网络安全审查的制度构建
2016-02-11申屠良瑜
申屠良瑜
网络安全审查的制度构建
申屠良瑜*
网络安全审查制度是维护网络安全制度体系中的重要一环。作为网络安全基础性立法的网络安全法,原则上规定了关键信息基础设施所采用的网络产品和服务应通过国家安全审查,但未对制度的整体建构作出规定。本文认为,我国的网络安全审查制度应当定位于特定领域使用产品或服务的审查制度,建议明确国家网信部门为网络安全审查主管机构,并在网络安全分类审查的前提下与第三方机构开展合作。就网络安全审查的范围而言,在审查广度上应以关系国家安全的关键信息基础设施中所使用的产品或服务为宜,在审查深度上须从技术审查拓展到背景审查,从表层功能符合性审查延伸到底层源代码审查,但无必要对IT供应链全链条进行审查。
网络安全 关键信息基础设施保护 网络安全审查制度 背景审查 源代码审查
网络安全审查,是指通过技术手段、依照相关标准体系对关键信息基础设施中使用的信息技术产品和服务,进行安全性和可控性审查并持续监督的过程。*我国现阶段对于“网络安全审查”尚无权威定义,该定义为笔者参考现有学者的定义得出。参见石峰、张红军、贾磊雷《实行网络安全审查制度是保障国家安全的重要举措》,《信息安全与通信保密》2014年第6期,第45页;马民虎、马宁《威胁态势感知视域下国家网络安全审查法律制度的塑造》,《西安交通大学学报(社会科学版)》2016年第2期,第66页。从世界范围来看,通过建立网络安全审查制度维护网络安全已成趋势,美国、英国、俄罗斯、印度等国均建立了网络安全审查制度。“聪者听于无声,明者见于未形”,为获取网络安全态势感知能力,提高网络安全防控能力,特别是国家关键信息系统的安全防控能力,我国应顺势而为,建立我国的网络安全审查制度。2014年5月22日,国家互联网信息办公室首次明确了“为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度”*《国家网信办:我国将出台网络安全审查制度》,登载于“中国网信网”,网址:http://www.cac. gov.cn/2014-05/22/c_126534290.htm,访问时间:2016年9月21日。;2015年7月1日颁布的国家安全法及2016年11月十二届全国人大常委会第二十四次会议审议通过的网络安全法也明确规定了我国将建立网络安全审查制度*国家安全法第59条规定:“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。”网络安全法第35条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”。本文结合域外经验与本国国情,研究了我国网络安全审查制度的出台背景、制度定位、审查主体、审查范围等问题,希望通过对这些网络安全制度核心问题的探讨,明确我国网络安全审查制度的建构方向,促进我国网络安全审查制度的发展。
一、网络安全审查制度的建立背景
(一)美国信息技术贸易限制与“斯诺登事件”
美国2012年前后针对我国信息技术产品与服务输出的种种限制,以及2013年“斯诺登事件”的爆发,被认为是我国加快建立网络安全审查制度的直接诱因。
2011年2月,美国外国投资委员会(CFIUS)*美国外国投资委员会由财政部、司法部、国土安全部、商务部、国防部、能源部、美国贸易代表办公室等九部门共同组成,必要时还包括管理和预算办公室、经济顾问委员会、国家安全委员会、国民经济委员会、国土安全委员会。否决了华为公司对美国3Leaf公司的收购案;同年11月,美国众议院情报委员会启动对华为公司的调查,并将调查范围扩展到另一家中国信息技术公司——中兴,在长达11个月的调查后公布调查报告,认为“华为和中兴向美国关键基础设施提供的设备存在风险,会削弱美国国家安全的核心利益”,建议美国政府及私营部门在其系统中不得使用华为和中兴的网络设备。*陈星、齐爱民:《美国网络空间安全威胁论对全球贸易秩序的公然挑战与中国应对——从“美国调查华为中兴事件”谈起》,《苏州大学学报(哲学社会科学版)》2014年第1期,第81—82页。“这一事件在很多场合下被援引为我国建立网络安全审查制度必要性的依据。”*马民虎、马宁:《威胁态势感知视域下国家网络安全审查法律制度的塑造》,《西安交通大学学报(社会科学版)》2016年第2期,第68页。2013年3月26日,美国国会通过《2013年合并与持续拨款法案》,该法案第516条第a款规定明确限制美国商务部、司法部、国家宇航局和国家科学基金会对中国技术系统进行采购。*参见马民虎、马宁《技术中立:政府IT采购中信息安全审查的法律理性——兼评美国〈2013年合并与持续拨款法案〉第516条款》,《河北法学》2014年第8期,第10—11页。该条款虽饱受争议,但仍得以沿用,美国《2014年合并与持续拨款法案》第515条坚持了上述对中国信息技术系统采购的限制策略。*马民虎、马宁:《威胁态势感知视域下国家网络安全审查法律制度的塑造》,《西安交通大学学报(社会科学版)》2016年第2期,第68页。
2013年“斯诺登事件”爆发后,一系列披露的文件显示,美国政府通过在中国关键信息基础设施中广泛使用的美国公司软硬件产品中留“后门”的方式对中国政府、国家领导人及重要互联网企业进行监控,窃取重要资料,利用事先明知的漏洞对中国政府及互联网企业进行大规模网络攻击。与此同时,美国政府通过对腾讯公司旗下聊天软件QQ及中国移动的即时通信应用飞信的监视获取中国网民个人信息。*参见杨晨《网络安全审查制度呼之欲出》,《信息安全与通信保密》2014年第8期,第21页。
(二)我国互联网核心技术缺乏自主性
“互联网核心技术是我们最大的‘命门’,核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高,如果核心元器件严重依赖外国,供应链的‘命门’掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。”*《习近平在网络安全和信息化工作座谈会上的讲话》,登载于“新华网”,网址:http://news. xinhuanet.com/newmedia/2016-04/26/c_135312437.htm,访问时间:2016年9月21日。据有关统计数据显示,截至2014年6月,我国的半导体芯片、操作系统、路由器、交换机、大型存储设备等基础软硬件产品以及通用协议和标准,90%以上依赖进口;以思科为代表的美国“八大金刚”(思科、IBM、微软、高通、英特尔、苹果、甲骨文、谷歌)占据了我国关键信息基础设施核心领域的绝大多数市场份额。如思科公司设备在金融系统,海关、工商等政府系统,石油等重点行业的份额均超过了50%,甚至国有四大银行及各城市商业银行的数据中心几乎全部采用思科设备。*石峰、张红军、贾磊雷:《实行网络安全审查制度是保障国家安全的重要举措》,《信息安全与通信保密》2014年第6期,第44—45页。
(三)以往的网络安全审查落后于需求
我国的网络安全审查尚未实现体系化,审查主要体现在市场准入制度上,通过对信息安全厂商进行资格认定以及对信息技术、产品进入市场时进行功能符合性检测——对照信息系统安全标准要求对信息技术、产品实现进行检测,通过对信息技术、产品各部件不同安全功能实现的检测及其数据的科学分析,得出信息系统安全保护实现与标准规定等级要求的一致性结果*参见马健丽《信息系统安全功能符合性检验关键技术研究》,北京:北京邮电大学博士学位论文,2010年,第21页。——实现信息安全产品的双重认定。但是,该套机制仅能实现对信息安全产品各子系统的标准化认定,尚未实施系统规范的深度安全检测,缺乏基于漏洞分析的技术、产品安全性检测,对进入市场的信息产品应用效果和后果没有预先进行风险评估。*参见石峰、张红军、贾磊雷《实行网络安全审查制度是保障国家安全的重要举措》,《信息安全与通信保密》2014年第6期,第46页。同时,信息安全产品属于公安部所监管的计算机信息系统安全专用产品范畴,还需接受公安部要求的相应检测;因信息安全产品使用于国家关键信息基础设施,纳入政府采购目录,需要接受质检系统的测评检验,存在重复检测的问题。*参见苏苗罕、顾伟《信息安全软件厂商的法律监管框架研究》,《网络法律评论》2015年第1期,第164—165页。
二、我国网络安全审查制度的定位
(一)域外经验
现阶段,各国尚未建立专门的、独立的且涵盖各领域的网络安全审查制度,所谓的网络安全审查机制是对具有网络安全审查功能的相关制度的统称。*参见左晓栋、王石《中国网络安全审查制度的建设》,载惠志斌、唐涛主编《网络空间安全蓝皮书:中国网络空间安全发展报告(2015)》,北京:社会科学文献出版社,2015年,第94页。可以说,各国对于网络安全审查制度并没有形成公认的制度定位。但是,我们可以从现有的网络安全审查实践中推知网络安全审查可能的制度定位。
总体而言,国外的网络安全审查制度定位主要存在以下几类:
1.外国投资审查制度
此种制度以美国外国投资委员会的审查为典型。作为美国外国投资的主要审查机构,外国投资委员会的职责是针对美国的直接投资行为*直接投资行为,是指投资者直接在他国设立独资公司,开设销售点进行经营行为,或入股、收购他国企业获得经营参与权或控制权等行为。进行国家安全审查,决定是否允许其进入美国市场或入股、收购美国公司。*See Tipler,Christopher M.Defining “National Security”:Resolving Ambiguity in the CFIUS Regulations,32 University of Pennsylvania Journal of International Law,1223(2013—2014),p.1228.2000年后,随着网络安全威胁逐渐上升为美国国家安全的主要威胁,外国投资委员会对外国投资的安全审查加大了对网络安全的审查,如2011年它否决华为公司对美国3Leaf公司的收购案,正是基于网络安全审查的结果。此外,如俄罗斯、英国等国在对外商投资审查中也会考虑网络安全因素。*参见张莉《网络安全审查的国际经验及借鉴》,《信息安全与通信保密》2014年第8期,第66页。
2.市场准入制度
印度对信息技术产品特别是电信用户终端设备,实施了较为严格的市场准入认证,要求电话机、自动应答机等电信产品在销售前必须向印度电信工程技术中心提交“供应商符合性声明”,承诺设备符合印度《电信设备认证指南》中的相关技术规范,在获得批准后方可进入市场。*参见汪杨、唐景然、葛楠《印度开展网络安全审查的主要做法及启示》,《信息安全与通信保密》2014年第8期,第61—62页。俄罗斯对于国内销售的信息技术产品也均要求,必须事先经由国家标准化与计量委员会下属检验机构检验,检验合格并发放品质检验合格认证书或标准后才可以上市。*参见张莉《网络安全审查的国际经验及借鉴》,《信息安全与通信保密》2014年第8期,第66页。
3.特定领域使用产品或服务的审查制度
美国等国对于特定部门或者涉及国防、政府等重要单位使用的网络安全产品和服务,均会开展网络安全审查。美国要求对国家安全系统、联邦信息系统、重要行业信息系统中使用的信息技术产品和服务,进行网络安全审查;对国家安全系统、联邦信息系统中的信息技术产品和服务进行强制审查。*参见左晓栋、王石《中国网络安全审查制度的建设》,载惠志斌、唐涛主编《网络空间安全蓝皮书:中国网络空间安全发展报告(2015)》,北京:社会科学文献出版社,2015年,第95—98页。如美国国防部根据2011年《国防授权法案》的授权对采购过程中IT供应链进行强制性的网络安全审查。*参见尹丽波《美国安全审查概况》,《中国信息安全》2014年第8期,第78—79页。2006年“联想安全门事件”同样是美国联邦政府信息系统产品和服务网络安全审查的结果。*参见徐炎、丰诗朵《美国政府采购信息安全法律制度及其借鉴》,《法商研究》2013年第5期,第136—138页。英国针对政府、公共部门的关键基础设施中所使用的信息产品和服务,也会进行类似的网络安全审查。*参见刘国辉《英国信息安全审查及对我国的借鉴意义》,《中国信息安全》2014年第8期,第84页。
(二)我国的选择
1.外国投资审查制度?
长期以来,我国学界都存在着将网络安全审查制度定位为外国投资国家安全审查的论断。究其原因,主要有以下两点:(1)我国网络安全审查制度研究以华为入美受阻为起点。我国学界对网络安全审查制度的兴起,源于美国外国投资委员会对华为公司收购美国3Com、3Leaf公司进行国家安全审查并以国家安全为由进行了否决。学界多以此案例阐述美国严格的网络安全审查制度,证明网络安全审查制度内含于外国并购国家安全审查制度中。(2)部分国家以网络安全审查限制外资进入的实践加深了这种认识。如英国要求政府部门、实验室和国有公司在计算机和通信器材的采购上,必须从本国公司购买,法国政府也要求航空、铁路、通信和食品等部门优先购买本国产品。*参见徐炎、丰诗朵《美国政府采购信息安全法律制度及其借鉴》,《法商研究》2013年第5期,第142页。但是,事实上,外国投资审查中的网络安全审查仅是美国网络安全审查体系中的一环,在联邦政府采购、国防部采购中也存在网络安全审查。外国投资审查中网络安全审查的根本目的仍是维护国家经济安全。*参见马民虎、马宁《国家网络安全审查制度的法律困惑与中国策略》,《云南师范大学学报(哲学社会科学版)》2015年第5期,第44页。网络安全审查与外商投资安全审查侧重点分别是不同的国家安全领域,两者有着本质不同。2015年颁布的国家安全法第59条规定:“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险”,将“网络信息技术产品和服务”与“外商投资”相并列,更加明确了我国建设中的网络安全审查制度并非定位于外国投资审查制度。
2.市场准入制度?
将网络安全审查制度定性为市场准入制度同样是不合适的。原因主要有以下三点:(1)网络安全审查的多阶段性。绝对的网络安全是不存在的,已有的共识是仅能通过控制网络安全风险尽可能减少网络安全威胁。事前的网络安全评估,并不能完全发现信息技术产品或服务带有的安全风险与漏洞,而且在产品与服务的使用过程中,因为补丁升级等原因还可能带来新的安全隐患。因此,网络安全审查制度不同于传统的产品认证制度,其贯穿于信息技术产品或服务使用的全过程,包括事前审查、事中监测和事后惩处三个阶段,并且事前审查阶段也并不仅仅是市场准入审查,还有“黑白名单”制度等其他手段。*参见石峰、张红军、贾磊雷《实行网络安全审查制度是保障国家安全的重要举措》,《信息安全与通信保密》2014年第6期,第46页。(2)网络安全审查的小众性。网络安全审查所针对的仅是国家关键信息基础设施中所使用的信息技术产品或服务,是“小众”的;而市场准入制度作为行业监管制度,面向的是整个信息技术产品或服务行业,是“大众”的。*参见左晓栋、王石《中国网络安全审查制度的建设》,载惠志斌、唐涛主编《网络空间安全蓝皮书:中国网络空间安全发展报告(2015)》,北京:社会科学文献出版社,2015年,第102页。着眼于关键领域的网络安全审查,才能切实保障好网络安全审查制度所要实现的国家安全目标。(3)避免国际贸易争端。网络安全审查是否符合WTO安全例外条款*WTO国家安全例外条款包括《关税与贸易总协定》(GATT)第21 条、《服务贸易总协定》(GATS)第14条之二、《与贸易有关的知识产权协定》(TRIPs)第73条、《与贸易有关的投资协定》(TRIMs)第3 条,以及《技术性贸易壁垒协定》(TBT)第2条、《政府采购协定》(GPA)第23.1条等,主要内容是允许WTO成员采取例外措施,以维护其国家安全,但成员也不得滥用安全例外条款,以维护国家安全之名行贸易保护之实。参见安佰生《WTO安全例外条款分析》,《国际贸易问题》2013年第3期,第125页。尚有争议,若将网络安全审查制度定位于市场准入制度,极有可能被批评为限制贸易自由的手段,遭到部分国家的抵制并产生贸易争端。例如,我国原拟将信息安全产品认证制度作为市场准入措施强制实施,但遭到了美、欧、日等国家与地区的抵制,认为其侵犯了贸易自由。*参见左晓栋《近年中美网络安全贸易纠纷回顾及其对网络安全审查制度的启示》,《中国信息安全》2014年第8期,第69页。
3.特定领域使用产品或服务的审查制度
2014年5月,国家网信办关于我国建立网络安全审查制度的公告中已明确指出,我国的网络安全审查制度针对的是“关系国家安全和公共利益的系统使用的重要技术产品和服务”*《国家网信办:我国将出台网络安全审查制度》,登载于“中国网信网”,网址:http://www.cac. gov.cn/2014-05/22/c_126534290.htm,访问时间:2016年9月21日。。可见,我国构建中的网络安全审查制度应当是特定领域使用产品或服务的审查制度。网络安全法将网络安全审查制度置于第三章第二节“关键信息基础设施的运行安全”之中,具体规定为第35条:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”从中也可看出,我国的网络安全审查制度针对的是“关键信息基础设施的运营者采购网络产品或者服务”。将网络安全审查制度定位于针对关系国家安全的特定领域内信息系统使用的产品或服务的审查制度,是网络安全审查制度的本质体现,这说明我国建立网络安全审查制度的根本目的是维护网络领域的国家安全,确保国家重点领域、重点行业的安全稳定;其并非贸易保护手段或外交对抗手段,能够确保网络安全审查制度符合WTO国家安全例外原则的要求,免受外国的抵制。因此,将网络安全审查制度定位于特定领域使用产品或服务的审查制度较为合适。
三、我国网络安全审查的主体
(一)主管机构
1.无统一监管机构的域外经验
在尚未建立专门的、独立的且涵盖各领域的网络安全审查制度的背景下,各国网络安全实践基本上由各类网络安全审查的主管机构负责,尚未建立统一的、负责各领域的网络安全审查主管机构。以美国为例,美国不同领域的网络安全审查均由不同机构负责:(1)外国投资领域。对于外国投资中可能对美国网络安全造成影响的审查,一般由外国投资委员会负责,其根据《外商投资与国家安全法》(FINSA)、《1959年国防生产法》(DPA)规定的流程、国家安全标准对外国投资进行审查。*See Tipler,Christopher M.Defining “National Security”:Resolving Ambiguity in the CFIUS Regulations,32 University of Pennsylvania Journal of International Law,1223(2013—2014),pp.1239-1242.(2)国家安全系统领域。自2002年7月起,美国要求国家安全系统中所适用的非密码信息技术产品,必须通过美国国家信息安全保障联盟(NIAP)通用准则(CC)认证,NIAP由美国国家安全局(NSA)与美国标准技术研究所(NIST)共同成立,主要成员为两者的专业技术和管理人员。*参见尹丽波《美国安全审查概况》,《中国信息安全》2014年第8期,第78页。(3)国防领域。根据2011年《国防授权法案》的授权,美国国防部负责国防采购中IT供应链风险的安全审查。*参见尹丽波《美国安全审查概况》,《中国信息安全》2014年第8期,第78—79页。(4)联邦信息系统领域。2002年《联邦信息安全管理法》(FISMA)要求美国联邦政府各机构负责本机构的信息安全,确保本机构使用的联邦信息系统设备设施的安全。*参见杨碧瑶、王鹏《从〈联邦信息安全管理法案〉看美国信息安全管理》,《保密科学技术》2012年第8期,第37—39页。(5)云服务领域。美国国防部、国土安全部、总务管理局组成联合授权委员会(JAB)负责制定云服务安全审查基线,并进行初始授权,总务管理局设立项目管理办公室负责日常审查工作。*参见尹丽波《美国安全审查概况》,《中国信息安全》2014年第8期,第79页。此外,在某些情况下,美国国会也会进行网络安全审查工作。如2006年联想集团参与美国政府计算机采购,国会拨款委员会要求国务卿就该笔交易的正当性作出解释。*参见徐炎、丰诗朵《美国政府采购信息安全法律制度及其借鉴》,《法商研究》2013年第5期,第136—137页。又如2011年至2012年美国众议院情报委员会对华为、中兴公司的调查。*参见陈星、齐爱民《美国网络空间安全威胁论对全球贸易秩序的公然挑战与中国应对——从“美国调查华为中兴事件”谈起》,《苏州大学学报(哲学社会科学版)》2014年第1期,第81—82页。
2.我国网络安全审查是否需要统一主管机构?
现阶段,我国网络安全监管领域同样存在多主体并存的情况,工业和信息化部(以下简称工信部)、公安部、国家安全局、国家保密局等均对网络安全负有监管职能。如工信部承担着通信网络安全及其信息安全管理工作,承担着国家网络安全保障体系的建设工作,对政府部门、重点行业重要信息系统与基础信息网络的安全保障工作进行指导监督*参见李宇《中国互联网信息安全监管的现状与挑战》,载龚维斌主编《中国社会体制改革报告(2015)》,北京:社会科学文献出版社,2015年,第259页。;工信部下属网络安全管理局具体负责电信和互联网行业网络安全审查相关工作,组织推动电信网、互联网安全自主可控工作*参见网络安全管理局机构职责,网址:http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057725/c3635780/content.html,访问时间:2016年6月17日。。我国构建中的网络安全审查是否可借鉴美国呢?笔者认为,我国的网络安全审查应当明确统一的主管机构。中央网信办网络安全协调局局长赵泽良也曾表示,我国网络安全审查未来或有专门工作机构。*《国家网信办:我国将出台网络安全审查制度》,登载于“中国网信网”,网址:http://www.cac. gov.cn/2014-05/22/c_126534290.htm,访问时间:2016年9月21日。
我国网络安全审查需要统一的主管机构,理由主要有以下几点:(1)凸显网络安全审查的重要性。网络安全审查制度作为维护我国网络安全的重要一环,对实现网络安全,继而维护网络领域的国家安全有着显著意义。设立统一的主管机构,有利于凸显国家对网络安全工作的重视,促进网络安全工作加快发展。(2)统筹协调网络安全工作的需要。目前,我国各网络安全职能部门存在职能交叉、重复监管的问题,现有的信息技术产品或服务可能面临着工信部、公安部等的重复检测、重复评估,这并不利于监管效率的提高。设立统一主管机构,统筹各相关机构工作,能够较为有效地解决这个问题。(3)符合我国网络监管发展趋势。2011年,国家互联网信息办公室成立,已体现出我国网络监管统筹协调的趋势,网络安全法第8条第1款明确规定,“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”因此,我国的网络安全审查制度中应明确国家网信部门为主管机构,并在其内部设立专门工作机构,由其统筹各职能部门具体开展网络安全审查工作。2017年2月,国家网信办公布了《网络产品和服务安全审查办法(征求意见稿)》,其中第5条第1款也明确提出:“国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。”
(二)第三方机构问题
信息技术的高度专业性,促使国外在开展网络安全审查时向第三方机构寻求帮助。以英国为例,英国建立了一套以信息技术产品源代码审查与托管为基础的网络安全审查制度,在其开展网络安全审查的全过程中,均有第三方机构的参与,且起到了重要的作用。英国电子通信安全组(CESG)负责组织英国的源代码审查与信息安全认证工作,而具体的认证测试则由CESG认可的第三方机构,如CGI、Context Information Security、KPMG LLP、NCC Group、Roke、SiVenture等负责*参见刘国辉《英国信息安全审查及对我国的借鉴意义》,《中国信息安全》2014年第8期,第83页。;在源代码托管环节,英国同样委托于第三方机构,如前述NCC Group同样为英国政府提供源代码托管服务。
第三方机构承担网络安全审查工作,有其优势:(1)独立性,第三方机构介于信息技术产品或服务提供商与政府之间,可以说网络安全审查免受政治因素、贸易保护主义等的影响,确保审查结果的客观公正。(2)专业性。网络安全审查涉及信息技术产品与服务的底层代码审查、攻防演练等,具有极高的技术性,第三方机构作为专业机构有能力确保网络安全审查的有效。(3)安全性。信息技术产品或服务提供商不愿将自身产品或服务交由政府审查,知识产权与商业秘密保护是一个很大的考量因素,而第三方机构基于行业自律与市场规律,更有动力保护受审查的产品或服务所含有的知识产权及商业秘密。但是,政府委托第三方机构进行网络安全审查,也存在受审查主体通过商业贿赂等手段干扰第三方机构审查,获取有利的审查结果的可能。
及于我国,网信办曾有官员透露我国的网络安全审查也将由第三方机构负责检测工作。*《四问中国网络安全审查制度》,登载于“新京报网”,网址:http://www.bjnews.com.cn/feature/2014/05/23/317956.html,访问时间:2016年9月18日。《网络产品和服务安全审查办法(征求意见稿)》也规定了第三方机构参与网络安全审查。*《网络产品和服务安全审查办法(征求意见稿)》第7条规定:“国家统一认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。”但是,当前阶段第三方机构能否承担网络安全审查的任务,笔者仍存有疑问:(1)第三方机构审查权威性不足。我国现阶段网络安全领域的认证测评机构主要有公安部第三研究所、解放军信息安全测评认证中心和中国信息安全测评中心三家。*参见方兴东、胡怀亮《网络安全审查制度的根本在于掌握防御主动权》,《信息安全与通信保密》2014年第8期,第35页。相比于他们,第三方机构的审查权威性不足,其审查结果是否能被接受尚存疑问。(2)“合谋”风险偏大。我国市场经济尚不成熟,行业自律建设也尚不完全,第三方机构是否能够恪守中立,免受信息技术产品或服务的提供者或使用者的不正当影响还有疑问。(3)网络安全审查涉及能源、金融、电力等重要行业的信息系统、军事网络、政务系统,由私人所有的第三方机构对这些系统中的信息技术产品、服务进行审查,可能会导致这些系统的泄密,危及系统安全,特别是军事网络等保密性更高的系统。因此,对于第三方机构负责我国网络安全审查的具体工作需要进一步慎重考虑。笔者认为,我国构建中的网络安全审查制度,可分领域确定是否可由第三方机构负责具体工作,军事网络、政务系统及能源业、电力行业等重要信息系统中使用的信息技术产品、服务应由国家所有的机构进行审查;完全市场化的行业、用户数量众多的网络服务提供者所有或者管理的网络和系统则可由第三方机构负责审查,但最终结果仍需相关主管机关确认。
四、我国网络安全审查的范围
2014年5月22日,国家网信办的公告将网络安全审查的范围限定为“关系国家安全和公共利益的系统使用的重要信息技术产品和服务”,《网络产品和服务安全审查办法(征求意见稿)》第2条也作出了如上规定。*《网络产品和服务安全审查办法(征求意见稿)》第2条规定:“关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查。”通过对该限定的解读,有学者认为可以从两个方面确定网络安全审查的范围:一方面,根据信息系统的服务对象、相关性确定是否属于“关系国家安全和公共利益的系统”,如信息系统与政府有关,或者关系到国家的经济命脉,则可认定为属于网络安全审查范围所面对的信息系统;另一方面,并非“关系国家安全和公共利益的系统”中使用信息技术产品和服务均须审查,还需考虑所采用的产品和服务的性质,唯有重要的信息技术产品和服务需要审查。*《四问中国网络安全审查制度》,登载于“新京报网”,网址:http://www.bjnews.com.cn/feature/2014/05/23/317956.html,访问时间:2016年9月18日。但是,这种界定仍是不清晰的,缺乏操作性。为有效开展网络安全审查,在构建网络安全审查制度时必须明确网络安全审查的范围。本部分,笔者拟从审查的广度与深度两方面加以探讨,明确我国网络安全审查的范围。
(一)审查的广度
网络安全审查制度已被规定于国家安全法和网络安全法之中。从网络安全法中,我们大致可看出网络安全审查的范围。如前所述,网络安全审查制度规定于网络安全法(草案)第三章第二节“关键信息基础设施的运行安全”之中,针对的是关键信息基础设施中所使用的,可能影响国家安全的网络产品或服务。通过对“关键信息基础设施”“国家安全”加以界定,可以在一定程度上确定审查的广度。
1.关键信息基础设施
我国目前立法对于“关键信息基础设施”尚无明确立法规定,而学界对此的讨论主要是基于国外对其的界定,如德国将关键信息基础设施定义为“保障电力、电信、金融、国家机关等国家重要领域基础设施正常运作的信息网络”*刘山泉:《德国关键信息基础设施保护制度及其对我国〈网络安全法〉的启示》,《信息安全与通信保密》2015年第9期,第86页。。网络安全法首次以“列举+定义”的方式规范明确了我国的关键信息基础设施的范畴,根据其第31条规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护……”因此,网络安全审查应针对上述关键信息基础设施所采用的重要网络产品或服务。
2.国家安全
美国外国投资委员会对外国投资的审查同样限定于国家安全范畴,其通过对外国投资是否威胁美国的国家安全进行审查来确定是否许可其进入美国。但是,外国投资委员会并没有明确界定国家安全的概念,仅是对其解释作出了一个有限的指引。究其原因,外国投资委员会解释说随着国际局势的发展,特别是“9·11”事件后,针对美国的威胁不断增多,若断然给定国家安全的定义,将无法有效回应不断出现的新的威胁。*See Tipler,Christopher M.Defining “National Security”:Resolving Ambiguity in the CFIUS Regulations,32 University of Pennsylvania Journal of International Law,1223(2013—2014),p.1239.但是,模糊的标准欠缺可操作性,使得外国投资委员会的审查具有很大的主观性,这一点也使得外国投资委员会的审查备受争议。不同于美国,我国国家安全法对国家安全给予了明确的定义,是指“国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力”*国家安全法第2条。。但是,就网络安全审查而言,该定义仍过于宏观,操作性不足。反而国家安全法第二章“维护国家安全的任务”第15条至第33条对国家安全作出了更为明确的规定,如第25条规定:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”网络安全审查在确定是否“关系国家安全”时,可以此章内容为参考。
(二)审查的深度
网络安全审查的核心目的是确保关键信息基础设施中使用的重要信息技术产品或服务安全可控,应当紧紧围绕“安全可控”这一目的确定审查的深度。网络安全审查所要实现的“安全”即是符合国家安全、网络安全的要求,其实质上可理解为“可信”,继而又可分解为“可控”和“透明”,重点在于“可控”。*参见左晓栋、王石《中国网络安全审查制度的建设》,载惠志斌、唐涛主编《网络空间安全蓝皮书:中国网络空间安全发展报告(2015)》,北京:社会科学文献出版社,2015年,第103页。产品的安全功能再强大,若用户无法了解产品背后的厂商意图,产品存在不受控制的后门、漏洞,用户也无法放心使用。因此,网络安全审查应当着重于信息技术产品或服务的“可控性”。为实现“可控性”,就有必要将信息技术产品或服务的审查从技术审查拓展到背景审查,从表层功能符合性审查延伸到底层源代码审查,但是否有必要对IT供应链全链条进行审查,笔者则持否定态度。
1.背景审查
我国现有的网络安全产品审查主要是技术审查,即对网络安全产品是否符合网络安全技术标准进行评估、认证。*参见苏苗罕、顾伟《信息安全软件厂商的法律监管框架研究》,《网络法律评论》2015年第1期,第164—165页。但是,技术审查仅能实现对信息技术产品、服务技术层面安全可控的审查,并且信息技术产品、服务的高度技术性,也使得技术审查无法完全实现审查目的。因此,在网络安全审查的实践中,各国开始逐渐重视对信息技术产品、服务的提供商开展背景审查。如2011年至2012年,美国国会对华为公司与中兴公司进行的调查便采用了背景审查的方式,对两家公司的历史背景、经营状况、财务信息以及其与中国政府和中国共产党可能存在的关系进行了调查,最后以华为公司和中兴公司得到了中国政府支持,任正非为转业军人,企业设有党支部等为由,建议美国政府拒绝购买其产品。*参见陈星、齐爱民《美国网络空间安全威胁论对全球贸易秩序的公然挑战与中国应对——从“美国调查华为中兴事件”谈起》,《苏州大学学报(哲学社会科学版)》2014年第1期,第82页;杨晨《网络安全审查制度呼之欲出》,《信息安全与通信保密》2014年第8期,第20页。背景审查通过对信息技术产品、服务提供者的声誉、资质、机构背景、资本构成、法人治理结构等进行多角度审查*参见左晓栋《近年中美网络安全贸易纠纷回顾及其对网络安全审查制度的启示》,《中国信息安全》2014年第8期,第72页。,能够发现产品、服务的提供者侵害我国国家安全的可能性及潜在的安全风险;但是若运用不当,很容易陷入“国别化审查”的争议,如上述美国国会对华为公司和中兴公司进行背景审查,国内便颇有微词。因此,我国网络安全审查应当兼采技术审查与背景审查,但要确保审查标准、过程、结果的公开透明,且坚持对国内外企业一视同仁,通过审查的公开公平实现审查的客观、可信。
2.源代码审查
传统的功能符合性检测,仅能实现对信息技术产品、服务的表层安全标准符合性的审查,而无法实现对产品、服务深层的潜在安全风险、漏洞等的及时发现。美国“八大金刚”提供给我国的关键信息基础设施使用的信息技术产品、服务是否预留了后门、病毒,也无法仅仅通过功能符合性检测发现。因此,网络安全审查中的技术审查有必要从表层审查深入底层的源代码审查。源代码作为信息技术产品的核心要素,通过对源代码的系统化审查,能够找出并及时修正在软件开发过程中的错误、漏洞、隐藏的功能、后门程序等,从根本上保障信息基础产品安全可控。*参见刘国辉《英国信息安全审查及对我国的借鉴意义》,《中国信息安全》2014年第8期,第82页。
英国将源代码审查与托管作为信息技术产品认证的重要手段,建立了一套完整的基于源代码审查与托管的网络安全审查制度。英国源代码审查的对象主要是面向英国政府、公共部门关键基础设施信息系统销售的信息技术产品,通过第三方机构如NCC Group具体负责相关产品的源代码审查及托管工作,并由主管CESG确认并签署认证文件的方式实现了对重要信息技术产品的有效审查。英国源代码审查的目的、操作流程、所需条件、技术要求、审查结果等均会由CESG公开,保证了审查的相对透明。从实效看,英国的源代码审查已被各信息技术产品、服务提供商所认可,微软、思科、甲骨文、惠普、富士通等国际信息技术产业巨头均接受了英国的源代码审查。*参见刘国辉《英国信息安全审查及对我国的借鉴意义》,《中国信息安全》2014年第8期,第82—85页。
我国完全有可能借鉴英国的成功经验,并结合我国实际情况稍加改进后在网络安全审查中进行源代码审查与托管。2015年10月,有报道称IBM公司已允许工信部在受控空间审查其源代码*《IBM允许中国政府审查源代码为业内第一家》,登载于“凤凰网”,网址:http://finance.ifeng. com/a/20151016/14023571_0.shtml,访问时间:2016年9月19日。,虽此举象征意义大于实际意义,但随着我国网络安全审查制度的建立与完善,源代码审查将逐渐成为重要的审查手段。同时,在推行源代码审查制度时,应当注意公开与保密相结合,确保源代码审查的目的、操作流程、所需条件、技术要求、审查结构等的公开透明,重视对审查、托管的源代码涉及的知识产权、商业秘密的保密,消除受审查企业的商业顾虑,保证制度的合理性。
3.IT供应链审查
关于网络安全的审查范围,有学者基于美国网络安全综合计划(CNCI)提出的“制定多管齐下的全球供应链风险管理办法,对本国和全球的供应链进行贯穿产品、系统和服务的整个生命周期的风险管理”*参见尹丽波《美国安全审查概况》,《中国信息安全》2014年第8期,第78—79页。,以及美国国防部IT供应链*IT供应链是包含系统终端用户、政策制定者、采购专家、系统集成商、网络提供商和软硬件提供商在内的统一系统,是上述角色通过组织和交互等行为,参与IT 相关基础设施的管理、维护和防御的过程。参见马民虎、马宁《IT供应链安全:国家安全审查的范围和中国应对》,《苏州大学学报》2014年第1期,第91页。安全审查的实践,主张网络安全审查应涵盖整条IT供应链,将信息技术产品、服务提供商的采购、研发、生产和提供过程,特别是提供商与第三方(如次级供应商、外包方、采购商)之间的关系纳入审查范围。*参见马民虎、马宁《IT供应链安全:国家安全审查的范围和中国应对》,《苏州大学学报(哲学社会科学版)》2014年第1期,第93页。其主要理由是随着全球化的推进,信息技术产品的组成愈发国际化,组成关键信息基础设施所采用的信息技术产品的零部件可能来自多个国家,且均有可能被留有后门程序、漏洞,仅对最终产品和最终供应商进行安全审查不能确保产品安全可控,因此应当将审查向上游延伸,覆盖整条IT供应链。《网络产品和服务安全审查办法(征求意见稿)》第1条也规定了网络安全审查应当“防范供应链安全风险”。*《网络产品和服务安全审查办法(征求意见稿)》第1条规定:“网络产品和服务的安全性、可控性直接影响用户利益、关系国家安全。为提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。”笔者认为,IT供应链审查虽具有其合理性,但在现阶段操作上存在难度:第一,过分扩张网络安全审查的范围,会加大网络安全审查的工作量和工作难度。对IT供应链的全面审查意味着冗长的审查时间,这并不符合信息技术快速发展的特点,或许某一信息技术产品的审查完成时其已经落后于实践而被淘汰了。第二,IT供应链的国际化决定了审查涉及多国的企业,在对进入本国的最终产品的网络安全审查尚有国家抵制的情况下贸然将审查扩大到多国,会加大审查推进的难度。并且,网络安全审查并非政府单方责任,为国家关键信息基础设施提供信息技术产品和服务的网络安全厂商同样负有审查责任,其应当保证其产品或服务中含有的上游产品或服务符合网络安全标准。网络安全法第36条已规定信息技术产品和服务的提供商应当签署安全保密协议,可以通过在协议中规定提供商对IT供应链上游的安全保证责任来落实IT供应链安全,而无须对IT供应链直接进行安全审查。
五、结语
“网络产品和服务安全审查办法”虽已由国家网信办起草并公开征求意见,但这仅是为我国网络安全审查的实践与研究拉开了新的帷幕。我国的网络建设起步虽晚于域外,但我国已逐步发展成为世界网络大国,而成为网络强国则需要坚实的法律制度的支撑。在网络安全审查制度的构成中,除借鉴域外有益经验外,更须结合我国网络安全实践加以思考。首先,就制度背景而言,我国既有外来网络安全威胁的压力,又有内在国家安全建设、完善现有网络安全制度的需要,外因为引、内因为主。其次,网络安全审查制度是我国关键信息基础设施保护制度体系的重要组成部分,应明确制度定位为关键信息基础设施中所使用的信息产品及服务的审查制度,服务于关键信息基础设施保护,有别于外国投资审查制度及市场准入制度。再次,为破除网络安全审查“九龙治水”的乱象,应当明确以国家网信部门为主管机构,并设立专门部门协调相关机构工作;基于网络安全审查工作的专业性,可在分类监管的基础上与第三方机构合作。最后,为实现网络安全审查的合目的性与高效化,审查范围在广度上应限定在关系国家安全的关键信息基础设施中所使用的信息产品与服务;但在深度上须加以挖掘,从技术审查拓展到背景审查,从表层功能符合性审查延伸到底层源代码审查;因审查成本等原因,先不考虑对IT供应链全链条的审查。唯有“有的放矢”,明确制度重点,才能尽快构建起我国的网络安全审查制度,并为整体网络安全服务。
(初审:董淳锷)
*中央财经大学法学院2015级宪法学与行政法学硕士研究生,研究领域为网络法,E-mail:cufeshentu@163.com。
