網(wǎng)絡(luò)安全審查的制度構(gòu)建

申屠良瑜

網(wǎng)絡(luò)安全審查的制度構(gòu)建

申屠良瑜*

網(wǎng)絡(luò)安全審查制度是維護(hù)網(wǎng)絡(luò)安全制度體系中的重要一環(huán)。作為網(wǎng)絡(luò)安全基礎(chǔ)性立法的網(wǎng)絡(luò)安全法，原則上規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施所采用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)通過國家安全審查，但未對制度的整體建構(gòu)作出規(guī)定。本文認(rèn)為，我國的網(wǎng)絡(luò)安全審查制度應(yīng)當(dāng)定位于特定領(lǐng)域使用產(chǎn)品或服務(wù)的審查制度，建議明確國家網(wǎng)信部門為網(wǎng)絡(luò)安全審查主管機(jī)構(gòu)，并在網(wǎng)絡(luò)安全分類審查的前提下與第三方機(jī)構(gòu)開展合作。就網(wǎng)絡(luò)安全審查的范圍而言，在審查廣度上應(yīng)以關(guān)系國家安全的關(guān)鍵信息基礎(chǔ)設(shè)施中所使用的產(chǎn)品或服務(wù)為宜，在審查深度上須從技術(shù)審查拓展到背景審查，從表層功能符合性審查延伸到底層源代碼審查，但無必要對IT供應(yīng)鏈全鏈條進(jìn)行審查。

網(wǎng)絡(luò)安全 關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù) 網(wǎng)絡(luò)安全審查制度 背景審查 源代碼審查

網(wǎng)絡(luò)安全審查，是指通過技術(shù)手段、依照相關(guān)標(biāo)準(zhǔn)體系對關(guān)鍵信息基礎(chǔ)設(shè)施中使用的信息技術(shù)產(chǎn)品和服務(wù)，進(jìn)行安全性和可控性審查并持續(xù)監(jiān)督的過程。*我國現(xiàn)階段對于“網(wǎng)絡(luò)安全審查”尚無權(quán)威定義，該定義為筆者參考現(xiàn)有學(xué)者的定義得出。參見石峰、張紅軍、賈磊雷《實(shí)行網(wǎng)絡(luò)安全審查制度是保障國家安全的重要舉措》，《信息安全與通信保密》2014年第6期，第45頁；馬民虎、馬寧《威脅態(tài)勢感知視域下國家網(wǎng)絡(luò)安全審查法律制度的塑造》，《西安交通大學(xué)學(xué)報(bào)(社會科學(xué)版)》2016年第2期，第66頁。從世界范圍來看，通過建立網(wǎng)絡(luò)安全審查制度維護(hù)網(wǎng)絡(luò)安全已成趨勢，美國、英國、俄羅斯、印度等國均建立了網(wǎng)絡(luò)安全審查制度?！奥斦呗犛跓o聲，明者見于未形”，為獲取網(wǎng)絡(luò)安全態(tài)勢感知能力，提高網(wǎng)絡(luò)安全防控能力，特別是國家關(guān)鍵信息系統(tǒng)的安全防控能力，我國應(yīng)順勢而為，建立我國的網(wǎng)絡(luò)安全審查制度。2014年5月22日，國家互聯(lián)網(wǎng)信息辦公室首次明確了“為維護(hù)國家網(wǎng)絡(luò)安全、保障中國用戶合法利益，我國即將推出網(wǎng)絡(luò)安全審查制度”*《國家網(wǎng)信辦：我國將出臺網(wǎng)絡(luò)安全審查制度》，登載于“中國網(wǎng)信網(wǎng)”，網(wǎng)址：http://www.cac. gov.cn/2014-05/22/c_126534290.htm，訪問時(shí)間：2016年9月21日。；2015年7月1日頒布的國家安全法及2016年11月十二屆全國人大常委會第二十四次會議審議通過的網(wǎng)絡(luò)安全法也明確規(guī)定了我國將建立網(wǎng)絡(luò)安全審查制度*國家安全法第59條規(guī)定：“國家建立國家安全審查和監(jiān)管的制度和機(jī)制，對影響或者可能影響國家安全的外商投資、特定物項(xiàng)和關(guān)鍵技術(shù)、網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)、涉及國家安全事項(xiàng)的建設(shè)項(xiàng)目，以及其他重大事項(xiàng)和活動，進(jìn)行國家安全審查，有效預(yù)防和化解國家安全風(fēng)險(xiǎn)。”網(wǎng)絡(luò)安全法第35條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。”。本文結(jié)合域外經(jīng)驗(yàn)與本國國情，研究了我國網(wǎng)絡(luò)安全審查制度的出臺背景、制度定位、審查主體、審查范圍等問題，希望通過對這些網(wǎng)絡(luò)安全制度核心問題的探討，明確我國網(wǎng)絡(luò)安全審查制度的建構(gòu)方向，促進(jìn)我國網(wǎng)絡(luò)安全審查制度的發(fā)展。

一、網(wǎng)絡(luò)安全審查制度的建立背景

(一)美國信息技術(shù)貿(mào)易限制與“斯諾登事件”

美國2012年前后針對我國信息技術(shù)產(chǎn)品與服務(wù)輸出的種種限制，以及2013年“斯諾登事件”的爆發(fā)，被認(rèn)為是我國加快建立網(wǎng)絡(luò)安全審查制度的直接誘因。

2011年2月，美國外國投資委員會(CFIUS)*美國外國投資委員會由財(cái)政部、司法部、國土安全部、商務(wù)部、國防部、能源部、美國貿(mào)易代表辦公室等九部門共同組成，必要時(shí)還包括管理和預(yù)算辦公室、經(jīng)濟(jì)顧問委員會、國家安全委員會、國民經(jīng)濟(jì)委員會、國土安全委員會。否決了華為公司對美國3Leaf公司的收購案；同年11月，美國眾議院情報(bào)委員會啟動對華為公司的調(diào)查，并將調(diào)查范圍擴(kuò)展到另一家中國信息技術(shù)公司——中興，在長達(dá)11個(gè)月的調(diào)查后公布調(diào)查報(bào)告，認(rèn)為“華為和中興向美國關(guān)鍵基礎(chǔ)設(shè)施提供的設(shè)備存在風(fēng)險(xiǎn)，會削弱美國國家安全的核心利益”，建議美國政府及私營部門在其系統(tǒng)中不得使用華為和中興的網(wǎng)絡(luò)設(shè)備。*陳星、齊愛民：《美國網(wǎng)絡(luò)空間安全威脅論對全球貿(mào)易秩序的公然挑戰(zhàn)與中國應(yīng)對——從“美國調(diào)查華為中興事件”談起》，《蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會科學(xué)版)》2014年第1期，第81—82頁?！斑@一事件在很多場合下被援引為我國建立網(wǎng)絡(luò)安全審查制度必要性的依據(jù)。”*馬民虎、馬寧：《威脅態(tài)勢感知視域下國家網(wǎng)絡(luò)安全審查法律制度的塑造》，《西安交通大學(xué)學(xué)報(bào)(社會科學(xué)版)》2016年第2期，第68頁。2013年3月26日，美國國會通過《2013年合并與持續(xù)撥款法案》，該法案第516條第a款規(guī)定明確限制美國商務(wù)部、司法部、國家宇航局和國家科學(xué)基金會對中國技術(shù)系統(tǒng)進(jìn)行采購。*參見馬民虎、馬寧《技術(shù)中立：政府IT采購中信息安全審查的法律理性——兼評美國〈2013年合并與持續(xù)撥款法案〉第516條款》，《河北法學(xué)》2014年第8期，第10—11頁。該條款雖飽受爭議，但仍得以沿用，美國《2014年合并與持續(xù)撥款法案》第515條堅(jiān)持了上述對中國信息技術(shù)系統(tǒng)采購的限制策略。*馬民虎、馬寧：《威脅態(tài)勢感知視域下國家網(wǎng)絡(luò)安全審查法律制度的塑造》，《西安交通大學(xué)學(xué)報(bào)(社會科學(xué)版)》2016年第2期，第68頁。

2013年“斯諾登事件”爆發(fā)后，一系列披露的文件顯示，美國政府通過在中國關(guān)鍵信息基礎(chǔ)設(shè)施中廣泛使用的美國公司軟硬件產(chǎn)品中留“后門”的方式對中國政府、國家領(lǐng)導(dǎo)人及重要互聯(lián)網(wǎng)企業(yè)進(jìn)行監(jiān)控，竊取重要資料，利用事先明知的漏洞對中國政府及互聯(lián)網(wǎng)企業(yè)進(jìn)行大規(guī)模網(wǎng)絡(luò)攻擊。與此同時(shí)，美國政府通過對騰訊公司旗下聊天軟件QQ及中國移動的即時(shí)通信應(yīng)用飛信的監(jiān)視獲取中國網(wǎng)民個(gè)人信息。*參見楊晨《網(wǎng)絡(luò)安全審查制度呼之欲出》，《信息安全與通信保密》2014年第8期，第21頁。

(二)我國互聯(lián)網(wǎng)核心技術(shù)缺乏自主性

“互聯(lián)網(wǎng)核心技術(shù)是我們最大的‘命門’，核心技術(shù)受制于人是我們最大的隱患。一個(gè)互聯(lián)網(wǎng)企業(yè)即便規(guī)模再大、市值再高，如果核心元器件嚴(yán)重依賴外國，供應(yīng)鏈的‘命門’掌握在別人手里，那就好比在別人的墻基上砌房子，再大再漂亮也可能經(jīng)不起風(fēng)雨，甚至?xí)豢耙粨?。?《習(xí)近平在網(wǎng)絡(luò)安全和信息化工作座談會上的講話》，登載于“新華網(wǎng)”，網(wǎng)址：http://news. xinhuanet.com/newmedia/2016-04/26/c_135312437.htm，訪問時(shí)間：2016年9月21日。據(jù)有關(guān)統(tǒng)計(jì)數(shù)據(jù)顯示，截至2014年6月，我國的半導(dǎo)體芯片、操作系統(tǒng)、路由器、交換機(jī)、大型存儲設(shè)備等基礎(chǔ)軟硬件產(chǎn)品以及通用協(xié)議和標(biāo)準(zhǔn)，90%以上依賴進(jìn)口；以思科為代表的美國“八大金剛”(思科、IBM、微軟、高通、英特爾、蘋果、甲骨文、谷歌)占據(jù)了我國關(guān)鍵信息基礎(chǔ)設(shè)施核心領(lǐng)域的絕大多數(shù)市場份額。如思科公司設(shè)備在金融系統(tǒng)，海關(guān)、工商等政府系統(tǒng)，石油等重點(diǎn)行業(yè)的份額均超過了50%，甚至國有四大銀行及各城市商業(yè)銀行的數(shù)據(jù)中心幾乎全部采用思科設(shè)備。*石峰、張紅軍、賈磊雷：《實(shí)行網(wǎng)絡(luò)安全審查制度是保障國家安全的重要舉措》，《信息安全與通信保密》2014年第6期，第44—45頁。

(三)以往的網(wǎng)絡(luò)安全審查落后于需求

我國的網(wǎng)絡(luò)安全審查尚未實(shí)現(xiàn)體系化，審查主要體現(xiàn)在市場準(zhǔn)入制度上，通過對信息安全廠商進(jìn)行資格認(rèn)定以及對信息技術(shù)、產(chǎn)品進(jìn)入市場時(shí)進(jìn)行功能符合性檢測——對照信息系統(tǒng)安全標(biāo)準(zhǔn)要求對信息技術(shù)、產(chǎn)品實(shí)現(xiàn)進(jìn)行檢測，通過對信息技術(shù)、產(chǎn)品各部件不同安全功能實(shí)現(xiàn)的檢測及其數(shù)據(jù)的科學(xué)分析，得出信息系統(tǒng)安全保護(hù)實(shí)現(xiàn)與標(biāo)準(zhǔn)規(guī)定等級要求的一致性結(jié)果*參見馬健麗《信息系統(tǒng)安全功能符合性檢驗(yàn)關(guān)鍵技術(shù)研究》，北京：北京郵電大學(xué)博士學(xué)位論文，2010年，第21頁?！獙?shí)現(xiàn)信息安全產(chǎn)品的雙重認(rèn)定。但是，該套機(jī)制僅能實(shí)現(xiàn)對信息安全產(chǎn)品各子系統(tǒng)的標(biāo)準(zhǔn)化認(rèn)定，尚未實(shí)施系統(tǒng)規(guī)范的深度安全檢測，缺乏基于漏洞分析的技術(shù)、產(chǎn)品安全性檢測，對進(jìn)入市場的信息產(chǎn)品應(yīng)用效果和后果沒有預(yù)先進(jìn)行風(fēng)險(xiǎn)評估。*參見石峰、張紅軍、賈磊雷《實(shí)行網(wǎng)絡(luò)安全審查制度是保障國家安全的重要舉措》，《信息安全與通信保密》2014年第6期，第46頁。同時(shí)，信息安全產(chǎn)品屬于公安部所監(jiān)管的計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品范疇，還需接受公安部要求的相應(yīng)檢測；因信息安全產(chǎn)品使用于國家關(guān)鍵信息基礎(chǔ)設(shè)施，納入政府采購目錄，需要接受質(zhì)檢系統(tǒng)的測評檢驗(yàn)，存在重復(fù)檢測的問題。*參見蘇苗罕、顧偉《信息安全軟件廠商的法律監(jiān)管框架研究》，《網(wǎng)絡(luò)法律評論》2015年第1期，第164—165頁。

二、我國網(wǎng)絡(luò)安全審查制度的定位

(一)域外經(jīng)驗(yàn)

現(xiàn)階段，各國尚未建立專門的、獨(dú)立的且涵蓋各領(lǐng)域的網(wǎng)絡(luò)安全審查制度，所謂的網(wǎng)絡(luò)安全審查機(jī)制是對具有網(wǎng)絡(luò)安全審查功能的相關(guān)制度的統(tǒng)稱。*參見左曉棟、王石《中國網(wǎng)絡(luò)安全審查制度的建設(shè)》，載惠志斌、唐濤主編《網(wǎng)絡(luò)空間安全藍(lán)皮書：中國網(wǎng)絡(luò)空間安全發(fā)展報(bào)告(2015)》，北京：社會科學(xué)文獻(xiàn)出版社，2015年，第94頁?？梢哉f，各國對于網(wǎng)絡(luò)安全審查制度并沒有形成公認(rèn)的制度定位。但是，我們可以從現(xiàn)有的網(wǎng)絡(luò)安全審查實(shí)踐中推知網(wǎng)絡(luò)安全審查可能的制度定位。

總體而言，國外的網(wǎng)絡(luò)安全審查制度定位主要存在以下幾類：

1.外國投資審查制度

此種制度以美國外國投資委員會的審查為典型。作為美國外國投資的主要審查機(jī)構(gòu)，外國投資委員會的職責(zé)是針對美國的直接投資行為*直接投資行為，是指投資者直接在他國設(shè)立獨(dú)資公司，開設(shè)銷售點(diǎn)進(jìn)行經(jīng)營行為，或入股、收購他國企業(yè)獲得經(jīng)營參與權(quán)或控制權(quán)等行為。進(jìn)行國家安全審查，決定是否允許其進(jìn)入美國市場或入股、收購美國公司。*See Tipler，Christopher M.Defining “National Security”：Resolving Ambiguity in the CFIUS Regulations，32 University of Pennsylvania Journal of International Law，1223(2013—2014)，p.1228.2000年后，隨著網(wǎng)絡(luò)安全威脅逐漸上升為美國國家安全的主要威脅，外國投資委員會對外國投資的安全審查加大了對網(wǎng)絡(luò)安全的審查，如2011年它否決華為公司對美國3Leaf公司的收購案，正是基于網(wǎng)絡(luò)安全審查的結(jié)果。此外，如俄羅斯、英國等國在對外商投資審查中也會考慮網(wǎng)絡(luò)安全因素。*參見張莉《網(wǎng)絡(luò)安全審查的國際經(jīng)驗(yàn)及借鑒》，《信息安全與通信保密》2014年第8期，第66頁。

2.市場準(zhǔn)入制度

印度對信息技術(shù)產(chǎn)品特別是電信用戶終端設(shè)備，實(shí)施了較為嚴(yán)格的市場準(zhǔn)入認(rèn)證，要求電話機(jī)、自動應(yīng)答機(jī)等電信產(chǎn)品在銷售前必須向印度電信工程技術(shù)中心提交“供應(yīng)商符合性聲明”，承諾設(shè)備符合印度《電信設(shè)備認(rèn)證指南》中的相關(guān)技術(shù)規(guī)范，在獲得批準(zhǔn)后方可進(jìn)入市場。*參見汪楊、唐景然、葛楠《印度開展網(wǎng)絡(luò)安全審查的主要做法及啟示》，《信息安全與通信保密》2014年第8期，第61—62頁。俄羅斯對于國內(nèi)銷售的信息技術(shù)產(chǎn)品也均要求，必須事先經(jīng)由國家標(biāo)準(zhǔn)化與計(jì)量委員會下屬檢驗(yàn)機(jī)構(gòu)檢驗(yàn)，檢驗(yàn)合格并發(fā)放品質(zhì)檢驗(yàn)合格認(rèn)證書或標(biāo)準(zhǔn)后才可以上市。*參見張莉《網(wǎng)絡(luò)安全審查的國際經(jīng)驗(yàn)及借鑒》，《信息安全與通信保密》2014年第8期，第66頁。

3.特定領(lǐng)域使用產(chǎn)品或服務(wù)的審查制度

美國等國對于特定部門或者涉及國防、政府等重要單位使用的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)，均會開展網(wǎng)絡(luò)安全審查。美國要求對國家安全系統(tǒng)、聯(lián)邦信息系統(tǒng)、重要行業(yè)信息系統(tǒng)中使用的信息技術(shù)產(chǎn)品和服務(wù)，進(jìn)行網(wǎng)絡(luò)安全審查；對國家安全系統(tǒng)、聯(lián)邦信息系統(tǒng)中的信息技術(shù)產(chǎn)品和服務(wù)進(jìn)行強(qiáng)制審查。*參見左曉棟、王石《中國網(wǎng)絡(luò)安全審查制度的建設(shè)》，載惠志斌、唐濤主編《網(wǎng)絡(luò)空間安全藍(lán)皮書：中國網(wǎng)絡(luò)空間安全發(fā)展報(bào)告(2015)》，北京：社會科學(xué)文獻(xiàn)出版社，2015年，第95—98頁。如美國國防部根據(jù)2011年《國防授權(quán)法案》的授權(quán)對采購過程中IT供應(yīng)鏈進(jìn)行強(qiáng)制性的網(wǎng)絡(luò)安全審查。*參見尹麗波《美國安全審查概況》，《中國信息安全》2014年第8期，第78—79頁。2006年“聯(lián)想安全門事件”同樣是美國聯(lián)邦政府信息系統(tǒng)產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全審查的結(jié)果。*參見徐炎、豐詩朵《美國政府采購信息安全法律制度及其借鑒》，《法商研究》2013年第5期，第136—138頁。英國針對政府、公共部門的關(guān)鍵基礎(chǔ)設(shè)施中所使用的信息產(chǎn)品和服務(wù)，也會進(jìn)行類似的網(wǎng)絡(luò)安全審查。*參見劉國輝《英國信息安全審查及對我國的借鑒意義》，《中國信息安全》2014年第8期，第84頁。

(二)我國的選擇

1.外國投資審查制度？

長期以來，我國學(xué)界都存在著將網(wǎng)絡(luò)安全審查制度定位為外國投資國家安全審查的論斷。究其原因，主要有以下兩點(diǎn)：(1)我國網(wǎng)絡(luò)安全審查制度研究以華為入美受阻為起點(diǎn)。我國學(xué)界對網(wǎng)絡(luò)安全審查制度的興起，源于美國外國投資委員會對華為公司收購美國3Com、3Leaf公司進(jìn)行國家安全審查并以國家安全為由進(jìn)行了否決。學(xué)界多以此案例闡述美國嚴(yán)格的網(wǎng)絡(luò)安全審查制度，證明網(wǎng)絡(luò)安全審查制度內(nèi)含于外國并購國家安全審查制度中。(2)部分國家以網(wǎng)絡(luò)安全審查限制外資進(jìn)入的實(shí)踐加深了這種認(rèn)識。如英國要求政府部門、實(shí)驗(yàn)室和國有公司在計(jì)算機(jī)和通信器材的采購上，必須從本國公司購買，法國政府也要求航空、鐵路、通信和食品等部門優(yōu)先購買本國產(chǎn)品。*參見徐炎、豐詩朵《美國政府采購信息安全法律制度及其借鑒》，《法商研究》2013年第5期，第142頁。但是，事實(shí)上，外國投資審查中的網(wǎng)絡(luò)安全審查僅是美國網(wǎng)絡(luò)安全審查體系中的一環(huán)，在聯(lián)邦政府采購、國防部采購中也存在網(wǎng)絡(luò)安全審查。外國投資審查中網(wǎng)絡(luò)安全審查的根本目的仍是維護(hù)國家經(jīng)濟(jì)安全。*參見馬民虎、馬寧《國家網(wǎng)絡(luò)安全審查制度的法律困惑與中國策略》，《云南師范大學(xué)學(xué)報(bào)(哲學(xué)社會科學(xué)版)》2015年第5期，第44頁。網(wǎng)絡(luò)安全審查與外商投資安全審查側(cè)重點(diǎn)分別是不同的國家安全領(lǐng)域，兩者有著本質(zhì)不同。2015年頒布的國家安全法第59條規(guī)定：“國家建立國家安全審查和監(jiān)管的制度和機(jī)制，對影響或者可能影響國家安全的外商投資、特定物項(xiàng)和關(guān)鍵技術(shù)、網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)、涉及國家安全事項(xiàng)的建設(shè)項(xiàng)目，以及其他重大事項(xiàng)和活動，進(jìn)行國家安全審查，有效預(yù)防和化解國家安全風(fēng)險(xiǎn)”，將“網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)”與“外商投資”相并列，更加明確了我國建設(shè)中的網(wǎng)絡(luò)安全審查制度并非定位于外國投資審查制度。

2.市場準(zhǔn)入制度？

將網(wǎng)絡(luò)安全審查制度定性為市場準(zhǔn)入制度同樣是不合適的。原因主要有以下三點(diǎn)：(1)網(wǎng)絡(luò)安全審查的多階段性。絕對的網(wǎng)絡(luò)安全是不存在的，已有的共識是僅能通過控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)盡可能減少網(wǎng)絡(luò)安全威脅。事前的網(wǎng)絡(luò)安全評估，并不能完全發(fā)現(xiàn)信息技術(shù)產(chǎn)品或服務(wù)帶有的安全風(fēng)險(xiǎn)與漏洞，而且在產(chǎn)品與服務(wù)的使用過程中，因?yàn)檠a(bǔ)丁升級等原因還可能帶來新的安全隱患。因此，網(wǎng)絡(luò)安全審查制度不同于傳統(tǒng)的產(chǎn)品認(rèn)證制度，其貫穿于信息技術(shù)產(chǎn)品或服務(wù)使用的全過程，包括事前審查、事中監(jiān)測和事后懲處三個(gè)階段，并且事前審查階段也并不僅僅是市場準(zhǔn)入審查，還有“黑白名單”制度等其他手段。*參見石峰、張紅軍、賈磊雷《實(shí)行網(wǎng)絡(luò)安全審查制度是保障國家安全的重要舉措》，《信息安全與通信保密》2014年第6期，第46頁。(2)網(wǎng)絡(luò)安全審查的小眾性。網(wǎng)絡(luò)安全審查所針對的僅是國家關(guān)鍵信息基礎(chǔ)設(shè)施中所使用的信息技術(shù)產(chǎn)品或服務(wù)，是“小眾”的；而市場準(zhǔn)入制度作為行業(yè)監(jiān)管制度，面向的是整個(gè)信息技術(shù)產(chǎn)品或服務(wù)行業(yè)，是“大眾”的。*參見左曉棟、王石《中國網(wǎng)絡(luò)安全審查制度的建設(shè)》，載惠志斌、唐濤主編《網(wǎng)絡(luò)空間安全藍(lán)皮書：中國網(wǎng)絡(luò)空間安全發(fā)展報(bào)告(2015)》，北京：社會科學(xué)文獻(xiàn)出版社，2015年，第102頁。著眼于關(guān)鍵領(lǐng)域的網(wǎng)絡(luò)安全審查，才能切實(shí)保障好網(wǎng)絡(luò)安全審查制度所要實(shí)現(xiàn)的國家安全目標(biāo)。(3)避免國際貿(mào)易爭端。網(wǎng)絡(luò)安全審查是否符合WTO安全例外條款*WTO國家安全例外條款包括《關(guān)稅與貿(mào)易總協(xié)定》(GATT)第21 條、《服務(wù)貿(mào)易總協(xié)定》(GATS)第14條之二、《與貿(mào)易有關(guān)的知識產(chǎn)權(quán)協(xié)定》(TRIPs)第73條、《與貿(mào)易有關(guān)的投資協(xié)定》(TRIMs)第3 條，以及《技術(shù)性貿(mào)易壁壘協(xié)定》(TBT)第2條、《政府采購協(xié)定》(GPA)第23.1條等，主要內(nèi)容是允許WTO成員采取例外措施，以維護(hù)其國家安全，但成員也不得濫用安全例外條款，以維護(hù)國家安全之名行貿(mào)易保護(hù)之實(shí)。參見安佰生《WTO安全例外條款分析》，《國際貿(mào)易問題》2013年第3期，第125頁。尚有爭議，若將網(wǎng)絡(luò)安全審查制度定位于市場準(zhǔn)入制度，極有可能被批評為限制貿(mào)易自由的手段，遭到部分國家的抵制并產(chǎn)生貿(mào)易爭端。例如，我國原擬將信息安全產(chǎn)品認(rèn)證制度作為市場準(zhǔn)入措施強(qiáng)制實(shí)施，但遭到了美、歐、日等國家與地區(qū)的抵制，認(rèn)為其侵犯了貿(mào)易自由。*參見左曉棟《近年中美網(wǎng)絡(luò)安全貿(mào)易糾紛回顧及其對網(wǎng)絡(luò)安全審查制度的啟示》，《中國信息安全》2014年第8期，第69頁。

3.特定領(lǐng)域使用產(chǎn)品或服務(wù)的審查制度

2014年5月，國家網(wǎng)信辦關(guān)于我國建立網(wǎng)絡(luò)安全審查制度的公告中已明確指出，我國的網(wǎng)絡(luò)安全審查制度針對的是“關(guān)系國家安全和公共利益的系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù)”*《國家網(wǎng)信辦：我國將出臺網(wǎng)絡(luò)安全審查制度》，登載于“中國網(wǎng)信網(wǎng)”，網(wǎng)址：http://www.cac. gov.cn/2014-05/22/c_126534290.htm，訪問時(shí)間：2016年9月21日。。可見，我國構(gòu)建中的網(wǎng)絡(luò)安全審查制度應(yīng)當(dāng)是特定領(lǐng)域使用產(chǎn)品或服務(wù)的審查制度。網(wǎng)絡(luò)安全法將網(wǎng)絡(luò)安全審查制度置于第三章第二節(jié)“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”之中，具體規(guī)定為第35條：“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。”從中也可看出，我國的網(wǎng)絡(luò)安全審查制度針對的是“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品或者服務(wù)”。將網(wǎng)絡(luò)安全審查制度定位于針對關(guān)系國家安全的特定領(lǐng)域內(nèi)信息系統(tǒng)使用的產(chǎn)品或服務(wù)的審查制度，是網(wǎng)絡(luò)安全審查制度的本質(zhì)體現(xiàn)，這說明我國建立網(wǎng)絡(luò)安全審查制度的根本目的是維護(hù)網(wǎng)絡(luò)領(lǐng)域的國家安全，確保國家重點(diǎn)領(lǐng)域、重點(diǎn)行業(yè)的安全穩(wěn)定；其并非貿(mào)易保護(hù)手段或外交對抗手段，能夠確保網(wǎng)絡(luò)安全審查制度符合WTO國家安全例外原則的要求，免受外國的抵制。因此，將網(wǎng)絡(luò)安全審查制度定位于特定領(lǐng)域使用產(chǎn)品或服務(wù)的審查制度較為合適。

三、我國網(wǎng)絡(luò)安全審查的主體

(一)主管機(jī)構(gòu)

1.無統(tǒng)一監(jiān)管機(jī)構(gòu)的域外經(jīng)驗(yàn)

在尚未建立專門的、獨(dú)立的且涵蓋各領(lǐng)域的網(wǎng)絡(luò)安全審查制度的背景下，各國網(wǎng)絡(luò)安全實(shí)踐基本上由各類網(wǎng)絡(luò)安全審查的主管機(jī)構(gòu)負(fù)責(zé)，尚未建立統(tǒng)一的、負(fù)責(zé)各領(lǐng)域的網(wǎng)絡(luò)安全審查主管機(jī)構(gòu)。以美國為例，美國不同領(lǐng)域的網(wǎng)絡(luò)安全審查均由不同機(jī)構(gòu)負(fù)責(zé)：(1)外國投資領(lǐng)域。對于外國投資中可能對美國網(wǎng)絡(luò)安全造成影響的審查，一般由外國投資委員會負(fù)責(zé)，其根據(jù)《外商投資與國家安全法》(FINSA)、《1959年國防生產(chǎn)法》(DPA)規(guī)定的流程、國家安全標(biāo)準(zhǔn)對外國投資進(jìn)行審查。*See Tipler，Christopher M.Defining “National Security”：Resolving Ambiguity in the CFIUS Regulations，32 University of Pennsylvania Journal of International Law，1223(2013—2014)，pp.1239-1242.(2)國家安全系統(tǒng)領(lǐng)域。自2002年7月起，美國要求國家安全系統(tǒng)中所適用的非密碼信息技術(shù)產(chǎn)品，必須通過美國國家信息安全保障聯(lián)盟(NIAP)通用準(zhǔn)則(CC)認(rèn)證，NIAP由美國國家安全局(NSA)與美國標(biāo)準(zhǔn)技術(shù)研究所(NIST)共同成立，主要成員為兩者的專業(yè)技術(shù)和管理人員。*參見尹麗波《美國安全審查概況》，《中國信息安全》2014年第8期，第78頁。(3)國防領(lǐng)域。根據(jù)2011年《國防授權(quán)法案》的授權(quán)，美國國防部負(fù)責(zé)國防采購中IT供應(yīng)鏈風(fēng)險(xiǎn)的安全審查。*參見尹麗波《美國安全審查概況》，《中國信息安全》2014年第8期，第78—79頁。(4)聯(lián)邦信息系統(tǒng)領(lǐng)域。2002年《聯(lián)邦信息安全管理法》(FISMA)要求美國聯(lián)邦政府各機(jī)構(gòu)負(fù)責(zé)本機(jī)構(gòu)的信息安全，確保本機(jī)構(gòu)使用的聯(lián)邦信息系統(tǒng)設(shè)備設(shè)施的安全。*參見楊碧瑤、王鵬《從〈聯(lián)邦信息安全管理法案〉看美國信息安全管理》，《保密科學(xué)技術(shù)》2012年第8期，第37—39頁。(5)云服務(wù)領(lǐng)域。美國國防部、國土安全部、總務(wù)管理局組成聯(lián)合授權(quán)委員會(JAB)負(fù)責(zé)制定云服務(wù)安全審查基線，并進(jìn)行初始授權(quán)，總務(wù)管理局設(shè)立項(xiàng)目管理辦公室負(fù)責(zé)日常審查工作。*參見尹麗波《美國安全審查概況》，《中國信息安全》2014年第8期，第79頁。此外，在某些情況下，美國國會也會進(jìn)行網(wǎng)絡(luò)安全審查工作。如2006年聯(lián)想集團(tuán)參與美國政府計(jì)算機(jī)采購，國會撥款委員會要求國務(wù)卿就該筆交易的正當(dāng)性作出解釋。*參見徐炎、豐詩朵《美國政府采購信息安全法律制度及其借鑒》，《法商研究》2013年第5期，第136—137頁。又如2011年至2012年美國眾議院情報(bào)委員會對華為、中興公司的調(diào)查。*參見陳星、齊愛民《美國網(wǎng)絡(luò)空間安全威脅論對全球貿(mào)易秩序的公然挑戰(zhàn)與中國應(yīng)對——從“美國調(diào)查華為中興事件”談起》，《蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會科學(xué)版)》2014年第1期，第81—82頁。

2.我國網(wǎng)絡(luò)安全審查是否需要統(tǒng)一主管機(jī)構(gòu)？

現(xiàn)階段，我國網(wǎng)絡(luò)安全監(jiān)管領(lǐng)域同樣存在多主體并存的情況，工業(yè)和信息化部(以下簡稱工信部)、公安部、國家安全局、國家保密局等均對網(wǎng)絡(luò)安全負(fù)有監(jiān)管職能。如工信部承擔(dān)著通信網(wǎng)絡(luò)安全及其信息安全管理工作，承擔(dān)著國家網(wǎng)絡(luò)安全保障體系的建設(shè)工作，對政府部門、重點(diǎn)行業(yè)重要信息系統(tǒng)與基礎(chǔ)信息網(wǎng)絡(luò)的安全保障工作進(jìn)行指導(dǎo)監(jiān)督*參見李宇《中國互聯(lián)網(wǎng)信息安全監(jiān)管的現(xiàn)狀與挑戰(zhàn)》，載龔維斌主編《中國社會體制改革報(bào)告(2015)》，北京：社會科學(xué)文獻(xiàn)出版社，2015年，第259頁。；工信部下屬網(wǎng)絡(luò)安全管理局具體負(fù)責(zé)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全審查相關(guān)工作，組織推動電信網(wǎng)、互聯(lián)網(wǎng)安全自主可控工作*參見網(wǎng)絡(luò)安全管理局機(jī)構(gòu)職責(zé)，網(wǎng)址：http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057725/c3635780/content.html，訪問時(shí)間：2016年6月17日。。我國構(gòu)建中的網(wǎng)絡(luò)安全審查是否可借鑒美國呢？筆者認(rèn)為，我國的網(wǎng)絡(luò)安全審查應(yīng)當(dāng)明確統(tǒng)一的主管機(jī)構(gòu)。中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局局長趙澤良也曾表示，我國網(wǎng)絡(luò)安全審查未來或有專門工作機(jī)構(gòu)。*《國家網(wǎng)信辦：我國將出臺網(wǎng)絡(luò)安全審查制度》，登載于“中國網(wǎng)信網(wǎng)”，網(wǎng)址：http://www.cac. gov.cn/2014-05/22/c_126534290.htm，訪問時(shí)間：2016年9月21日。

我國網(wǎng)絡(luò)安全審查需要統(tǒng)一的主管機(jī)構(gòu)，理由主要有以下幾點(diǎn)：(1)凸顯網(wǎng)絡(luò)安全審查的重要性。網(wǎng)絡(luò)安全審查制度作為維護(hù)我國網(wǎng)絡(luò)安全的重要一環(huán)，對實(shí)現(xiàn)網(wǎng)絡(luò)安全，繼而維護(hù)網(wǎng)絡(luò)領(lǐng)域的國家安全有著顯著意義。設(shè)立統(tǒng)一的主管機(jī)構(gòu)，有利于凸顯國家對網(wǎng)絡(luò)安全工作的重視，促進(jìn)網(wǎng)絡(luò)安全工作加快發(fā)展。(2)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作的需要。目前，我國各網(wǎng)絡(luò)安全職能部門存在職能交叉、重復(fù)監(jiān)管的問題，現(xiàn)有的信息技術(shù)產(chǎn)品或服務(wù)可能面臨著工信部、公安部等的重復(fù)檢測、重復(fù)評估，這并不利于監(jiān)管效率的提高。設(shè)立統(tǒng)一主管機(jī)構(gòu)，統(tǒng)籌各相關(guān)機(jī)構(gòu)工作，能夠較為有效地解決這個(gè)問題。(3)符合我國網(wǎng)絡(luò)監(jiān)管發(fā)展趨勢。2011年，國家互聯(lián)網(wǎng)信息辦公室成立，已體現(xiàn)出我國網(wǎng)絡(luò)監(jiān)管統(tǒng)籌協(xié)調(diào)的趨勢，網(wǎng)絡(luò)安全法第8條第1款明確規(guī)定，“國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。國務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作?！币虼?，我國的網(wǎng)絡(luò)安全審查制度中應(yīng)明確國家網(wǎng)信部門為主管機(jī)構(gòu)，并在其內(nèi)部設(shè)立專門工作機(jī)構(gòu)，由其統(tǒng)籌各職能部門具體開展網(wǎng)絡(luò)安全審查工作。2017年2月，國家網(wǎng)信辦公布了《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(征求意見稿)》，其中第5條第1款也明確提出：“國家互聯(lián)網(wǎng)信息辦公室會同有關(guān)部門成立網(wǎng)絡(luò)安全審查委員會，負(fù)責(zé)審議網(wǎng)絡(luò)安全審查的重要政策，統(tǒng)一組織網(wǎng)絡(luò)安全審查工作，協(xié)調(diào)網(wǎng)絡(luò)安全審查相關(guān)重要問題?！?/p>

(二)第三方機(jī)構(gòu)問題

信息技術(shù)的高度專業(yè)性，促使國外在開展網(wǎng)絡(luò)安全審查時(shí)向第三方機(jī)構(gòu)尋求幫助。以英國為例，英國建立了一套以信息技術(shù)產(chǎn)品源代碼審查與托管為基礎(chǔ)的網(wǎng)絡(luò)安全審查制度，在其開展網(wǎng)絡(luò)安全審查的全過程中，均有第三方機(jī)構(gòu)的參與，且起到了重要的作用。英國電子通信安全組(CESG)負(fù)責(zé)組織英國的源代碼審查與信息安全認(rèn)證工作，而具體的認(rèn)證測試則由CESG認(rèn)可的第三方機(jī)構(gòu)，如CGI、Context Information Security、KPMG LLP、NCC Group、Roke、SiVenture等負(fù)責(zé)*參見劉國輝《英國信息安全審查及對我國的借鑒意義》，《中國信息安全》2014年第8期，第83頁。；在源代碼托管環(huán)節(jié)，英國同樣委托于第三方機(jī)構(gòu)，如前述NCC Group同樣為英國政府提供源代碼托管服務(wù)。

第三方機(jī)構(gòu)承擔(dān)網(wǎng)絡(luò)安全審查工作，有其優(yōu)勢：(1)獨(dú)立性，第三方機(jī)構(gòu)介于信息技術(shù)產(chǎn)品或服務(wù)提供商與政府之間，可以說網(wǎng)絡(luò)安全審查免受政治因素、貿(mào)易保護(hù)主義等的影響，確保審查結(jié)果的客觀公正。(2)專業(yè)性。網(wǎng)絡(luò)安全審查涉及信息技術(shù)產(chǎn)品與服務(wù)的底層代碼審查、攻防演練等，具有極高的技術(shù)性，第三方機(jī)構(gòu)作為專業(yè)機(jī)構(gòu)有能力確保網(wǎng)絡(luò)安全審查的有效。(3)安全性。信息技術(shù)產(chǎn)品或服務(wù)提供商不愿將自身產(chǎn)品或服務(wù)交由政府審查，知識產(chǎn)權(quán)與商業(yè)秘密保護(hù)是一個(gè)很大的考量因素，而第三方機(jī)構(gòu)基于行業(yè)自律與市場規(guī)律，更有動力保護(hù)受審查的產(chǎn)品或服務(wù)所含有的知識產(chǎn)權(quán)及商業(yè)秘密。但是，政府委托第三方機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全審查，也存在受審查主體通過商業(yè)賄賂等手段干擾第三方機(jī)構(gòu)審查，獲取有利的審查結(jié)果的可能。

及于我國，網(wǎng)信辦曾有官員透露我國的網(wǎng)絡(luò)安全審查也將由第三方機(jī)構(gòu)負(fù)責(zé)檢測工作。*《四問中國網(wǎng)絡(luò)安全審查制度》，登載于“新京報(bào)網(wǎng)”，網(wǎng)址：http://www.bjnews.com.cn/feature/2014/05/23/317956.html，訪問時(shí)間：2016年9月18日?！毒W(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(征求意見稿)》也規(guī)定了第三方機(jī)構(gòu)參與網(wǎng)絡(luò)安全審查。*《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(征求意見稿)》第7條規(guī)定：“國家統(tǒng)一認(rèn)定網(wǎng)絡(luò)安全審查第三方機(jī)構(gòu)，承擔(dān)網(wǎng)絡(luò)安全審查中的第三方評價(jià)工作?！钡?，當(dāng)前階段第三方機(jī)構(gòu)能否承擔(dān)網(wǎng)絡(luò)安全審查的任務(wù)，筆者仍存有疑問：(1)第三方機(jī)構(gòu)審查權(quán)威性不足。我國現(xiàn)階段網(wǎng)絡(luò)安全領(lǐng)域的認(rèn)證測評機(jī)構(gòu)主要有公安部第三研究所、解放軍信息安全測評認(rèn)證中心和中國信息安全測評中心三家。*參見方興東、胡懷亮《網(wǎng)絡(luò)安全審查制度的根本在于掌握防御主動權(quán)》，《信息安全與通信保密》2014年第8期，第35頁。相比于他們，第三方機(jī)構(gòu)的審查權(quán)威性不足，其審查結(jié)果是否能被接受尚存疑問。(2)“合謀”風(fēng)險(xiǎn)偏大。我國市場經(jīng)濟(jì)尚不成熟，行業(yè)自律建設(shè)也尚不完全，第三方機(jī)構(gòu)是否能夠恪守中立，免受信息技術(shù)產(chǎn)品或服務(wù)的提供者或使用者的不正當(dāng)影響還有疑問。(3)網(wǎng)絡(luò)安全審查涉及能源、金融、電力等重要行業(yè)的信息系統(tǒng)、軍事網(wǎng)絡(luò)、政務(wù)系統(tǒng)，由私人所有的第三方機(jī)構(gòu)對這些系統(tǒng)中的信息技術(shù)產(chǎn)品、服務(wù)進(jìn)行審查，可能會導(dǎo)致這些系統(tǒng)的泄密，危及系統(tǒng)安全，特別是軍事網(wǎng)絡(luò)等保密性更高的系統(tǒng)。因此，對于第三方機(jī)構(gòu)負(fù)責(zé)我國網(wǎng)絡(luò)安全審查的具體工作需要進(jìn)一步慎重考慮。筆者認(rèn)為，我國構(gòu)建中的網(wǎng)絡(luò)安全審查制度，可分領(lǐng)域確定是否可由第三方機(jī)構(gòu)負(fù)責(zé)具體工作，軍事網(wǎng)絡(luò)、政務(wù)系統(tǒng)及能源業(yè)、電力行業(yè)等重要信息系統(tǒng)中使用的信息技術(shù)產(chǎn)品、服務(wù)應(yīng)由國家所有的機(jī)構(gòu)進(jìn)行審查；完全市場化的行業(yè)、用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或者管理的網(wǎng)絡(luò)和系統(tǒng)則可由第三方機(jī)構(gòu)負(fù)責(zé)審查，但最終結(jié)果仍需相關(guān)主管機(jī)關(guān)確認(rèn)。

四、我國網(wǎng)絡(luò)安全審查的范圍

2014年5月22日，國家網(wǎng)信辦的公告將網(wǎng)絡(luò)安全審查的范圍限定為“關(guān)系國家安全和公共利益的系統(tǒng)使用的重要信息技術(shù)產(chǎn)品和服務(wù)”，《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(征求意見稿)》第2條也作出了如上規(guī)定。*《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(征求意見稿)》第2條規(guī)定：“關(guān)系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)經(jīng)過網(wǎng)絡(luò)安全審查?！蓖ㄟ^對該限定的解讀，有學(xué)者認(rèn)為可以從兩個(gè)方面確定網(wǎng)絡(luò)安全審查的范圍：一方面，根據(jù)信息系統(tǒng)的服務(wù)對象、相關(guān)性確定是否屬于“關(guān)系國家安全和公共利益的系統(tǒng)”，如信息系統(tǒng)與政府有關(guān)，或者關(guān)系到國家的經(jīng)濟(jì)命脈，則可認(rèn)定為屬于網(wǎng)絡(luò)安全審查范圍所面對的信息系統(tǒng)；另一方面，并非“關(guān)系國家安全和公共利益的系統(tǒng)”中使用信息技術(shù)產(chǎn)品和服務(wù)均須審查，還需考慮所采用的產(chǎn)品和服務(wù)的性質(zhì)，唯有重要的信息技術(shù)產(chǎn)品和服務(wù)需要審查。*《四問中國網(wǎng)絡(luò)安全審查制度》，登載于“新京報(bào)網(wǎng)”，網(wǎng)址：http://www.bjnews.com.cn/feature/2014/05/23/317956.html，訪問時(shí)間：2016年9月18日。但是，這種界定仍是不清晰的，缺乏操作性。為有效開展網(wǎng)絡(luò)安全審查，在構(gòu)建網(wǎng)絡(luò)安全審查制度時(shí)必須明確網(wǎng)絡(luò)安全審查的范圍。本部分，筆者擬從審查的廣度與深度兩方面加以探討，明確我國網(wǎng)絡(luò)安全審查的范圍。

(一)審查的廣度

網(wǎng)絡(luò)安全審查制度已被規(guī)定于國家安全法和網(wǎng)絡(luò)安全法之中。從網(wǎng)絡(luò)安全法中，我們大致可看出網(wǎng)絡(luò)安全審查的范圍。如前所述，網(wǎng)絡(luò)安全審查制度規(guī)定于網(wǎng)絡(luò)安全法(草案)第三章第二節(jié)“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”之中，針對的是關(guān)鍵信息基礎(chǔ)設(shè)施中所使用的，可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品或服務(wù)。通過對“關(guān)鍵信息基礎(chǔ)設(shè)施”“國家安全”加以界定，可以在一定程度上確定審查的廣度。

1.關(guān)鍵信息基礎(chǔ)設(shè)施

我國目前立法對于“關(guān)鍵信息基礎(chǔ)設(shè)施”尚無明確立法規(guī)定，而學(xué)界對此的討論主要是基于國外對其的界定，如德國將關(guān)鍵信息基礎(chǔ)設(shè)施定義為“保障電力、電信、金融、國家機(jī)關(guān)等國家重要領(lǐng)域基礎(chǔ)設(shè)施正常運(yùn)作的信息網(wǎng)絡(luò)”*劉山泉：《德國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度及其對我國〈網(wǎng)絡(luò)安全法〉的啟示》，《信息安全與通信保密》2015年第9期，第86頁。。網(wǎng)絡(luò)安全法首次以“列舉+定義”的方式規(guī)范明確了我國的關(guān)鍵信息基礎(chǔ)設(shè)施的范疇，根據(jù)其第31條規(guī)定：“國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)……”因此，網(wǎng)絡(luò)安全審查應(yīng)針對上述關(guān)鍵信息基礎(chǔ)設(shè)施所采用的重要網(wǎng)絡(luò)產(chǎn)品或服務(wù)。

2.國家安全

美國外國投資委員會對外國投資的審查同樣限定于國家安全范疇，其通過對外國投資是否威脅美國的國家安全進(jìn)行審查來確定是否許可其進(jìn)入美國。但是，外國投資委員會并沒有明確界定國家安全的概念，僅是對其解釋作出了一個(gè)有限的指引。究其原因，外國投資委員會解釋說隨著國際局勢的發(fā)展，特別是“9·11”事件后，針對美國的威脅不斷增多，若斷然給定國家安全的定義，將無法有效回應(yīng)不斷出現(xiàn)的新的威脅。*See Tipler，Christopher M.Defining “National Security”：Resolving Ambiguity in the CFIUS Regulations，32 University of Pennsylvania Journal of International Law，1223(2013—2014)，p.1239.但是，模糊的標(biāo)準(zhǔn)欠缺可操作性，使得外國投資委員會的審查具有很大的主觀性，這一點(diǎn)也使得外國投資委員會的審查備受爭議。不同于美國，我國國家安全法對國家安全給予了明確的定義，是指“國家政權(quán)、主權(quán)、統(tǒng)一和領(lǐng)土完整、人民福祉、經(jīng)濟(jì)社會可持續(xù)發(fā)展和國家其他重大利益相對處于沒有危險(xiǎn)和不受內(nèi)外威脅的狀態(tài)，以及保障持續(xù)安全狀態(tài)的能力”*國家安全法第2條。。但是，就網(wǎng)絡(luò)安全審查而言，該定義仍過于宏觀，操作性不足。反而國家安全法第二章“維護(hù)國家安全的任務(wù)”第15條至第33條對國家安全作出了更為明確的規(guī)定，如第25條規(guī)定：“國家建設(shè)網(wǎng)絡(luò)與信息安全保障體系，提升網(wǎng)絡(luò)與信息安全保護(hù)能力，加強(qiáng)網(wǎng)絡(luò)和信息技術(shù)的創(chuàng)新研究和開發(fā)應(yīng)用，實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控；加強(qiáng)網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為，維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益。”網(wǎng)絡(luò)安全審查在確定是否“關(guān)系國家安全”時(shí)，可以此章內(nèi)容為參考。

(二)審查的深度

網(wǎng)絡(luò)安全審查的核心目的是確保關(guān)鍵信息基礎(chǔ)設(shè)施中使用的重要信息技術(shù)產(chǎn)品或服務(wù)安全可控，應(yīng)當(dāng)緊緊圍繞“安全可控”這一目的確定審查的深度。網(wǎng)絡(luò)安全審查所要實(shí)現(xiàn)的“安全”即是符合國家安全、網(wǎng)絡(luò)安全的要求，其實(shí)質(zhì)上可理解為“可信”，繼而又可分解為“可控”和“透明”，重點(diǎn)在于“可控”。*參見左曉棟、王石《中國網(wǎng)絡(luò)安全審查制度的建設(shè)》，載惠志斌、唐濤主編《網(wǎng)絡(luò)空間安全藍(lán)皮書：中國網(wǎng)絡(luò)空間安全發(fā)展報(bào)告(2015)》，北京：社會科學(xué)文獻(xiàn)出版社，2015年，第103頁。產(chǎn)品的安全功能再強(qiáng)大，若用戶無法了解產(chǎn)品背后的廠商意圖，產(chǎn)品存在不受控制的后門、漏洞，用戶也無法放心使用。因此，網(wǎng)絡(luò)安全審查應(yīng)當(dāng)著重于信息技術(shù)產(chǎn)品或服務(wù)的“可控性”。為實(shí)現(xiàn)“可控性”，就有必要將信息技術(shù)產(chǎn)品或服務(wù)的審查從技術(shù)審查拓展到背景審查，從表層功能符合性審查延伸到底層源代碼審查，但是否有必要對IT供應(yīng)鏈全鏈條進(jìn)行審查，筆者則持否定態(tài)度。

1.背景審查

我國現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品審查主要是技術(shù)審查，即對網(wǎng)絡(luò)安全產(chǎn)品是否符合網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)進(jìn)行評估、認(rèn)證。*參見蘇苗罕、顧偉《信息安全軟件廠商的法律監(jiān)管框架研究》，《網(wǎng)絡(luò)法律評論》2015年第1期，第164—165頁。但是，技術(shù)審查僅能實(shí)現(xiàn)對信息技術(shù)產(chǎn)品、服務(wù)技術(shù)層面安全可控的審查，并且信息技術(shù)產(chǎn)品、服務(wù)的高度技術(shù)性，也使得技術(shù)審查無法完全實(shí)現(xiàn)審查目的。因此，在網(wǎng)絡(luò)安全審查的實(shí)踐中，各國開始逐漸重視對信息技術(shù)產(chǎn)品、服務(wù)的提供商開展背景審查。如2011年至2012年，美國國會對華為公司與中興公司進(jìn)行的調(diào)查便采用了背景審查的方式，對兩家公司的歷史背景、經(jīng)營狀況、財(cái)務(wù)信息以及其與中國政府和中國共產(chǎn)黨可能存在的關(guān)系進(jìn)行了調(diào)查，最后以華為公司和中興公司得到了中國政府支持，任正非為轉(zhuǎn)業(yè)軍人，企業(yè)設(shè)有黨支部等為由，建議美國政府拒絕購買其產(chǎn)品。*參見陳星、齊愛民《美國網(wǎng)絡(luò)空間安全威脅論對全球貿(mào)易秩序的公然挑戰(zhàn)與中國應(yīng)對——從“美國調(diào)查華為中興事件”談起》，《蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會科學(xué)版)》2014年第1期，第82頁；楊晨《網(wǎng)絡(luò)安全審查制度呼之欲出》，《信息安全與通信保密》2014年第8期，第20頁。背景審查通過對信息技術(shù)產(chǎn)品、服務(wù)提供者的聲譽(yù)、資質(zhì)、機(jī)構(gòu)背景、資本構(gòu)成、法人治理結(jié)構(gòu)等進(jìn)行多角度審查*參見左曉棟《近年中美網(wǎng)絡(luò)安全貿(mào)易糾紛回顧及其對網(wǎng)絡(luò)安全審查制度的啟示》，《中國信息安全》2014年第8期，第72頁。，能夠發(fā)現(xiàn)產(chǎn)品、服務(wù)的提供者侵害我國國家安全的可能性及潛在的安全風(fēng)險(xiǎn)；但是若運(yùn)用不當(dāng)，很容易陷入“國別化審查”的爭議，如上述美國國會對華為公司和中興公司進(jìn)行背景審查，國內(nèi)便頗有微詞。因此，我國網(wǎng)絡(luò)安全審查應(yīng)當(dāng)兼采技術(shù)審查與背景審查，但要確保審查標(biāo)準(zhǔn)、過程、結(jié)果的公開透明，且堅(jiān)持對國內(nèi)外企業(yè)一視同仁，通過審查的公開公平實(shí)現(xiàn)審查的客觀、可信。

2.源代碼審查

傳統(tǒng)的功能符合性檢測，僅能實(shí)現(xiàn)對信息技術(shù)產(chǎn)品、服務(wù)的表層安全標(biāo)準(zhǔn)符合性的審查，而無法實(shí)現(xiàn)對產(chǎn)品、服務(wù)深層的潛在安全風(fēng)險(xiǎn)、漏洞等的及時(shí)發(fā)現(xiàn)。美國“八大金剛”提供給我國的關(guān)鍵信息基礎(chǔ)設(shè)施使用的信息技術(shù)產(chǎn)品、服務(wù)是否預(yù)留了后門、病毒，也無法僅僅通過功能符合性檢測發(fā)現(xiàn)。因此，網(wǎng)絡(luò)安全審查中的技術(shù)審查有必要從表層審查深入底層的源代碼審查。源代碼作為信息技術(shù)產(chǎn)品的核心要素，通過對源代碼的系統(tǒng)化審查，能夠找出并及時(shí)修正在軟件開發(fā)過程中的錯(cuò)誤、漏洞、隱藏的功能、后門程序等，從根本上保障信息基礎(chǔ)產(chǎn)品安全可控。*參見劉國輝《英國信息安全審查及對我國的借鑒意義》，《中國信息安全》2014年第8期，第82頁。

英國將源代碼審查與托管作為信息技術(shù)產(chǎn)品認(rèn)證的重要手段，建立了一套完整的基于源代碼審查與托管的網(wǎng)絡(luò)安全審查制度。英國源代碼審查的對象主要是面向英國政府、公共部門關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)銷售的信息技術(shù)產(chǎn)品，通過第三方機(jī)構(gòu)如NCC Group具體負(fù)責(zé)相關(guān)產(chǎn)品的源代碼審查及托管工作，并由主管CESG確認(rèn)并簽署認(rèn)證文件的方式實(shí)現(xiàn)了對重要信息技術(shù)產(chǎn)品的有效審查。英國源代碼審查的目的、操作流程、所需條件、技術(shù)要求、審查結(jié)果等均會由CESG公開，保證了審查的相對透明。從實(shí)效看，英國的源代碼審查已被各信息技術(shù)產(chǎn)品、服務(wù)提供商所認(rèn)可，微軟、思科、甲骨文、惠普、富士通等國際信息技術(shù)產(chǎn)業(yè)巨頭均接受了英國的源代碼審查。*參見劉國輝《英國信息安全審查及對我國的借鑒意義》，《中國信息安全》2014年第8期，第82—85頁。

我國完全有可能借鑒英國的成功經(jīng)驗(yàn)，并結(jié)合我國實(shí)際情況稍加改進(jìn)后在網(wǎng)絡(luò)安全審查中進(jìn)行源代碼審查與托管。2015年10月，有報(bào)道稱IBM公司已允許工信部在受控空間審查其源代碼*《IBM允許中國政府審查源代碼為業(yè)內(nèi)第一家》，登載于“鳳凰網(wǎng)”，網(wǎng)址：http://finance.ifeng. com/a/20151016/14023571_0.shtml，訪問時(shí)間：2016年9月19日。，雖此舉象征意義大于實(shí)際意義，但隨著我國網(wǎng)絡(luò)安全審查制度的建立與完善，源代碼審查將逐漸成為重要的審查手段。同時(shí)，在推行源代碼審查制度時(shí)，應(yīng)當(dāng)注意公開與保密相結(jié)合，確保源代碼審查的目的、操作流程、所需條件、技術(shù)要求、審查結(jié)構(gòu)等的公開透明，重視對審查、托管的源代碼涉及的知識產(chǎn)權(quán)、商業(yè)秘密的保密，消除受審查企業(yè)的商業(yè)顧慮，保證制度的合理性。

3.IT供應(yīng)鏈審查

關(guān)于網(wǎng)絡(luò)安全的審查范圍，有學(xué)者基于美國網(wǎng)絡(luò)安全綜合計(jì)劃(CNCI)提出的“制定多管齊下的全球供應(yīng)鏈風(fēng)險(xiǎn)管理辦法，對本國和全球的供應(yīng)鏈進(jìn)行貫穿產(chǎn)品、系統(tǒng)和服務(wù)的整個(gè)生命周期的風(fēng)險(xiǎn)管理”*參見尹麗波《美國安全審查概況》，《中國信息安全》2014年第8期，第78—79頁。，以及美國國防部IT供應(yīng)鏈*IT供應(yīng)鏈?zhǔn)前到y(tǒng)終端用戶、政策制定者、采購專家、系統(tǒng)集成商、網(wǎng)絡(luò)提供商和軟硬件提供商在內(nèi)的統(tǒng)一系統(tǒng)，是上述角色通過組織和交互等行為，參與IT 相關(guān)基礎(chǔ)設(shè)施的管理、維護(hù)和防御的過程。參見馬民虎、馬寧《IT供應(yīng)鏈安全：國家安全審查的范圍和中國應(yīng)對》，《蘇州大學(xué)學(xué)報(bào)》2014年第1期，第91頁。安全審查的實(shí)踐，主張網(wǎng)絡(luò)安全審查應(yīng)涵蓋整條IT供應(yīng)鏈，將信息技術(shù)產(chǎn)品、服務(wù)提供商的采購、研發(fā)、生產(chǎn)和提供過程，特別是提供商與第三方(如次級供應(yīng)商、外包方、采購商)之間的關(guān)系納入審查范圍。*參見馬民虎、馬寧《IT供應(yīng)鏈安全：國家安全審查的范圍和中國應(yīng)對》，《蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會科學(xué)版)》2014年第1期，第93頁。其主要理由是隨著全球化的推進(jìn)，信息技術(shù)產(chǎn)品的組成愈發(fā)國際化，組成關(guān)鍵信息基礎(chǔ)設(shè)施所采用的信息技術(shù)產(chǎn)品的零部件可能來自多個(gè)國家，且均有可能被留有后門程序、漏洞，僅對最終產(chǎn)品和最終供應(yīng)商進(jìn)行安全審查不能確保產(chǎn)品安全可控，因此應(yīng)當(dāng)將審查向上游延伸，覆蓋整條IT供應(yīng)鏈?！毒W(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(征求意見稿)》第1條也規(guī)定了網(wǎng)絡(luò)安全審查應(yīng)當(dāng)“防范供應(yīng)鏈安全風(fēng)險(xiǎn)”。*《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(征求意見稿)》第1條規(guī)定：“網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性直接影響用戶利益、關(guān)系國家安全。為提高網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可控水平，防范供應(yīng)鏈安全風(fēng)險(xiǎn)，維護(hù)國家安全和公共利益，依據(jù)《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡(luò)安全法》，制定本辦法?！惫P者認(rèn)為，IT供應(yīng)鏈審查雖具有其合理性，但在現(xiàn)階段操作上存在難度：第一，過分?jǐn)U張網(wǎng)絡(luò)安全審查的范圍，會加大網(wǎng)絡(luò)安全審查的工作量和工作難度。對IT供應(yīng)鏈的全面審查意味著冗長的審查時(shí)間，這并不符合信息技術(shù)快速發(fā)展的特點(diǎn)，或許某一信息技術(shù)產(chǎn)品的審查完成時(shí)其已經(jīng)落后于實(shí)踐而被淘汰了。第二，IT供應(yīng)鏈的國際化決定了審查涉及多國的企業(yè)，在對進(jìn)入本國的最終產(chǎn)品的網(wǎng)絡(luò)安全審查尚有國家抵制的情況下貿(mào)然將審查擴(kuò)大到多國，會加大審查推進(jìn)的難度。并且，網(wǎng)絡(luò)安全審查并非政府單方責(zé)任，為國家關(guān)鍵信息基礎(chǔ)設(shè)施提供信息技術(shù)產(chǎn)品和服務(wù)的網(wǎng)絡(luò)安全廠商同樣負(fù)有審查責(zé)任，其應(yīng)當(dāng)保證其產(chǎn)品或服務(wù)中含有的上游產(chǎn)品或服務(wù)符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全法第36條已規(guī)定信息技術(shù)產(chǎn)品和服務(wù)的提供商應(yīng)當(dāng)簽署安全保密協(xié)議，可以通過在協(xié)議中規(guī)定提供商對IT供應(yīng)鏈上游的安全保證責(zé)任來落實(shí)IT供應(yīng)鏈安全，而無須對IT供應(yīng)鏈直接進(jìn)行安全審查。

五、結(jié)語

“網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法”雖已由國家網(wǎng)信辦起草并公開征求意見，但這僅是為我國網(wǎng)絡(luò)安全審查的實(shí)踐與研究拉開了新的帷幕。我國的網(wǎng)絡(luò)建設(shè)起步雖晚于域外，但我國已逐步發(fā)展成為世界網(wǎng)絡(luò)大國，而成為網(wǎng)絡(luò)強(qiáng)國則需要堅(jiān)實(shí)的法律制度的支撐。在網(wǎng)絡(luò)安全審查制度的構(gòu)成中，除借鑒域外有益經(jīng)驗(yàn)外，更須結(jié)合我國網(wǎng)絡(luò)安全實(shí)踐加以思考。首先，就制度背景而言，我國既有外來網(wǎng)絡(luò)安全威脅的壓力，又有內(nèi)在國家安全建設(shè)、完善現(xiàn)有網(wǎng)絡(luò)安全制度的需要，外因?yàn)橐?、?nèi)因?yàn)橹鳌Ｆ浯?，網(wǎng)絡(luò)安全審查制度是我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度體系的重要組成部分，應(yīng)明確制度定位為關(guān)鍵信息基礎(chǔ)設(shè)施中所使用的信息產(chǎn)品及服務(wù)的審查制度，服務(wù)于關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，有別于外國投資審查制度及市場準(zhǔn)入制度。再次，為破除網(wǎng)絡(luò)安全審查“九龍治水”的亂象，應(yīng)當(dāng)明確以國家網(wǎng)信部門為主管機(jī)構(gòu)，并設(shè)立專門部門協(xié)調(diào)相關(guān)機(jī)構(gòu)工作；基于網(wǎng)絡(luò)安全審查工作的專業(yè)性，可在分類監(jiān)管的基礎(chǔ)上與第三方機(jī)構(gòu)合作。最后，為實(shí)現(xiàn)網(wǎng)絡(luò)安全審查的合目的性與高效化，審查范圍在廣度上應(yīng)限定在關(guān)系國家安全的關(guān)鍵信息基礎(chǔ)設(shè)施中所使用的信息產(chǎn)品與服務(wù)；但在深度上須加以挖掘，從技術(shù)審查拓展到背景審查，從表層功能符合性審查延伸到底層源代碼審查；因?qū)彶槌杀镜仍?，先不考慮對IT供應(yīng)鏈全鏈條的審查。唯有“有的放矢”，明確制度重點(diǎn)，才能盡快構(gòu)建起我國的網(wǎng)絡(luò)安全審查制度，并為整體網(wǎng)絡(luò)安全服務(wù)。

(初審：董淳鍔)

*中央財(cái)經(jīng)大學(xué)法學(xué)院2015級憲法學(xué)與行政法學(xué)碩士研究生，研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)法，E-mail：cufeshentu@163.com。