4月27日下午,,國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)改委等12個(gè)部門聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》(以下簡(jiǎn)稱“《辦法》”),,確認(rèn)國(guó)家互聯(lián)網(wǎng)信息辦公室下設(shè)的網(wǎng)絡(luò)安全審查辦公室作為網(wǎng)絡(luò)安全審查的監(jiān)管部門,,負(fù)責(zé)制定網(wǎng)絡(luò)安全審查相關(guān)制度規(guī)范,組織網(wǎng)絡(luò)安全審查,,而被審查主體關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者(或簡(jiǎn)稱“運(yùn)營(yíng)者”)則對(duì)其采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)負(fù)有預(yù)判風(fēng)險(xiǎn),、提前申報(bào)審查的義務(wù)?!掇k法》將于2020年6月1日正式實(shí)施,,《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》(以下簡(jiǎn)稱“《施行辦法》”)同時(shí)廢止。
《辦法》與《試行辦法》相比,,針對(duì)性更為突出,,也更具有操作性。從適用范圍,,到審查對(duì)象,、審查機(jī)構(gòu)、審查流程等,,都有更加明確和詳細(xì)的規(guī)定,。然而,筆者認(rèn)為,《辦法》最大的價(jià)值在于塑造一種新的網(wǎng)絡(luò)安全觀,。在復(fù)雜的國(guó)際大背景下,,規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),維護(hù)網(wǎng)絡(luò)空間的基礎(chǔ)安全架構(gòu),。
一,、制度價(jià)值目標(biāo)的完善與“新網(wǎng)絡(luò)安全觀”的構(gòu)建
在《試行辦法》中,核心的價(jià)值觀念目標(biāo)側(cè)重于技術(shù)安全,,而《辦法》則更加側(cè)重供應(yīng)鏈安全和關(guān)鍵網(wǎng)絡(luò)設(shè)備的自主可控,。
《試行辦法》第一條開宗明義規(guī)定“為提高網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可控水平,防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)…制定本辦法,?!薄对囆修k法》雖然提到了全面安全的觀念,但在更加偏重技術(shù)風(fēng)險(xiǎn)和信息安全風(fēng)險(xiǎn),,對(duì)供應(yīng)鏈安全風(fēng)險(xiǎn)規(guī)定較為簡(jiǎn)單,。如《試行辦法》其第四條規(guī)定:網(wǎng)絡(luò)安全審查重點(diǎn)審查網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性,,主要包括 (一)產(chǎn)品和服務(wù)自身的安全風(fēng)險(xiǎn),,以及被非法控制、干擾和中斷運(yùn)行的風(fēng)險(xiǎn),;(二)產(chǎn)品及關(guān)鍵部件生產(chǎn),、測(cè)試、交付,、技術(shù)支持過程中的供應(yīng)鏈安全風(fēng)險(xiǎn),; (三)產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件非法收集、存儲(chǔ),、處理,、使用用戶相關(guān)信息的風(fēng)險(xiǎn);(四)產(chǎn)品和服務(wù)提供者利用用戶對(duì)產(chǎn)品和服務(wù)的依賴,,損害網(wǎng)絡(luò)安全和用戶利益的風(fēng)險(xiǎn),。其中僅有第(二)項(xiàng)涉及供應(yīng)鏈安全。與美國(guó)美國(guó)參議院于2020年2月27日批準(zhǔn)的《安全和可信電信網(wǎng)絡(luò)法》(Secure and Trusted Telecommunications Networks Act)相比,,技術(shù)性更強(qiáng),,而保護(hù)供應(yīng)鏈安全的屬性則偏弱?!对囆修k法》與美國(guó)《安全和可信電信網(wǎng)絡(luò)法》對(duì)于電信及網(wǎng)絡(luò)產(chǎn)品準(zhǔn)入安全審查采用的價(jià)值判斷標(biāo)準(zhǔn)是不同的,中國(guó)偏重于從技術(shù)標(biāo)準(zhǔn)認(rèn)定準(zhǔn)入標(biāo)準(zhǔn),,客觀性更強(qiáng),;而美國(guó)則以認(rèn)定企業(yè)是否威脅國(guó)家安全作為準(zhǔn)入標(biāo)準(zhǔn),主觀性更強(qiáng)。
《辦法》對(duì)于《試行辦法》的上述局限性做出了修正,?!掇k法》第一條開宗明義的規(guī)定:“為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全…制定本辦法?!迸c《試行辦法》相比,,表述有明顯差異,從“提高網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可控水平,,防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)”到“關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全”,,其所展現(xiàn)的價(jià)值目標(biāo)差異顯而易見。
在《辦法》第九條則規(guī)定,,網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國(guó)家安全風(fēng)險(xiǎn),,主要考慮以下因素:(一)產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞,,以及重要數(shù)據(jù)被竊取,、泄露、毀損的風(fēng)險(xiǎn),;(二)產(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害,;(三)產(chǎn)品和服務(wù)的安全性、開放性,、透明性,、來源的多樣性,供應(yīng)渠道的可靠性以及因?yàn)檎?、外交,、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn);(四)產(chǎn)品和服務(wù)提供者遵守中國(guó)法律,、行政法規(guī),、部門規(guī)章情況。
《辦法》在進(jìn)行國(guó)家安全風(fēng)險(xiǎn)審查時(shí),,將“產(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害”以及“供應(yīng)渠道的可靠性以及因?yàn)檎?、外交,、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn)”,,作為安全風(fēng)險(xiǎn)審查的重要內(nèi)容,,特別強(qiáng)調(diào)對(duì)于產(chǎn)品與服務(wù)“供應(yīng)中斷”風(fēng)險(xiǎn)的審查,。而《辦法》對(duì)于“供應(yīng)渠道的可靠性”規(guī)定,,應(yīng)該是與商務(wù)部的 “不可靠實(shí)體清單”制度相對(duì)應(yīng)的,。
從上述規(guī)定可以看出,,《辦法》的頒布,,意味著網(wǎng)絡(luò)安全觀從更加側(cè)重技術(shù)性規(guī)則到更加側(cè)重核心供應(yīng)鏈“自主可控”,。
二,、審查對(duì)象的安全判斷維度清晰、聚焦
與《試行辦法》相比,《辦法》所涉及的審查維度,,更加清晰聚焦,。兩個(gè)辦法對(duì)于安全的審查,都涉及“主體”和“網(wǎng)路產(chǎn)品與服務(wù)(簡(jiǎn)稱“產(chǎn)品”)”兩個(gè)安全判斷維度,?!对囆修k法》對(duì)于這兩個(gè)維度的界定不夠清晰,操作性和針對(duì)性均較差,。
1,、審查對(duì)象的主體維度
《辦法》第二條明確了被審查的主體為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者,第二十條確認(rèn)了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者是指經(jīng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門認(rèn)定的運(yùn)營(yíng)者,。
《試行辦法》對(duì)于被審查主體的界定不夠清晰,,有被擴(kuò)大理解的空間。如《試行辦法》第二條規(guī)定:“關(guān)系國(guó)家安全的網(wǎng)絡(luò)和信息系統(tǒng)采購(gòu)的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù),,應(yīng)當(dāng)經(jīng)過網(wǎng)絡(luò)安全審查,。”在這一規(guī)定中,,由于“國(guó)家安全”這一界定缺乏必要的標(biāo)準(zhǔn),,似乎所有的信息系統(tǒng)的采購(gòu),無論采購(gòu)方是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者,,都需要實(shí)施網(wǎng)絡(luò)安全審查,。《試行辦法》第十條規(guī)定:“ 公共通信和信息服務(wù),、能源,、交通、水利,、金融,、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,,以及其他關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),,可能影響國(guó)家安全的,應(yīng)當(dāng)通過網(wǎng)絡(luò)安全審查,。產(chǎn)品和服務(wù)是否影響國(guó)家安全由關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門確定,。”則提出了“重要行業(yè)和領(lǐng)域”以及“其他關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者”,,這兩個(gè)表述是否具有同一性,?《暫行辦法》的界定并不清晰?!掇k法》將審查的對(duì)象明確界定為“關(guān)鍵信息技術(shù)設(shè)施運(yùn)營(yíng)者”,,有利于在執(zhí)法中統(tǒng)一標(biāo)準(zhǔn),,也有利于相關(guān)主體對(duì)于規(guī)則的準(zhǔn)確理解。
鑒于《網(wǎng)絡(luò)安全法》第三十一條規(guī)定關(guān)鍵基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定,,且目前尚未正式發(fā)布關(guān)鍵信息基礎(chǔ)設(shè)施的具體認(rèn)定細(xì)則,對(duì)于《辦法》中關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者范圍的界定尚未有明確的法規(guī)規(guī)定,。針對(duì)這一問題,,國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人在就《辦法》答記者問中,明確了《辦法》中規(guī)定的應(yīng)當(dāng)預(yù)判風(fēng)險(xiǎn)申報(bào)網(wǎng)絡(luò)安全審查的義務(wù)主體為“電信,、廣播電視,、能源、金融,、公路水路運(yùn)輸,、鐵路、民航,、郵政,、水利、應(yīng)急管理,、衛(wèi)生健康,、社會(huì)保障、國(guó)防科技工業(yè)等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營(yíng)者”,。在關(guān)鍵信息基礎(chǔ)設(shè)施的具體認(rèn)定細(xì)則正式出臺(tái)之前,,上述范圍內(nèi)的運(yùn)營(yíng)者將作為《辦法》的被審查主體承擔(dān)申報(bào)審查的義務(wù)。
2,、審查對(duì)象的產(chǎn)品維度
對(duì)于納入安全審查的網(wǎng)絡(luò)產(chǎn)品和服務(wù),,《辦法》的規(guī)定也更加突出網(wǎng)絡(luò)基礎(chǔ)安全層面?!掇k法》第二十條規(guī)定:“本辦法所稱網(wǎng)絡(luò)產(chǎn)品和服務(wù)主要指核心網(wǎng)絡(luò)設(shè)備,、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲(chǔ)設(shè)備,、大型數(shù)據(jù)庫和應(yīng)用軟件,、網(wǎng)絡(luò)安全設(shè)備、云計(jì)算服務(wù),,以及其他對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù),。”
《試行辦法》對(duì)于納入安全審查的產(chǎn)品和服務(wù)的規(guī)定則較為籠統(tǒng),,僅規(guī)定“重要網(wǎng)絡(luò)安全與服務(wù)”,。該界定不夠清晰和具體,可能會(huì)產(chǎn)生擴(kuò)大適用的情況,,從而影響正常的網(wǎng)絡(luò)產(chǎn)品及服務(wù)采購(gòu),。
從《辦法》的規(guī)定可以看出,,納入產(chǎn)品審查范圍的設(shè)施界定更加清晰,從網(wǎng)絡(luò)結(jié)構(gòu)角度看,,涉及到了網(wǎng)絡(luò)系統(tǒng)的物理層,、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層,、傳輸層等基礎(chǔ)層面,。從功能角度看,涉及到了信息傳輸,、運(yùn)算,、存儲(chǔ)、網(wǎng)絡(luò)安全,、數(shù)據(jù)庫,、云計(jì)算等各個(gè)重要方面。
《辦法》在我國(guó)開啟“新基建”的關(guān)鍵時(shí)期發(fā)布,,具有積極的規(guī)范意義,。從新基建的角度看,毫無疑問,,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者將成為“新基建”的主要建設(shè)任務(wù)承擔(dān)者,,而對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù),無疑是保障“新基建”基礎(chǔ)設(shè)施安全,、可控的基礎(chǔ),。因此,將安全審查聚焦于“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”采購(gòu)“對(duì)安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”,,在“新基建”與國(guó)際上圍繞信息網(wǎng)絡(luò)安全所展開的大博弈背景下,,其意義可謂深遠(yuǎn)。
主體與產(chǎn)品兩個(gè)維度,,其關(guān)系具體如下圖示:
三,、審查主體全面覆蓋
《辦法》第四條規(guī)定:“在中央網(wǎng)絡(luò)安全和信息化委員會(huì)領(lǐng)導(dǎo)下,國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同中華人民共和國(guó)國(guó)家發(fā)展和改革委員會(huì),、中華人民共和國(guó)工業(yè)和信息化部,、中華人民共和國(guó)公安部、中華人民共和國(guó)國(guó)家安全部,、中華人民共和國(guó)財(cái)政部,、中華人民共和國(guó)商務(wù)部、中國(guó)人民銀行,、國(guó)家市場(chǎng)監(jiān)督管理總局,、國(guó)家廣播電視總局、國(guó)家保密局,、國(guó)家密碼管理局建立國(guó)家網(wǎng)絡(luò)安全審查工作機(jī)制,?!?/p>
由上述規(guī)定可以看出,網(wǎng)絡(luò)安全審查機(jī)制中,,中央網(wǎng)絡(luò)安全和信息化委員會(huì)是領(lǐng)導(dǎo)機(jī)構(gòu),,但并不直接參與審核,而是領(lǐng)導(dǎo)和協(xié)調(diào)審查機(jī)制的建立,。
參與審查機(jī)制的機(jī)構(gòu)則包括國(guó)家互聯(lián)網(wǎng)信息辦公室,,以及十一個(gè)中央政府職能部門,參與主體職能分布相當(dāng)廣泛,。
為什么要這樣設(shè)立審查機(jī)制呢?其核心仍是“新網(wǎng)絡(luò)安全觀”的體現(xiàn),。
網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購(gòu),,必然涉及國(guó)家產(chǎn)業(yè)政策、網(wǎng)絡(luò)系統(tǒng)維護(hù)與管理,、網(wǎng)絡(luò)系統(tǒng)的信息安全,、國(guó)家安全、財(cái)政資金的使用和劃撥,、對(duì)外貿(mào)易政策的制定與調(diào)整,、金融安全與金融支持、市場(chǎng)秩序的維護(hù)與清理,、新聞發(fā)布與傳播,、保守國(guó)家秘密、以及密碼體系的安全與可靠,。這些功能,,任何一個(gè)部門均無法單獨(dú)完成,為了避免在安全審查上的漏洞和標(biāo)準(zhǔn)不一,,需要建立多部門的強(qiáng)力協(xié)同機(jī)制,。
相較之下,《試行辦法》的規(guī)定過于簡(jiǎn)單,, 僅在第五條規(guī)定,,國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同有關(guān)部門成立網(wǎng)絡(luò)安全審查委員會(huì),負(fù)責(zé)審議網(wǎng)絡(luò)安全審查的重要政策,,統(tǒng)一組織網(wǎng)絡(luò)安全審查工作,,協(xié)調(diào)網(wǎng)絡(luò)安全審查相關(guān)重要問題。該規(guī)定,,對(duì)于如何形成安全審查委員會(huì),,并沒有制度性的安排,不利于發(fā)揮審查制度的作用,。
四,、“多樣,、可控”新理念
具體而言,《辦法》第九條規(guī)定了網(wǎng)絡(luò)安全審查過程中,,對(duì)于國(guó)家安全影響的重要考量因素,。其中第(三)款的規(guī)定特別值得關(guān)注,“產(chǎn)品和服務(wù)的安全性,、開放性,、透明性、來源的多樣性,,供應(yīng)渠道的可靠性以及因?yàn)檎?、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn),?!痹摋l款的關(guān)鍵詞包括“來源的多樣性”以及“供應(yīng)渠道的可靠性”。應(yīng)該說,,這一規(guī)則有深刻的國(guó)際信息技術(shù)博弈的大背景,。近幾年來,中國(guó)的網(wǎng)絡(luò)設(shè)備與服務(wù)領(lǐng)域面臨巨大的不確定性,,對(duì)于國(guó)家安全形成一定壓力,。如美國(guó)政府對(duì)于納入“實(shí)體清單”的中國(guó)企業(yè)或其他機(jī)構(gòu),在采購(gòu)美國(guó)相關(guān)網(wǎng)絡(luò)產(chǎn)品或服務(wù)時(shí),,設(shè)置了諸多審查或限制,,而這些限制往往與政治、外交,、貿(mào)易沖突等背景緊密相關(guān),。同時(shí),由于在諸多核心技術(shù)領(lǐng)域,,中國(guó)對(duì)于境外供應(yīng)商的依賴度較高,,來源過于集中。一旦受到其他因素影響“斷供”,,對(duì)于網(wǎng)絡(luò)安全與正常運(yùn)營(yíng)將帶來巨大沖擊,。
“渠道單一化”一旦遭遇“供應(yīng)渠道的不可靠”,其疊加效果將會(huì)非常巨大,。因此,,通過對(duì)“來源的多樣性”以及“供應(yīng)渠道的可靠性”進(jìn)行規(guī)定,并作為審查的重要內(nèi)容,,有利于促成企業(yè)選擇多元產(chǎn)品和更為“可靠”的渠道,。通過企業(yè)的選擇,可以進(jìn)一步培育“多元化”的供應(yīng)鏈,。
某種意義上講,,“來源的多樣性”以及“供應(yīng)渠道的可靠性”并不是一個(gè)傳統(tǒng)意義上的網(wǎng)絡(luò)安全技術(shù)審核標(biāo)準(zhǔn),,而是一個(gè)供應(yīng)鏈安全的標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)的設(shè)立,,不僅有利于國(guó)際間網(wǎng)絡(luò)信息技術(shù)的均衡分布于合理流動(dòng),,也有利于國(guó)內(nèi)相關(guān)網(wǎng)絡(luò)產(chǎn)品及服務(wù)提供者的長(zhǎng)期發(fā)展。
五,、不同主體面的合規(guī)策略選擇
總體而言,,《辦法》是一部體現(xiàn)全面網(wǎng)絡(luò)安全觀的規(guī)范。在強(qiáng)調(diào)技術(shù)帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的同時(shí),,對(duì)于產(chǎn)品于服務(wù)來源單一,、供應(yīng)渠道不可靠性等供應(yīng)鏈安全風(fēng)險(xiǎn)也提升到了重要的位置。對(duì)于《辦法》,,企業(yè)也應(yīng)順勢(shì)而為:
1,、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者
關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者,應(yīng)充分讀懂《辦法》所蘊(yùn)含的深層含義與審查措施,,并積極規(guī)劃自身的合規(guī)方案,在源頭采購(gòu)環(huán)節(jié)就應(yīng)采用全面安全觀指導(dǎo)自己的采購(gòu)行為,。簡(jiǎn)單的技術(shù)風(fēng)險(xiǎn)容易解決,,而產(chǎn)品組合不合理帶來的供應(yīng)鏈風(fēng)險(xiǎn),則不僅難以解決,,而且成本巨大,。
2、網(wǎng)絡(luò)產(chǎn)品與服務(wù)的供應(yīng)商
除常規(guī)的技術(shù)能力外,,供應(yīng)商需要考慮的是,,如何證明“供應(yīng)渠道的可靠性”以及如何避免被納入“因?yàn)檎巍⑼饨?、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn)”中,。
境外供應(yīng)商,對(duì)于可靠性問題的考量通常更為復(fù)雜,,因?yàn)椴粌H要受制于中國(guó)的法律規(guī)范,,還要受制于其所在國(guó)的法律規(guī)范。如何減少所在國(guó)法律,、政治,、貿(mào)易政策對(duì)于設(shè)備與服務(wù)出口造成影響,成為其首先應(yīng)考量的合規(guī)策略,。