国家网络安全审查制度的题中之义

马宁

国家网络安全审查制度的题中之义

马宁

国家网络安全审查制度是我国提升网络安全保障能力的创新制度，但是限于现有规定的模糊性，仍然存在诸多制度误读。本文综合梳理了我国建立国家网络安全审查制度的法治化进程，分析了目前各国网络安全审查的相关实践，试图更为科学地还原网络安全审查制度的应有之意，并对其未来发展路径提出了基于自身理解的研判。

网络安全审查；制度独立性；制度性质；制度扩展

马宁西安交通大学信息安全法律研究中心博士研究生，主要从事信息安全政策法律相关问题研究。

自我国开始建立国家网络安全审查制度伊始，“网络安全审查”一直被作为不证自明的概念加以使用，我们似乎天然地认为已经在其应然的正确涵义上理解和构建着整个制度框架，但却一直怠于去理清这一本应首先明确的问题，我们目前所面临的诸多制度“误读”概因于概念混淆所产生的片面理解。本文综合梳理了我国建立国家网络安全审查制度的法治化进程，分析了目前各国网络安全审查的相关实践，试图去更为科学地还原网络安全审查制度的应有之意，并对其未来发展路径提出了基于自身理解的研判。

一、过去：与外商投资国家安全审查的制度纠缠

如果站在今天的规范角度去反溯我国国家网络安全审查制度的缘起，我们会发现在相关制度出台之前，学理研究层面基本属于空白，与其他法律制度先有研判再有制度设计建设的过程形成鲜明反差。尽管在全球网络安全环境日益严峻的态势下，缘何或因何建立网络安全审查制度似乎均可以获得自我证成的基础，但这种紧迫性并不能对充分理解网络安全审查提供必要的帮助，反而会因为模糊性而产生制度本身的曲解。其中，在网络安全审查制度建立之初，存在两个突出的认知问题，一是将外商投资国家安全审查和网络安全审查相混同；二是将网络安全审查视为一种“反制措施”。

2012年美国针对华为和中兴的安全审查，以及2013年英国针对华为网络安全评估中心的安全审查普遍被认为是导致我国下定决心建立网络安全审查制度的诱因，很多学者也以上述两个事例来印证国外存在严格的网络安全审查制度。但在仔细研究了美国众议院情报委员会的《中国通信公司华为和中兴对美国国家安全事项的调查报告》之后，笔者认为这两项审查更贴近于目前各国普遍建立的外商投资国家安全审查制度，而非我们所认为的网络安全审查制度。例如，在美国的调查报告中，尽管报告宣称的调查目的是反间谍和安全威胁，但整个调查内容的核心是验证华为和中兴受中国政府的控制程度，在报告建议中也明确提出要求美国外国投资委员会（CFIUS）阻止涉及华为和中兴的、可能威胁美国国家安全利益的采购、收购和并购活动，并将CFIUS的审查程序扩展至采购合同。而英国针对华为网络安全评估中心的审查则更为纯粹，其本身即是为了回应英国情报与安全委员会于2013年发布的《外国参与关键国家基础设施：国家安全的影响》，①Foreign involvement in theCritical National Infrastructure: The implications for national security, https://www.gov.uk/ government/uploads/system/uploads/attachment_data/file/205680/ISC-Report-Foreign-Investment-in-the-Critical-National-Infrastructure.pdf审查目的在于调查华为在英国关键基础设施的投资是否会影响国家安全。由此可见，上述两项安全审查均在于验证中国通信公司的独立性问题，而这恰恰是外商投资国家安全审查的核心内容。

正是在这种模棱两可的制度认知下，我国学者出现了将CFIUS视为美国网络安全审查机构，将30天和45天视为美国网络安全审查期限的认识误区，将外商投资国家安全审查制度混同于网络安全审查制度，或将外商投资国家安全审查制度视为网络安全审查制度的基础。笔者认为，尽管外商投资国家安全审查和网络安全审查在制度保障功能方面具有相似性，二者均以特定领域的国家安全保障为制度功能，均以特定活动所产生的风险评估和控制为制度目的，但二者不能混同对待。在审查重点方面，外商投资国家安全审查更侧重保护国家经济安全，防止因外国资本受控于来源国而对东道国的国家安全产生威胁；网络安全审查则更侧重保护国家网络安全，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。在审查对象方面，外商投资国家安全审查以“外国人”为审查对象，以“国别化”或“资本来源”作为确定审查对象的基础；网络安全审查则不区分“产品和服务来源”，对国内供应商和国外供应商一视同仁，不进行“国别化”区分。在审查内容方面，外商投资国家安全审查主要针对外商投资对国家安全的负面影响，例如《美国外国投资委员会国家安全审查指南》确定CFUIS的审查活动仅限于交易引起的“纯粹的国家安全问题”，而不涉及其他的国家利益，主要包括美国《外国投资与国家安全法》规定的11项审查内容；而国家网络安全审查的审查内容主要针对信息技术产品和服务的安全性和可控性。为此，外商投资国家安全审查与网络安全审查是两项完全不同的法律制度，由来已久的网络安全审查制度独立性问题需要进行必要的澄清。

此外，同样是受美英对华安全审查的影响，我国建立的网络安全审查制度在很多情况下被认为是一种“反制措施”，笔者认为这是一种非常危险的理念。从网络安全审查制度的功能出发，基于“反制思维”的制度设计会忽视保障国家网络安全的原初意义，将制度本身降格为一种“政策工具”，对制度正当性构成减损。我们需要注意，创设法律制度的初衷和方式不能同等对待，初衷正当并不意味着方式正当，而反之亦然。 “反制思维”下的网络安全审查制度无异于“毒树之果”，尽管其初衷在于维护国家安全，但在实现方式上存在明显瑕疵，象征意义大于实际意义。首先，反制措施注重等同效力，以“在先行为”为制度的启动条件。这种制度设定会产生一个明显的弊端，即只有在别国已经针对我国实施了不公正审查的情况下，网络安全审查才有可能启动。那么，如果有证据表明某国的信息技术产品和服务存在威胁我国国家安全的风险，但该国并未针对我国实施不公正审查，在此种情况下，网络安全审查制度还能发挥何种作用？其次，反制思维决定了审查目的在于限制、制约和应对别国的安全审查，并不一定以网络安全为出发点——例如典型的出于报复目的的审查活动，这无疑弱化了网络安全审查制度对国家网络安全的保障作用。再次，“反制”意味着审查对象的特定性，网络安全审查就必然直指外国供应商，产生“国别化”审查的必然要求。这一点已经在网络安全审查制度的实施过程中产生了极大困扰，形成了我国的网络安全审查是“专门针对外国企业”的错误认识。最后，国别化的反制措施很容易被规避掉，外国供应商只要作为我国供应商的次级供应商，而不直接向用户提供信息技术产品和服务就可以轻易规避网络安全审查。为此，我国的网络安全审查制度应当极力避免基于“反制思维”的制度建设思路，而应当将网络安全审查真正作为防范网络安全风险，提升国家网络安全保障能力的主动防御策略。

由此可见，我国在建立网络安全审查制度之初带有一定的仓促性和盲目性，对制度本身缺乏必要的研究，产生了一系列需要澄清和解释的现实问题。随着我国网络安全审查制度法治化进程的深入，上述情况获得改观，诸多制度“误读”得到了修正。特别是在2017年2月4日，我国国家互联网信息办公室发布了《网络产品和服务安全审查办法》（征求意见稿），细化了我国网络安全审查制度的内容、机构和程序等多项核心规定，基本明确了制度结构，使我国的网络安全审查制度逐步明晰，摆脱了纯粹的象征意义，进入到具备可操作性的制度实践阶段。

二、现在：关于网络安全审查制度性质的设问

我国的网络安全审查制度从最初的提案动议到最终的立法确立历时三载，其间，相关的制度结构和制度内容屡次变动，并最终在《网络安全法》第三十五条中确定下来。目前，我国对立法具有参考和指引价值的政策或提案主要包括2013年全国人大代表、浪潮集团董事长孙丕恕向两会提交的《建立信息安全审查制度》的立法提案，2014年国家互联网信息办公室发布的“施行网络安全审查制度”的公告，2014年国家互联网信息办公室发布的《关于加强党政部门云计算服务网络安全管理的意见》（以下简称管理意见）和2016年中共中央办公厅、国务院办公厅印发的《国家信息化发展战略纲要》。立法则包括2015年的《国家安全法》，2016年的《网络安全法》和2017年的《网络产品和服务安全审查办法》（征求意见稿）（以下简称意见稿）。尽管在各项政策立法中，有关网络安全审查制度的规定略有不同，但已然大致勾勒出网络安全审查制度的雏形，具体内容见表1。

从现有的政策立法规定来看，我国的网络安全审查制度在审查范围、审查对象和审查主体方面相对确定且争议不大。笔者认为，目前最大的矛盾焦点在于我国所规定的网络安全审查制度是否仅限于国家安全审查？如果根据《国家安全法》和《网络安全法》的规定，这一设问能够获得绝对确定的答案，即我国所规定的网络安全审查只包含国家安全审查一种，即只有在关键信息基础设施采购网络产品和服务可能影响国家安全时，才进行相关安全审查。但是根据意见稿的规定，我国则似乎规定了两类不同的安全审查，即通用性审查和国家安全审查。意见稿第二条规定，“关系国家安全和公共利益的信息系统使用的重要网络产品和服务，应当经过网络安全审查”，也就是说，只要在重要信息系统中使用列入审查目录的网络产品和服务，就需要进行安全审查，即本文所称的通用性审查，2014年互联网信息办公室发布的公告事实上就属于这种安全审查。但是从意见稿本身的性质判断，意见稿的规定应当是对《网络安全法》第三十五条的细化，并且在法律位阶上属于《网络安全法》的下位法，其规定应当与《网络安全法》严格保持一致。据此，意见稿就应当删除第二条的规定，或者将第二条和第十一条做合并处理，同时将第十一条规定的“应当经过网络安全审查”改为“应当经过国家安全审查”，仅规定国家安全审查的内容。

但是笔者并不赞成简单认为“网络安全审查就是国家安全审查”的观点，因为国家安全审查是一类特殊的安全审查，具有特定的制度内涵和外延。各国普遍建立的成熟的国家安全审查制度是外商投资国家安全审查制度，在网络安全领域并没有国家具有真正法律意义上的国家安全审查制度。目前，各国所广泛采取的针对网络产品和服务的安全审查实际上更接近于本文所称的通用性审查，即只要意欲部署在重要信息系统中的网络产品和服务，均需要在采购之前进行有别于传统测评认证的安全审查。例如美国2000年的《国家信息保障采购政策》要求所有进入国家安全系统的信息技术产品和服务必须保障能够提供系统的可用性，保障信息的完整性和保密性。2001年7月1日之后所有国家安全信息系统中采购的信息技术产品必须满足相应的审查要求。2003年该政策的修订版指出，考虑到信息技术发展过于迅速，要求所有的国家安全系统的采购活动充分而及时地满足安全审查要求存在困难，允许各联邦机构申请“延迟遵从授权”。这也在侧面说明了美国针对信息技术产品和服务所开展的安全审查活动属于通用性审查。为此，笔者认为网络安全审查事实上不仅仅限于国家安全审查，还应当包括通用性审查的内容；反之，国家安全审查也并非专指网络安全审查，根据《国家安全法》的规定，国家安全审查还包括外商投资、特定物项和关键技术、涉及国家安全事项的建设项目等多项审查内容。由此可见，网络安全审查与国家安全审查二者之间是交叉包含的关系（见图1），我国《网络安全法》事实上仅规定了二者的交叉部分。

图1.网络安全审查和国家安全审查的关系

此外，在审查内容方面，笔者认为意见稿的现有规定更适合作为通用性审查的审查内容，与国家安全审查的制度性质不符。国家安全审查具有某种程度的准入限制性质，审查内容通常限于更为宏观的国家安全事项，为了尽量扩大国家安全的适用范围，国家安全审查不会将审查内容细化到技术细节层面。为此，意见稿在国家安全审查性质下仅将审查内容规定为网络产品和服务的安全性和可控性，实际上弱化了国家安全审查制度的功能。例如，我国《国务院办公厅关于建立外国投资者并购境内企业安全审查制度的通知》（国办发[2011]6号）第二条规定的审查内容包括：并购交易对国防安全，包括对国防需要的国内产品生产能力、国内服务提供能力和有关设备设施的影响；并购交易对国家经济稳定运行的影响；并购交易对社会基本生活秩序的影响；并购交易对涉及国家安全关键技术研发能力的影响。我国目前仅规定了具备国家安全审查性质的网络安全审查，那么相应的审查内容也需要体现上述国家安全考虑。

综上所述，我国目前已经初步建立了网络安全审查的制度框架，规定了较为明确的审查主体、审查内容、审查范围和审查程序，并通过《国家安全法》和意见稿划清了外商投资国家安全审查和网络安全审查的界限，澄清了制度建设初期存在的制度独立性争议。在现阶段，我们面临的问题是如何更为科学地理解“网络安全审查”的涵义，是否需要止步于《网络安全法》和意见稿的现有规定，将网络安全审查仅限于国家安全审查的范畴。笔者认为，我们应当忠于网络安全审查的应然解释，即网络安全审查是国家针对特定网络安全事项所开展的检查、调查和验证活动，是一项内涵非常丰富的网络安全保障制度。为了应对日益严峻的网络安全威胁，我国在未来的制度塑造过程中需要建立更为多元化的网络安全审查架构，真正将网络安全审查作为提升我国网络安全保障能力的基础性制度。

三、未来：更为多元化的国家网络安全审查架构

根据我国《网络安全法》的规定，网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。那么，一切对这种能力产生威胁或构成减损的风险事实上都可以纳入网络安全审查的制度范畴。从各国与网络安全保障的相关实践考察，除我国目前已经规定的网络产品和服务采购安全审查之外，还存在多种形式的网络安全审查，涵盖了网络安全政策、技术和管理等诸多领域。

（一）云服务安全审查

鉴于云服务分布式数据存储和处理的特殊性，各国通常对云服务安全进行有别于其他网络服务的安全审查。例如美国要求向联邦机构提供的云服务必须满足由美国技术和标准研究院、通用服务管理局、国防部和国土安全部共同开发的《联邦风险和授权管理程序》（FedRAMP）。美国预算管理办公室（OMB）在2011年12月8日的政策备忘录中强制要求，2012年6月以后政府采购的云服务必须满足FedRAMP的安全要求，现存的已经采购的云服务到2014年6月前必须通过FedRAMP安全审查。FedRAMP规定了联合授权委员会模式、联邦机构授权模式和自行审查模式供云服务商选择，三种模式在审查主体和程序略有区别，但具有同等的审查效力。FedRAMP同时依据NIST SP 800-53和SP 800-37这两个基础性标准建立了包括文档化、评估、授权和监控四个部分的审查框架。

英国则实行统一的云服务采购公共服务平台G-Cloud，为保障G-Cloud平台提供的云服务的安全性，英国国家网络安全中心和内阁办公室开发了包括供应链安全管理、用户安全管理、认证和授权、外部接口保护、安全服务管理、用户审计信息、用户服务安全使用、资产保护与弹性、用户隔离、管理框架、操作安全、个人安全、安全开发和数据传输安全保护等十四项云安全原则，用于验证云服务的安全性，这些安全原则同样被用于向政府提供云服务的供应商安全审查中。

我国目前同样规定了云服务安全审查的要求，2014年12月30日国家互联网信息办公室发布《关于加强党政部门云计算服务网络安全管理的意见》明确规定建立云计算服务安全审查机制。该意见第四条规定，中央网信办会同有关部门建立云计算服务安全审查机制，对为党政部门提供云计算服务的服务商，参照有关网络安全国家标准，组织第三方机构进行网络安全审查，重点审查云计算服务的安全性、可控性。党政部门采购云计算服务时，应逐步通过采购文件或合同等手段，明确要求服务商应通过安全审查。鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算服务。

（二）供应链安全审查

美国2014年《合并与持续拨款法案》第515条款规定，美国商务部、司法部、国家宇航局和国家科学基金会不得利用任何拨款采购NIST SP199中规定的高影响或中度影响的信息技术系统，除非上述联邦机构：（1）根据NIST制定的有关标准进行供应链风险审查；（2）通过由联邦调查局或其他相关机构提供的威胁信息审查供应链风险；（3）联邦调查局或其他机构对与系统采购相关的网络间谍或破坏行为进行了风险评估，包括由美国政府认定实施了网络威胁的一个或多个组织生产、制造或组装的信息系统，包括但不限于由中国拥有、管理该法案或资助的组织。

（三）网络安全政策审查

2009年，美国奥巴马政府开展了为期60天的国家网络安全政策审查，评估美国网络安全政策架构的有效性。①http://www.cfr.org/cybersecurity/cyberspace-policy-review-60-day-cybersecurity-review-may-2009/p19537此次审查的网络安全政策包括与网络空间安全和运维有关的国家战略、政策和标准，涵盖降低威胁、降低脆弱性、威慑、国际参与、事件响应、弹性和恢复等方面的策略和行动。2009年5月，针对此次审查结果，美国白宫发布了名为《网络空间政策审查：确保可信和弹性的信息通信基础设施》的审查报告，该报告认为，美国需要在数字国家能力建设、网络安全责任分配、建立信息共享和事件响应机制以及鼓励创新等方面进行必要的制度设计，并据此制定了短期和中期行动计划。

（四）网络安全状态审查

美国由国土安全部联合网络安全多状态信息共享和分析中心、国家首席信息安全官协会和国家郡县协会共同实施国家网络安全审查（Nationwide Cyber Security Review ，NCSR），该项审查是面向所有联邦和地方政府机构开展的自愿性的自评估审查，主要内容是审查各机构对2014年NIST发布的网络安全框架的遵从和落实情况，并于每年十月的“网络安全意识月”期间进行该项审查。

2014年11月，澳大利亚总理Tony Abbott宣布实施为期6个月的全国性国家网络安全审查，①http://www.theregister.co.uk/2014/11/27/australia_to_conduct_national_cybersecurity_review/对公私部门遭受网络攻击的风险进行评估，确保澳大利亚政府能够先于网络和关键基础设施威胁做出应对。

本文开篇举例的英国所开展的网络安全审查也属于此种形式。

（五）网络弹性审查

网络弹性审查（Cyber Resilience Review，CRR）②https://en.wikipedia.org/wiki/Cyber_Resilience_Review是由美国国土安全部主导的自愿性安全审查，主要用于评估各政府机构和关键基础设施部门的网络安全能力和运维弹性，包括资产管理、控制管理、配置和变更管理、漏洞管理、安全事件管理、服务持续性管理、风险管理、外部依赖性管理、培训和意识、态势感知共十方面的相关内容。

（六）网络安全能力审查

2015年英国政府发起了一项针对国家网络安全能力的安全审查，③https://www.sbs.ox.ac.uk/cybersecurity-capacity/system/files/Cybersecurity%20Capacity%20Review%20of%20the%20 United%20Kingdom.pdf该项审查根据全球网络安全能力中心建立的网络安全能力成熟度模型，综合审查了英国网络安全政策和战略、网络安全文化和社会、网络安全教育、网络安全立法和规范体系以及网络安全标准的整体情况。

由此可见，各国已经对网络安全事项开展了形式多样的审查实践，其中既包括对网络产品服务安全和国家网络安全态势的常态性审查，也包括回应特定网络安全事件的非常态性审查。笔者认为，这些安全审查关注了国家网络安全保障的不同方面，对不同类型的网络安全风险起到了防范和控制效果，为国家网络安全能力的提升起到了显著的支撑作用。鉴于我国与各国面临的网络安全风险的同步性，我国可以对目前各国在此方面的有益经验进行充分借鉴和吸收，在未来网络安全审查的制度塑造过程中建立更为多元化的国家网络安全审查架构，切实保障国家的网络安全。

（责任编辑：钟宇欢）

The Past, Present and Future of National Cyber Security Review Legal System

Ma Ning

National Cyber security review system is an innovative system to enhance the ability of Cyber security protection in our country, due to the fuzzy of the legislation, there is still a lot of system misunderstanding. This paper reviews the legislation process of the system, analyzes the related practice in the world at present, in order to de finite Cyber security review system more scienti fically, and put forward the system development path.

National Cyber security review system; system independence; system nature; system extension

G20

A