編者按:《國家安全法》是維護(hù)新時(shí)期國家安全的基本大法,對政治安全、國土安全、軍事安全、文化安全、科技安全等11個(gè)領(lǐng)域的國家安全任務(wù)進(jìn)行了明確,為各領(lǐng)域安全立法提供了基本遵循。尤其引人關(guān)注的是,該法明確建立國家安全審查與監(jiān)管的制度和機(jī)制,對影響或可能影響國家安全的外商投資、特定物項(xiàng)和關(guān)鍵技術(shù)等進(jìn)行國家安全審查。這是我國在國家安全保障的制度設(shè)計(jì)方面的突破,也確立了我國網(wǎng)絡(luò)安全審查的制度框架和總體思路,為維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益提供了戰(zhàn)略利器。
2015年7月1日,我國第十二屆全國人民代表大會(huì)常務(wù)委員會(huì)第十五次會(huì)議通過了新的《國家安全法》,該部立法被認(rèn)為是我國真正意義上的首部國家安全法,對于切實(shí)維護(hù)我國的國家安全意義重大。除首次明確界定了“國家安全”的基本涵義以外,《國家安全法》更是在國家安全保障的制度設(shè)計(jì)方面有所突破,其中涉及網(wǎng)絡(luò)安全審查的規(guī)定格外受到關(guān)注。從立法的功能性和結(jié)構(gòu)性分析,《國家安全法》中的網(wǎng)絡(luò)安全審查規(guī)定具有嚴(yán)謹(jǐn)?shù)倪壿嫿Y(jié)構(gòu),基本確立了我國網(wǎng)絡(luò)安全審查的制度框架和總體思路。
一、《國家安全法》為網(wǎng)絡(luò)安全審查制度明確了邊界要素
在網(wǎng)絡(luò)安全審查過程中,最棘手的問題就是立法對國家安全基本涵義的界定。出于對國家安全敏感性的考慮,立法通常不會(huì)對“國家安全”進(jìn)行過于細(xì)化的描述,以使立法具有足夠的延展性。但是“國家安全”的模糊性又成為網(wǎng)絡(luò)安全審查中最受人詬病的弊端,因?yàn)槿狈γ鞔_邊界的“國家安全”很容易成為實(shí)質(zhì)性貿(mào)易壁壘的借口,進(jìn)而動(dòng)搖網(wǎng)絡(luò)安全審查的正當(dāng)性。在此方面,我國《國家安全法》具有明顯的突破,其中第二條明確規(guī)定 “國家安全”是指“國家政權(quán)、主權(quán)、統(tǒng)一和領(lǐng)土完整、人民福祉、經(jīng)濟(jì)社會(huì)可持續(xù)發(fā)展和國家其他重大利益相對處于沒有危險(xiǎn)和不受內(nèi)外威脅的狀態(tài),以及保障持續(xù)安全狀態(tài)的能力。”在網(wǎng)絡(luò)安全的語境下,該定義完整涵蓋了國家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)發(fā)展和公民隱私這四大網(wǎng)絡(luò)安全支柱,可以作為網(wǎng)絡(luò)安全審查制度利益保障的參照要素。同時(shí),將國家安全界定為“沒有危險(xiǎn)和不受威脅的狀態(tài)”與各國立法中關(guān)于國家安全的表述保持一致,而將其界定為“保障能力”則是本法概念性提升的一大亮點(diǎn)。從網(wǎng)絡(luò)安全的國家保障角度來看,網(wǎng)絡(luò)安全的核心思想即是形成穩(wěn)固的保障能力,其通常與信息系統(tǒng)的“脆弱性”相關(guān),旨在將可能受到的安全風(fēng)險(xiǎn)和威脅降低到可以接受的程度。與代表終極目的的安全狀態(tài)不同,能力建設(shè)更側(cè)重于實(shí)現(xiàn)對安全風(fēng)險(xiǎn)的動(dòng)態(tài)反應(yīng)和控制過程,因此在制度實(shí)施中更具有“彈性”,能夠在固化的法律規(guī)定中獲得最大程度的解釋空間。這對于廣泛具有“技術(shù)屬性”的網(wǎng)絡(luò)安全保障意義非凡,可以避免信息技術(shù)快速發(fā)展對法律穩(wěn)定性構(gòu)成的沖擊。因此,我國《國家安全法》中界定的“國家安全”既有相對明確的內(nèi)涵邊界,又具備必要的延展性,為網(wǎng)絡(luò)安全審查制度的可行性提供了必要的支撐,也間接明確了網(wǎng)絡(luò)安全審查制度的范圍。
二、《國家安全法》為網(wǎng)絡(luò)安全審查制度明確了安全與發(fā)展的關(guān)系
我國《國家安全法》在總體安全觀下強(qiáng)調(diào)了協(xié)同發(fā)展的重要思想,其中第八條規(guī)定“維護(hù)國家安全,應(yīng)當(dāng)與經(jīng)濟(jì)社會(huì)發(fā)展相協(xié)調(diào)。國家安全工作應(yīng)當(dāng)統(tǒng)籌內(nèi)部安全和外部安全、國土安全和國民安全、傳統(tǒng)安全和非傳統(tǒng)安全、自身安全和共同安全。”上述規(guī)定使得我國立法對于國家安全的認(rèn)知更加豐富,改變了傳統(tǒng)國家安全偏重軍事政治安全的狹隘性,能夠更多地考慮國家經(jīng)濟(jì)利益、貿(mào)易自由、關(guān)鍵基礎(chǔ)設(shè)施保障、科技利用等等,而這些要素恰恰是網(wǎng)絡(luò)安全審查最為需要關(guān)注和平衡的內(nèi)容。應(yīng)當(dāng)認(rèn)識到,當(dāng)技術(shù)利用和經(jīng)濟(jì)發(fā)展成為國家進(jìn)步的核心動(dòng)力時(shí),不同的安全領(lǐng)域具有了相當(dāng)程度的同質(zhì)性,其實(shí)質(zhì)都體現(xiàn)為實(shí)現(xiàn)國家的穩(wěn)定狀態(tài),保證國家生產(chǎn)生活的正常運(yùn)行。因此,片面強(qiáng)調(diào)國家安全的審查活動(dòng)必然帶有利益保護(hù)的偏在性,盲目排外和充斥不信任的審查制度可能造成國家喪失利用先進(jìn)技術(shù)的機(jī)會(huì),也會(huì)間接對高度依賴數(shù)字框架的經(jīng)濟(jì)發(fā)展構(gòu)成障礙。我國《國家安全法》關(guān)于“國家安全和經(jīng)濟(jì)社會(huì)協(xié)調(diào)發(fā)展”的規(guī)定確立了網(wǎng)絡(luò)安全審查制度的指導(dǎo)理念,特別是關(guān)于“統(tǒng)籌內(nèi)部安全和外部安全、國土安全和國民安全、傳統(tǒng)安全和非傳統(tǒng)安全、自身安全和共同安全”的闡述具有一定程度的先進(jìn)性,這構(gòu)成了網(wǎng)絡(luò)安全審查制度進(jìn)行利益平衡的基礎(chǔ),能夠避免非理性審查活動(dòng)的出現(xiàn),在維護(hù)國家安全的同時(shí)兼顧經(jīng)濟(jì)和社會(huì)發(fā)展,最大化網(wǎng)絡(luò)安全審查制度的功能。
三、《國家安全法》為網(wǎng)絡(luò)安全審查制度明確了“風(fēng)險(xiǎn)控制”的目標(biāo)和思路
我國《國家安全法》第二十五條規(guī)定“國家建設(shè)網(wǎng)絡(luò)與信息安全保障體系,提升網(wǎng)絡(luò)與信息安全保護(hù)能力,加強(qiáng)網(wǎng)絡(luò)和信息技術(shù)的創(chuàng)新研究和開發(fā)應(yīng)用,實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控;加強(qiáng)網(wǎng)絡(luò)管理,防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為,維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益。”本條規(guī)定明確了我國網(wǎng)絡(luò)安全審查制度的細(xì)化目標(biāo)。在制度的功能性方面,網(wǎng)絡(luò)安全審查制度無疑屬于網(wǎng)絡(luò)與信息安全保障體系中的重要內(nèi)容和措施,那么其理應(yīng)具備上述目的。特別是是其中關(guān)于“實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控,防范和制止網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密等違法犯罪活動(dòng)”的規(guī)定,與2014年5月22日國家互聯(lián)網(wǎng)信息辦公室發(fā)布的公告基本一致,該公告稱我國將實(shí)行網(wǎng)絡(luò)安全審查制度,主要針對關(guān)系國家安全和公共利益系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù)實(shí)行安全性和可控性審查,防止產(chǎn)品提供者非法控制、干擾、中斷用戶系統(tǒng),非法收集、存儲(chǔ)、處理和利用用戶有關(guān)信息。其也與日前公布的《網(wǎng)絡(luò)安全法(草案)》中關(guān)于關(guān)鍵基礎(chǔ)設(shè)施安全審查的規(guī)定相互呼應(yīng),保持了不同立法之間的協(xié)調(diào)性。同時(shí),本條規(guī)定也明確了網(wǎng)絡(luò)安全審查“風(fēng)險(xiǎn)控制”的基本思路,側(cè)重于關(guān)注信息技術(shù)產(chǎn)品和服務(wù)在部署過程中可能引入的未知風(fēng)險(xiǎn)。2007年針對愛沙尼亞政府網(wǎng)絡(luò)的攻擊、2009年針對韓國的大規(guī)模拒絕服務(wù)攻擊、2010年針對伊朗核設(shè)施的震網(wǎng)病毒攻擊等安全事件充分說明了國家網(wǎng)絡(luò)安全審查風(fēng)險(xiǎn)控制的重要意義。美國審計(jì)局(GAO)也曾經(jīng)提醒美國政府關(guān)注持續(xù)增加的網(wǎng)絡(luò)威脅對聯(lián)邦信息系統(tǒng)產(chǎn)生的風(fēng)險(xiǎn),并認(rèn)為這些風(fēng)險(xiǎn)主要包括政府重要信息資源丟失或被盜,遭受未經(jīng)授權(quán)的訪問和攻擊,敏感信息遭受身份盜竊、網(wǎng)絡(luò)間諜或其他形式的犯罪,政府關(guān)鍵部門運(yùn)行的中斷,數(shù)據(jù)被篡改并用于欺詐或入侵等等。我國《國家安全法》的上述規(guī)定能夠反應(yīng)全球網(wǎng)絡(luò)安全保障的發(fā)展趨勢,提高網(wǎng)絡(luò)審查制度的科學(xué)性和有效性。
四、網(wǎng)絡(luò)安全審查制度承接《國家安全法》,成為網(wǎng)絡(luò)法制體系的重要組成部分
概括而言,我國《國家安全法》第二條間接明確了網(wǎng)絡(luò)安全審查的審查范圍,第八條明確了網(wǎng)絡(luò)安全審查協(xié)同發(fā)展和利益平衡的審查理念,第二十五條明確了網(wǎng)絡(luò)安全審查“安全可控”的審查目標(biāo)和“風(fēng)險(xiǎn)控制”的審查思路。在此基礎(chǔ)上,《國家安全法》第五十九條最終確立了針對網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)的國家網(wǎng)絡(luò)安全審查制度,并在第六十條中規(guī)定中央國家機(jī)關(guān)各部門依照法律、行政法規(guī)行使國家安全審查職責(zé),依法作出國家安全審查決定或者提出安全審查意見并監(jiān)督執(zhí)行,由此提出了完整的國家網(wǎng)絡(luò)安全審查制度框架。值得注意的是,《國家安全法》第五十九條將外商投資、特定物項(xiàng)和關(guān)鍵技術(shù)、網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)等審查內(nèi)容并列表述,澄清了我國網(wǎng)絡(luò)安全審查的制度獨(dú)立性問題,修正了目前外資并購國家安全審查和網(wǎng)絡(luò)安全審查相互混同的情況。盡管隨著信息技術(shù)全球化趨勢的加強(qiáng),外資并購國家安全審查所關(guān)注的國家經(jīng)濟(jì)安全和網(wǎng)絡(luò)安全審查所關(guān)注的網(wǎng)絡(luò)安全存在相互滲透的情況,而且同屬于國家安全的范疇,但二者的制度基礎(chǔ)仍然存在較大差別。網(wǎng)絡(luò)安全審查制度既不應(yīng)當(dāng)?shù)韧谠?008年《反壟斷法》中業(yè)已確立的外資并購國家安全審查,也不應(yīng)當(dāng)從屬于外資并購國家安全審查中的網(wǎng)絡(luò)安全部分,其應(yīng)當(dāng)具有制度獨(dú)立性。
五、在實(shí)踐中細(xì)化完善國家網(wǎng)絡(luò)安全審查制度,不斷提升維護(hù)國家安全的法制效力
在網(wǎng)絡(luò)安全審查制度的可實(shí)施性方面,我國《國家安全法》的現(xiàn)有規(guī)定仍然是原則性的,還不能對國家網(wǎng)絡(luò)安全審查活動(dòng)和企業(yè)遵從提供有效指引,需要在后續(xù)的配套立法或制度規(guī)范中進(jìn)行細(xì)化和補(bǔ)充,對于未涉及的審查事項(xiàng)進(jìn)行明確。首先,考慮到我國網(wǎng)絡(luò)安全審查將主要圍繞網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)而展開,那么就應(yīng)當(dāng)對傳統(tǒng)“直接供應(yīng)商”和“最終產(chǎn)品”的審查半徑進(jìn)行擴(kuò)展,延伸到整個(gè)信息技術(shù)供應(yīng)鏈。因?yàn)樾畔⒓夹g(shù)利用的全球化是以供應(yīng)鏈為基礎(chǔ)的,信息技術(shù)產(chǎn)品和服務(wù)的提供更加依賴廣泛的全球市場,供應(yīng)鏈的復(fù)雜程度客觀上造成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)將有更多的滲透渠道 ,在產(chǎn)品和服務(wù)的生產(chǎn)、組裝和分發(fā)過程中都可能引入不確定的安全風(fēng)險(xiǎn),需要對信息技術(shù)供應(yīng)鏈整體施加審查要求。其次,由于信息技術(shù)在現(xiàn)代社會(huì)中的泛在式部署,網(wǎng)絡(luò)安全審查活動(dòng)將極為復(fù)雜,在信息技術(shù)服務(wù)中還可能受到數(shù)據(jù)跨境產(chǎn)生的管轄權(quán)爭議影響。因此,我國網(wǎng)絡(luò)安全審查制度應(yīng)當(dāng)有所側(cè)重。從目前的國際立法實(shí)踐來看,網(wǎng)絡(luò)安全審查與政府采購、認(rèn)證認(rèn)可和技術(shù)進(jìn)出口等相關(guān)法律制度關(guān)系最為密切,可以考慮將我國網(wǎng)絡(luò)安全審查的要求滲透進(jìn)上述立法中。最后,為了避免網(wǎng)絡(luò)安全審查成為政策性工具,有效實(shí)現(xiàn)網(wǎng)絡(luò)安全審查的功能,必要的透明度必須予以保證,因此需要建立相關(guān)的審查標(biāo)準(zhǔn)。例如美國在《國家信息保障采購政策》中要求所有國家安全信息系統(tǒng)中采購的信息技術(shù)產(chǎn)品必須經(jīng)過評估和認(rèn)證,滿足互認(rèn)的國際信息安全技術(shù)評估通用標(biāo)準(zhǔn),滿足國家安全局(NSA)、國家技術(shù)標(biāo)準(zhǔn)研究所(NIST)和國家信息保障合作組織(NIAP)的評估認(rèn)證要求,滿足NIST聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)的認(rèn)證要求,并符合NSA的NSA批準(zhǔn)的認(rèn)證流程。這樣一方面可以為國家網(wǎng)絡(luò)安全審查活動(dòng)提供指引,另一方面可以為企業(yè)遵從提供參考框架。