網絡安全審查的制度構建

申屠良瑜

網絡安全審查的制度構建

申屠良瑜*

網絡安全審查制度是維護網絡安全制度體系中的重要一環。作為網絡安全基礎性立法的網絡安全法，原則上規定了關鍵信息基礎設施所采用的網絡產品和服務應通過國家安全審查，但未對制度的整體建構作出規定。本文認為，我國的網絡安全審查制度應當定位于特定領域使用產品或服務的審查制度，建議明確國家網信部門為網絡安全審查主管機構，并在網絡安全分類審查的前提下與第三方機構開展合作。就網絡安全審查的范圍而言，在審查廣度上應以關系國家安全的關鍵信息基礎設施中所使用的產品或服務為宜，在審查深度上須從技術審查拓展到背景審查，從表層功能符合性審查延伸到底層源代碼審查，但無必要對IT供應鏈全鏈條進行審查。

網絡安全 關鍵信息基礎設施保護 網絡安全審查制度 背景審查 源代碼審查

網絡安全審查，是指通過技術手段、依照相關標準體系對關鍵信息基礎設施中使用的信息技術產品和服務，進行安全性和可控性審查并持續監督的過程。*我國現階段對于“網絡安全審查”尚無權威定義，該定義為筆者參考現有學者的定義得出。參見石峰、張紅軍、賈磊雷《實行網絡安全審查制度是保障國家安全的重要舉措》，《信息安全與通信保密》2014年第6期，第45頁；馬民虎、馬寧《威脅態勢感知視域下國家網絡安全審查法律制度的塑造》，《西安交通大學學報(社會科學版)》2016年第2期，第66頁。從世界范圍來看，通過建立網絡安全審查制度維護網絡安全已成趨勢，美國、英國、俄羅斯、印度等國均建立了網絡安全審查制度。“聰者聽于無聲，明者見于未形”，為獲取網絡安全態勢感知能力，提高網絡安全防控能力，特別是國家關鍵信息系統的安全防控能力，我國應順勢而為，建立我國的網絡安全審查制度。2014年5月22日，國家互聯網信息辦公室首次明確了“為維護國家網絡安全、保障中國用戶合法利益，我國即將推出網絡安全審查制度”*《國家網信辦：我國將出臺網絡安全審查制度》，登載于“中國網信網”，網址：http://www.cac. gov.cn/2014-05/22/c_126534290.htm，訪問時間：2016年9月21日。；2015年7月1日頒布的國家安全法及2016年11月十二屆全國人大常委會第二十四次會議審議通過的網絡安全法也明確規定了我國將建立網絡安全審查制度*國家安全法第59條規定：“國家建立國家安全審查和監管的制度和機制，對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目，以及其他重大事項和活動，進行國家安全審查，有效預防和化解國家安全風險。”網絡安全法第35條規定：“關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。”。本文結合域外經驗與本國國情，研究了我國網絡安全審查制度的出臺背景、制度定位、審查主體、審查范圍等問題，希望通過對這些網絡安全制度核心問題的探討，明確我國網絡安全審查制度的建構方向，促進我國網絡安全審查制度的發展。

一、網絡安全審查制度的建立背景

(一)美國信息技術貿易限制與“斯諾登事件”

美國2012年前后針對我國信息技術產品與服務輸出的種種限制，以及2013年“斯諾登事件”的爆發，被認為是我國加快建立網絡安全審查制度的直接誘因。

2011年2月，美國外國投資委員會(CFIUS)*美國外國投資委員會由財政部、司法部、國土安全部、商務部、國防部、能源部、美國貿易代表辦公室等九部門共同組成，必要時還包括管理和預算辦公室、經濟顧問委員會、國家安全委員會、國民經濟委員會、國土安全委員會。否決了華為公司對美國3Leaf公司的收購案；同年11月，美國眾議院情報委員會啟動對華為公司的調查，并將調查范圍擴展到另一家中國信息技術公司——中興，在長達11個月的調查后公布調查報告，認為“華為和中興向美國關鍵基礎設施提供的設備存在風險，會削弱美國國家安全的核心利益”，建議美國政府及私營部門在其系統中不得使用華為和中興的網絡設備。*陳星、齊愛民：《美國網絡空間安全威脅論對全球貿易秩序的公然挑戰與中國應對——從“美國調查華為中興事件”談起》，《蘇州大學學報(哲學社會科學版)》2014年第1期，第81—82頁。“這一事件在很多場合下被援引為我國建立網絡安全審查制度必要性的依據。”*馬民虎、馬寧：《威脅態勢感知視域下國家網絡安全審查法律制度的塑造》，《西安交通大學學報(社會科學版)》2016年第2期，第68頁。2013年3月26日，美國國會通過《2013年合并與持續撥款法案》，該法案第516條第a款規定明確限制美國商務部、司法部、國家宇航局和國家科學基金會對中國技術系統進行采購。*參見馬民虎、馬寧《技術中立：政府IT采購中信息安全審查的法律理性——兼評美國〈2013年合并與持續撥款法案〉第516條款》，《河北法學》2014年第8期，第10—11頁。該條款雖飽受爭議，但仍得以沿用，美國《2014年合并與持續撥款法案》第515條堅持了上述對中國信息技術系統采購的限制策略。*馬民虎、馬寧：《威脅態勢感知視域下國家網絡安全審查法律制度的塑造》，《西安交通大學學報(社會科學版)》2016年第2期，第68頁。

2013年“斯諾登事件”爆發后，一系列披露的文件顯示，美國政府通過在中國關鍵信息基礎設施中廣泛使用的美國公司軟硬件產品中留“后門”的方式對中國政府、國家領導人及重要互聯網企業進行監控，竊取重要資料，利用事先明知的漏洞對中國政府及互聯網企業進行大規模網絡攻擊。與此同時，美國政府通過對騰訊公司旗下聊天軟件QQ及中國移動的即時通信應用飛信的監視獲取中國網民個人信息。*參見楊晨《網絡安全審查制度呼之欲出》，《信息安全與通信保密》2014年第8期，第21頁。

(二)我國互聯網核心技術缺乏自主性

“互聯網核心技術是我們最大的‘命門’，核心技術受制于人是我們最大的隱患。一個互聯網企業即便規模再大、市值再高，如果核心元器件嚴重依賴外國，供應鏈的‘命門’掌握在別人手里，那就好比在別人的墻基上砌房子，再大再漂亮也可能經不起風雨，甚至會不堪一擊。”*《習近平在網絡安全和信息化工作座談會上的講話》，登載于“新華網”，網址：http://news. xinhuanet.com/newmedia/2016-04/26/c_135312437.htm，訪問時間：2016年9月21日。據有關統計數據顯示，截至2014年6月，我國的半導體芯片、操作系統、路由器、交換機、大型存儲設備等基礎軟硬件產品以及通用協議和標準，90%以上依賴進口；以思科為代表的美國“八大金剛”(思科、IBM、微軟、高通、英特爾、蘋果、甲骨文、谷歌)占據了我國關鍵信息基礎設施核心領域的絕大多數市場份額。如思科公司設備在金融系統，海關、工商等政府系統，石油等重點行業的份額均超過了50%，甚至國有四大銀行及各城市商業銀行的數據中心幾乎全部采用思科設備。*石峰、張紅軍、賈磊雷：《實行網絡安全審查制度是保障國家安全的重要舉措》，《信息安全與通信保密》2014年第6期，第44—45頁。

(三)以往的網絡安全審查落后于需求

我國的網絡安全審查尚未實現體系化，審查主要體現在市場準入制度上，通過對信息安全廠商進行資格認定以及對信息技術、產品進入市場時進行功能符合性檢測——對照信息系統安全標準要求對信息技術、產品實現進行檢測，通過對信息技術、產品各部件不同安全功能實現的檢測及其數據的科學分析，得出信息系統安全保護實現與標準規定等級要求的一致性結果*參見馬健麗《信息系統安全功能符合性檢驗關鍵技術研究》，北京：北京郵電大學博士學位論文，2010年，第21頁。——實現信息安全產品的雙重認定。但是，該套機制僅能實現對信息安全產品各子系統的標準化認定，尚未實施系統規范的深度安全檢測，缺乏基于漏洞分析的技術、產品安全性檢測，對進入市場的信息產品應用效果和后果沒有預先進行風險評估。*參見石峰、張紅軍、賈磊雷《實行網絡安全審查制度是保障國家安全的重要舉措》，《信息安全與通信保密》2014年第6期，第46頁。同時，信息安全產品屬于公安部所監管的計算機信息系統安全專用產品范疇，還需接受公安部要求的相應檢測；因信息安全產品使用于國家關鍵信息基礎設施，納入政府采購目錄，需要接受質檢系統的測評檢驗，存在重復檢測的問題。*參見蘇苗罕、顧偉《信息安全軟件廠商的法律監管框架研究》，《網絡法律評論》2015年第1期，第164—165頁。

二、我國網絡安全審查制度的定位

(一)域外經驗

現階段，各國尚未建立專門的、獨立的且涵蓋各領域的網絡安全審查制度，所謂的網絡安全審查機制是對具有網絡安全審查功能的相關制度的統稱。*參見左曉棟、王石《中國網絡安全審查制度的建設》，載惠志斌、唐濤主編《網絡空間安全藍皮書：中國網絡空間安全發展報告(2015)》，北京：社會科學文獻出版社，2015年，第94頁。可以說，各國對于網絡安全審查制度并沒有形成公認的制度定位。但是，我們可以從現有的網絡安全審查實踐中推知網絡安全審查可能的制度定位。

總體而言，國外的網絡安全審查制度定位主要存在以下幾類：

1.外國投資審查制度

此種制度以美國外國投資委員會的審查為典型。作為美國外國投資的主要審查機構，外國投資委員會的職責是針對美國的直接投資行為*直接投資行為，是指投資者直接在他國設立獨資公司，開設銷售點進行經營行為，或入股、收購他國企業獲得經營參與權或控制權等行為。進行國家安全審查，決定是否允許其進入美國市場或入股、收購美國公司。*See Tipler，Christopher M.Defining “National Security”：Resolving Ambiguity in the CFIUS Regulations，32 University of Pennsylvania Journal of International Law，1223(2013—2014)，p.1228.2000年后，隨著網絡安全威脅逐漸上升為美國國家安全的主要威脅，外國投資委員會對外國投資的安全審查加大了對網絡安全的審查，如2011年它否決華為公司對美國3Leaf公司的收購案，正是基于網絡安全審查的結果。此外，如俄羅斯、英國等國在對外商投資審查中也會考慮網絡安全因素。*參見張莉《網絡安全審查的國際經驗及借鑒》，《信息安全與通信保密》2014年第8期，第66頁。

2.市場準入制度

印度對信息技術產品特別是電信用戶終端設備，實施了較為嚴格的市場準入認證，要求電話機、自動應答機等電信產品在銷售前必須向印度電信工程技術中心提交“供應商符合性聲明”，承諾設備符合印度《電信設備認證指南》中的相關技術規范，在獲得批準后方可進入市場。*參見汪楊、唐景然、葛楠《印度開展網絡安全審查的主要做法及啟示》，《信息安全與通信保密》2014年第8期，第61—62頁。俄羅斯對于國內銷售的信息技術產品也均要求，必須事先經由國家標準化與計量委員會下屬檢驗機構檢驗，檢驗合格并發放品質檢驗合格認證書或標準后才可以上市。*參見張莉《網絡安全審查的國際經驗及借鑒》，《信息安全與通信保密》2014年第8期，第66頁。

3.特定領域使用產品或服務的審查制度

美國等國對于特定部門或者涉及國防、政府等重要單位使用的網絡安全產品和服務，均會開展網絡安全審查。美國要求對國家安全系統、聯邦信息系統、重要行業信息系統中使用的信息技術產品和服務，進行網絡安全審查；對國家安全系統、聯邦信息系統中的信息技術產品和服務進行強制審查。*參見左曉棟、王石《中國網絡安全審查制度的建設》，載惠志斌、唐濤主編《網絡空間安全藍皮書：中國網絡空間安全發展報告(2015)》，北京：社會科學文獻出版社，2015年，第95—98頁。如美國國防部根據2011年《國防授權法案》的授權對采購過程中IT供應鏈進行強制性的網絡安全審查。*參見尹麗波《美國安全審查概況》，《中國信息安全》2014年第8期，第78—79頁。2006年“聯想安全門事件”同樣是美國聯邦政府信息系統產品和服務網絡安全審查的結果。*參見徐炎、豐詩朵《美國政府采購信息安全法律制度及其借鑒》，《法商研究》2013年第5期，第136—138頁。英國針對政府、公共部門的關鍵基礎設施中所使用的信息產品和服務，也會進行類似的網絡安全審查。*參見劉國輝《英國信息安全審查及對我國的借鑒意義》，《中國信息安全》2014年第8期，第84頁。

(二)我國的選擇

1.外國投資審查制度？

長期以來，我國學界都存在著將網絡安全審查制度定位為外國投資國家安全審查的論斷。究其原因，主要有以下兩點：(1)我國網絡安全審查制度研究以華為入美受阻為起點。我國學界對網絡安全審查制度的興起，源于美國外國投資委員會對華為公司收購美國3Com、3Leaf公司進行國家安全審查并以國家安全為由進行了否決。學界多以此案例闡述美國嚴格的網絡安全審查制度，證明網絡安全審查制度內含于外國并購國家安全審查制度中。(2)部分國家以網絡安全審查限制外資進入的實踐加深了這種認識。如英國要求政府部門、實驗室和國有公司在計算機和通信器材的采購上，必須從本國公司購買，法國政府也要求航空、鐵路、通信和食品等部門優先購買本國產品。*參見徐炎、豐詩朵《美國政府采購信息安全法律制度及其借鑒》，《法商研究》2013年第5期，第142頁。但是，事實上，外國投資審查中的網絡安全審查僅是美國網絡安全審查體系中的一環，在聯邦政府采購、國防部采購中也存在網絡安全審查。外國投資審查中網絡安全審查的根本目的仍是維護國家經濟安全。*參見馬民虎、馬寧《國家網絡安全審查制度的法律困惑與中國策略》，《云南師范大學學報(哲學社會科學版)》2015年第5期，第44頁。網絡安全審查與外商投資安全審查側重點分別是不同的國家安全領域，兩者有著本質不同。2015年頒布的國家安全法第59條規定：“國家建立國家安全審查和監管的制度和機制，對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目，以及其他重大事項和活動，進行國家安全審查，有效預防和化解國家安全風險”，將“網絡信息技術產品和服務”與“外商投資”相并列，更加明確了我國建設中的網絡安全審查制度并非定位于外國投資審查制度。

2.市場準入制度？

將網絡安全審查制度定性為市場準入制度同樣是不合適的。原因主要有以下三點：(1)網絡安全審查的多階段性。絕對的網絡安全是不存在的，已有的共識是僅能通過控制網絡安全風險盡可能減少網絡安全威脅。事前的網絡安全評估，并不能完全發現信息技術產品或服務帶有的安全風險與漏洞，而且在產品與服務的使用過程中，因為補丁升級等原因還可能帶來新的安全隱患。因此，網絡安全審查制度不同于傳統的產品認證制度，其貫穿于信息技術產品或服務使用的全過程，包括事前審查、事中監測和事后懲處三個階段，并且事前審查階段也并不僅僅是市場準入審查，還有“黑白名單”制度等其他手段。*參見石峰、張紅軍、賈磊雷《實行網絡安全審查制度是保障國家安全的重要舉措》，《信息安全與通信保密》2014年第6期，第46頁。(2)網絡安全審查的小眾性。網絡安全審查所針對的僅是國家關鍵信息基礎設施中所使用的信息技術產品或服務，是“小眾”的；而市場準入制度作為行業監管制度，面向的是整個信息技術產品或服務行業，是“大眾”的。*參見左曉棟、王石《中國網絡安全審查制度的建設》，載惠志斌、唐濤主編《網絡空間安全藍皮書：中國網絡空間安全發展報告(2015)》，北京：社會科學文獻出版社，2015年，第102頁。著眼于關鍵領域的網絡安全審查，才能切實保障好網絡安全審查制度所要實現的國家安全目標。(3)避免國際貿易爭端。網絡安全審查是否符合WTO安全例外條款*WTO國家安全例外條款包括《關稅與貿易總協定》(GATT)第21 條、《服務貿易總協定》(GATS)第14條之二、《與貿易有關的知識產權協定》(TRIPs)第73條、《與貿易有關的投資協定》(TRIMs)第3 條，以及《技術性貿易壁壘協定》(TBT)第2條、《政府采購協定》(GPA)第23.1條等，主要內容是允許WTO成員采取例外措施，以維護其國家安全，但成員也不得濫用安全例外條款，以維護國家安全之名行貿易保護之實。參見安佰生《WTO安全例外條款分析》，《國際貿易問題》2013年第3期，第125頁。尚有爭議，若將網絡安全審查制度定位于市場準入制度，極有可能被批評為限制貿易自由的手段，遭到部分國家的抵制并產生貿易爭端。例如，我國原擬將信息安全產品認證制度作為市場準入措施強制實施，但遭到了美、歐、日等國家與地區的抵制，認為其侵犯了貿易自由。*參見左曉棟《近年中美網絡安全貿易糾紛回顧及其對網絡安全審查制度的啟示》，《中國信息安全》2014年第8期，第69頁。

3.特定領域使用產品或服務的審查制度

2014年5月，國家網信辦關于我國建立網絡安全審查制度的公告中已明確指出，我國的網絡安全審查制度針對的是“關系國家安全和公共利益的系統使用的重要技術產品和服務”*《國家網信辦：我國將出臺網絡安全審查制度》，登載于“中國網信網”，網址：http://www.cac. gov.cn/2014-05/22/c_126534290.htm，訪問時間：2016年9月21日。。可見，我國構建中的網絡安全審查制度應當是特定領域使用產品或服務的審查制度。網絡安全法將網絡安全審查制度置于第三章第二節“關鍵信息基礎設施的運行安全”之中，具體規定為第35條：“關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。”從中也可看出，我國的網絡安全審查制度針對的是“關鍵信息基礎設施的運營者采購網絡產品或者服務”。將網絡安全審查制度定位于針對關系國家安全的特定領域內信息系統使用的產品或服務的審查制度，是網絡安全審查制度的本質體現，這說明我國建立網絡安全審查制度的根本目的是維護網絡領域的國家安全，確保國家重點領域、重點行業的安全穩定；其并非貿易保護手段或外交對抗手段，能夠確保網絡安全審查制度符合WTO國家安全例外原則的要求，免受外國的抵制。因此，將網絡安全審查制度定位于特定領域使用產品或服務的審查制度較為合適。

三、我國網絡安全審查的主體

(一)主管機構

1.無統一監管機構的域外經驗

在尚未建立專門的、獨立的且涵蓋各領域的網絡安全審查制度的背景下，各國網絡安全實踐基本上由各類網絡安全審查的主管機構負責，尚未建立統一的、負責各領域的網絡安全審查主管機構。以美國為例，美國不同領域的網絡安全審查均由不同機構負責：(1)外國投資領域。對于外國投資中可能對美國網絡安全造成影響的審查，一般由外國投資委員會負責，其根據《外商投資與國家安全法》(FINSA)、《1959年國防生產法》(DPA)規定的流程、國家安全標準對外國投資進行審查。*See Tipler，Christopher M.Defining “National Security”：Resolving Ambiguity in the CFIUS Regulations，32 University of Pennsylvania Journal of International Law，1223(2013—2014)，pp.1239-1242.(2)國家安全系統領域。自2002年7月起，美國要求國家安全系統中所適用的非密碼信息技術產品，必須通過美國國家信息安全保障聯盟(NIAP)通用準則(CC)認證，NIAP由美國國家安全局(NSA)與美國標準技術研究所(NIST)共同成立，主要成員為兩者的專業技術和管理人員。*參見尹麗波《美國安全審查概況》，《中國信息安全》2014年第8期，第78頁。(3)國防領域。根據2011年《國防授權法案》的授權，美國國防部負責國防采購中IT供應鏈風險的安全審查。*參見尹麗波《美國安全審查概況》，《中國信息安全》2014年第8期，第78—79頁。(4)聯邦信息系統領域。2002年《聯邦信息安全管理法》(FISMA)要求美國聯邦政府各機構負責本機構的信息安全，確保本機構使用的聯邦信息系統設備設施的安全。*參見楊碧瑤、王鵬《從〈聯邦信息安全管理法案〉看美國信息安全管理》，《保密科學技術》2012年第8期，第37—39頁。(5)云服務領域。美國國防部、國土安全部、總務管理局組成聯合授權委員會(JAB)負責制定云服務安全審查基線，并進行初始授權，總務管理局設立項目管理辦公室負責日常審查工作。*參見尹麗波《美國安全審查概況》，《中國信息安全》2014年第8期，第79頁。此外，在某些情況下，美國國會也會進行網絡安全審查工作。如2006年聯想集團參與美國政府計算機采購，國會撥款委員會要求國務卿就該筆交易的正當性作出解釋。*參見徐炎、豐詩朵《美國政府采購信息安全法律制度及其借鑒》，《法商研究》2013年第5期，第136—137頁。又如2011年至2012年美國眾議院情報委員會對華為、中興公司的調查。*參見陳星、齊愛民《美國網絡空間安全威脅論對全球貿易秩序的公然挑戰與中國應對——從“美國調查華為中興事件”談起》，《蘇州大學學報(哲學社會科學版)》2014年第1期，第81—82頁。

2.我國網絡安全審查是否需要統一主管機構？

現階段，我國網絡安全監管領域同樣存在多主體并存的情況，工業和信息化部(以下簡稱工信部)、公安部、國家安全局、國家保密局等均對網絡安全負有監管職能。如工信部承擔著通信網絡安全及其信息安全管理工作，承擔著國家網絡安全保障體系的建設工作，對政府部門、重點行業重要信息系統與基礎信息網絡的安全保障工作進行指導監督*參見李宇《中國互聯網信息安全監管的現狀與挑戰》，載龔維斌主編《中國社會體制改革報告(2015)》，北京：社會科學文獻出版社，2015年，第259頁。；工信部下屬網絡安全管理局具體負責電信和互聯網行業網絡安全審查相關工作，組織推動電信網、互聯網安全自主可控工作*參見網絡安全管理局機構職責，網址：http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057725/c3635780/content.html，訪問時間：2016年6月17日。。我國構建中的網絡安全審查是否可借鑒美國呢？筆者認為，我國的網絡安全審查應當明確統一的主管機構。中央網信辦網絡安全協調局局長趙澤良也曾表示，我國網絡安全審查未來或有專門工作機構。*《國家網信辦：我國將出臺網絡安全審查制度》，登載于“中國網信網”，網址：http://www.cac. gov.cn/2014-05/22/c_126534290.htm，訪問時間：2016年9月21日。

我國網絡安全審查需要統一的主管機構，理由主要有以下幾點：(1)凸顯網絡安全審查的重要性。網絡安全審查制度作為維護我國網絡安全的重要一環，對實現網絡安全，繼而維護網絡領域的國家安全有著顯著意義。設立統一的主管機構，有利于凸顯國家對網絡安全工作的重視，促進網絡安全工作加快發展。(2)統籌協調網絡安全工作的需要。目前，我國各網絡安全職能部門存在職能交叉、重復監管的問題，現有的信息技術產品或服務可能面臨著工信部、公安部等的重復檢測、重復評估，這并不利于監管效率的提高。設立統一主管機構，統籌各相關機構工作，能夠較為有效地解決這個問題。(3)符合我國網絡監管發展趨勢。2011年，國家互聯網信息辦公室成立，已體現出我國網絡監管統籌協調的趨勢，網絡安全法第8條第1款明確規定，“國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定，在各自職責范圍內負責網絡安全保護和監督管理工作。”因此，我國的網絡安全審查制度中應明確國家網信部門為主管機構，并在其內部設立專門工作機構，由其統籌各職能部門具體開展網絡安全審查工作。2017年2月，國家網信辦公布了《網絡產品和服務安全審查辦法(征求意見稿)》，其中第5條第1款也明確提出：“國家互聯網信息辦公室會同有關部門成立網絡安全審查委員會，負責審議網絡安全審查的重要政策，統一組織網絡安全審查工作，協調網絡安全審查相關重要問題。”

(二)第三方機構問題

信息技術的高度專業性，促使國外在開展網絡安全審查時向第三方機構尋求幫助。以英國為例，英國建立了一套以信息技術產品源代碼審查與托管為基礎的網絡安全審查制度，在其開展網絡安全審查的全過程中，均有第三方機構的參與，且起到了重要的作用。英國電子通信安全組(CESG)負責組織英國的源代碼審查與信息安全認證工作，而具體的認證測試則由CESG認可的第三方機構，如CGI、Context Information Security、KPMG LLP、NCC Group、Roke、SiVenture等負責*參見劉國輝《英國信息安全審查及對我國的借鑒意義》，《中國信息安全》2014年第8期，第83頁。；在源代碼托管環節，英國同樣委托于第三方機構，如前述NCC Group同樣為英國政府提供源代碼托管服務。

第三方機構承擔網絡安全審查工作，有其優勢：(1)獨立性，第三方機構介于信息技術產品或服務提供商與政府之間，可以說網絡安全審查免受政治因素、貿易保護主義等的影響，確保審查結果的客觀公正。(2)專業性。網絡安全審查涉及信息技術產品與服務的底層代碼審查、攻防演練等，具有極高的技術性，第三方機構作為專業機構有能力確保網絡安全審查的有效。(3)安全性。信息技術產品或服務提供商不愿將自身產品或服務交由政府審查，知識產權與商業秘密保護是一個很大的考量因素，而第三方機構基于行業自律與市場規律，更有動力保護受審查的產品或服務所含有的知識產權及商業秘密。但是，政府委托第三方機構進行網絡安全審查，也存在受審查主體通過商業賄賂等手段干擾第三方機構審查，獲取有利的審查結果的可能。

及于我國，網信辦曾有官員透露我國的網絡安全審查也將由第三方機構負責檢測工作。*《四問中國網絡安全審查制度》，登載于“新京報網”，網址：http://www.bjnews.com.cn/feature/2014/05/23/317956.html，訪問時間：2016年9月18日。《網絡產品和服務安全審查辦法(征求意見稿)》也規定了第三方機構參與網絡安全審查。*《網絡產品和服務安全審查辦法(征求意見稿)》第7條規定：“國家統一認定網絡安全審查第三方機構，承擔網絡安全審查中的第三方評價工作。”但是，當前階段第三方機構能否承擔網絡安全審查的任務，筆者仍存有疑問：(1)第三方機構審查權威性不足。我國現階段網絡安全領域的認證測評機構主要有公安部第三研究所、解放軍信息安全測評認證中心和中國信息安全測評中心三家。*參見方興東、胡懷亮《網絡安全審查制度的根本在于掌握防御主動權》，《信息安全與通信保密》2014年第8期，第35頁。相比于他們，第三方機構的審查權威性不足，其審查結果是否能被接受尚存疑問。(2)“合謀”風險偏大。我國市場經濟尚不成熟，行業自律建設也尚不完全，第三方機構是否能夠恪守中立，免受信息技術產品或服務的提供者或使用者的不正當影響還有疑問。(3)網絡安全審查涉及能源、金融、電力等重要行業的信息系統、軍事網絡、政務系統，由私人所有的第三方機構對這些系統中的信息技術產品、服務進行審查，可能會導致這些系統的泄密，危及系統安全，特別是軍事網絡等保密性更高的系統。因此，對于第三方機構負責我國網絡安全審查的具體工作需要進一步慎重考慮。筆者認為，我國構建中的網絡安全審查制度，可分領域確定是否可由第三方機構負責具體工作，軍事網絡、政務系統及能源業、電力行業等重要信息系統中使用的信息技術產品、服務應由國家所有的機構進行審查；完全市場化的行業、用戶數量眾多的網絡服務提供者所有或者管理的網絡和系統則可由第三方機構負責審查，但最終結果仍需相關主管機關確認。

四、我國網絡安全審查的范圍

2014年5月22日，國家網信辦的公告將網絡安全審查的范圍限定為“關系國家安全和公共利益的系統使用的重要信息技術產品和服務”，《網絡產品和服務安全審查辦法(征求意見稿)》第2條也作出了如上規定。*《網絡產品和服務安全審查辦法(征求意見稿)》第2條規定：“關系國家安全和公共利益的信息系統使用的重要網絡產品和服務，應當經過網絡安全審查。”通過對該限定的解讀，有學者認為可以從兩個方面確定網絡安全審查的范圍：一方面，根據信息系統的服務對象、相關性確定是否屬于“關系國家安全和公共利益的系統”，如信息系統與政府有關，或者關系到國家的經濟命脈，則可認定為屬于網絡安全審查范圍所面對的信息系統；另一方面，并非“關系國家安全和公共利益的系統”中使用信息技術產品和服務均須審查，還需考慮所采用的產品和服務的性質，唯有重要的信息技術產品和服務需要審查。*《四問中國網絡安全審查制度》，登載于“新京報網”，網址：http://www.bjnews.com.cn/feature/2014/05/23/317956.html，訪問時間：2016年9月18日。但是，這種界定仍是不清晰的，缺乏操作性。為有效開展網絡安全審查，在構建網絡安全審查制度時必須明確網絡安全審查的范圍。本部分，筆者擬從審查的廣度與深度兩方面加以探討，明確我國網絡安全審查的范圍。

(一)審查的廣度

網絡安全審查制度已被規定于國家安全法和網絡安全法之中。從網絡安全法中，我們大致可看出網絡安全審查的范圍。如前所述，網絡安全審查制度規定于網絡安全法(草案)第三章第二節“關鍵信息基礎設施的運行安全”之中，針對的是關鍵信息基礎設施中所使用的，可能影響國家安全的網絡產品或服務。通過對“關鍵信息基礎設施”“國家安全”加以界定，可以在一定程度上確定審查的廣度。

1.關鍵信息基礎設施

我國目前立法對于“關鍵信息基礎設施”尚無明確立法規定，而學界對此的討論主要是基于國外對其的界定，如德國將關鍵信息基礎設施定義為“保障電力、電信、金融、國家機關等國家重要領域基礎設施正常運作的信息網絡”*劉山泉：《德國關鍵信息基礎設施保護制度及其對我國〈網絡安全法〉的啟示》，《信息安全與通信保密》2015年第9期，第86頁。。網絡安全法首次以“列舉+定義”的方式規范明確了我國的關鍵信息基礎設施的范疇，根據其第31條規定：“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護……”因此，網絡安全審查應針對上述關鍵信息基礎設施所采用的重要網絡產品或服務。

2.國家安全

美國外國投資委員會對外國投資的審查同樣限定于國家安全范疇，其通過對外國投資是否威脅美國的國家安全進行審查來確定是否許可其進入美國。但是，外國投資委員會并沒有明確界定國家安全的概念，僅是對其解釋作出了一個有限的指引。究其原因，外國投資委員會解釋說隨著國際局勢的發展，特別是“9·11”事件后，針對美國的威脅不斷增多，若斷然給定國家安全的定義，將無法有效回應不斷出現的新的威脅。*See Tipler，Christopher M.Defining “National Security”：Resolving Ambiguity in the CFIUS Regulations，32 University of Pennsylvania Journal of International Law，1223(2013—2014)，p.1239.但是，模糊的標準欠缺可操作性，使得外國投資委員會的審查具有很大的主觀性，這一點也使得外國投資委員會的審查備受爭議。不同于美國，我國國家安全法對國家安全給予了明確的定義，是指“國家政權、主權、統一和領土完整、人民福祉、經濟社會可持續發展和國家其他重大利益相對處于沒有危險和不受內外威脅的狀態，以及保障持續安全狀態的能力”*國家安全法第2條。。但是，就網絡安全審查而言，該定義仍過于宏觀，操作性不足。反而國家安全法第二章“維護國家安全的任務”第15條至第33條對國家安全作出了更為明確的規定，如第25條規定：“國家建設網絡與信息安全保障體系，提升網絡與信息安全保護能力，加強網絡和信息技術的創新研究和開發應用，實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控；加強網絡管理，防范、制止和依法懲治網絡攻擊、網絡入侵、網絡竊密、散布違法有害信息等網絡違法犯罪行為，維護國家網絡空間主權、安全和發展利益。”網絡安全審查在確定是否“關系國家安全”時，可以此章內容為參考。

(二)審查的深度

網絡安全審查的核心目的是確保關鍵信息基礎設施中使用的重要信息技術產品或服務安全可控，應當緊緊圍繞“安全可控”這一目的確定審查的深度。網絡安全審查所要實現的“安全”即是符合國家安全、網絡安全的要求，其實質上可理解為“可信”，繼而又可分解為“可控”和“透明”，重點在于“可控”。*參見左曉棟、王石《中國網絡安全審查制度的建設》，載惠志斌、唐濤主編《網絡空間安全藍皮書：中國網絡空間安全發展報告(2015)》，北京：社會科學文獻出版社，2015年，第103頁。產品的安全功能再強大，若用戶無法了解產品背后的廠商意圖，產品存在不受控制的后門、漏洞，用戶也無法放心使用。因此，網絡安全審查應當著重于信息技術產品或服務的“可控性”。為實現“可控性”，就有必要將信息技術產品或服務的審查從技術審查拓展到背景審查，從表層功能符合性審查延伸到底層源代碼審查，但是否有必要對IT供應鏈全鏈條進行審查，筆者則持否定態度。

1.背景審查

我國現有的網絡安全產品審查主要是技術審查，即對網絡安全產品是否符合網絡安全技術標準進行評估、認證。*參見蘇苗罕、顧偉《信息安全軟件廠商的法律監管框架研究》，《網絡法律評論》2015年第1期，第164—165頁。但是，技術審查僅能實現對信息技術產品、服務技術層面安全可控的審查，并且信息技術產品、服務的高度技術性，也使得技術審查無法完全實現審查目的。因此，在網絡安全審查的實踐中，各國開始逐漸重視對信息技術產品、服務的提供商開展背景審查。如2011年至2012年，美國國會對華為公司與中興公司進行的調查便采用了背景審查的方式，對兩家公司的歷史背景、經營狀況、財務信息以及其與中國政府和中國共產黨可能存在的關系進行了調查，最后以華為公司和中興公司得到了中國政府支持，任正非為轉業軍人，企業設有黨支部等為由，建議美國政府拒絕購買其產品。*參見陳星、齊愛民《美國網絡空間安全威脅論對全球貿易秩序的公然挑戰與中國應對——從“美國調查華為中興事件”談起》，《蘇州大學學報(哲學社會科學版)》2014年第1期，第82頁；楊晨《網絡安全審查制度呼之欲出》，《信息安全與通信保密》2014年第8期，第20頁。背景審查通過對信息技術產品、服務提供者的聲譽、資質、機構背景、資本構成、法人治理結構等進行多角度審查*參見左曉棟《近年中美網絡安全貿易糾紛回顧及其對網絡安全審查制度的啟示》，《中國信息安全》2014年第8期，第72頁。，能夠發現產品、服務的提供者侵害我國國家安全的可能性及潛在的安全風險；但是若運用不當，很容易陷入“國別化審查”的爭議，如上述美國國會對華為公司和中興公司進行背景審查，國內便頗有微詞。因此，我國網絡安全審查應當兼采技術審查與背景審查，但要確保審查標準、過程、結果的公開透明，且堅持對國內外企業一視同仁，通過審查的公開公平實現審查的客觀、可信。

2.源代碼審查

傳統的功能符合性檢測，僅能實現對信息技術產品、服務的表層安全標準符合性的審查，而無法實現對產品、服務深層的潛在安全風險、漏洞等的及時發現。美國“八大金剛”提供給我國的關鍵信息基礎設施使用的信息技術產品、服務是否預留了后門、病毒，也無法僅僅通過功能符合性檢測發現。因此，網絡安全審查中的技術審查有必要從表層審查深入底層的源代碼審查。源代碼作為信息技術產品的核心要素，通過對源代碼的系統化審查，能夠找出并及時修正在軟件開發過程中的錯誤、漏洞、隱藏的功能、后門程序等，從根本上保障信息基礎產品安全可控。*參見劉國輝《英國信息安全審查及對我國的借鑒意義》，《中國信息安全》2014年第8期，第82頁。

英國將源代碼審查與托管作為信息技術產品認證的重要手段，建立了一套完整的基于源代碼審查與托管的網絡安全審查制度。英國源代碼審查的對象主要是面向英國政府、公共部門關鍵基礎設施信息系統銷售的信息技術產品，通過第三方機構如NCC Group具體負責相關產品的源代碼審查及托管工作，并由主管CESG確認并簽署認證文件的方式實現了對重要信息技術產品的有效審查。英國源代碼審查的目的、操作流程、所需條件、技術要求、審查結果等均會由CESG公開，保證了審查的相對透明。從實效看，英國的源代碼審查已被各信息技術產品、服務提供商所認可，微軟、思科、甲骨文、惠普、富士通等國際信息技術產業巨頭均接受了英國的源代碼審查。*參見劉國輝《英國信息安全審查及對我國的借鑒意義》，《中國信息安全》2014年第8期，第82—85頁。

我國完全有可能借鑒英國的成功經驗，并結合我國實際情況稍加改進后在網絡安全審查中進行源代碼審查與托管。2015年10月，有報道稱IBM公司已允許工信部在受控空間審查其源代碼*《IBM允許中國政府審查源代碼為業內第一家》，登載于“鳳凰網”，網址：http://finance.ifeng. com/a/20151016/14023571_0.shtml，訪問時間：2016年9月19日。，雖此舉象征意義大于實際意義，但隨著我國網絡安全審查制度的建立與完善，源代碼審查將逐漸成為重要的審查手段。同時，在推行源代碼審查制度時，應當注意公開與保密相結合，確保源代碼審查的目的、操作流程、所需條件、技術要求、審查結構等的公開透明，重視對審查、托管的源代碼涉及的知識產權、商業秘密的保密，消除受審查企業的商業顧慮，保證制度的合理性。

3.IT供應鏈審查

關于網絡安全的審查范圍，有學者基于美國網絡安全綜合計劃(CNCI)提出的“制定多管齊下的全球供應鏈風險管理辦法，對本國和全球的供應鏈進行貫穿產品、系統和服務的整個生命周期的風險管理”*參見尹麗波《美國安全審查概況》，《中國信息安全》2014年第8期，第78—79頁。，以及美國國防部IT供應鏈*IT供應鏈是包含系統終端用戶、政策制定者、采購專家、系統集成商、網絡提供商和軟硬件提供商在內的統一系統，是上述角色通過組織和交互等行為，參與IT 相關基礎設施的管理、維護和防御的過程。參見馬民虎、馬寧《IT供應鏈安全：國家安全審查的范圍和中國應對》，《蘇州大學學報》2014年第1期，第91頁。安全審查的實踐，主張網絡安全審查應涵蓋整條IT供應鏈，將信息技術產品、服務提供商的采購、研發、生產和提供過程，特別是提供商與第三方(如次級供應商、外包方、采購商)之間的關系納入審查范圍。*參見馬民虎、馬寧《IT供應鏈安全：國家安全審查的范圍和中國應對》，《蘇州大學學報(哲學社會科學版)》2014年第1期，第93頁。其主要理由是隨著全球化的推進，信息技術產品的組成愈發國際化，組成關鍵信息基礎設施所采用的信息技術產品的零部件可能來自多個國家，且均有可能被留有后門程序、漏洞，僅對最終產品和最終供應商進行安全審查不能確保產品安全可控，因此應當將審查向上游延伸，覆蓋整條IT供應鏈。《網絡產品和服務安全審查辦法(征求意見稿)》第1條也規定了網絡安全審查應當“防范供應鏈安全風險”。*《網絡產品和服務安全審查辦法(征求意見稿)》第1條規定：“網絡產品和服務的安全性、可控性直接影響用戶利益、關系國家安全。為提高網絡產品和服務安全可控水平，防范供應鏈安全風險，維護國家安全和公共利益，依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》，制定本辦法。”筆者認為，IT供應鏈審查雖具有其合理性，但在現階段操作上存在難度：第一，過分擴張網絡安全審查的范圍，會加大網絡安全審查的工作量和工作難度。對IT供應鏈的全面審查意味著冗長的審查時間，這并不符合信息技術快速發展的特點，或許某一信息技術產品的審查完成時其已經落后于實踐而被淘汰了。第二，IT供應鏈的國際化決定了審查涉及多國的企業，在對進入本國的最終產品的網絡安全審查尚有國家抵制的情況下貿然將審查擴大到多國，會加大審查推進的難度。并且，網絡安全審查并非政府單方責任，為國家關鍵信息基礎設施提供信息技術產品和服務的網絡安全廠商同樣負有審查責任，其應當保證其產品或服務中含有的上游產品或服務符合網絡安全標準。網絡安全法第36條已規定信息技術產品和服務的提供商應當簽署安全保密協議，可以通過在協議中規定提供商對IT供應鏈上游的安全保證責任來落實IT供應鏈安全，而無須對IT供應鏈直接進行安全審查。

五、結語

“網絡產品和服務安全審查辦法”雖已由國家網信辦起草并公開征求意見，但這僅是為我國網絡安全審查的實踐與研究拉開了新的帷幕。我國的網絡建設起步雖晚于域外，但我國已逐步發展成為世界網絡大國，而成為網絡強國則需要堅實的法律制度的支撐。在網絡安全審查制度的構成中，除借鑒域外有益經驗外，更須結合我國網絡安全實踐加以思考。首先，就制度背景而言，我國既有外來網絡安全威脅的壓力，又有內在國家安全建設、完善現有網絡安全制度的需要，外因為引、內因為主。其次，網絡安全審查制度是我國關鍵信息基礎設施保護制度體系的重要組成部分，應明確制度定位為關鍵信息基礎設施中所使用的信息產品及服務的審查制度，服務于關鍵信息基礎設施保護，有別于外國投資審查制度及市場準入制度。再次，為破除網絡安全審查“九龍治水”的亂象，應當明確以國家網信部門為主管機構，并設立專門部門協調相關機構工作；基于網絡安全審查工作的專業性，可在分類監管的基礎上與第三方機構合作。最后，為實現網絡安全審查的合目的性與高效化，審查范圍在廣度上應限定在關系國家安全的關鍵信息基礎設施中所使用的信息產品與服務；但在深度上須加以挖掘，從技術審查拓展到背景審查，從表層功能符合性審查延伸到底層源代碼審查；因審查成本等原因，先不考慮對IT供應鏈全鏈條的審查。唯有“有的放矢”，明確制度重點，才能盡快構建起我國的網絡安全審查制度，并為整體網絡安全服務。

(初審：董淳鍔)

*中央財經大學法學院2015級憲法學與行政法學碩士研究生，研究領域為網絡法，E-mail：cufeshentu@163.com。