专家 | 马宁:网络安全审查制度之“管中窥豹” ——评《网络产品和服务安全审查办法》(征求意见稿)
点击上方“网络空间治理创新”可以订阅哦
摘要
网络安全审查是我国为提升国家网络安全保障能力的创新制度。国家互联网信息办公室发布的《网络产品和服务安全审查办法》(征求意见稿)对我国的网络安全审查制度的若干要素进行了明确,细化规定了审查内容、审查机构和审查程序等相关内容。本文对征求意见稿的规定进行了梳理,总结了我国网络安全审查的组织结构和审查流程,并对其中的争议点进行分析论述,提出了修改完善的建议。
引言
国家网络安全审查制度是“为维护国家网络安全而设立的一项重要制度” 。2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过的《网络安全法》第三十五条正式确立了我国的网络安全审查制度。2017年2月4日,国家互联网信息办公室发布了《网络产品和服务安全审查办法》(征求意见稿)(以下简称意见稿),对我国《网络安全法》规定的网络安全审查制度进行了细化和解释。虽然意见稿全文仅十六条,但已然涵盖了有关审查内容、审查机构、审查程序等核心问题,对供应商的法律遵从和执法机构的审查活动提供了指引。但从网络安全审查制度本身的可实施性考察,意见稿仍然是框架式和原则性的,能够起到的规范效果有限。条文之间亦存在诸多矛盾,需要在后续工作中给予修正和完善。本文斗胆管中窥豹,根据意见稿的规定对我国网络安全审查制度进行研判。
网络安全审查的性质
网络安全审查的性质是目前在学理和实践探讨中争议较大的问题,其核心焦点在于网络安全审查是否仅限于国家安全审查。根据目前我国立法的规定,网络安全审查确实只规定了国家安全审查的内容,而且审查范围仅限于关键信息基础设施的网络产品和服务采购。但是本文认为,无论是基于对“网络安全审查”的法解释,还是结合各国的实践判断,网络安全审查具有非常广泛的内涵,性质并不限于国家安全审查。
具体到意见稿的规定,其第二条和第十一条似乎规定了两类不同性质的安全审查。意见稿第二条规定,“关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查”,本文称其为通用性审查,即在重要信息系统中使用重要网络产品和服务,就要通过网络安全审查,而不论其是否影响国家安全。此类审查的范围仅限于关系国家安全和公共利益的信息系统,结合我国信息安全等级保护的相关要求,审查范围基本可以确定为二级以上信息系统。此类审查的对象仅限于重要网络产品和服务,这解决了一个亟待澄清的现实问题。在《网络安全法》出台之后,始终存在的争议点在于,将“网络产品和服务”作为审查对象是否可行。随着信息技术的发展,网络产品和服务极具多样化,其实现的功能在重要程度上也并不一致,对信息系统中部署的所有网络产品和服务进行安全审查既不必要也不现实。例如,如果采购网线和U盘都需要进行安全审查,那么国家的信息化就只能成为一纸空谈。将审查对象限于“重要网络产品和服务”则修正了这一疏漏,使制度更具可行性。同时,意见稿规定“使用的重要网络产品和服务应当经过网络安全审查”,将《网络安全法》规定的网络安全审查节点由采购阶段拓展至网络产品和服务的整个生命周期,实现了持续性的风险监控效果,强化了国家网络安全的“态势感知”,对于提升国家网络安全保障能力意义重大。
意见稿第十一条规定,“关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,应当经过网络安全审查”,本文称其为国家安全审查,即只有在采购活动影响国家安全时,审查活动才予以启动。此类审查的范围仅限于关键信息基础设施,审查的对象包括所有可能影响国家安全的网络产品和服务。在这里需要注意,结合各国业已建立的外资并购国家安全审查制度来看,国家安全审查是一类特殊的安全审查,其关注“纯粹的国家安全事项”,通常具有更为综合性的判断标准,例如对经济发展、产业创新和执法能力的潜在影响。根据《网络安全法》的界定,我国的关键信息基础设施应当涵盖“关系国家安全和社会利益的信息系统”,包括通用性审查的审查范围。为此,根据意见稿的规定,针对关键信息基础设施,除其使用的重要产品和服务需要接受通用性审查之外,在涉及国家安全事项时,还需要在通用性安全审查的基础之上实施国家安全审查。
表1:网络安全审查的层级
综上所述,根据意见稿的规定,我国的网络安全审查包含两个层次,一是关注网络产品和服务安全性和可控性的通用性审查,二是关注国家安全事项的国家安全审查。现存的矛盾是,意见稿应当被视为对《网络安全法》第三十五条规定的细化,因此在审查性质方面应当与《网络安全法》保持一致,仅限于国家安全审查的内容。如果将意见稿第二条中规定的“网络安全审查”也理解为国家安全审查,那么第十一条的规定便能够涵盖第二条的规定,建议将两条进行合并或删去第二条的规定。同时,将第十一条规定的“应当经过网络安全审查”改为“应当经过国家安全审查”,以与《网络安全法》的第三十五条的规定保持一致。
但是,在应然层面理解网络安全审查,本文更倾向于区分网络安全审查的性质,划定不同的审查层级。除我国现有已经规定的国家安全审查外,考虑政府信息技术采购的通用性审查。我们需要意识到,随着信息技术的快速发展,电子政务越来越依赖于多样化的信息技术产品和服务,在涉及国家安全和公共利益的重要系统中使用商业现货产品(Commercial Off-The-Shelf)已成不可避免的事实,而由此引入的信息安全风险必须引起国家的高度重视,各国普遍都对在重要信息系统中使用的信息技术产品和服务实施有别于传统测评认证的安全性审查过程。例如美国在2014年之后的《合并与持续拨款法案》第515条款的规定和英国09/14号行动公告《采购政策公告-使用网络要素体系认证》的规定,从这些审查实例来看,网络安全审查并不限于国家安全,而是为了避免在重要信息系统的信息技术使用过程中防范和降低信息安全风险。
此外,从法解释的角度理解网络安全审查,其内涵应当是“国家针对特定网络安全事项所实施的安全审查”,内容非常广泛。如果仅从我国现有的规定分析,那么我国建立的相应制度应当称为“网络产品和服务采购国家安全审查”,而非“网络安全审查”。网络安全审查的英文直译为Cyber security review,目前美国国土安全部主导的国家网络安全审查(Nationwide Cyber Security Review)是与之最为契合的制度,该项审查面向所有联邦和地方政府机构,主要内容是审查各机构对2014年NIST发布的网络安全框架的遵从和落实情况,于每年十月的“网络安全意识月”期间进行该项审查,该项审查显然不属于国家安全审查。为此,我国现有对网络安全审查的规定与业已形成的理解存在差异,需要通过有效途径进行解释和说明。
从各国的审查实践来看,与网络安全相关的审查除信息技术使用的安全审查外,还包括对国家网络安全政策、网络安全能力或网络弹性等多种形式,改善了国家的网络安全环境。从长远来看,本文认为上述审查内容均对国家网络安全能力的提升起到了有效的支撑和保障作用,我国在后续的制度设计中可以尝试扩展网络安全审查的范围,丰富网络安全审查的内涵,对与国家网络安全保障相关的其他事项开展审查活动。同时,为了避免与WTO规则相冲突,排除“贸易壁垒”的嫌疑,除国家安全以外的审查活动必须做到标准公开,程序透明,结论公正。
网络安全审查的内容
意见稿第四条规定,网络安全审查制度将重点审查网络产品和服务的安全性和可控性,这与2014年国家互联网信息办公室发布的网络安全审查公告保持一致,并更进一步对何为安全性和可控性做出了说明,主要包括:产品和服务被非法控制、干扰和中断运行的风险;产品及关键部件研发、交付、技术支持过程中的风险;产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;其他可能危害国家安全和公共利益的风险。
意见稿的上述规定具有重大的进步意义,其一是使审查制度可视化,避免了审查权的恣意行使,也打消了各方将网络安全审查制度作为“政策工具”的顾虑;其二是将审查内容限于信息技术风险,不涉及对于资本性质和资本来源的审查,划清了外资并购国家安全审查和网络安全审查的界限,再次明确了网络安全审查的制度独立性,实现了对“网络安全审查是专门针对外国信息技术产品和服务的限制”这一误读的有力澄清。
但是意见稿的规定仍然存在不足,首先,意见稿在第一条已经明确提出要“防范供应链风险”,但是在第四条的审查内容中却未能体现。考虑到信息技术全球化供应的客观事实,安全风险通过供应链进行渗透的渠道越来越多样化,并成为安全威胁的主要来源。“产品规格的变化,持续改进的措施,外包,内部网络重设,IT更新,技术升级过程,供应商关系都会影响IT供应链的不确定性。” 美国2014年之后的《合并和持续拨款法案》已经明确了四个联邦机构必须进行供应链安全审查,审查重点关注供应链风险。印度也在2013的《国家网络安全战略》中强调要实现供应链安全“端到端”的可视性。供应链安全审查需要综合判断涉及技术、管理和人员安全层面的可信状态,能够将意见稿第三条规定的实验室检测、现场检查、在线监测、背景调查等方法有机结合起来。否则,意见稿第一条、第三条和第四条的规定将彼此孤立,不能形成具有内在逻辑关系的审查内容框架。为此,意见稿第四条第二款的规定可以修改为“产品和服务研发、生产、交付、使用、运维和技术支持中的供应链风险”。
其次,本文认为网络安全审查的内容应当限于纯粹的信息安全风险,关注安全风险对信息和信息系统保密性、完整性和可用性产生的潜在减损。意见稿第四条第四款规定的不正当竞争风险不应当由以《网络安全法》为上位法的意见稿进行规制,而应当依据《反不正当竞争法》或《反垄断法》的相关规定进行规制。这一风险也不适合通过网络安全审查的方式进行控制,而应当通过反垄断审查的方式进行控制。
再次,我国目前将网络安全审查定位于国家安全审查,如前所述,国家安全审查需要综合考虑特定活动对国家安全的潜在影响。因此除第四条规定的有关网络产品和服务的安全性和可控性之外,应当包括其他与国家安全相关的审查内容,其可以参考我国外资并购国家安全审查制度的相关规定。例如,我国《国务院办公厅关于建立外国投资者并购境内企业安全审查制度的通知》(国办发[2011]6号)第二条规定的审查内容包括:并购交易对国防安全,包括对国防需要的国内产品生产能力、国内服务提供能力和有关设备设施的影响;并购交易对国家经济稳定运行的影响;并购交易对社会基本生活秩序的影响;并购交易对涉及国家安全关键技术研发能力的影响。
网络安全审查的机构
意见稿第五条、第七条和第九条分别规定了网络安全审查委员会、网络安全审查办公室、第三方机构和重点行业主管部门的审查职责,建立了初步的网络安全审查组织架构。但是意见稿的规定存在相互矛盾,组织架构并不清晰,本文将在审查程序一节中统一进行阐述,本部分仅对相对明确的组织架构进行分析。根据意见稿的规定,网络安全审查委员会是网络安全审查的领导机构,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。网络安全审查办公室是实施机构,负责具体组织实施网络安全审查。第三方机构是评价机构,负责网络安全审查中的评价工作,为网络安全审查专家委员会提供第三方评价基础。重点行业主管部门是行业领域内的组织机构,负责组织和开展本行业和本领域内的网络安全审查工作。
图1:网络安全审查组织架构
在这里,本文同时考虑制度可实施性的问题,针对大量商业现货信息技术产品和服务的安全审查异常复杂,即便是在国家安全的语境下,审查规模也会非常庞大,意见稿仅考虑通过网络安全审查专家委员会、网络安全审查办公室和各重点行业的主管部门完成审查事项存在现实困难。为了提高审查效率,加快采购流程,促进信息化发展,本文提出是否可以由各采购主体依据统一的审查政策或审查办法自行进行安全审查。首先,采购主体作为网络产品和服务的直接使用者,对网络产品和服务部署的安全环境最为了解,对网络产品和服务安全性和可控性的把握也最为直观,也最清楚所需要的安全性保障措施;其次,采购主体也是安全风险的直接承担者,往往也是安全风险的最终受害者,其对于安全风险的控制最为迫切,对待风险防范也更为审慎。当然,这里会有关于采购主体专业性的顾虑。但是本文认为,网络安全审查是面向供应商对相关政策、法律和标准遵从性的验证过程,不是对具体技术和管理安全细节的检测评估,这也是网络安全审查和测评认证过程的最大区别。在存在第三方机构提供评价的基础上,采购主体完全有能力实施相关审查活动。在无争议事实的情况下,由采购主体自行决定是否采购,并对审查结论负责;在采购主体无法确定是否存在影响国家安全因素的情况下,则提请网络安全审查委员会决定。这样一方面可以提升审查效率,加快先进技术利用;另一方面可以避免重复审查,减轻供应商的负担,减少审查资源浪费。
网络安全审查的程序
意见稿第六条、第八条和第十四条建立了网络安全审查的审查程序,但是第六条和第八条的规定之间存在冲突。根据第六条的规定,应当由网络安全审查专家委员会进行综合评估,但第八条又规定了由网络安全审查办公室组织进行网络安全审查。这里需要澄清的是,网络安全审查办公室组织的第三方机构和专家是否与第六条中规定的第三方机构和专家是相同的主体。如果这一答案是否定的,就意味着我国网络安全审查存在两条审查路径,一是由网络安全审查专家委员会进行审查,二是由网络安全审查办公室进行审查,但是意见稿并没有对两种审查路径的区分进行说明。那么合理的解释就只能是审查性质的不同,第六条规定的网络安全审查专家委员会进行的安全审查是主动的依职权的审查活动,审查活动由网络安全审查专家委员会根据实际需要自行发起;第八条规定的网络安全审查办公室进行的安全审查是被动的依申请的审查活动,审查活动由网络安全审查办公室根据其他主体的要求发起,这些情况包括国家有关部门要求、全国性行业协会建议、市场反映和企业申请等。这样的制度构建有其合理性,使网络安全审查,特别是主动的网络安全审查活动具有更大的制度弹性。但弊端也较为明显,将导致审查体系混乱,有权作出审查结论的机构不一致,容易出现重复审查。
如果这一答案是肯定的,那么第八条规定的“专家”即为网络安全审查委员会聘请的,组成网络安全审查专家委员会的专家,第三方机构也是为网络安全审查专家委员会提供评价的第三方机构。为此,网络安全审查办公室就仅仅是组织机构,而网络安全审查专家委员会就是唯一的有权作出审查结论的审查机构。本文认为,这样的审查程序确定而清晰,审查效果优于上述两条审查路径的审查程序。
图2:网络安全审查程序
从上图可见,我国的网络安全审查第1步由国家有关部门、全国性行业协会、市场其他主体或企业向网络安全审查办公室提出审查申请;第2步由网络安全审查办公室组织第三方机构和网络安全审查专家委员会准备审查,并向企业告知审查已经启动及相关事项;第3步由企业向第三方机构提交审查材料;第4步由第三方机构对审查材料进行评价,并将评价结果反馈给企业,同时提交网络安全审查专家委员会;第5步由网络安全审查专家委员会根据第三方评价,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估,形成审查结论,并将该审查结论反馈给网络安全审查办公室;第6步由网络安全审查办公室将审查结果公布或在一定范围内通报。
意见稿需要对审查程序设计的相关条款进行进一步的解释说明,明确网络安全审查制度的审查程序属于上述哪种情形。
网络安全审查的标准
目前,意见稿在网络安全审查标准方面处于缺位状态。“法规标准保证网络安全审查的正当性、合法性、强制性以及可执行性。”同时也是判断网络产品和服务是否安全可控,是否可以通过安全审查的主要依据。同时,为保证审查活动的公正性和透明度,各国所实施的类似网络安全审查的相关活动均会建立相应的安全标准体系。例如美国《合并和持续拨款法案》规定实施的供应链安全审查需要根据NIST制定的有关标准进行供应链风险审查,英国中央政府采购安全审查也需要依据《网络安全要素体系》进行安全审查。意见稿并未建立对应审查内容的审查标准,一方面造成供应商无法判断自身的安全状况,不利于供应商通过安全审查,难免存在设置“贸易壁垒”之嫌;另一方面导致审查机构的审查活动缺乏明确指引,审查标准不统一,审查结论不公正,降低了审查制度应当起到的风险控制效果。为此,本文建议意见稿增加有关审查标准的表述,同时建立配套的安全标准体系,一是建立国家网络安全的最低安全标准,其目的在于明确我国的网络安全基线,设定网络安全标准体系的参照系,确立国家可以接受的风险程度,建立国家网络安全的最低保障要求,只有满足最低安全标准的信息技术才能在我国境内使用;二是在统一的最低安全标准基础上构建完善的网络安全标准体系,覆盖信息技术供应的整个生命周期,确定相关的安全控制措施和管理流程。在涉及国家安全的相关事项方面,审查标准可以相对具有弹性,除满足网络产品和服务安全性和可控性的标准外,可以附加其他特殊的审查要求。
结语
意见稿在本质上是我国网络安全审查制度的实施细则,目前已经具有了相当的成熟度,规定了审查内容、审查机构和审查程序等核心要素。但是从实践层面考量,现有的审查办法并不足以对供应商的安全遵从和执法机构的审查活动提供充分的指引,网络安全审查仍然具有不确定性。同时,现有规定之间也存在冲突和矛盾,需要意见稿给予进一步的说明和解释。在我国目前仅将网络安全审查视为国家安全审查的情况下,为避免“国家安全滥用”之嫌,意见稿需要特别对“可能影响国家安全”的事项作出具体说明,澄清“网络安全审查是专门针对外国企业”的误读,保障制度本身的法律正当性。从长远考虑,本文认为我国可以将更为综合性的网络安全考虑纳入审查范围,采取包括网络安全政策审查、网络安全能力审查和网络安全弹性审查等多种形式,真正将网络安全审查制度塑造成为提升国家网络安全保障能力的基础性和支撑性制度。
编辑 | 张钰莹
作者
马宁
西安交通大学法学院 博士生