網(wǎng)絡(luò)空間供應(yīng)鏈國際規(guī)范研究
——構(gòu)建供應(yīng)鏈生態(tài)系統(tǒng)總體安全觀

黃志雄 陳徽

(武漢大學(xué) 國際法研究所，湖北武漢 430072)

引言

伴隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)空間國際治理正受到世界各國的日益重視，網(wǎng)絡(luò)空間治理正快速走向法治化。在這一進(jìn)程中，國際社會已就國際法適用于網(wǎng)絡(luò)空間達(dá)成了重要的原則性共識。但出于網(wǎng)絡(luò)空間的獨特屬性以及主要大國的意識形態(tài)、價值觀和現(xiàn)實國家利益等方面的差異乃至對立，各方對于國際法中的諸項原則與規(guī)則如何具體地適用于網(wǎng)絡(luò)空間仍存有巨大爭議。(1)參見黃志雄：《網(wǎng)絡(luò)空間負(fù)責(zé)任國家行為規(guī)范：源起、影響和應(yīng)對》，載《當(dāng)代法學(xué)》2019年第1期。此外，各方的爭論還在于，面對日益復(fù)雜的網(wǎng)絡(luò)環(huán)境與日益嚴(yán)重的安全威脅，現(xiàn)有國際法是否足夠應(yīng)對？是否需要制定新的規(guī)則以及新的規(guī)則應(yīng)當(dāng)通過何平臺以何種形式制定？(2)參見Michael N. Schmitt, Trends in International Law for Cyberspace, CCDCOE (May 2019), https://ccdcoe.org/uploads/2019/05/Trends-Intlaw_a4_final.pdf，2020年9月14日最后訪問。在此背景下，供應(yīng)鏈安全作為新興的非傳統(tǒng)安全，已從一個單純的技術(shù)與產(chǎn)業(yè)問題，逐漸升格為政治與法律的博弈手段，嚴(yán)重威脅到網(wǎng)絡(luò)空間的安全與穩(wěn)定。由于供應(yīng)鏈安全難以通過對現(xiàn)有國際法的解釋適用予以應(yīng)對，國際社會亟需新的特殊規(guī)則。2015年，聯(lián)合國信息安全政府專家組(UN GGE)在其報告文件中提出了11條網(wǎng)絡(luò)空間負(fù)責(zé)任國家行為規(guī)范，其中的第9條便首次就供應(yīng)鏈安全問題給出了國際規(guī)則層面的行為指引。本文以此GGE供應(yīng)鏈規(guī)范(3)本文中各方提出的所有涉及供應(yīng)鏈的規(guī)范統(tǒng)稱為“供應(yīng)鏈規(guī)范”， “GGE供應(yīng)鏈規(guī)范”一詞特指2015年UN GGE報告提出的負(fù)責(zé)任國家行為規(guī)范第9條。文中最后提出的新規(guī)范稱為“總規(guī)范”。為基礎(chǔ)，結(jié)合聯(lián)合國開放式工作組(OEWG)與UN GGE的工作、談判進(jìn)展，研究提出相應(yīng)的改進(jìn)策略。

一、供應(yīng)鏈規(guī)范的興起與發(fā)展

隨著信息通信技術(shù)(ICT)產(chǎn)業(yè)朝著全球互通融合的方向發(fā)展，對供應(yīng)鏈的爭奪已從企業(yè)間單純的市場競爭向國家間的戰(zhàn)略競爭方向延伸，供應(yīng)鏈安全威脅已日益突破國家間的傳統(tǒng)界限而上升到國際層面。同時在網(wǎng)絡(luò)空間的國際立法中，談判所需的高昂時間成本使得以條約、習(xí)慣為代表的“硬法”難以滿足當(dāng)前需求，相對靈活的“軟法”規(guī)范治理開始受到重視。供應(yīng)鏈規(guī)范的興起正是二者相結(jié)合背景下的產(chǎn)物。

(一)全球供應(yīng)鏈安全威脅凸顯

當(dāng)今全球化的信息社會越來越依賴于ICT產(chǎn)品與服務(wù)，其對精密性的極高要求催生了一套復(fù)雜的全球供應(yīng)鏈體系。參考美國標(biāo)準(zhǔn)技術(shù)研究院(NIST)《聯(lián)邦信息系統(tǒng)供應(yīng)鏈風(fēng)險管理實踐標(biāo)準(zhǔn)》文件中的定義：ICT系統(tǒng)的運行依賴于全球分布而又互相聯(lián)系的供應(yīng)鏈生態(tài)系統(tǒng)，該生態(tài)系統(tǒng)包括制造商、供應(yīng)商(網(wǎng)絡(luò)供應(yīng)商和軟硬件供應(yīng)商)、系統(tǒng)集成商、采購商、終端用戶和外部服務(wù)提供商等各類實體，產(chǎn)品和服務(wù)的設(shè)計、研發(fā)、生產(chǎn)、分配、部署和使用等環(huán)節(jié)，以及技術(shù)、法律、政策等軟環(huán)境。(4)參見Jon Boyens et al., Supply Chain Risk Management Practices for Federal Information Systems and Organizations, NIST SP800-161 (Apr. 2015), p.1, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161.pdf，2020年9月14日最后訪問。任何一個環(huán)節(jié)中的風(fēng)險漏洞，都可能給ICT產(chǎn)品與服務(wù)的有效運作帶來巨大威脅。尤其是當(dāng)這類漏洞被網(wǎng)絡(luò)空間中的惡意行為體所利用時，將可能導(dǎo)致數(shù)據(jù)泄露、數(shù)據(jù)受損、系統(tǒng)失靈的后果，嚴(yán)重時甚至可擾亂社會環(huán)境，造成對財產(chǎn)和人員的物理損害。

然而，當(dāng)前在網(wǎng)絡(luò)空間通過供應(yīng)鏈實施的惡意行為屢見不鮮，供應(yīng)鏈攻擊因具有明顯的便捷性、(5)如通過ICT供應(yīng)鏈安插“后門”(back door)、實施遠(yuǎn)程操控等方式獲取情報，可極大的節(jié)約任務(wù)成本，同時避免現(xiàn)實中實施間諜行為所具有的高風(fēng)險性。參見Ariel E. Levite, ICT Supply Chain Integrity: Principles for Governmental and Corporate Policies, Carnegie Endowment for International Peace (Oct. 2019), p.10, https://carnegieendowment.org/files/Levite_SupplyChain_final.pdf，2020年9月14日最后訪問。高效性(6)實施ICT供應(yīng)鏈攻擊與本國的技術(shù)環(huán)境與在供應(yīng)鏈中所處的特殊位置具有緊密聯(lián)系，因而技術(shù)強國、產(chǎn)業(yè)鏈分布集中之國家或地區(qū)具有實施供應(yīng)鏈攻擊的特殊能力，具有不對稱的戰(zhàn)略優(yōu)勢。此外，ICT供應(yīng)鏈攻擊可以直接對關(guān)鍵基礎(chǔ)設(shè)施或重要平臺(如核設(shè)施)實施精準(zhǔn)打擊。參見Ariel E. Levite, ICT Supply Chain Integrity: Principles for Governmental and Corporate Policies, Carnegie Endowment for International Peace (Oct. 2019), p.10. https://carnegieendowment.org/files/Levite_SupplyChain_final.pdf，2020年9月15日最后訪問。與隱蔽性(7)供應(yīng)鏈攻擊由于通?？梢杂邢喈?dāng)一段時間的潛伏期，在攻擊指令激活前不易被察覺，激活后對方也難以及時偵測，“零日漏洞”(zero-day)的存在表明用以避免損害結(jié)果發(fā)生的反應(yīng)時間并不充足。參見Jason Healey, The U.S. Government and Zero-Day Vulnerabilities: From Pre-Heartbleed to Shadow Brokers, Columbia Journal of International Affairs (Nov. 2016), https://jia.sipa.columbia.edu/sites/default/files/attachments/Healey%20VEP.pdf，2020年9月14日最后訪問；同時，當(dāng)前的技術(shù)水平也制約了受害方進(jìn)行準(zhǔn)確歸責(zé)的能力，在網(wǎng)絡(luò)空間如何進(jìn)行國際法上的有效歸責(zé)一直是一個棘手問題。參見Delbert Tran, The Law of Attribution: Rules for Attributing the Source of a Cyber-Attack, Yale Journal of Law & Technology, Vol.20: 1 (2018), pp.376-441；此外，供應(yīng)鏈攻擊還可借助合法的政策目標(biāo)作為偽裝，例如以打擊恐怖主義作為安插“后門”的借口。參見劉晴：《“五眼聯(lián)盟”力推“后門”合法化原因與影響》，載《中國信息安全》2019年第11期。而在實踐中越發(fā)為一些國家所青睞。一方面，通過技術(shù)手段實施的供應(yīng)鏈攻擊，可為國家贏取非對稱的戰(zhàn)略優(yōu)勢。早在2010年，美國與以色列即利用“震網(wǎng)”病毒，“無聲”地實現(xiàn)了打斷伊朗核計劃的戰(zhàn)略目標(biāo)。另一方面，通過政治化渲染，供應(yīng)鏈攻擊也可從廣義上理解為一種干涉和制裁的手段，借助技術(shù)出口管制措施，將供應(yīng)鏈“武器化”。(8)參見王天禪：《美國新興技術(shù)出口管制及其影響分析》，載《信息安全與通信保密》2020年第4期。如美國近段時間以來，借助中興、華為等事件，故意破壞對特定國家產(chǎn)品和服務(wù)的信任，通過逐漸提升對高新技術(shù)的“斷供”和“圍堵”措施，展現(xiàn)出將供應(yīng)鏈作為打擊手段從而破壞其他國家供應(yīng)鏈安全的威力。(9)參見桂暢旎：《對特朗普政府在信息通信領(lǐng)域供應(yīng)鏈安全政策的初步分析》，載《中國信息安全》2019年第6期。2020年新冠疫情下各國廣泛采取的旅游和貿(mào)易限制措施也使得國際供應(yīng)鏈體系受到嚴(yán)重擾亂。疫情對各國供應(yīng)鏈自主性的考驗，觸動了此類國家加緊審視和調(diào)整自身的供應(yīng)鏈政策。疫情因素疊加各國對尖端科技爭奪的大背景，使得“技術(shù)民族主義”正逐漸抬頭。

在這一系列事件的累計作用下，ICT供應(yīng)鏈安全已成為網(wǎng)絡(luò)空間國際治理中的一項熱點議題，其安全與穩(wěn)定亟需制度保障。

(二)作為“軟法”的網(wǎng)絡(luò)空間規(guī)范治理漸趨主流

在當(dāng)前網(wǎng)絡(luò)空間的國際治理中，國際社會借助于UN GGE于2013年所達(dá)成的一份具有里程碑意義的報告文件，已就國際法原則上適用于網(wǎng)絡(luò)空間達(dá)成了重要共識。(10)參見United Nations General Assembly, Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, A /68 /98*, 24 June 2013, p.8, https://undocs.org/A/68/98，2020年9月15日最后訪問。而2015年報告則更進(jìn)一步提出了11條負(fù)責(zé)任國家行為規(guī)范作為對現(xiàn)有國際法適用于網(wǎng)絡(luò)空間中的重要補充，確認(rèn)了以這種自愿性、不具約束力的“軟法”規(guī)范來促進(jìn)國家在網(wǎng)絡(luò)空間中有序行為的主要規(guī)制方式。(11)參見黃志雄：《網(wǎng)絡(luò)空間負(fù)責(zé)任國家行為規(guī)范：源起、影響和應(yīng)對》，載《當(dāng)代法學(xué)》2019年第1期。此種規(guī)范治理既源于美國為代表的西方發(fā)達(dá)國家的推動，也源于中俄等為代表的發(fā)展中國家的認(rèn)可：一方面，西方國家主張規(guī)范以其靈活的治理形式，更能適應(yīng)不斷變動的技術(shù)特征，同時可借以繞開中俄等國呼吁制定有約束力的網(wǎng)絡(luò)空間條約的“不成熟”主張。(12)對美國等西方國家而言，當(dāng)前談判網(wǎng)絡(luò)空間條約的“不成熟”不僅在于國際層面上尚缺乏規(guī)則共識，還在于國內(nèi)程序上的制約。對于美國來說，條約在簽訂后需要經(jīng)過國會的批準(zhǔn)，其不僅耗費時間，而且還面臨不被通過的風(fēng)險。采用規(guī)范的形式則僅僅需要行政部門的授權(quán)即可，大大提高了美國政府參與國際規(guī)則塑造過程中的靈活性。參見Martha Finnemore & Ducan B. Hollis, Constructing Norms for Global Cybersecurity, The American Journal of International Law, Vol.110: 3 (Jul. 2016), pp.469-470.最重要的是，相較于條約只能由政府參與制定，規(guī)范可由企業(yè)、國際組織等非國家行為體提出的特性，(13)參見Martha Finnemore, Cybersecurity and the Concept of Norms, Carnegie Endowment for International Peace (Nov. 2017), p.3, https://carnegieendowment.org/files/Finnemore_web_final.pdf，2020年9月16日最后訪問。更好地契合了西方國家所倡導(dǎo)的“多利益攸關(guān)方”(multi-stakeholder)治理模式，(14)參見Eric Rosenbach & Shu Min Chong, Governing Cyberspace: State Control vs. The Multistakeholder Model, Belfer Center for Science and International Affairs, Harvard Kennedy School (Aug. 2019), https://www.belfercenter.org/publication/governing-cyberspace-state-control-vs-multistakeholder-model#toc-3-0-0，2020年9月15日最后訪問。方便其借助自身成熟的公民社會，鞏固網(wǎng)絡(luò)空間國際規(guī)則制定中的話語權(quán)優(yōu)勢地位。另一方面，規(guī)范被中俄等國視為在具有濃厚西方價值觀色彩的傳統(tǒng)國際法外開辟更廣闊規(guī)則塑造空間的重要路徑。以2011年上合組織成員國向聯(lián)大提交的《信息安全國際行為準(zhǔn)則》為代表，中俄等國最早提出了一套完整的網(wǎng)絡(luò)空間行為規(guī)范，意圖為網(wǎng)絡(luò)空間新規(guī)則的構(gòu)建引入范本。

正因如此，盡管網(wǎng)絡(luò)空間的國際治理體系正呈現(xiàn)出國際法、“軟法”規(guī)范、政治聲明、技術(shù)標(biāo)準(zhǔn)、社群倡議等治理措施并存的所謂“機制復(fù)合”(regime complex)現(xiàn)象，(15)參見Joseph S. Nye Jr., The Regime Complex for Governing Global Cyber Activities, Global Commission on Internet Governance Paper Series, 1. (May. 2014).規(guī)范治理正逐漸成為其中的主流。在聯(lián)合國大會2018年對成立聯(lián)合國信息安全開放式工作組(OEWG)和新一屆UN GGE的工作授權(quán)中，推動負(fù)責(zé)任國家行為規(guī)范的進(jìn)一步實施與發(fā)展是其二者兼具的重要工作目標(biāo)。

在以上雙重背景的作用下，各方開始加速搶占供應(yīng)鏈安全領(lǐng)域的國際規(guī)則主導(dǎo)權(quán)，并以GGE供應(yīng)鏈規(guī)范為基礎(chǔ)達(dá)成了初步共識。

(三)GGE供應(yīng)鏈規(guī)范的誕生

當(dāng)前各種供應(yīng)鏈規(guī)范中，最重要、最有影響的無疑是UN GGE的工作成果。早在2010年，UN GGE的一份報告即呼吁各國關(guān)注供應(yīng)鏈中的安全風(fēng)險，提到“各國擔(dān)心，信通技術(shù)供應(yīng)鏈會受到影響或破壞而妨礙正常、安全、可靠地使用信通技術(shù)。在信通技術(shù)中安裝惡意隱蔽功能會破壞對產(chǎn)品和服務(wù)的信心，削弱商業(yè)信任，并影響國家安全”。2013年UN GGE的報告建議：“各國應(yīng)鼓勵私營部門和公民社會在加強信通技術(shù)使用安全方面發(fā)揮適當(dāng)作用，包括信通技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈的安全。”隨后，UN GGE的2015年報告歷史性地提出了11條負(fù)責(zé)任國家行為規(guī)范，其中第9 條對各國如何確保ICT供應(yīng)鏈安全給出了專門指引：“各國應(yīng)采取合理措施，確保供應(yīng)鏈的完整性，使終端用戶可以對信通技術(shù)產(chǎn)品的安全性有信心。各國應(yīng)設(shè)法防止惡意信通技術(shù)工具和技術(shù)的擴散以及使用有害的隱蔽功能?！?/p>

然而，GGE供應(yīng)鏈規(guī)范的誕生并未給該領(lǐng)域的討論畫下句號，各方仍在積極通過各種平臺補充新的規(guī)范提議，使得供應(yīng)鏈規(guī)范得以大量涌現(xiàn)。

(四)其他平臺供應(yīng)鏈規(guī)范的擴增

在GGE供應(yīng)鏈規(guī)范誕生后，作為對它的細(xì)化或補充，大量供應(yīng)鏈規(guī)范開始相繼出現(xiàn)于其它多邊平臺中。例如，在2018年11月12日，法國主導(dǎo)提出了《網(wǎng)絡(luò)空間信任和安全巴黎倡議》(簡稱《巴黎倡議》)，提議“強化數(shù)字流程、產(chǎn)品和服務(wù)在其整個生命周期和供應(yīng)鏈中的安全性”。(16)Paris Call for Trust and Security in Cyberspace, France Diplomatie, https://www.diplomatie.gouv.fr/en/french-foreign-policy/digital-diplomacy/france-and-cyber-security/article/cybersecurity-paris-call-of-12-november-2018-for-trust-and-security-in，2020年9月16日最后訪問。

在跨國企業(yè)主導(dǎo)的多方合作倡議中，微軟于2017年提出《數(shù)字日內(nèi)瓦公約》，呼吁國家“避免在大眾市場的商業(yè)技術(shù)產(chǎn)品中插入或要求設(shè)置‘后門’”。(17)Brad Smith, The need for a Digital Geneva Convention, Microsoft (Feb.2017), https://blogs.microsoft.com/on-the-issues/2017/02/14/need-digital-geneva-convention/，2020年9月16日最后訪問。次年2018年4月，微軟又聯(lián)合了其它33家大型科技企業(yè)，啟動并簽署了網(wǎng)絡(luò)安全《技術(shù)協(xié)議》，從企業(yè)自律的視角要求簽署者“在技術(shù)產(chǎn)品和服務(wù)的開發(fā)、設(shè)計、銷售和使用過程中防止其被篡改和利用”。(18)Cybersecurity Tech Accord, Microsoft (Apr.2018), https://cybertechaccord.org/about/，2020年9月16日最后訪問。同年，西門子也攜手合作伙伴簽署了網(wǎng)絡(luò)安全《信任憲章》，提出了企業(yè)與政府在數(shù)字供應(yīng)鏈中應(yīng)肩負(fù)的行為責(zé)任。(19)The Charter of Trust, Siemens (Feb 2018), https://www.charteroftrust.com/about/, 2020年9月18日最后訪問。

在多利益攸關(guān)方合作平臺中，全球網(wǎng)絡(luò)空間穩(wěn)定委員會(GCSC)在2019年11月發(fā)布了名為《推進(jìn)網(wǎng)絡(luò)空間穩(wěn)定》的最終報告文件，提出了8條具體規(guī)范作為該委員會的最終工作成果，其中的第3條要求：“國家和非國家行為體不應(yīng)干預(yù)或篡改處于生產(chǎn)過程中的產(chǎn)品和服務(wù)，同時應(yīng)積極防止此類行為發(fā)生，以避免損害網(wǎng)絡(luò)空間穩(wěn)定?！?20)Advancing Cyberstability: Final Report, Global Commission on the Stability of Cyberspace (Nov. 2019), https://cyberstability.org/wp-content/uploads/2019/11/Digital-GCSC-Final-Report-Nov-2019_LowRes.pdf，2020年9月17日最后訪問。

由此可見，通過利用多樣化渠道，各方正踴躍表達(dá)自身對供應(yīng)鏈安全的關(guān)切。但與此同時，隨著越來越多的國家及非國家行為體的加入，規(guī)范治理進(jìn)程中的碎片化傾向愈趨明顯，不同規(guī)范間難免存在著重復(fù)、抵觸乃至沖突的現(xiàn)象。

因而，當(dāng)前國際規(guī)則博弈中有關(guān)供應(yīng)鏈安全的爭議焦點在于：作為共識基礎(chǔ)的GGE供應(yīng)鏈規(guī)范是否足以應(yīng)對當(dāng)前的安全威脅？我們需要的是何種新規(guī)范？對此，本文的回答是現(xiàn)有GGE供應(yīng)鏈規(guī)范并不完善，未來新規(guī)范的補充勢在必行。

二、供應(yīng)鏈規(guī)范的內(nèi)容解析

2015年的GGE供應(yīng)鏈規(guī)范要求：“各國應(yīng)采取合理措施，確保供應(yīng)鏈的完整性，使終端用戶可以對信通技術(shù)產(chǎn)品的安全性有信心。各國應(yīng)設(shè)法防止惡意信通技術(shù)工具和技術(shù)的擴散以及使用有害的隱蔽功能。”通過對該規(guī)范所包含構(gòu)成要件的分析，筆者認(rèn)為，該規(guī)范既有一定的可取之處，但也同時蘊藏風(fēng)險和缺陷，需引起警覺并加以改進(jìn)。

(一)規(guī)范的結(jié)構(gòu)體系

從結(jié)構(gòu)上看，GGE供應(yīng)鏈規(guī)范由前后兩句組成。第一句確立了對供應(yīng)鏈的總體保護原則，要求各國積極采取措施保障供應(yīng)鏈的完整性，該保護行為的目的是確保終端產(chǎn)品的安全。第二句則從防止惡意技術(shù)擴散和使用有害隱蔽功能的具體行為層面，從規(guī)范目的出發(fā)強調(diào)了防止此類行為的后果。就行為方式而言，不同于其它平臺提出的供應(yīng)鏈規(guī)范，該規(guī)范既有要求積極作為的義務(wù)，也有要求消極不作為的義務(wù)。(21)參見Oleg Demidov & Giacomo Persi Paoli, Supply Chain Security in the Cyber Age: Sector Trends, Current Threats and Multi-Stakeholder Responses, UNIDIR (2020) , pp.47-51, https://css.ethz.ch/content/dam/ethz/special-interest/gess/cis/center-for-securities-studies/resources/docs/UNIDIR_Supply-Chain-Security-in-the-Cyber%20Age.pdf，2020年9月18日最后訪問。

對于兩部分間的關(guān)聯(lián)問題，第二句應(yīng)理解為是對第一句的細(xì)化和強調(diào)，并在相當(dāng)程度上構(gòu)成了對其保護范圍的限縮。原因在于：首先，第一款實際暗中指向第二款所述的保護情形，使用有害的隱蔽功能實際上即指安插“后門”一類的供應(yīng)鏈攻擊方式，直接損害了供應(yīng)鏈的完整性，使得遭到惡意篡改的產(chǎn)品當(dāng)然地?zé)o法滿足終端用戶所期望的安全需求。其次，從UN GGE的談判歷程來看，保護供應(yīng)鏈安全項下的討論一直聚焦于使用有害的隱蔽功能這一特殊情形。例如，相比于2010年報告，2013年UN GGE的報告中沒有再以“供應(yīng)鏈會受到影響或破壞而妨礙正常、安全、可靠地使用信通技術(shù)”的宏觀表述去陳述供應(yīng)鏈安全威脅，而是具體表述為：“各國感到關(guān)切的是，把有害的隱蔽功能嵌入信通技術(shù)，即可影響信通技術(shù)的安全、可靠使用，影響信通技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈，削弱商業(yè)信任，并破壞國家安全?！倍?017年未能出臺的UN GGE報告草案中，對執(zhí)行GGE供應(yīng)鏈規(guī)范所給出的指引也專注于“各國應(yīng)采取措施，防止包括私營部門在內(nèi)的非國家行為體出于自身目的或其他非國家行為體的目的而使用有害的隱蔽功能，損害本國或他國領(lǐng)土內(nèi)之第三方的利益”，以及“建立可減輕對信息通信技術(shù)產(chǎn)品中有害的隱蔽功能的擔(dān)憂的信任措施，并鼓勵私營部門和公民社會在其中發(fā)揮適當(dāng)作用”。(22)參見Oleg Demidov & Giacomo Persi Paoli, Supply Chain Security in the Cyber Age: Sector Trends, Current Threats and Multi-Stakeholder Responses—TECHNICAL COMPENDIUM, UNIDIR (2020) , pp.68-69, https://unidir.org/sites/default/files/2020-02/Technical%20Compendium%20for%20Supply%20Chain%20Security%20in%20the%20Cyber%20Age.pdf，2020年9月18日最后訪問。因此，防止使用有害的隱蔽功能才是GGE供應(yīng)鏈規(guī)范意圖規(guī)制的核心行為。

(二)規(guī)范的意義與特點

就GGE供應(yīng)鏈規(guī)范本身在國際上已取得的影響而言，其意義是顯著的，至少有以下三個方面的特點：

首先，該規(guī)范具有開創(chuàng)性。作為國際上第一條真正意義上的供應(yīng)鏈規(guī)范， GGE供應(yīng)鏈規(guī)范的誕生，意味著將供應(yīng)鏈安全問題正式引入了網(wǎng)絡(luò)空間國際規(guī)則討論的多邊框架內(nèi)，使對供應(yīng)鏈安全問題的關(guān)注度超越了技術(shù)標(biāo)準(zhǔn)與國內(nèi)法層面，進(jìn)入到全新的國際規(guī)則領(lǐng)域。

其次，該規(guī)范具備權(quán)威性。不同于其它平臺的供應(yīng)鏈規(guī)范尚處于提案或倡議階段，GGE供應(yīng)鏈規(guī)范作為當(dāng)前國際社會就供應(yīng)鏈安全問題達(dá)成的唯一普遍共識，不僅獲得聯(lián)合國大會決議通過，還于G7、G20、東盟峰會等多邊場合中被一再重申。盡管不具有約束力，但作為國際軟法，其勸告和引導(dǎo)的作用效力是顯著的，擁有發(fā)展與塑造新的國際法規(guī)則的巨大潛力。(23)參見何志鵬：《逆全球化潮流與國際軟法的趨勢》，載《武漢大學(xué)學(xué)報(哲學(xué)與社會科學(xué)版)》2017年第4期。英國、加拿大、澳大利亞、東盟等國家和區(qū)域組織也在積極推動規(guī)范在本國或本地區(qū)的實施。相比之下，盡管《巴黎倡議》也獲得了部分國家、跨國企業(yè)和國際組織的支持，但其本身意在開辟中美互聯(lián)網(wǎng)治理模式間的第三條道路的特性，(24)參見黃志雄：《互聯(lián)網(wǎng)監(jiān)管的“道路之爭”及其規(guī)則意蘊》，載《法學(xué)評論》2019年第5期。決定了在缺乏中美等網(wǎng)絡(luò)大國直接支持的背景下，影響的范圍仍具有局限性。而其它如GCSC報告、微軟和西門子的提案也只是反映了某一類利益攸關(guān)方的利益關(guān)切。

最后，該規(guī)范擁有可擴展性。在提出該規(guī)范的2015年UN GGE報告中，已意識到其作為特定時期內(nèi)特定國家間利益妥協(xié)的產(chǎn)物，時效性和完整性必然有所欠缺。故明確指出“鑒于信通技術(shù)的獨特屬性，可能需要在一段時間后制定更多規(guī)范”，為新規(guī)范的補充提供了可能。因此，良好的擴展性不僅可以保證規(guī)范在技術(shù)的變遷下保持持久的生命力，還可以修正因此前UN GGE進(jìn)程中專家成員代表性限制問題而導(dǎo)致的利益失衡。(25)參見戴麗娜，鄭樂鋒：《聯(lián)合國網(wǎng)絡(luò)安全規(guī)則進(jìn)程的新進(jìn)展及其變革與前景》，載《國外社會科學(xué)前沿》2020年第4期。特別是在2019年，聯(lián)合國開啟了具有廣泛包容性的OEWG進(jìn)程后，許多首次獲得參與機會的發(fā)展中國家和國際組織代表，無論在正式會議抑或是與多利益攸關(guān)方的非正式磋商中，都明確表達(dá)了期望補充新規(guī)范的立場。

(三)規(guī)范蘊含的風(fēng)險與缺陷

之所以會有補充新規(guī)范的必要，是因為當(dāng)前GGE供應(yīng)鏈規(guī)范仍不乏風(fēng)險與缺陷。為此，本文梳理了當(dāng)前GGE供應(yīng)鏈規(guī)范中可能存有爭議的五大方面，吁請各方警覺并擇機改進(jìn)。

1.尚待明確的“合理措施”(reasonable steps)。GGE供應(yīng)鏈規(guī)范要求各國采取合理措施來保障供應(yīng)鏈安全，但首先何為合理措施不明確。(26)參見Tim Maurer, A Dose of Realism: The Contestation and Politics of Cyber Norms, Hague Journal on the Rule of Law (2020), pp. 283-305.對于措施合理性的統(tǒng)一判斷，當(dāng)前不僅缺乏專門針對此類行為形成的官方解釋或指南文件，也缺乏國際法提供的明確背書。例如，有學(xué)者分析指出：GGE供應(yīng)鏈規(guī)范立基于國際法上的審慎原則，國家所需采取的措施理應(yīng)滿足審慎義務(wù)的標(biāo)準(zhǔn)要求。(27)參見Zine Homburger, Conceptual Ambiguity of International Norms on State Behavior in Cyberspace, EU Cyber Direct (Apr. 2019), p.16, https://eucyberdirect.eu/wp-content/uploads/2019/05/zine-homburger-conceptual-ambiguity-of-norms-april-2019-eucyberdirect.pdf，2020年9月19日最后訪問。然而，并非所有國家都贊同審慎原則當(dāng)然地適用于網(wǎng)絡(luò)空間，作為各方爭論的焦點，對于網(wǎng)絡(luò)環(huán)境下國家承擔(dān)怎樣的審慎義務(wù)是極具爭議而不明確的，(28)參見Peter Z. Stockburger, From grey zone to customary international law: How adopting the precautionary principle may help crystallize the due diligence principle in cyberspace, 2018 10th International Conference on Cyber Conflict (CyCon), Tallinn, 2018, pp. 245-262.存在內(nèi)涵、適用標(biāo)準(zhǔn)以及適用條件等上的不確定性。(29)參見張華：《論非國家行為體之網(wǎng)絡(luò)攻擊的國際法律責(zé)任問題——基于審慎原則的分析》，載《法學(xué)評論》2019年第5期。盡管有學(xué)者通過梳理國家實踐，試圖找出當(dāng)前各國在審慎義務(wù)要求下所應(yīng)采取的合理措施范圍，但這些涵蓋法律、技術(shù)、組織、合作的措施總體上看仍是不完全且寬泛的，僅具指向性而非約束性的。(30)參見Antonio Coco & Talita de Souza Dias, States’ Duty of Due Diligence in Cyberspace, presentation at ESIL KRAKW-LEIDEN SYMPOSIUM: Exploring the Frontiers of International Law in Cyberspace (Dec. 2020).

其次，國家采取合理措施的能力與其技術(shù)能力緊密相關(guān)，國際法上的審慎義務(wù)也只要求國家在知情與能力的范圍內(nèi)采取行動，制約了合理性標(biāo)準(zhǔn)的客觀統(tǒng)一性。ICT供應(yīng)鏈往往涉及到復(fù)雜精密的技術(shù)，對國家的風(fēng)險識別和管控能力要求較高，加之國際上針對網(wǎng)絡(luò)攻擊歸因的非公開性特點，(31)通過發(fā)表演說、公布國家立場文件等方式，大多數(shù)已表明觀點的國家目前都明確承認(rèn)歸因的非公開性，這些國家具體包括英國、美國、法國、澳大利亞、荷蘭。參見Przemysaw Roguski, Application of International Law to Cyber Operations: A Comparative Analysis of States’ Views, The Hague Program For Cyber Norms Policy Brief (Mar. 2020), pp.13-17.加劇了網(wǎng)絡(luò)能力匱乏國家受到不合理歸因的可能性。故而，一定的能力是使規(guī)范獲得有效推行的前提條件。(32)參見Zine Homburger, The Necessity and Pitfall of Cybersecurity Capacity Building for Norm Development in Cyberspace, Global Society, Vol.33: 2 (Jan. 2019), pp.230-231.正如有評論認(rèn)為：各方還應(yīng)非常重視能力建設(shè)措施，通過提升關(guān)鍵節(jié)點的技術(shù)能力，幫助其完善法治環(huán)境，并在必要時提供協(xié)助來保障供應(yīng)鏈安全。(33)參見Caitriona Heinl, Recommendation 13(i), in Voluntary, Non-Binding Norms for Responsible State Behavior in the Use of Information and Communications Technology: A Commentary, New York: United Nations Publications (2017), pp. 234-235.

最后，國家是否采取了合理措施由誰來判定？(34)參見Tim Maurer, A Dose of Realism: The Contestation and Politics of Cyber Norms, Hague Journal on the Rule of Law (2020), pp. 283-305.理論上，規(guī)范既不同于事后(expost)對行為進(jìn)行評價的標(biāo)準(zhǔn)，也不同于事前(exante)對行為進(jìn)行指導(dǎo)的原則與對行為進(jìn)行規(guī)制的規(guī)則，(35)參見Martha Finnemore & Ducan B. Hollis, Constructing Norms for Global Cybersecurity, The American Journal of International Law, Vol.110: 3 (Jul. 2016), p.441.規(guī)范指的是“給定群體范圍內(nèi)對成員恰當(dāng)行為的共同期望”。(36)參見Peter J. Katzenstein, Introduction: Alternative Perspectives on National Security, in Peter J. Katzenstein ed., The Culture of National Security: Norms and Identity in World Politics, Columbia University Press, 1996.因而對于這樣一條不具約束力的規(guī)范來說，理論上無所謂來源于更高位階者的權(quán)威評判，有的只是來自同集體成員間的評價。然而當(dāng)前各方不僅缺乏實施規(guī)范的具體舉措的共同理解，集體監(jiān)督機制的缺失也制約了實踐中采取措施的統(tǒng)一性。此時，互相間借助“點名羞辱”(naming and shaming)甚至指控(accusation)的方式對自認(rèn)為違反規(guī)范的國家施加惡名評價，(37)參見Martha Finnemore & Duncan B. Hollis, Beyond Naming and Shaming: Accusations and International Law in Cybersecurity, European Journal of International Law (forthcoming 2020).以達(dá)到單邊推動規(guī)范遵行并推廣自身行為標(biāo)準(zhǔn)的目的，(38)例如美國等27國在2019年9月發(fā)表聯(lián)合聲明，意圖在集體自愿的基礎(chǔ)上共同采取措施，要求違反規(guī)范的國家為惡意行為承擔(dān)后果。參見Joint Statement on Advancing Responsible State Behavior in Cyberspace, U.S. Department of Sates (Sep. 2019), https://www.state.gov/joint-statement-on-advancing-responsible-state-behavior-in-cyberspace/，2020年9月19日最后訪問。只能是助長了無序環(huán)境中的混亂。

2.片面地以“完整”(integrity)促“安全”(security)。從條文表述來看，GGE供應(yīng)鏈規(guī)范中的首要關(guān)切是確保完整性，并進(jìn)而促進(jìn)安全性。由此可見，安全保障只是附隨于完整性保障的結(jié)果，完整性保障水平的高低決定了供應(yīng)鏈的安全層次。盡管完整性的概念并不是固定的，根據(jù)定義場景與使用背景的不同而可能內(nèi)在地包含一定的安全性因素，(39)參見Supply Chain Integrity: An Overview of the ICT Supply Chain Risks and Challenges, and Vision for the Way Forward, European Union Agency for Cybersecurity (Aug. 2015), https://www.enisa.europa.eu/publications/sci-2015，2020年9月19日最后訪問。然而關(guān)于廣義上的供應(yīng)鏈安全具體包含哪些要件當(dāng)前尚無統(tǒng)一概念，美國NIST的指南文件中就區(qū)分出了安全、完整、彈性和優(yōu)質(zhì)四大要素。參見Jon Boyens et al., Supply Chain Risk Management Practices for Federal Information Systems and Organizations, NIST SP800-161 (Apr. 2015), p.3, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161.pdf，2020年9月20日最后訪問。但只對供應(yīng)鏈完整性進(jìn)行強調(diào)，恰恰在一定程度上反映了對使用有害的隱蔽功能這一具體情形的過度關(guān)注。如同其它平臺提出的供應(yīng)鏈規(guī)范也多類似地聚焦于植入“后門”問題，如此有限的保護范圍使得完整性保障并不能反映供應(yīng)鏈安全的全貌。該規(guī)范之所以強調(diào)以“完整”促“安全”，筆者認(rèn)為更多的是反映西方國家的利益和關(guān)切。對此，首先針對整個供應(yīng)鏈生態(tài)系統(tǒng)，筆者將之劃分為兩類安全觀，一是西方國家所倚重的“技術(shù)安全觀”，更為關(guān)注的是供應(yīng)鏈中所潛藏的技術(shù)攻擊威脅；二是中國等發(fā)展中國家所注重的“環(huán)境安全觀”，更為關(guān)注的是對圍繞供應(yīng)鏈的法律、政策、市場等軟環(huán)境造成的干預(yù)和擾亂。導(dǎo)致兩種安全觀之間差異的因素是各方對供應(yīng)鏈安全威脅的不同感知。

然而這樣的“技術(shù)安全觀”并不完善，“環(huán)境安全觀”的補充則更能呈現(xiàn)出整個供應(yīng)鏈的安全全貌。早在2011年，中俄等上合組織成員國提出的《信息安全國際行為準(zhǔn)則》中就提出了自身的供應(yīng)鏈規(guī)范，該規(guī)范在2015年更新后指出：各國應(yīng)承諾“努力確保信息技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈的安全，防止他國利用自身資源、關(guān)鍵設(shè)施、核心技術(shù)、信息通訊技術(shù)產(chǎn)品和服務(wù)、信息通訊網(wǎng)絡(luò)及其他優(yōu)勢，削弱接受上述行為準(zhǔn)則國家對信息通訊技術(shù)產(chǎn)品和服務(wù)的自主控制權(quán)，或威脅其政治、經(jīng)濟和社會安全?！?44)《信息安全國際行為準(zhǔn)則(2015年版)》，載外交部網(wǎng)站2015年3月5日，http://infogate.fmprc.gov.cn/web/ziliao_674904/tytj_674911/zcwj_674915/t858317.shtml，2020年9月19日最后訪問。中國于2017年發(fā)布的《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》中，也尤其強調(diào)了“各國不得利用信息通信技術(shù)干涉別國內(nèi)政，不得利用自身優(yōu)勢損害別國信息通信技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈安全”的規(guī)范要求。(45)《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》，中央網(wǎng)信辦網(wǎng)站2017年3月1日，http://www.cac.gov.cn/2017-03/01/c_1120552617.htm，2020年9月19日最后訪問。在2019年OEWG第一次會議有關(guān)負(fù)責(zé)任國家行為規(guī)范的討論中，中國更是提出了多條新供應(yīng)鏈規(guī)范，包括：“各國應(yīng)維護公平、公正、非歧視的營商環(huán)境。不應(yīng)濫用‘國家安全’理由限制正常信息通信技術(shù)發(fā)展與合作、限制信息通信技術(shù)產(chǎn)品的市場準(zhǔn)入及高新技術(shù)產(chǎn)品出口?！?46)聯(lián)合國信息安全開放式工作組中方立場文件，https://www.un.org/disarmament/wp-content/uploads/2019/09/china-submissions-oewg-ch.pdf，2020年9月19日最后訪問。在2020年3月公布的OEWG首份報告草案中，多項考慮擬定的新規(guī)范中只是就供應(yīng)鏈安全問題籠統(tǒng)地提及：“有國家表示出于對有害隱蔽功能的擔(dān)憂，需進(jìn)一步增進(jìn)供應(yīng)鏈的完整性，加強漏洞通報的責(zé)任。”(47)Initial “Pre-draft” of the report of the OEWG on developments in the field of information and telecommunications in the context of international security, p.7, https://unoda-web.s3.amazonaws.com/wp-content/uploads/2020/03/200311-Pre-Draft-OEWG-ICT.pdf, 2020年9月19日最后訪問。這不僅沒有明確吸納中國等國提及的保護供應(yīng)鏈不受惡意政策擾亂的安全關(guān)切，也未能對已有規(guī)范形成實質(zhì)性突破。(48)陳徽、夏宇清：《2020年上半年國際供應(yīng)鏈安全形勢與對策建議》，載《中國信息安全》2020年第7期。為此，中國在對報告草案的評論中再次強調(diào)了增添保障供應(yīng)鏈環(huán)境安全穩(wěn)定的新規(guī)范的堅定立場，(49)China’s Contribution to the Initial Pre-Draft of OEWG Report, https://front.un-arm.org/wp-content/uploads/2020/04/china-contribution-to-oewg-pre-draft-report-final.pdf, 2020年9月20日最后訪問。并得到了來自俄羅斯的全力支持。(50)Commentary of the Russian Federation on the Initial “Pre-Draft” of the Final Report of the United Nations Open-ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security, https://front.un-arm.org/wp-content/uploads/2020/04/russian-commentary-on-oweg-zero-draft-report-eng.pdf, 2020年9月20日最后訪問。有關(guān)新規(guī)范的部分內(nèi)容還延續(xù)反映在了2020年9月8日提出的《全球數(shù)據(jù)安全倡議》中，(51)參見《全球數(shù)據(jù)安全倡議》，載外交部網(wǎng)站2020年9月8日，https://www.fmprc.gov.cn/web/wjbzhd/t1812949.shtml，2020年9月20日最后訪問進(jìn)一步顯示出中國對于供應(yīng)鏈環(huán)境安全的高度關(guān)切與迫切需求。

理論上，根據(jù)國際法院在“尼加拉瓜”案中確定的傳統(tǒng)干涉公式，干涉必須具有強迫性(coercion)。(55)參見Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. United States of America), Merits, Judgment. I.C.J. Reports 1986.在第9版《奧本海國際法》中也指出，干涉是“一個國家對另一個國家的事務(wù)的強制的或?qū)嗟母深A(yù)，旨在針對另一個國家強加某種行為或后果”。(56)[英]詹寧斯、瓦茨修訂：《奧本海國際法(第9版)》，王鐵崖等譯，中國大百科全書出版社1995年版，第313-315頁。在一個國際互賴日益加深、國際分工高度成熟分化的全球ICT產(chǎn)業(yè)體系中，美國作為高端技術(shù)壟斷者，單方面對中國的華為等公司施加高端技術(shù)貿(mào)易禁令的制裁措施，并在中美貿(mào)易戰(zhàn)導(dǎo)致“技術(shù)脫鉤”風(fēng)險加劇的背景下，要求他國就相關(guān)技術(shù)問題“選邊站隊”的行為，乃是通過供應(yīng)鏈綁架他國利益，迫使他國做出符合自身目標(biāo)的政策調(diào)整，不適當(dāng)?shù)赜绊懥怂麌闹鳈?quán)意愿，無疑具有明顯的強迫性因素，構(gòu)成經(jīng)濟干涉。早在2012年聯(lián)合國人權(quán)事務(wù)高級專員辦事處在關(guān)于單方面強制性措施對享受人權(quán)的影響的專題研究報告中即指出：“具有經(jīng)濟性質(zhì)的單方面強制性措施可能會構(gòu)成非法干涉的觀點已成為一種日益加強的趨勢，并為許多會員國所認(rèn)可?！?57)United Nations Human Rights Council, Thematic study of the Office of the United Nations High Commissioner for Human Rights on the impact of unilateral coercive measures on the enjoyment of human rights, including recommendations on actions aimed at ending such measures*, A/HRC/19/33, 11 January 2012, p.5, https://undocs.org/A/HRC/19/33，2020年9月19日最后訪問。

換一個角度來說，現(xiàn)代國際法對非強迫性干涉行為可以構(gòu)成國際法上禁止的非法干涉的觀點也持越來越開放的態(tài)度。這一派觀點認(rèn)為國際法禁止的干涉絕大多數(shù)都是強迫性干涉，但也存在極個別非強迫性干涉的情況。(58)參見陳一峰：《論當(dāng)代國際法上的不干涉原則》，北京大學(xué)出版社2013年版，第120頁。對于一個高度交融的國際經(jīng)濟體系，應(yīng)當(dāng)謹(jǐn)慎區(qū)分出非強迫性干涉與正常國際影響間的界限，此界限取決于干涉對象所涉及到的一國法律利益的重要性和敏感性程度。根據(jù)滑動比例理論，當(dāng)干涉對象的重要性和敏感性程度越高，認(rèn)定其構(gòu)成非法干涉的手段之強迫性程度要求就越低。(59)參見陳一峰：《論當(dāng)代國際法上的不干涉原則》，北京大學(xué)出版社2013年版，第153-154頁。就“環(huán)境安全觀”下所感知的供應(yīng)鏈干預(yù)而言，干預(yù)行為的最終目的在于擾亂一國的戰(zhàn)略目標(biāo)，乃至在法律、政策和市場環(huán)境等方面的主權(quán)事務(wù)。對于5G等構(gòu)筑下一代關(guān)鍵基礎(chǔ)設(shè)施的新興技術(shù)而言，由于其關(guān)系到國家的長期重大戰(zhàn)略利益，關(guān)涉國家總體安全，重要性和敏感性程度顯著高于一般的經(jīng)濟活動。(60)參見付玉輝：《從國家總體安全觀到5G產(chǎn)業(yè)安全戰(zhàn)略》，載《中國信息安全》2019年第7期。即便手段的強迫性特征不甚明顯，也使得此類干預(yù)行為更易落入非強迫性干涉的范圍之內(nèi)。

實踐中，西方發(fā)達(dá)國家利用自身作為供應(yīng)鏈頂端的優(yōu)勢推行對外政策的做法也由來已久?！半S著國際經(jīng)濟的一體化，企業(yè)社會責(zé)任運動已逐漸擴展至跨國企業(yè)的供應(yīng)鏈上，并蔓延到非跨國企業(yè)的商業(yè)行為當(dāng)中，從而形成了普遍意義上的企業(yè)的社會責(zé)任”。(61)李雪平：《企業(yè)社會責(zé)任問題給國際法帶來的挑戰(zhàn)》，載《法學(xué)評論》2007年第5期，第85頁在這一進(jìn)程中，企業(yè)社會責(zé)任的國際標(biāo)準(zhǔn)化使得其效力超越了傳統(tǒng)的國際關(guān)系的范圍?！凹词褂兄鳈?quán)國家對企業(yè)社會責(zé)任的國際標(biāo)準(zhǔn)‘拒之門外’，但其他國家國內(nèi)企業(yè)對該標(biāo)準(zhǔn)的適用及其在國際商業(yè)競爭中的要求，必然會導(dǎo)致該標(biāo)準(zhǔn)的域外效力，從而影響到該主權(quán)國家國內(nèi)的企業(yè)”。(62)李雪平：《企業(yè)社會責(zé)任問題給國際法帶來的挑戰(zhàn)》，載《法學(xué)評論》2007年第5期，第89頁。舉例而言，2010年剛果民主共和國發(fā)生了嚴(yán)重的內(nèi)亂，各方對礦產(chǎn)開采的爭奪明顯促進(jìn)了沖突的傳播。美國作為這類沖突礦產(chǎn)的最主要證券交易市場所在地，通過國內(nèi)出臺《多德—弗蘭克法案》，要求公司盡職調(diào)查是否有涉及到此類礦產(chǎn)的供應(yīng)鏈，并向美國證券交易委員會(SEC)做出披露報告，使得SEC逐漸成為了對證券交易所上市公司供應(yīng)鏈中涉及潛在沖突礦產(chǎn)的管理機構(gòu)。此舉迫使許多無論是否在美國上市的企業(yè)，都傾向于在自身商業(yè)行為準(zhǔn)則中規(guī)避對“沖突礦產(chǎn)”的采購。類似地，歐盟2016年通過的《沖突礦產(chǎn)法規(guī)》也承諾，錫、鉭、鎢、金四種金屬(3TG)的進(jìn)口商將以《OECD關(guān)于來自受沖突影響和高風(fēng)險區(qū)域的礦產(chǎn)的負(fù)責(zé)任供應(yīng)鏈盡職調(diào)查指南》為指導(dǎo)，打破礦產(chǎn)品貿(mào)易為沖突提供資金的惡性循環(huán)。盡管此舉有助于平息紛爭保護人權(quán)，但也成功干預(yù)了國際供應(yīng)鏈對民主剛果礦物的采購，實現(xiàn)了國內(nèi)法/歐盟法的域外效力。

此外，美國近來通過對次級制裁方式日益廣泛且頻繁的使用，也在嚴(yán)重威脅著以主權(quán)平等原則為基礎(chǔ)的國際秩序?！巴ㄟ^對第三國及其個人和實體采取強制性懲罰措施，迫使其停止與被制裁國之間經(jīng)濟往來的方式，顯然違反了尊重他國主權(quán)的義務(wù)，違反了主權(quán)原則與不干涉他國內(nèi)政原則?！?63)楊永紅：《次級制裁及其反制》，載《法商研究》2019年第3期，第172頁。從美國單邊退出伊核協(xié)議后施壓歐盟的次級制裁威脅，到推出針對德國與俄羅斯間“北溪二號”項目的制裁法案，再到以國家安全為由肆意將中國科技公司列入“實體名單”，限制高端芯片及操作系統(tǒng)等軟硬件產(chǎn)品的供應(yīng)并制裁違規(guī)企業(yè)等，美國正以供應(yīng)鏈作為傳導(dǎo)，將施加次級制裁的能力和范圍推向新的高度。這不僅損害了國家間正常的經(jīng)貿(mào)關(guān)系，也給全球政治穩(wěn)定造成了極大破壞。

3.狹窄的“終端用戶”(end user)保護群體。根據(jù)GGE供應(yīng)鏈規(guī)范的表述，保護的對象被設(shè)定為終端用戶，終端用戶是指在ICT系統(tǒng)中所服務(wù)的最終受益者。無疑，西方國家作為世界上ICT產(chǎn)品與服務(wù)的主要消費市場，具有明顯的終端用戶特征，也是許多供應(yīng)鏈攻擊所指向的對象。然而，整個ICT產(chǎn)品與服務(wù)的生命周期內(nèi)所涉供應(yīng)鏈環(huán)節(jié)眾多，任何一個節(jié)點的漏洞都可能給整條供應(yīng)鏈帶來安全威脅，受攻擊的目標(biāo)不只有終端用戶，還包括每一節(jié)點上的供應(yīng)商，因此GGE供應(yīng)鏈規(guī)范保護的覆蓋范圍并不全面。有調(diào)查顯示，企業(yè)對自身防范來自供應(yīng)鏈中商業(yè)伙伴威脅的能力同樣感到普遍焦慮。(64)2019 Global Cyber Risk Perception Survey, Marsh (Sep. 2019), p.18, https://www.microsoft.com/security/blog/wp-content/uploads/2019/09/Marsh-Microsoft-2019-Global-Cyber-Risk-Perception-Survey.pdf，2020年9月19日最后訪問。當(dāng)研發(fā)商惡意提供帶有缺陷的零部件設(shè)計圖紙給制造商，制造商按設(shè)計所指示之步驟進(jìn)行生產(chǎn)時導(dǎo)致設(shè)備毀損，此時便使得非終端用戶的制造商成為了供應(yīng)鏈攻擊的受害者。(65)參見John Villasenor, Compromised By Design? Securing the Defense Electronics Supply Chain, Center for Technology Innovation & Center for 21st Century Security and Intelligence, Brookings (Nov. 2013), https://www.brookings.edu/wp-content/uploads/2016/06/Villasenor_HW_Security_Nov7.pdf，2020年9月19日最后訪問。再如，終端用戶在沒有明顯證據(jù)的情況下，惡意排除特定企業(yè)對市場的參與，損害的恰恰是供應(yīng)商平等參與供應(yīng)鏈的權(quán)利。因此，良好的供應(yīng)鏈生態(tài)不僅需要供應(yīng)鏈上下游間的協(xié)同合作，也需要與終端用戶間培育良好的商業(yè)關(guān)系。

4.缺乏限制的安全“信心”(confidence)標(biāo)準(zhǔn)。GGE供應(yīng)鏈規(guī)范中將供應(yīng)鏈完整性所需達(dá)到的安全評估標(biāo)準(zhǔn)建立于高度不確定的主觀因素上，即達(dá)到終端用戶對“對信通技術(shù)產(chǎn)品的安全性有信心”。

對安全評估標(biāo)準(zhǔn)的如是設(shè)置，積極的一面在于：ICT產(chǎn)品與服務(wù)本就不具有絕對的安全性，科技發(fā)展使得產(chǎn)品和服務(wù)的安全性會隨著時間的流逝而改變，用戶的信心標(biāo)準(zhǔn)也會是一個相應(yīng)的動態(tài)過程，信心標(biāo)準(zhǔn)相當(dāng)于否認(rèn)了絕對的安全觀。該過程中，不同的產(chǎn)品與服務(wù)視特性的不同將承諾不同的保障期限，在安全承諾期限內(nèi)，供應(yīng)商有必要以各種方式確保用戶維持必要的安全信心。比如產(chǎn)品硬件可通過部件升級來提升安全性，軟件服務(wù)則可通過及時的補丁更新以進(jìn)行修補，必要的風(fēng)險提示與漏洞披露政策也都有助于維持用戶的安全信心。這也決定了供應(yīng)商不得利用用戶的依賴性，而強迫用戶采取不必要的升級或更新?lián)Q代等措施，因為這反倒有可能減損信任關(guān)系。

但同時，這一標(biāo)準(zhǔn)消極的一面在于：針對用戶經(jīng)供應(yīng)鏈獲取的產(chǎn)品和服務(wù)，信心不僅可以是源于對技術(shù)的信任，也可以是源于對法律、政策、市場等軟環(huán)境的寬泛的信任，(66)參見Paul Rosenzweig & Claire Vishik, Trusted Hardware and Software: An Annotated Bibliography, Lawfare (Oct. 2020), https://www.lawfareblog.com/trusted-hardware-and-software-annotated-bibliography，2020年12月15日最后訪問。然而這樣的模糊性卻缺乏必要的限制。從美國近來施壓中國企業(yè)的表態(tài)似乎可以看出，美國將自己的信心標(biāo)準(zhǔn)擴張到一個非常寬泛的范圍，其對中國企業(yè)產(chǎn)品的不信任，并不直接來源于產(chǎn)品依賴的技術(shù)本身，而是來自于對中國軟環(huán)境的疑慮。據(jù)美中經(jīng)濟安全審查委員會2018年向國會提交的一份針對美國聯(lián)邦I(lǐng)CT系統(tǒng)中中國供應(yīng)鏈安全隱患的報告顯示，美國認(rèn)為中國的供應(yīng)鏈體系在很大程度上為中國的政治、經(jīng)濟利益服務(wù)。報告中提到：伴隨著政策引導(dǎo)，中國正在向產(chǎn)業(yè)鏈上游擴張，擠壓了外資的生存空間，使得中國得以接觸更多的供應(yīng)鏈節(jié)點，而中國的《國家安全法》和《網(wǎng)絡(luò)安全法》賦予了政府以安全審查的名義，強迫外資提供知識產(chǎn)權(quán)或其他重要商業(yè)財產(chǎn)如源代碼以供審查的權(quán)限，嚴(yán)重威脅了美國聯(lián)邦政府的ICT系統(tǒng)安全。(67)參見Supply Chain Vulnerabilities from China in U.S. Federal Information and Communications Technology, U.S.-China Economic and Security Review Commission (Apr. 2018), pp.19-23. https://www.uscc.gov/sites/default/files/Research/Interos_Supply%20Chain%20Vulnerabilities%20from%20China%20in%20U.S.%20Federal%20ICT_final.pdf，2020年9月19日最后訪問。在當(dāng)前華為5G的問題上，美國同樣是基于對中國軟環(huán)境的指控來實施打壓，而非確鑿的技術(shù)證據(jù)。例如，一份來自北約合作網(wǎng)絡(luò)防御卓越中心(CCDCOE)的研究報告無端指稱：中國“具有深重的網(wǎng)絡(luò)間諜行為劣跡”，2015年頒布的《反恐怖主義法》以及2017年頒布的《國家情報法》為中國政府以國家安全的名義安插“后門”提供了授權(quán)。此外，報告還指出華為公司與中國軍方和情報部門間的關(guān)系，以及黨組織在公司中的作用總是不明確的。(68)參見Kadri Kaska, Henrik Beckvard & Tomas Minarik, Huawei, 5G and China as a Security Threat, CCDCOE (2019), p.11, https://ccdcoe.org/uploads/2019/03/CCDCOE-Huawei-2019-03-28-FINAL.pdf，2020年9月18日最后訪問。美國主導(dǎo)的《5G布拉格提案》同樣是將安全信心建立于寬泛的因素上，指出：“網(wǎng)絡(luò)安全不僅是純粹的技術(shù)問題，還在于充分的國家戰(zhàn)略、合理的政策、完善的法律框架、以及專職的人員保障上?！?69)The Prague Proposals, Government of the Czech Public, https://www.vlada.cz/en/media-centrum/aktualne/prague-5g-security-conference-announced-series-of-recommendations-the-prague-proposals-173422/，2020年9月19日最后訪問。相應(yīng)的，歐盟在其《5G網(wǎng)絡(luò)安全協(xié)調(diào)風(fēng)險評估報告》中也強烈認(rèn)可非技術(shù)性漏洞威脅的存在。(70)參見EU Coordinated Risk Assessment of the Cybersecurity of 5G Networks, NIS Cooperation Group (Oct. 2019), p.22, https://g8fip1kplyr33r3krz5b97d1-wpengine.netdna-ssl.com/wp-content/uploads/2019/10/Report-EU-risk-assessment-final-October-9.pdf，2020年9月19日最后訪問。

然而，這樣寬泛的信心標(biāo)準(zhǔn)會給整個供應(yīng)鏈生態(tài)系統(tǒng)帶來巨大的負(fù)面影響。首先。一國的軟環(huán)境當(dāng)是國家主權(quán)范圍內(nèi)的保留事項，軟環(huán)境水平與各國國情息息相關(guān)，對于軟環(huán)境安全水平的評價并不存在統(tǒng)一的標(biāo)準(zhǔn)。其次，將軟環(huán)境安全水平納入信心標(biāo)準(zhǔn)，為行使對外干涉開辟了路徑。最后，供應(yīng)商的職責(zé)與目標(biāo)是提供安全的產(chǎn)品與服務(wù)，他們并無能力左右軟環(huán)境水平的高低。將不在供應(yīng)商能力范圍內(nèi)的因素納入對其的評判標(biāo)準(zhǔn)是不合理的，助長了泛安全化、經(jīng)貿(mào)問題政治化的實現(xiàn)路徑。軟環(huán)境因素只是對技術(shù)安全的支撐和保障，他們只能作為輔助判斷手段，最終還是得回歸以技術(shù)檢測所顯示的安全程度為準(zhǔn)。因而，正如華為公司在其網(wǎng)絡(luò)安全立場文件中所聲明：“華為始終提供安全的產(chǎn)品和服務(wù)，并愿意為此接受任何的第三方安全檢測?！?71)Huawei's Position Paper on Cyber Security, Huawei (Nov. 2019), http://www-file.huawei.com/-/media/corporate/pdf/public-policy/huaweis_position_paper_on_cybersecurity.pdf，2020年9月19日最后訪問。這樣一種以第三方安全評估為依據(jù)的安全驗證方式才是符合邏輯與現(xiàn)實安全需要的，其合理性也在實踐中得到了一定程度上的認(rèn)同。(72)如華為已被接納于英國、德國、加拿大、比利時等國設(shè)立網(wǎng)絡(luò)安全中心，用以驗證和核實相關(guān)產(chǎn)品與技術(shù)。特別是在英國，華為網(wǎng)絡(luò)安全評估中心監(jiān)督委員會(HCSEC)在設(shè)立后持續(xù)發(fā)布年度報告，起到了良好的監(jiān)督協(xié)調(diào)職能。美國東西方研究所2020年6月發(fā)布的《化解技術(shù)民族主義》研究報告也肯定了這一思路，并提出了建立區(qū)域和行業(yè)層級的安全測試與評估中心的建議方案。(73)參見Andreas Kuehn & Bruce McConnell, Weathering TechNationalism, EastWest Institute (Jun. 2020), https://www.eastwest.ngo/sites/default/files/ideas-files/weathering-technationalism.pdf, 2020年9月19日最后訪問。

5.無法協(xié)調(diào)的防擴散機制。GGE供應(yīng)鏈規(guī)范要求“各國應(yīng)設(shè)法防止惡意信通技術(shù)工具和技術(shù)的擴散”，但首先，不同國家對惡意信通技術(shù)工具和技術(shù)的理解上存在顯著差異。以網(wǎng)絡(luò)監(jiān)控技術(shù)為例，在西方特別是注重個人隱私的歐洲，更傾向于從保護人權(quán)的角度將此類技術(shù)視為惡意信通技術(shù)。(74)參見Kanetake Machiko, The EU’s dual-use export control and human rights risks: the case of cyber surveillance technology. Europe and the World: A law review, UCL Press, Vol. 3(1): 3, 2019,然而在中國、印度等人口規(guī)模龐大、社會成分復(fù)雜的國家，監(jiān)控技術(shù)可以很好地服務(wù)于社會穩(wěn)定與國家安全，并不當(dāng)然被視作是惡意的。此外，“防止惡意信通技術(shù)工具和技術(shù)擴散”的規(guī)范當(dāng)前對中國而言是較為不利的。對于美國等西方國家來說，其早已開始關(guān)注通過對《瓦森納安排》的更新來納入對網(wǎng)絡(luò)技術(shù)的出口管制。英國和澳大利亞等國已相繼表態(tài)，以《瓦森納安排》納入對惡意信通技術(shù)工具的管控可視為是對GGE供應(yīng)鏈規(guī)范中防擴散條款的有效執(zhí)行措施。(75)參見Non-Paper on Efforts to Implement Norms of Responsible State Behaviour in Cyberspace, as Agreed in UN Group of Government Expert Reports of 2010, 2013 and 2015, UK Submission to OEWG (Sep. 2019), p.14, https://s3.amazonaws.com/unoda-web/wp-content/uploads/2019/09/uk-un-norms-non-paper-oewg-submission-final.pdf，2020年9月20日最后訪問；Australian Paper - Open Ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security, Australian Submission to OEWG (Sep. 2019), https://unoda-web.s3.amazonaws.com/wp-content/uploads/2019/09/fin-australian-oewg-national-paper-Sept-2019.pdf，2020年9月20日最后訪問。然而，當(dāng)前中國并非《瓦森納安排》成員國，短期內(nèi)也無加入《瓦森納安排》之可能，國際上又尚缺乏其它類似的防擴散控制體系。在西方國家看來，中國作為全球網(wǎng)絡(luò)設(shè)備等戰(zhàn)略物資的重要供應(yīng)商，若無針對其技術(shù)出口行為的國際規(guī)制，持續(xù)將其排除于多邊機制之外，無法真正意義上做到防止惡意信通技術(shù)和工具的擴散。(76)參見Expanding and sustaining dialogue between China and the Wassenaar Arrangement, Saferworld (Jan. 2015), p.12, https://www.saferworld.org.uk/resources/publications/873-expanding-and-sustaining-dialogue-between-china-and-the-wassenaar-arrangement，2020年9月20日最后訪問。而GGE供應(yīng)鏈規(guī)范中防擴散條款的設(shè)置，恰恰可用以彌補這一缺陷。此外，也正是由于《瓦森納安排》的存在，GGE供應(yīng)鏈規(guī)范在一定程度上授予了其控制向中國進(jìn)行技術(shù)轉(zhuǎn)讓的合法性。西方國家內(nèi)部針對《瓦森納安排》名單是否需納入入侵軟件工具的持續(xù)爭論已表明，大部分技術(shù)和工具本身并不具有與生俱來的善惡之分，是否為惡意在很大程度上依賴于使用者決定如何使用上(例如入侵軟件既可被用于反恐偵查，也可被用于破解用戶或他國政府、企業(yè)的機密文件)。故而對西方國家而言，在人工智能等伴隨倫理考驗的新興科技不斷興起的當(dāng)下，若借以將芯片、系統(tǒng)等信通技術(shù)產(chǎn)品與服務(wù)以潛在的惡意為由納入更新后的《瓦森納安排》時，實施針對中國的技術(shù)禁運措施便更具可操作性，(77)參見Brigitte Dekker & Maaike Okano-Heijmans, The US-China trade-tech stand-off and the need for EU action on export control, Clingendael (Aug. 2019), pp.9-10, https://www.clingendael.org/sites/default/files/2019-08/Report_US-China_stand-off.pdf，2020年9月20日最后訪問。同時從出于防止惡意信通技術(shù)和工具流入中國以避免其成為不受控制的擴散源的目的而言，也更有利于占據(jù)道義制高點。

三、新供應(yīng)鏈規(guī)范體系建構(gòu)與總規(guī)范提議

盡管GGE供應(yīng)鏈規(guī)范作為指引性而非拘束性條款，對條文表述精確性上的挖掘難免顯得過于苛求，但上述分析也幫助我們看到可進(jìn)一步改進(jìn)的空間。本部分提出應(yīng)站在供應(yīng)鏈生態(tài)系統(tǒng)的高度，在兼顧各方利益關(guān)切的基礎(chǔ)上構(gòu)建總體安全觀，并在該安全觀的指引下提出一條總規(guī)范。以該總規(guī)范為出發(fā)點，未來應(yīng)努力就其中各項要件加以更為細(xì)致的解釋和補充，通過各種途徑逐步推動其成為國際共識，進(jìn)而維護網(wǎng)絡(luò)空間的和諧秩序，構(gòu)建網(wǎng)絡(luò)空間命運共同體。

(一)確立供應(yīng)鏈生態(tài)系統(tǒng)總體安全觀

在結(jié)合技術(shù)安全與環(huán)境安全的基礎(chǔ)上，供應(yīng)鏈生態(tài)系統(tǒng)總體安全觀可簡要表示為圖1：

圖1：供應(yīng)鏈生態(tài)系統(tǒng)總體安全觀架構(gòu)圖

若以“一體四面”來形容，則該總體安全觀要求在確保供應(yīng)鏈生態(tài)系統(tǒng)之總體安全水平下，具體注重以下四個方面的區(qū)分與統(tǒng)一：

第一，對經(jīng)由供應(yīng)鏈產(chǎn)出的產(chǎn)品和服務(wù)的安全與供應(yīng)鏈生態(tài)系統(tǒng)的總體安全加以區(qū)分，強調(diào)二者屬于不同層面但又互相聯(lián)系：前者為用戶安全需求所直接指向的對象，是供應(yīng)鏈安全的關(guān)鍵一環(huán)；而后者才是國家戰(zhàn)略層面的關(guān)注焦點，是供應(yīng)鏈安全的全貌。產(chǎn)品和服務(wù)的技術(shù)安全對應(yīng)于總體安全觀中的“技術(shù)安全觀”，軟環(huán)境因素則對應(yīng)于總體安全觀中“環(huán)境安全觀”。二者之間在一般情況下存在明顯分野，不得互相干預(yù)。細(xì)言之，“技術(shù)安全觀”不能直接以軟環(huán)境因素作為衡量標(biāo)準(zhǔn)，須以技術(shù)本身之安全性為主進(jìn)行判斷。反之，以“技術(shù)安全觀”受損倒推回來要求軟環(huán)境的改變也是不合理的。同理，“環(huán)境安全觀”也不會因技術(shù)安全得到提升而自動實現(xiàn)，必須促進(jìn)國際上穩(wěn)健的法律政策環(huán)境予以保障。若以中美圍繞5G安全紛爭作為分析，美國邏輯的內(nèi)在沖突是其對產(chǎn)品和服務(wù)安全水平標(biāo)準(zhǔn)上的寬泛性與供應(yīng)鏈總體安全觀下“技術(shù)安全觀”的狹隘性間的沖突。以中國的軟環(huán)境因素為理由聲稱本國的技術(shù)安全受到威脅，這突破了兩面間的分野，在該結(jié)構(gòu)中的邏輯是難以成立的。當(dāng)然，美國也可辯稱同樣有著基于“環(huán)境安全觀”的憂慮，但此時它便不能否認(rèn)有保障供應(yīng)鏈環(huán)境安全的必要性，針對華為等的政策打壓將是站不住腳的。

第二，在產(chǎn)品和服務(wù)安全項下，對技術(shù)安全與軟環(huán)境安全加以區(qū)分，二者對于用戶安全需求的重要性位階顯著不同。首先，技術(shù)安全作為終端用戶對所需產(chǎn)品和服務(wù)的核心需求，在可驗證的情況下應(yīng)作為唯一衡量標(biāo)準(zhǔn)，可靠的方式如經(jīng)由可信第三方的驗證。此舉是為了避免安全標(biāo)準(zhǔn)過于泛化和主觀化，導(dǎo)致供應(yīng)商處于不利地位而貶損商業(yè)信心，同時也是為了防止外來的不公平干預(yù)。其次，只有當(dāng)技術(shù)安全驗證不可行的時候，才可以引用軟環(huán)境因素作為對技術(shù)安全能否達(dá)到終端用戶安全需求的補充衡量。

第三，對總體安全觀下發(fā)達(dá)國家關(guān)注的供應(yīng)鏈“技術(shù)安全觀”與發(fā)展中國家關(guān)注的供應(yīng)鏈“環(huán)境安全觀”加以區(qū)分，并強調(diào)二者在貢獻(xiàn)于供應(yīng)鏈生態(tài)系統(tǒng)總體安全時的統(tǒng)一性。通過本文分析已可得知，供應(yīng)鏈不僅會被用作實施惡意網(wǎng)絡(luò)攻擊的工具，也可被用于推行干涉政策的工具，無論是技術(shù)安全抑或是環(huán)境安全，都在供應(yīng)鏈不安全的威脅之下，因而為了確保供應(yīng)鏈總體安全，必須對二者予以同等兼顧，如此才能調(diào)和當(dāng)前不同陣營國家間的利益沖突。

第四，在各安全觀下進(jìn)一步區(qū)分出積極義務(wù)和消極義務(wù)。融合了積極義務(wù)與消極義務(wù)的規(guī)范不僅在內(nèi)容結(jié)構(gòu)上更為全面，同時由于積極義務(wù)能促成監(jiān)督消極義務(wù)執(zhí)行的機制，也更有利于規(guī)范的實施。(78)參見Oleg Demidov & Giacomo Persi Paoli, Supply Chain Security in the Cyber Age: Sector Trends, Current Threats and Multi-Stakeholder Responses, UNIDIR (2020) , https://css.ethz.ch/content/dam/ethz/special-interest/gess/cis/center-for-securities-studies/resources/docs/UNIDIR_Supply-Chain-Security-in-the-Cyber%20Age.pdf，2020年9月20日最后訪問。在“技術(shù)安全觀”下，積極義務(wù)要求國家應(yīng)采取合理措施保障供應(yīng)鏈安全。中國所提倡的當(dāng)發(fā)現(xiàn)產(chǎn)品存在嚴(yán)重安全缺陷或漏洞時，須及時通知的義務(wù)即在此限。(79)參見聯(lián)合國信息安全開放式工作組中方立場文件，https://www.un.org/disarmament/wp-content/uploads/2019/09/china-submissions-oewg-ch.pdf，2020年9月20日最后訪問。消極義務(wù)可涵蓋國家不得對供應(yīng)鏈產(chǎn)品和服務(wù)進(jìn)行干預(yù)，(80)參見Advancing Cyberstability: Final Report, Global Commission on the Stability of Cyberspace (Nov. 2019), https://cyberstability.org/wp-content/uploads/2019/11/Digital-GCSC-Final-Report-Nov-2019_LowRes.pdf，2020年9月20日最后訪問。避免在大眾市場的商業(yè)技術(shù)產(chǎn)品中插入或要求設(shè)置“后門”等。(81)參見Brad Smith, The need for a Digital Geneva Convention, Microsoft (Feb.2017), https://blogs.microsoft.com/on-the-issues/2017/02/14/need-digital-geneva-convention/，2020年9月20日最后訪問。在“環(huán)境安全觀”下，積極義務(wù)可囊括國家采取各種措施努力提升政策、法律、市場等軟環(huán)境安全水平，包括建立風(fēng)險預(yù)警體系、產(chǎn)品認(rèn)證體系、咨詢決策體系等。(82)參見Ariel E. Levite, ICT Supply Chain Integrity: Principles for Governmental and Corporate Policies, Carnegie Endowment for International Peace (Oct. 2019), pp.3-4, https://carnegieendowment.org/files/Levite_SupplyChain_final.pdf，2020年9月20日最后訪問。而消極義務(wù)則可包含要求“各國不得營造不公平公正的歧視性營商環(huán)境，不得濫用‘國家安全’理由限制正常通信技術(shù)發(fā)展與合作，不得限制信息通信技術(shù)產(chǎn)品的市場準(zhǔn)入及高新技術(shù)產(chǎn)品的出口”等。(83)參見聯(lián)合國信息安全開放式工作組中方立場文件，https://www.un.org/disarmament/wp-content/uploads/2019/09/china-submissions-oewg-ch.pdf，2020年9月20日最后訪問。

(二)總規(guī)范之構(gòu)成要素與提議

在供應(yīng)鏈生態(tài)系統(tǒng)總體安全觀指引下構(gòu)建的總規(guī)范，應(yīng)具備哪些構(gòu)成要素？根據(jù)學(xué)者瑪莎·芬納莫爾等對網(wǎng)絡(luò)規(guī)范的解析，規(guī)范可具體解構(gòu)出四大要件，分別為：身份(identity)、行為(behavior)、適當(dāng)性(propriety)和集體期望(collective expectation)。(84)參見Martha Finnemore & Ducan B. Hollis, Constructing Norms for Global Cybersecurity, The American Journal of International Law, Vol.110: 3 (July 2016), p.438-439.

身份指的是該規(guī)范意圖規(guī)制的行為主體。對供應(yīng)鏈安全而言，其不僅受國家行為體的威脅，在很大程度上也受非國家行為體的威脅。盡管UN GGE與OEWG作為在聯(lián)合國下開展的進(jìn)程而使其討論的規(guī)制對象多局限于國家，但從保障供應(yīng)鏈總體安全的角度出發(fā)，新規(guī)范的調(diào)整范圍應(yīng)足夠囊括國家與非國家行為體。(85)參見呂晶華：《供應(yīng)鏈安全國際治理制度體系分析》，載《信息安全與通信保密》2020年第4期。正如GCSC在報告中所指出的：“非國家行為體也必須承擔(dān)在網(wǎng)絡(luò)空間中規(guī)范行為的責(zé)任，它們必須克制或采取積極措施，以確保網(wǎng)絡(luò)空間的穩(wěn)定?！?86)Advancing Cyberstability: Final Report, Global Commission on the Stability of Cyberspace (Nov. 2019), https://cyberstability.org/wp-content/uploads/2019/11/Digital-GCSC-Final-Report-Nov-2019_LowRes.pdf，2020年9月20日最后訪問。

行為指的是制定該規(guī)范之集體對成員如何行為的期望。從上一部分的分析可以得出，各方在供應(yīng)鏈生態(tài)系統(tǒng)總體安全觀下所期望的行為應(yīng)兼具“技術(shù)安全觀”與“環(huán)境安全觀”下的積極與消極義務(wù)。但具體而言有哪些義務(wù)應(yīng)以更為細(xì)致的新規(guī)范或其它形式的配套文件予以補充和明確。

適當(dāng)性指的是該規(guī)范所期望之行為的正當(dāng)性依據(jù)，即該規(guī)范為何可被集體成員接受為是恰當(dāng)?shù)?。前文已?jīng)指出，供應(yīng)鏈規(guī)范與國際法已有原則和規(guī)則間存在緊密聯(lián)系，國際法可為供應(yīng)鏈規(guī)范提供大量理論支撐。除了國際法外，供應(yīng)鏈規(guī)范還可從更廣范圍中獲取理論支持，包括社會道德、行業(yè)習(xí)慣等。

最后，集體期望指的是根據(jù)規(guī)范意圖爭取到的共識范圍，決定其在表述上的精細(xì)程度。一項表述模糊的規(guī)范無疑能兼顧更多成員的利益，從而擴展規(guī)范獲得內(nèi)化(internalization)的范圍，(87)經(jīng)過“內(nèi)化”的規(guī)范才能真正起到行為指引作用，否則只能是還停留在所謂“Quasi-Norms”的倡議階段，盡管可能會被遵守，但缺乏對行為的預(yù)測和評價效力。參見Toni Erskine & Madeline Carr, Beyond ‘Quasi-Norms’: The Challenges and Potential of Engaging with Norms in Cyberspace, in Anna-Maria Osula & Henry R?igas ed., International Cyber Norms: Legal, Policy & Industry Perspectives, Tallinn: NATO CCD COE Publications, 2016, pp.87-109.但也存在成員基于理解上的偏差而在實踐中發(fā)生混亂的風(fēng)險。一項表述精確的規(guī)范盡管能給各方提供明確的行為指引，但所能滿足的利益取向往往是特定的，能夠吸引的成員范圍有限，對該規(guī)范心懷不滿者便不會參與該規(guī)范。此外，就算心懷不滿者迫于被孤立的風(fēng)險而參加該規(guī)范，也還存在表面上接受但不誠心遵守(insincere conformity)的現(xiàn)象。(88)如有學(xué)者指出中國對其所締結(jié)之中美網(wǎng)絡(luò)安全協(xié)議中有關(guān)網(wǎng)絡(luò)商業(yè)間諜行為之規(guī)則就是一種“不誠心遵守”的體現(xiàn)。參見Martha Finnemore & Ducan B. Hollis, Constructing Norms for Global Cybersecurity, The American Journal of International Law, Vol.110: 3 (July 2016), p.443.盡管此時該規(guī)范仍能起到較好的行為指引作用，但由于成員并無內(nèi)心的信服，分歧仍不可避免，并且由于缺少法律確信而阻礙了規(guī)范向國際習(xí)慣法的形成過渡。因此，就供應(yīng)鏈生態(tài)系統(tǒng)總體安全觀下的總規(guī)范而言，筆者傾向于取較為宏觀的表述，以圖兼顧各方利益，吸引最大共識，確保供應(yīng)鏈總體安全觀的實現(xiàn)。后期各方可在這一總規(guī)范指導(dǎo)下，結(jié)合最佳實踐細(xì)化出更多具體規(guī)范。

綜合以上分析，本文提出如下之總規(guī)范表述：“國家和非國家行為體應(yīng)當(dāng)秉持善意，積極采取合理措施，確保供應(yīng)鏈的(完整性與)安全性及其所依賴之軟環(huán)境的可靠性，同時避免采取措施干預(yù)供應(yīng)鏈的安全與穩(wěn)定，保障供應(yīng)鏈中各方主體可持續(xù)的安全需求?！?/p>

其中，“秉持善意”首先體現(xiàn)中國一貫的和平利用網(wǎng)絡(luò)空間的主張，是構(gòu)建持久和平的網(wǎng)絡(luò)空間命運共同體的內(nèi)在要求。(89)參見世界互聯(lián)網(wǎng)大會組委會：《攜手構(gòu)建網(wǎng)絡(luò)空間命運共同體》，載中央網(wǎng)信辦網(wǎng)站，http://www.cac.gov.cn/2019-10/16/c_1572757003996520.htm，2020年9月20日最后訪問。意味著“在國際法的解釋和適用上，必須秉持善意，以有利于實現(xiàn)持久和平為出發(fā)點，準(zhǔn)確理解和切實貫徹主權(quán)平等、不干涉內(nèi)政、不使用武力、和平解決國際爭端等國際法原則”。(90)徐宏：《人類命運共同體與國際法》，載《國際法研究》2018年第5期，第6頁。其次，“秉持善意”也是對國際法上善意原則的體現(xiàn)，提示行為者在國際法律生活的范圍內(nèi)善意行為。(91)參見[法]M·維拉利：《國際法上的善意原則》，劉昕生譯，載《國外法學(xué)》1984年第4期。善意原則要求國家禁止濫用自身權(quán)利，(92)參見Steven Reinhold, Good Faith in International Law, UCL Journal of Law and Jurisprudence, Vol.2 (2013), pp.40-63.因而可限制國家將對ICT供應(yīng)鏈必要的技術(shù)管制或國家安全審查濫用作政治工具，通過附加不公正條件而限制技術(shù)自由貿(mào)易的行為。

盡管“合理措施”的含義尚待明確，但相關(guān)爭議不適合也難以在一條總規(guī)范中予以解決。對合理措施的判定應(yīng)結(jié)合業(yè)界已有的供應(yīng)鏈安全風(fēng)險管理實踐，并考慮不同平臺機制間的平衡協(xié)調(diào)。(93)參見Oleg Demidov & Giacomo Persi Paoli, Supply Chain Security in the Cyber Age: Sector Trends, Current Threats and Multi-Stakeholder Responses, UNIDIR (2020) , https://css.ethz.ch/content/dam/ethz/special-interest/gess/cis/center-for-securities-studies/resources/docs/UNIDIR_Supply-Chain-Security-in-the-Cyber%20Age.pdf，2020年9月18日最后訪問。同時，總規(guī)范中“確保供應(yīng)鏈的(完整性與)安全性及其所依賴之軟環(huán)境的可靠性”與“同時避免采取措施干預(yù)供應(yīng)鏈的安全與穩(wěn)定”作為分別對總體安全觀下積極義務(wù)和消極義務(wù)的提及，也可對未來合理措施的明確起到一定的指引作用。此外，對合理措施的判定還應(yīng)靈活考慮能力因素，“促進(jìn)規(guī)范實施的路線圖應(yīng)與各國家或區(qū)域自身的獨特處境和能力相適應(yīng)” 。(94)Canada’s response to questions in Chair’s paper: February 2020 OEWG meeting, https://unoda-web.s3.amazonaws.com/wp-content/uploads/2020/03/canada-responses-to-oewg-chair-questions-Feb-26.pdf，2020年9月16日最后訪問。因而，今后不僅需要增進(jìn)各方對負(fù)責(zé)任國家行為規(guī)范具體推進(jìn)措施的理解與適用，搭建由規(guī)則共識到行為共識之間的橋梁，還需就信任措施、能力建設(shè)等配套方面的最佳實踐加強溝通和交流。

“各方主體可持續(xù)的安全需求”將總規(guī)范對供應(yīng)鏈安全的保障范圍擴展到所有參與方。以“安全需求”代替“安全信心”，目的是鼓勵開發(fā)更客觀的安全標(biāo)準(zhǔn)與認(rèn)證措施，避免導(dǎo)向主觀化與政治化。施加“可持續(xù)”一詞的限制是為了制約任何一方采取損害雙邊乃至多邊信任關(guān)系的單邊舉措，鼓勵合作而非對抗?！翱沙掷m(xù)”一詞也同時體現(xiàn)了安全需求的動態(tài)性特征，意味著一段時期內(nèi)的安全性波動是可接受的狀態(tài)，若有關(guān)方能及時采取糾正措施，持續(xù)的信賴關(guān)系仍可維系。

最后，由于總規(guī)范已經(jīng)突破了單純的完整性保障，并在技術(shù)安全外納入了環(huán)境安全，對于防止惡意信通技術(shù)和工具的擴散，以及不得利用信通技術(shù)從事安置“后門”等有害隱蔽功能的具體行為，應(yīng)作為具體義務(wù)留待特殊規(guī)范去處理?，F(xiàn)階段中國無需過度強調(diào)，以避免部分西方國家在圍繞《瓦森納安排》等推動規(guī)范執(zhí)行的機制上快速結(jié)成“同理念國家”陣營。

結(jié)語

負(fù)責(zé)任國家行為規(guī)范作為網(wǎng)絡(luò)空間軟法治理的主要表現(xiàn)形式，在當(dāng)前各方對國際法具體規(guī)則的適用缺乏共識的背景下，正表現(xiàn)出強大的吸引力。這類規(guī)范靈活、自愿、非約束性的特點尤其適合解決由互聯(lián)網(wǎng)發(fā)展所帶來的新問題，以彌補現(xiàn)有國際法和國際機制在網(wǎng)絡(luò)空間發(fā)展中的滯后性。在以5G為代表的供應(yīng)鏈安全問題持續(xù)升溫的過程中，供應(yīng)鏈規(guī)范正是各方可賴以維護網(wǎng)絡(luò)空間秩序的有效治理途徑。盡管網(wǎng)絡(luò)領(lǐng)域的供應(yīng)鏈規(guī)范正呈現(xiàn)快速增長的態(tài)勢，國際共識仍僅局限于2015年UN GGE報告中達(dá)成的GGE供應(yīng)鏈規(guī)范，且其中仍不乏缺漏和隱患。對此，應(yīng)在結(jié)合美國等發(fā)達(dá)國家對技術(shù)安全的利益關(guān)切與中國等發(fā)展中國家對環(huán)境安全的利益關(guān)切的基礎(chǔ)上，構(gòu)建供應(yīng)鏈生態(tài)系統(tǒng)總體安全觀。在本文所提之總規(guī)范的指導(dǎo)下，各方可在未來的研究和談判中逐漸補充新的具體規(guī)則、規(guī)范、標(biāo)準(zhǔn)或指南，增強其指引性和可操作性，為安全穩(wěn)定的全球ICT供應(yīng)鏈提供制度保障。