《網絡安全審查辦法》邏輯要旨
中國的《網絡安全審查辦法》(以下簡稱《審查辦法》)于2020年4月13日發布,同年6月1日生效。前身是從2017年開始實施的《網絡產品和服務安全審查辦法(試行)》。從試行到成型,近三年間的實踐和摸索,最終揚棄、濃縮、升華于新的規章之中。2021年7月,中央網信辦再次發布《網絡安全審查辦法(修訂草案征求意見稿)》,此次修訂的重點是落實《數據安全法》關于數據安全審查的相關內容,但不可否認的是,《審查辦法》的核心關切依然是關鍵信息基礎設施的供應鏈安全。
《審查辦法》解決的核心事項是:產品或服務用于關鍵信息基礎設施中可能帶來的安全問題。換句話說,之所以發起審查,是因為具體的關鍵信息基礎設施運營者因采購了特定的網絡產品和服務,可能因此給關鍵信息基礎設施帶來“脆弱性”,而非產品或服務自身內在的安全問題。后者主要由《網絡安全法》第二十二、二十三和三十六條及其配套制度所解決。沿著這個基本邏輯,就能很好地掌握中國《審查辦法》設立的審查制度的各個方面。
審查對象明確
在《審查辦法》中,安全審查的目標是“為了確保關鍵信息基礎設施供應鏈安全,維護國家安全”,將審查著眼于產品和服務在供應鏈安全方面給關鍵信息基礎設施帶來的風險。因此,審查的對象始終是關鍵信息基礎設施運營者所采購的一個個具體的產品或服務。為此,《審查辦法》還明確了產品或服務的范圍,第二十一條規定:“本辦法所稱網絡產品和服務主要指核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務,以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。”對關鍵信息基礎設施供應商的審查,《審查辦法》主要考察其“遵守中國法律、行政法規、部門規章情況”。
歸納起來,中國的審查對象范圍明晰,審查對象以具體的產品或服務為主,供應商為輔。對供應商的審查,不能獨立于其提供的具體的產品或服務。因此,中國不存在主動發起針對某一供應商的獨立審查或風險評估。
評估要素具體
首先,《審查辦法》的核心在于考察“具體的產品或服務+具體的使用場景”。這體現了對安全的一種先進認識,即“網絡安全是相對的而不是絕對的”。同樣,產品和服務的安全性也是相對的。安不安全,很大程度上依賴于該產品和服務的使用主體、使用目的、使用方式以及產品供應渠道的可靠程度等因素,并不存在衡量安全性的絕對、恒定的基準。因此,《審查辦法》重點審查采購、使用具體的產品和服務后,是否會造成以下兩方面后果。其一,關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險(第九條第一款);其二,產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害(第十條第二項)。
其次,《審查辦法》第十條第三項審查“產品和服務的安全性、開放性、透明性、來源的多樣性”。可大致做如下理解:安全性是指產品和服務本身被入侵、損毀、破壞、篡改、操控等風險;開放性是指產品和服務的兼容性、互操作性問題;透明性是指產品和服務內部的工作原理、機制是否可為網絡運營人員所理解、干預或管控;來源的多樣性是指避免過度依賴問題。
最后,《審查辦法》第十條第三項審查“供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險”的審查,實質上是更進一步審查各個可能造成供應中斷的因素。例如,微軟停止對XP操作系統的安全更新服務,對大量使用XP系統的黨政機關信息系統的安全風險;又如,美國通過出口管制措施對芯片全球供應鏈的控制能力,對特定關鍵信息基礎所采購的某一款芯片,是否能夠持續供應的潛在影響。
可見,中國的風險考量要素中并沒有國別因素。網絡安全審查的注意力始終在具體的產品和服務,以及該產品或服務用于具體的關鍵信息基礎設施后,可能引入的脆弱性問題。可以說,網絡安全審查主要是一種技術性、客觀性的評估。
審查由運營者主動發起
在《審查辦法》中,審查啟動的主要要件是“運營者采購網絡產品和服務的,應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網絡安全審查辦公室申報網絡安全審查”。審查申報的主體明確為作為采購方的“關鍵信息基礎設施運營者”。而且,采購方主動“預判產品或服務可能帶來的國家安全風險”并據此決定是否申報審查,成為其法定義務之一。采購方應主動通過法律工作管理自身的供應鏈風險,例如第七條所規定的:“應通過采購文件、協議等要求產品和服務提供者配合網絡安全審查,包括承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備,無正當理由不中斷產品供應或必要的技術支持服務等”。
把上述法定義務結合起來,可以看到《審查辦法》對采購方的角色定位:既然特定的產品和服務是采購方自主選擇的,那采購方應當成為責任主體(即所謂的權責一致原則),因此采購方應當在力所能及的范圍內,主動管理和降低供應鏈安全風險。此外,中國的制度安排極大地尊重了關鍵信息基礎設施運營者結合自身運營場景的風險判斷和商業決策,避免了政府無差別、大規模地介入企業日常的采購行為。換句話說,只有當某產品或服務在某個場景中的使用,所造成的安全風險超出了運營者的能力范圍,網絡安全審查機制才會啟動。這樣的規定,反過來避免公權力主動對網絡產品和服務的供應市場提前介入,主動對供應商風險狀況、供應商多樣性進行評估,避免網絡產品和服務的供應市場成為一個高計劃性、高管制的市場,從而失去市場活力和創新動力。
審查結論審慎
由于《審查辦法》的核心在于考察“具體的產品或服務+具體的使用場景”。因此,審查所得出的結論是具體的產品或服務是否可以使用于某個具體的場景中。換句話說,即便單次的網絡安全審查不通過,并不必然導致該產品或服務在其他關鍵信息基礎設施運營者發起的網絡安全審查中不通過。在上述思路的指導下,為了避免對市場外界造成某個產品或服務不安全的整體印象,網絡安全審查的結果,多數情況下僅會“以書面形式將審查結論通知運營者”(第十二條),并不會向其他運營者或者社會各界公開。之所以會有這樣的結論,還是因為《審查辦法》審查的對象始終是關鍵信息基礎設施運營者所采購的一個個具體的產品或服務。因此即便單次審查不通過,也不會造成該供應商的全線產品或服務被所有關鍵信息基礎設施運營者拒之門外,造成“一次審查不通過,滿盤皆輸”的局面。
總之,中國的網絡安全審查不把供應商的風險狀況作為安全的邏輯起點,也不會“就事論事”,更不會造成“貼標簽”的效應。單次審查不通過僅僅意味著特定的關鍵信息基礎設施運營者在某個場景或環節中不應使用特定的產品或服務,不會同時影響該供應商旗下的所有產品或服務,也就避免了“連帶損害”的效果。相關制度設計還通過尊重運營者的自主安全決策,反向激勵運營者提升安全水平。這樣有利于維護網絡產品和服務供應市場的多樣性,鼓勵來自不同國家的網絡運營者相互競爭和持續創新,為供應市場持續發展提供源源不斷的動力。
