把握︽网络安全审查办法︾逻辑要旨
◇洪延青
中国的《网络安全审查办法》(以下简称《审查办法》)于2020年4月13日发布,同年6月1日生效。前身是从2017年开始实施的《网络产品和服务安全审查办法(试行)》。从试行到成型,近三年间的实践和摸索,最终扬弃、浓缩、升华于新的规章之中。2021年7月,中央网信办再次发布网络安全审查办法(修订草案征求意见稿)》,此次修订的重点是落实《数据安全法》关于数据安全审查的相关内容,但不可否认的是,审查办法》的核心关切依然是关键信息基础设施的供应链安全。
《审查办法》解决的核心事项是:产品或服务用于关键信息基础设施中可能带来的安全问题。换句话说,之所以发起审查,是因为具体的关键信息基础设施运营者因采购了特定的网络产品和服务,可能因此给关键信息基础设施带来“脆弱性”,而非产品或服务自身内在的安全问题。后者主要由《网络安全法》第二十二、二十三和三十六条及其配套制度所解决。沿着这个基本逻辑,就能很好地掌握中国《审查办法》设立的审查制度的各个方面。
审查对象明确
在《审查办法》中,安全审查的目标是“为了确保关键信息基础设施供应链安全,维护国家安全”,将审查着眼于产品和服务在供应链安全方面给关键信息基础设施带来的风险。因此,审查的对象始终是关键信息基础设施运营者所采购的一个个具体的产品或服务。为此,《审查办法》还明确了产品或服务的范围,第二十一条规定:“本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。”对关键信息基础设施供应商的审查,《审查办法》主要考察其“遵守中国法律、行政法规、部门规章情况”。
归纳起来,中国的审查对象范围明晰,审查对象以具体的产品或服务为主,供应商为辅。对供应商的审查,不能独立于其提供的具体的产品或服务。因此,中国不存在主动发起针对某一供应商的独立审查或风险评估。
评估要素具体
首先,《审查办法》的核心在于考察“具体的产品或服务+具体的使用场景”。这体现了对安全的一种先进认识,即“网络安全是相对的而不是绝对的”。同样,产品和服务的安全性也是相对的。安不安全,很大程度上依赖于该产品和服务的使用主体、使用目的、使用方式以及产品供应渠道的可靠程度等因素,并不存在衡量安全性的绝对、恒定的基准。因此,《审查办法》重点审查采购、使用具体的产品和服务后,是否会造成以下两方面后果。其一,关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险(第九条第一款);其二,产品和服务供应中断对关键信息基础设施业务连续性的危害第十条第二项)。
其次,《审查办法》第十条第三项审查“产品和服务的安全性、开放性、透明性、来源的多样性”。可大致做如下理解:安全性是指产品和服务本身被入侵、损毁、破坏、篡改、操控等风险;开放性是指产品和服务的兼容性、互操作性问题;透明性是指产品和服务内部的工作原理、机制是否可为网络运营人员所理解、干预或管控;来源的多样性是指避免过度依赖问题。
最后,《审查办法》第十条第三项审查“供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”的审查,实质上是更进一步审查各个可能造成供应中断的因素。例如,微软停止对XP操作系统的安全更新服务,对大量使用XP系统的党政机关信息系统的安全风险;又如,美国通过出口管制措施对芯片全球供应链的控制能力,对特定关键信息基础所采购的某一款芯片,是否能够持续供应的潜在影响。
可见,中国的风险考量要素中并没有国别因素。网络安全审查的注意力始终在具体的产品和服务,以及该产品或服务用于具体的关键信息基础设施后,可能引入的脆弱性问题。可以说,网络安全审查主要是一种技术性、客观性的评估。
审查由运营者主动发起
在《审查办法》中,审查启动的主要要件是“运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查”。审查申报的主体明确为作为采购方的“关键信息基础设施运营者”。而且,采购方主动“预判产品或服务可能带来的国家安全风险”并据此决定是否申报审查,成为其法定义务之一。采购方应主动通过法律工作管理自身的供应链风险,例如第七条所规定的:“应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等”。
把上述法定义务结合起来,可以看到《审查办法》对采购方的角色定位:既然特定的产品和服务是采购方自主选择的,那采购方应当成为责任主体(即所谓的权责一致原则),因此采购方应当在力所能及的范围内,主动管理和降低供应链安全风险。此外,中国的制度安排极大地尊重了关键信息基础设施运营者结合自身运营场景的风险判断和商业决策,避免了政府无差别、大规模地介入企业日常的采购行为。换句话说,只有当某产品或服务在某个场景中的使用,所造成的安全风险超出了运营者的能力范围,网络安全审查机制才会启动。这样的规定,反过来避免公权力主动对网络产品和服务的供应市场提前介入,主动对供应商风险状况、供应商多样性进行评估,避免网络产品和服务的供应市场成为一个高计划性、高管制的市场,从而失去市场活力和创新动力。
审查结论审慎
由于《审查办法》的核心在于考察“具体的产品或服务+具体的使用场景”。因此,审查所得出的结论是具体的产品或服务是否可以使用于某个具体的场景中。换句话说,即便单次的网络安全审查不通过,并不必然导致该产品或服务在其他关键信息基础设施运营者发起的网络安全审查中不通过。在上述思路的指导下,为了避免对市场外界造成某个产品或服务不安全的整体印象,网络安全审查的结果,多数情况下仅会“以书面形式将审查结论通知运营者”(第十二条),并不会向其他运营者或者社会各界公开。之所以会有这样的结论,还是因为《审查办法》审查的对象始终是关键信息基础设施运营者所采购的一个个具体的产品或服务。因此即便单次审查不通过,也不会造成该供应商的全线产品或服务被所有关键信息基础设施运营者拒之门外,造成“一次审查不通过,满盘皆输”的局面。
总之,中国的网络安全审查不把供应商的风险状况作为安全的逻辑起点,也不会“就事论事”,更不会造成“贴标签”的效应。单次审查不通过仅仅意味着特定的关键信息基础设施运营者在某个场景或环节中不应使用特定的产品或服务,不会同时影响该供应商旗下的所有产品或服务,也就避免了“连带损害”的效果。相关制度设计还通过尊重运营者的自主安全决策,反向激励运营者提升安全水平。这样有利于维护网络产品和服务供应市场的多样性,鼓励来自不同国家的网络运营者相互竞争和持续创新,为供应市场持续发展提供源源不断的动力。
(作者系北京理工大学法学院教授)