排除已然成为“镜花水月”，将风险降低到可以接受的程度就成为更为可行的选择，对风险识别和控制的及时性也更为重要。尽管目前威胁态势感知通常被视为一种技术方法或策略，在政策法律领域鲜有论及，但其抽象出的方法论确实能够提供具有指导意义的“法律范式”。威胁态势感知不要求审查活动实现绝对的风险排除——事实上这也是不可能实现的——而要求国家保有对风险的实时感知和应对能力，这与网络安全审查目前面临的困境极为契合。

网络安全审查中引入威胁态势感知理念并不是全面否认现有审查方式的有效性，而是在预设所有审查方式都存在风险识别疏漏或不可能性的情况下，对传统审查有效性的补强。从目前我国《网络安全法（草案）》的规定来看，审查活动将主要针对关键信息基础设施的采购环节，这是典型的“节点控制”模式，意味着在采购环节之后的信息技术产品和服务应用过程将不能纳入审查范围。特别是在服务商能够在后续运维过程中访问关键信息基础设施敏感数据的情况下，采购环节的审查并不能对相关风险进行识别和应对，也无法实现安全保障功能。

为此，有效的网络安全审查应当是一个动态的风险控制过程，贯穿于信息技术产品部署和使用的整个生命周期，能够通过审查活动提供必要的态势感知的能力。为此，网络安全审查应当具有足够的覆盖度，由“节点控制”转变为“过程控制”，将我国现有仅针对采购环节的审查延伸至整个产品和服务的应用环节。事实上，针对信息技术产品和服务应用的安全审查往往更重要。因为正如木桶原理一样，国家网络安全的整体水平取决于保护措施最为薄弱的环节，而持续性的动态审查恰恰能够识别和强化这类环节。

目前，已经有国家开始在全国范围内针对网络安全状况进行持续性的安全审查。例如，美国在2009年针对联邦政务网络安全开展了为期60天的网络安全审查，以此来判断联邦层面的数据保护水平。2014年，澳大利亚政府也宣布在全国范围内开展网络安全审查，旨在评估公私领域的网络攻击风险，评估政府网络和信息保护水平，确保对政务和关键基础设施威胁有足够的应对能力。

三、国家网络安全审查应向IT供应链扩展

为了实现国家网络安全审查的态势感知能力，仅针对信息技术“终端产品和服务”进行审查远远不能满足要求。信息技术的全球化在客观上增加了IT供应链的复杂程度，出于成本和效率的考虑，大量的信息技术产品和服务存在业务外包的情况，复杂的供应链系统导致安全边界变得异常模糊，安全风险具有更多的渗透途径。任何产品规格的变化，持续性的改进措施，技术更新和升级过程，供应商内部的雇员变更和外部与第三方关系的变化都会增加相关供应链的不确定性，缺乏审查和安全保障的IT供应链将是致命的。因为在大多数情况下，IT供应链的安全状况对于信息技术产品和服务的使用者而言都是不可见的，大量的攻击行为可以借由供应链漏洞予以实现。例如，臭名昭著的震网病毒亦被证实是通过IT供应链进行渗透和扩散的。

IT供应链审查的意义在于实现“端到端”安全的可视化，考虑到IT供应链的复杂程度和审查机构能力的局限性，IT供应链审查需要特别强调供应商的自我声明和各审查事项的文档化。在必要的情况下，例如涉及国家安全和社会公共利益的信息技术产品和服务应用过程中，审查机构可以考虑强制要求供应商签订安全协议，明确供应商的安全保障义务，特别规制源自供应商的恶意行为，并针对此建立“黑名单”制度，一旦出现供应商利用提供的信息技术产品和服务恶意实施危害网络安全的行为，将永久禁止其产品和服务在我国境内使用。

威胁态势感知理念下的IT供应链审查包含更多的控制要素，远比单一的产品和服务审查要复杂。从国家安全和社会稳定的角度考虑，精细化审查事项能够提升安全保障水平，但同时也会对审查活动产生负面影响。复杂的安全保障一方面会令审查机构感到无所适从，另一方面也会对供应商遵从产生障碍。为此，以实现“保障功能”为目的的国家网络安全审查制度就不可能不公开和不透明，而是需要建立体系化和标准化的审查要求。

尽管很少有国家具备真正意义上的国家网络安全审查法律制度，但这并不意味着各国缺乏实质性的安全审查要求，只是各国通常会以“合规”“遵从”或“安全保障”等更为弹性的表述来阐述审查要求。以美国内政部为例，其在信息技术产品和服务中对供应商存在广泛的网络安全保障要求，包括背景调查、保密审查、培训审查、位置审查、服务标准审查、独立认证审查（IV&V）认证认可审查（C&A）、安全事件报告审查、质量控制审查、安全控制审查、业务连续性审查等诸多内容，大量的审查环节关注了IT供应链中涉及人员、系统和环境的安全要素，并规定了由供应商完成的安全事件报告和持续性安全审计。但是显然，美国针对我国华为、中兴的审查并没有依据上述明确的审查标准，而是充斥着无端的猜忌和歧视。因此，即便是在美国国内，美国针对华为、中兴的审查也被认为是“开创了非常糟糕的审查先例”。

尽管我们批判美国的审查结果有失理性，但也迫使我们重新反思国家网络安全审查制度面临的重大问题，即依托标准化的技术性审查只能解决产品和服务“安全性”的问题，而不能涵盖供应商“可信性”的要求，由恶意供应商引入的安全风险在实践中并不少见。在“棱镜门”事件之后，国外信息技术向本国关键基础设施的渗透更容易引起各国政府的警惕，这也决定了国家网络安全审查不同于单纯的测评认证，对于IT供应链中供应商可信性的验证变得越来越重要。但是认定供应商可信性的过程是艰难的，我们的努力是希望增加国家网络安全审查的透明度，在有效保障国家安全的前提下同样可以促进信息技术产业的发展。

（作者单位：西安交通大学信息安全法律研究中心）

（来源：中国信息安全）