2014年5月22日国家互联网信息办公室宣布我国将建立网络安全审查制度，我国《国家安全法》、《网络安全法（草案）》一审稿和二审稿也均对网络安全审查制度进行了明确规定，特别是在作为规划我国未来信息化发展方向的《国家信息化发展战略纲要》中，亦明确提出了建立网络安全审查制度的具体要求。与有些学者的理解不同，本文认为，目前各国并不存在真正法律意义上的国家网络安全审查制度，该制度是我国在国家网络安全保障领域的创新尝试。限于目前我国相关政策立法的模糊性，各方对于网络安全审查的理解并不一致，其中不乏偏见与误读。特别是在国家网络安全审查制度的功能定位和实现方面，非理性的制度设定极有可能削弱国家网络安全审查的正当性基础，有悖于制度设立的初衷。应当意识到，网络安全审查制度同样是一柄双刃剑，其既可以作为一种有效手段提升国家网络安全的保障能力，也可以沦为一种贸易壁垒令国家丧失利用先进技术的机会。

一、国家网络安全审查制度的功能定位

我国选择在美英针对我国信息技术企业实施安全审查之后公布网络安全审查政策，在客观上给人一种“反制措施”的感觉。但本文认为，将国家网络安全审查制度的功能定位于片面的“反制措施”并不能解决我们面临的安全问题，反而会将审查制度降格为纯粹意义上的“政策工具”。鉴于日益严峻的网络安全态势，国家网络安全审查制度的功能应在于“保障”，是基于风险考虑的制度安排。

（一）美英安全审查对我国“反制”思维形成的影响

在2012年前后，我国信息技术企业在全球范围内频繁遭受安全审查，而其中以美国尤甚。2011年美国众议院情报委员会专门针对华为和中兴展开审查，直到今天对我国信息技术企业产生的负面影响仍然没有完全消除。2013年英国国家安全委员会对华为位于英国的网络安全中心进行了安全审查，其审查结论包含额外的持续性审查要求，并对华为网络安全中心设立了专门的监管委员会。随后，美国在《合并与持续拨款法案》中对我国采取了歧视性规定，限制四个联邦政府机构采购源自我国的信息技术。上述一系列事件引发了我国各界的强烈不满，并催生了“反制”思维的形成。

1.美国众议院情报委员会针对华为和中兴的审查

2011年11月，作为对华为公开信的回应，美国众议院情报委员会启动了对华为的调查，主要针对中国电信企业在美业务产生的反间谍和安全威胁，该调查同时将中兴纳入其中。在经历了11个月的调查之后，美国众议院情报委员会于2012年10月8日发布了调查报告，详细阐述了调查过程和结果。然而该份调查报告一经发布便饱受质疑，因为其并未提出任何有力的证据表明华为和中兴实施了针对美国的网络攻击或间谍行为，反而充斥着无端的猜测与臆断。该报告将大量调查集中于分析华为和中兴与中国政府和军队的关系，实质上等同于“背景审查”，认为两公司的运作不具备“独立性”。在调查基础上，美国众议院情报委员会提出了措辞非常严厉的五点建议。如果美国各联邦机构和私营部门选择遵从该建议，那么华为和中兴毫无疑问将被排除在美国市场之外。

2.英国国家安全委员会针对华为网络安全评估中心的审查

在美国众议院情报委员会的调查报告发布不久，英国情报安全委员会于2013年即发布了名为《外国参与关键国家基础设施：国家安全的影响》的报告，该报告直指华为位于班伯里的网络安全评估中心，认为华为进入英国通信市场，特别是涉足关键国家基础设施将严重影响国家安全，建议国家安全委员会尽快组织对华为网络安全评估中心的审查活动。随后，英国国家安全委员会于2013年7月对华为的网络安全中心进行了审查，形成了《华为网络安全中心：国家安全委员会审查》的报告，并向英国首相进行了汇报。尽管英国国家安全委员会的审查结论认为，华为网络安全评估中心能够有效进行运营，现有的管理制度保证了华为网络安全评估中心充足的独立性，但仍然要求设立专门的监管委员会，对华为网络安全评估中心进行年度审查。

3.美国《合并与持续拨款法案》的歧视性规定

如果上述两个案例仍然可以被视为特例，那么美国2013年实施的《合并与持续拨款法案》则在立法层面确立了针对中国信息技术的限制态度。作为美国联邦政府财年预算和拨款法案，历年的《合并与持续拨款法案》对于美国政府的政策制定和业务开展起到举足轻重的引导和规范作用。2013年的《合并与持续拨款法案》第516条款赤裸裸地抛弃了各国立法所恪守的“非歧视原则”，史无前例地直接限制四个政府机构采购源自中国的信息技术。该条款引起了信息技术产业的强烈不满，认为其开创了非常糟糕的审查先例。尽管第516条款受到了强烈质疑，但“中国依据WTO非歧视原则否定该法案效力的努力会相当艰难，除非有极具说服力的理由，否则该限制条款被修订的可能性很小”。在2014年的《合并与持续拨款法案》中，第515条款对中国信息技术管制的态度有所放松，开始强调 ＩＴ供应链风险控制的具体要求，但仍然保留了对中国的歧视性规定。该规定虽然并未禁止采购源自中国的信息技术，但要求机构负责人决定采购活动符合国家利益，并向国会报告，这实质上完全排除了采购活动的可能性，“因为机构负责人不会愿意对采购活动是否符合国家利益自行作出判断”。

为此，在很多情况下，我国建立网络安全审查制度被或多或少地理解为一种“反制手段”。在实践中，很多学者强调美国对我国信息技术企业实施了不公正待遇，我们也应当“以牙还牙”地采取对等策略。但片面或单纯将“反制”作为制度功能，会导致该制度沦为纯粹的“政策工具”，甚至是“贸易壁垒”，这对于我国网络安全的实现并无裨益。

（二）国家网络安全审查保障功能的确立

根据国家网信办发布的公告，我国实施网络安全审查旨在“防止产品提供者非法控制、干扰、中断用户系统，非法收集、存储、处理和利用用户有关信息”。为此，我国的网络安全审查制度一定是基于安全风险的，而且仅限于信息安全风险。在这里之所以要强调信息安全风险，是因为在更为广义的国家行为范畴，遭受他国不公正安全审查同样也可以视为一种潜在的外部风险，但这显然不属于网络安全审查所意欲规避和防范的风险。

首先，“反制”注重等同效力，以对方的“在先行为”为制度启动或实施的前提，因此制度本身是以行为为基础的，这导致审查目的并不一定以网络安全为出发点——例如典型的出于报复目的的审查活动——这对于降低信息安全风险并无实际价值。其次，“反制”作为以在先行为为基础的审查活动不可能涵盖所有的网络安全风险，在出现突发事件或其他网络安全威胁时，网络安全审查并不能有效启动。例如，如果有证据表明某国信息技术产品和服务存在网络安全风险，但该国并未对我国实施网络安全审查，那么以“反制”为功能定位的网络安全审查就变得毫无意义。再次，“反制”的功能定位意味着我国的网络安全审查必然局限于针对国外信息技术企业，这不仅可能构成实质意义上的贸易壁垒而遭受国际质疑，也会造成国家丧失利用先进技术的机会。更为重要的是，受限于审查对象的范围，以“反制”为功能的网络安全审查制度一方面不可能对由国内企业引入的安全风险作出规制；另一方面，如果考虑到信息技术供应全球化的现实，在外国企业作为本国企业的次级供应商时，网络安全审查制度便被轻易地规避掉。

我们需要意识到，在过去的十几年时间里，信息技术的“泛在化”部署迫使我们开始重新审视信息技术对现代社会的支撑作用，信息技术无疑已经从单纯的通信工具转变为国家的关键信息基础设施。“信息技术的传播和发展，以及该技术的使用或应用造成网络空间和现实空间不断融合”，国家和社会运行高度依赖信息技术的安全性和稳定性。然而遗憾的是，正如所有技术馈赠都有其阴暗面，信息技术滥用产生的网络风险也成为影响国家安全和社会稳定的巨大威胁。这种威胁主要体现在以下两个方面，其一是风险来源的多元化，任何信息系统内外部的环境变化都可能引入不确定的安全风险，包括恶意攻击、意外事件或自然灾害。其二是风险来源的能力化，2007年针对爱沙尼亚政府网络的攻击，2009年针对韩国的大规模拒绝服务攻击，2010年针对伊朗核设施的震网病毒攻击事件，2015年针对乌克兰电网攻击事件都一再验证了网络安全风险产生的灾难性后果。

特别是在“棱镜事件”后，“国家”作为风险来源的可能性已经引起了各国的警醒。在这种情况下，被动式的“反制”措施能够起到的风险控制效果是令人存疑的，只有确立积极的保障功能才能充分发挥网络安全审查的制度作用，提升国家网络安全的保障能力。为此，国家网络安全审查应当是基于风险控制的保障制度，旨在防范和弱化信息或信息资源可能遭遇的保密性、可用性和完整性减损。

二、保障功能视域下国家网络安全审查的制度独立性

在信息技术领域，关键部门或行业的技术利用活动通常会引发与国家安全相关的立法思考，产生国家安全审查的客观要求，这也是国家安全审查制度保障功能的最直接体现。

我们目前面临的研究困境是，建立在成熟法律制度基础上的国家安全审查目前以外商投资国家安全审查制度为主。在很多情况下，国家安全审查与外商投资国家安全审查被同等对待，认为国家安全审查专指外商投资国家安全审查，或认为国家安全审查的功能定位在于保障产业安全。为此，在论证国家网络安全审查正当性的时候，有些学者会将外商投资国家安全审查作为国家网络安全审查的制度基础，或以美国外国投资委员会（CFIUS）对我国华为并购3COM和3LEAF的否决案来印证美国存在严格的网络安全审查制度，导致目前大量的国家网络安全审查法律制度实证性研究集中于业已建立的外商投资国家安全审查立法框架。

如果从可供规制的法律行为角度分析，涉及信息技术的外商投资行为确实具有双重性，兼跨资本准入和技术准入两大国家管控领域。随着信息技术的全球化利用，外商投资国家安全审查向信息技术要素的扩展客观上模糊了其与网络安全审查的边界。在制度保障功能方面，外商投资国家安全审查和网络安全审查也具有相似性，二 36 40424 36 14748 0 0 8033 0 0:00:05 0:00:01 0:00:04 8032者均以特定领域的国家安全保障为制度功能，均以特定活动所产生的风险评估和控制为制度目的。为此，国家网络安全审查就与外商投资国家安全审查也出现了混同或相互交叉的认知。但二者在保障方法，在审查重点、审查对象和审查内容方面均有所区别。

（一）审查重点不同

外商投资国家安全审查源于外资介入东道国市场而产生的国家安全威胁，“资本的逐利性特点导致外国投资与国家安全在突破两者之间平衡界限的情况下会发生一定的冲突。”为此，外商投资国家安全审查更侧重于保护国家经济安全，客观反映为国家对外国资本获取本国企业“控制权”的限制。而国家网络安全审查源于国家关键基础设施对信息技术依赖性而产生的国家安全“脆弱性”考虑。国家网络安全审查的目的是防止产品提供者非法控制、干扰、中断用户系统，非法收集、存储、处理和利用用户有关信息。

（二）审查对象不同

外商投资国家安全审查的保障方法是通过排除特定资本的市场准入来实现的，其审查对象是“外国人在特定领域内的投资行为”。也就是说，外商投资国家安全审查天然是以资本的来源地作为审查的核心要素。例如美国审查外国人计划实施的任何可能导致外国控制的结果的兼并、收购或接管；加拿大审查外国人在加拿大建立新商业，以任何方式取得加拿大商业的控制权和取得在加拿大经营实体的全部或部分资产。为此，外商投资国家安全审查对象包括两项基本的限制条件，即外国人和投资行为。

而根据目前我国相关政策和立法规定，国家网络安全审查的保障方法是通过验证信息技术产品和服务的安全性和可控性来实现的，其审查对象为“重要信息技术产品和服务”，而且并不仅仅针对外国人，所有在我国境内使用的信息技术产品和服务都在审查范围之内。这也有助于修正目前“国别化”审查的思路，暂且不论“国别化”审查可能引发的“反歧视”争议，单从信息技术的利用角度而言，其可能造成国家丧失利用先进技术的机会，对国家安全而言并无裨益。更进一步，信息技术全球化产生的客观事实是信息技术产品和服务提供的全球化，区分国别的来源地调查就变得十分困难，在存在次级供应商的情况下，国别化审查就变得毫无意义。

（三）审查内容不同

外商投资国家安全审查的审查内容主要针对外商投资对国家安全的负面影响，例如《美国外国投资委员会国家安全审查指南》确定CFIUS的审查活动仅限于交易引起的“纯粹的国家安全问题”，而不涉及其他的国家利益，主要包括美国《外国投资与国家安全法》规定的11项审查内容。而国家网络安全审查的审查内容主要针对信息技术产品和服务的安全性和可控性，其中主要审查是否存在供应链安全风险，集中于信息安全控制部署和完成情况的检验和认定，其中应当特别关注网络间谍和网络破坏行为的潜在威胁。

这也导致二者在制度的透明度方面存在极大差别。由于外商投资国家安全审查以“国家安全”为审查内容，这意味着本身即存在模糊性的“国家安全”概念和标准并不能为供应商提供明确的指引，审查结果不存在任何意义上的“可期待性”，审查程序和审查标准均不透明。而国家网络安全审查是以防范信息安全风险为保障功能的，目前存在大量的安全标准可以验证信息技术产品、服务、乃至供应链整体的安全性。鉴于网络安全审查的专业性和技术性，审查机构通常也会发布保障政策，强制要求供应商予以遵从，而且对于信息技术产品和服务安全性的验证通常由独立的第三方予以完成。全部满足国家信息安全保障标准的供应商，在理论上均有进入本国信息技术领域的可能性。为此，国家网络安全审查的透明度要远远高于外资并购国家安全审查。

三、国家网络安全审查保障功能的制度支撑：以美国信息技术采购保障制度为蓝本　　

根据我国《网络安全法》（草案）的规定，我国实施的国家网络安全审查制度将主要适用于关键信息基础设施的采购阶段，这意味着我国的国家网络安全审查至少将包含政府采购和认证认可两大法律制度，但我国目前在政府采购和认证认可领域的规定几乎没有关注网络安全审查的相关内容，对国家网络安全审查制度的支撑作用有限。

在美国广泛推行电子政务的过程中，面临着与我国目前相同的境遇，由国家研发或批准使用的信息技术远远不能满足信息系统的安全建设需求，大量的商业现货信息技术产品和服务被部署在包括国家安全系统在内的政务系统中。考虑到商业现货信息技术很可能包含对国家信息安全产生威胁的潜在风险，美国在很早就重视在政府信息技术采购阶段强制采取安全保障措施，其在政府信息技术采购和认证认可制度建设中的有益经验可以为我国所借鉴。

（一）美国信息技术采购保障的基础性立法

美国涉及政府采购的立法非常庞杂，相关立法大概有4000多部，不乏关注信息安全的重要条款，其中与国家网络安全审查这一议题直接相关的立法主要包括以下几部。

1.《联邦信息安全管理法》

2002年，美国《联邦信息安全管理法》（FISMA）的出台标志着美国政府正式建立了政府信息安全要求，FISMA被公认为美国信息安全保障的统领性和基础性立法。与美国其他国家战略所阐述的宣誓性规定不同，FISMA规定了非常详细和具有可操作性的联邦政府信息安全保障规定，成为联邦政府信息安全遵从中重要的指引性立法。

FISMA规定各联邦机构（包括国家安全系统）必须在本机构范围内开发、文档化、实施信息安全项目，以实现支持该机构运行的信息系统的信息安全，鉴于信息安全保障的复杂性，为了避免各联邦机构在项目实施中的差异，FISMA对联邦机构实施的信息安全项目提供了参考性的指引。

其中需要格外注意的是，FISMA要求各联邦机构每年开发、维持和更新主要的信息系统。根据这项规定，各联邦机构每年需要对信息安全项目和实践进行独立性评估，包括控制测试和遵从性评估。对于非国家安全系统的评估可以由独立的第三方机构完成，而针对国家安全系统的评估只能由机构主管指定的机构进行评估。该项规定事实上构成了对联邦机构信息系统进行定期网络安全审查的基本要求，只不过这种审查是扩展到包含采购阶段在内的整个信息和信息系统生命周期的安全审查。

2.《克林格 －科恩法》

1996年的《克林格－科恩》法是美国政府部门制定和实施信息技术采购政策和程序最直接的法律依据，在该部法案中，Ｄ部分规定了联邦采购改革的相关要求，Ｅ部分规定了信息技术管理改革的相关要求。根据该法案的规定，由1949年《联邦资产与管理服务法》所确立的通用服务管理局（The Administrator of General Servics）集中授权采购的方式被废除，而由各联邦机构具体负责信息技术的采购事项。但这种去中心化的改革方案并没有放松信息技术政府采购的自由度，因为在联邦层面的信息技术采购资金计划和投资控制仍然归于联邦预算管理办公室（OMB），OMB的负责人被赋予广泛的信息技术采购监管职责，其中有两项规定引起了本文关注，其一是OMB的负责人制定分析、追踪和评估联邦机构信息系统投资风险的程序。根据该规定，美国事实上建立了通过预算管理限制或排除信息技术政府采购的制度安排；其二是开发和实施信息技术采购政策，这也成为各联邦机构广泛通过灵活的采购政策审查和保障信息技术采购安全性的法律基础。

3.OMB A-130

1985年，OMB正式发布A-130通告（Circular No. A-130），又称《联邦信息资源管理》（The Management of Federal Information Resources），该通告分别于1994年、1996年、2000年和 2016年进行了四次修订。根据FISMA的规定，OMB作为美国联邦信息保障监管的重要机构，其颁布的A-130号通告也被作为美国政府信息技术采购的核心遵从要求。

在2016年最新版的A-130中，OMB专门针对联邦机构提出在风险管理中需要审查和解决与程序、人员和技术相关的风险。在采购信息技术和服务时，联邦机构需要分析与潜在供应商及其提供的产品和服务相关的安全风险，包括供应链风险，并在政府和供应商之前分配风险责任。同时，A-130特别强调OMB监管责任，要求OMB实施信息技术计划审查、财年预算审查、信息收集审查、管理审查和其他OMB认为评估联邦机构信息资源管理遵从性的必要审查。要求各联邦机构实施供应链安全审查，在整个信息系统开发生命周期中防止假冒、恶意和未经授权的产品安装，防止破坏和盗窃行为，防止不可靠的生产和开发实践在信息系统中予以适用。

此外，美国的《联邦政府采购法》和《联邦信息技术采购改革法》也对美国政府信息技术采购的程序和实体要件进行了规定，其中的信息安全保障要求在政府信息技术采购活动中同样构成对供应商进行安全审查的具体要求。

（二）美国政府信息技术采购中的“安全审查”

在美国政府信息技术采购的相关政策立法中，很少出现有关“安全审查（security review）”的直接表述，而通常以“风险评估”或“风险控制”等术语来诠释安全保障要求。这些安全保障要求尽管并不以纯粹的“审查制度”方式予以体现，但在实践中一方面构成了联邦机构选择和采购信息技术的基线要求，另一方面也构成了供应商可靠性的验证标准，与国家网络安全审查的保障功能基本一致，主要包括强制性评估和认证认可两个部分。

1.国家安全系统信息技术采购的强制性评估

早在2000年7月，美国国家安全通信和信息系统安全委员会（NSTISSC）就发布了名为《国家信息保障采购政策》的第11号政策。该政策认为，信息技术的发展和威胁彻底改变了通信和通信系统的保护方式，NSTISSC清醒地意识到，在国家安全系统中使用商业产品已经不可避免，其引入的安全风险必须得到重视，美国政府采购商业产品必须使用标准化的评估流程来确保信息技术产品的安全性。

为此，国家信息保障采购政策对进入国家安全信息系统的信息技术产品要求非常严格，强制要求在所有能够访问、处理、存储、显示或传输国家安全信息的系统中建立信息保障程序，并在政府和商业信息技术产品现货供应的采购和评估过程中实现信息保障。采购的信息技术产品必须保障信息的完整性、可用性和保密性，实现电子交易中各方主体的认证性和抗抵赖性。

该政策规定，自2001年7月1日起，所有国家安全信息系统中采购的信息技术产品必须满足评估和验证要求，首先必须满足互认的国际信息安全技术评估通用标准的安全要求；其次必须满足NSA、NIST和国家信息保障合作组织（NIAP）的评估认证程序；或满足NIST联邦信息处理标准（FIPS）的认证程序。相关的评估认证工作由可信的商业实验室或NIST进行实施。自2002年6月1日起，所有国家安全信息系统采购的信息技术产品只能限于通过上述评估认证的产品，同时必须接受NSA的评估或符合NSA批准的流程。关键基础设施保护第63号总统令规定的非国家安全系统也可以考虑适用上述评估和认证要求，这些信息系统尽管仅涉及非保密性信息，但其对于实现特定功能意义重大。

2013年6月10日，美国国家安全系统委员会（CNSS）发布了第11号政策《管理信息保障和实现信息保障的信息技术产品采购的国家政策》，该政策重申了NSTISSP第11号政策的采购要求，强调所有国家安全系统采购的信息保障或实现信息保障的信息技术商业现货产品必须满足NIAP和NSA的评估和认证要求，加密产品必须满足FIPS中涉及密码的验证项目要求。CNSS的采购政策更进一步明确了国家安全系统信息技术产品采购中各方主体的责任，使得信息技术产品的安全评估和认证工作更具实践性和可操作性。从NSTISSP No.11到CNSS No.11的十年间，美国针对国家安全系统，同时包含关键信息基础设施的信息技术采购过程中建立了逐渐完备的安全保障要求，这些保障要求可以被视为美国在政府信息技术采购中的安全审查框架。

2.国家安全系统的认证认可

1994年4月8日，美国国家安全通信和信息系统安全委员会（NSTISSC）颁布了第6号国家政策《国家安全通信和信息系统认证认可的国家政策》，该政策强制要求所有联邦政府机构在其运营的国家安全系统中建立和实施认证认可程序，其所建立的认证认可程序应当能够有效保证国家安全系统中的信息处理、存储和传输的保密性、完整性和可用性。美国将认证认可视为两个相互独立的信息安全保障阶段，其中认证是指针对系统和其他保障措施的技术和非技术安全特性进行的综合性评估，判断其是否满足特定的安全需求，并支持认可程序的实施，这一过程非常类似网络安全审查活动中对信息技术安全性和可信性的验证过程。认可是指由指定的批准机构对在特定安全模式中使用相关信息技术进行批准的书面声明。

2000年4月，NSTISSC在《国家安全通信和信息系统认证认可的国家政策》的基础上颁布实施了第1000号指令《国家信息保障认证认可程序》，该指令建立了国家安全系统认证认可中的最低安全标准，要求所有运营国家安全系统的联邦机构建立统一的国家安全系统信息保障认证认可程序（NIACAP）。NIACAP旨在保障国家安全信息系统符合文件化的认可要求，并保障在整个系统生命周期中保有经过认可的安全特性。NSTISSC设计整套NIACAP的关键是在信息系统管理者、指定的批准机构、认证机构和用户之间建立安全协议，该协议通常被称为“系统安全授权协议”（SSAA），SSAA被用于指导和文档化国家安全信息系统的认证认可过程，并在系统开发和变更之前建立安全要求，在信息系统经过认可之后，ＳＳＡＡ将被作为信息系统安全配置的基础性文件。NSTISSC规定所有国家安全系统中每一个信息系统均必须由相关SSAA覆盖，SSAA的复杂程度取决于认证的复杂性和安全需求的差异性。

（三）美国内政部信息技术采购安全审查实证分析

美国在联邦层面的政府信息技术采购要求具有一般性，但仍然不能充分指引联邦机构在采购实务中完成信息技术的安全性审查活动。为此，很多美国联邦机构，特别是那些处理国家秘密或敏感信息的主要部门，均在立法授权的范围内制定了本部门的信息技术采购要求。以美国内政部（DOI）为例，其在信息技术采购活动中规定了大量的安全审查要求，主要包括人员背景审查和技术安全审查。

在人员背景审查方面，DOI对所有可能访问自身信息资源的供应商雇员开展审查，其审查强度和水平与处于类似工作职位的联邦政府雇员相一致。根据DM441第3章〔56〕的规定，DOI将联邦政府的职位分为国家安全职位和公共可信或非敏感职位两类。而在国家安全职位中，根据政府雇员能够访问的信息敏感度，DOI又将其分为如下四类，包括特别敏感职位（SS）、关键敏感 １类职位（CS）、关键敏感 ２类职位（CS）、非敏感职位（NCS）。同时，根据DM441第4章〔61〕的规定，背景调查会根据职位的不同分别适用背景调查（BI）、有限制的背景调查（LBI）、最低限度的背景调查（MBI）和独立范围背景调查（SSBI）等，审查内容涵盖供应商雇员的工作、教育、居住、执法、法庭记录、公共记录、信用记录等众多内容。根据实际情况，DOI可附加国家机构检查和问询的要求。

在技术安全审查方面，DOI对于不同类别的供应商有不同的审查要求，对商业现货（COTS）软硬件供应商仅要求其陈述质量控制内容，而对于开发或提供客户端应用服务、IT服务外包或在线支持服务的供应商则具有广泛的审查要求，包括保密审查、培训审查、位置审查、服务标准审查、独立认证审查（IV&V）、认证认可审查（C&A）、质量控制审查、脆弱性分析、安全控制审查和业务连续性审查等内容。

四、我国网络安全审查制度保障功能的实现路径

国家网络安全审查保障功能需要依托完备的规范体系，鉴于制度目的的一致性，我国可以参照美国政府信息技术采购保障的相关政策法律框架来塑造国家网络安全审查的制度体系，特别是在政府信息技术采购和认证认可制度中附加对网络安全审查的特殊要求。同时必须考虑我国目前的政策立法现状和面临的现实需求。

（一）建立威胁态势感知的审查理念

风险的“泛在化”是网络社会的固有特点，技术的不确定性则客观上增加了风险产生的概率。与传统风险相比，网络风险正在越来越具有非对称性，例如，网络攻击愈发便捷而高效，攻击者借助信息技术几乎可以在世界任何地方发起攻击，而且很难被追踪和溯源。通常攻击行为都是即时性的，不会给防御者留下充足的反应时间部署安全措施。更为严重的是，网络攻击付出的成本与网络安全防护的成本不成比例，攻击者可以利用简单的漏洞或后门攻破采取复杂保护措施的信息系统。

在这种情况下，基于“风险排除”或“绝对安全”的传统保障理念将毫无意义，网络安全审查也不例外。随着网络安全态势的恶化，各国针对信息技术产品和服务的审查力度在逐年增强，但效果却不容乐观。例如2015年美国人事管理办公室（OPM）因遭受入侵而泄露了包括联邦政府雇员在内的2570万个人信息，而讽刺的是，美国很多人员安全审查的政策均由 OPM制定和实施。再如2015年，本身即为黑客公司的“Hacking Team”遭黑客攻击泄露了400G的内部资料，披露出该公司向多国政府出售零日漏洞进行监控或入侵，安全审查很难对未经披露的漏洞进行识别。

为此，将风险降低到可接受的程度就成为唯一可行的选择，那么，对风险进行及时的感知和应对就变得格外重要。威胁态势感知即是这样一种理念，其以承认风险的广泛存在性为前提，而以风险识别的“实时性”为内容，强调通过环境要素变化提供可预期的风险发生概率。

威胁态势感知强调风险发现与应对的实时性，有助于解决网络安全风险残余的棘手问题，但同时也要求网络安全审查改变目前“节点控制”的审查方式。国家信息技术安全研究中心总工李京春曾经认为，“我们以前所做的许多测评认证工作，只是集中在信息安全产品本身是否达到标准，达标后的信息安全产品是否还存在安全风险，存在多少、何等程度的安全风险，谁也不知道，也很少有人关心。”为此，有效的网络安全审查应当是始于信息技术采购的动态风险感知过程，涵盖信息技术的整个生命周期。例如，2009年和2014年，美国和澳大利亚分别在全国范围内开展网络安全审查，评估网络安全保护水平。

（二）细化信息系统分级规则

国家网络安全审查制度的保障功能在于实现特定信息或信息资源的安全，这就需要明确相关制度意欲涵盖的信息系统边界。通常这类信息系统对于信息保密性、完整性和可用性的要求较高，在遭受信息安全减损时，对国家安全和社会公共利益造成的危害也更为严重。美国政府信息技术采购保障建立在成熟的信息系统分级基础之上，用于明确实施采购保障边界，信息保障主要针对国家安全系统，同时也适用于关键基础设施，这与我国《网络安全法（草案）》确定的安全审查对象基本一致。但这样的审查对象仍然过于广泛，特别是越来越多的信息系统被划入关键基础设施的范围，国家是否有能力对如此庞大的信息系统实施有效审查就成为疑问。为此，美国在2015年《合并与持续拨款法案》中明确提出供应链审查的对象仅限于高影响或中度影响的信息系统。根据美国NIST FIPS PUB 199的规定，中度影响级的信息和信息系统在遭受完整性、保密性和可用性减损后会对组织运行、组织资产和人员造成严重的不利影响。高影响级的信息和信息系统在遭受完整性、保密性和可用性减损后会对组织运行、组织资产和人员造成严重或灾难性的不利影响。

同时FIPS PUB 199定义了信息系统的安全类型基本表达式，即信息系统的安全类别＝｛（保密性，影响度），（完整性，影响度），（可用性，影响度）｝，由此确定了多达27类的信息系统安全类型，用以指导联邦机构划分和确定其信息系统的安全等级。我国目前的信息系统分类分级依赖于等级保护制度，根据2007年《信息安全等级保护管理办法》的规定，我国的信息系统安全保护等级分为五级，尽管各级均给出了相应的判断标准，但其标准过于模糊，无论对于信息系统的运营机构还是网络安全审查的实施机构而言，起到的指导意义非常有限，对于审查对象的确定往往需要基于个案分析，无疑会降低审查效率，也会增加审查机构的负担。为此，我国需要在现有信息安全等级保护制度的框架下，进一步细化信息系统的分级标准。

（三）实施供应链安全审查

美国政府信息技术采购保障的一大特点是根据风险来源不断适时调整和扩展审查范围。随着信息技术供应的全球化，ＩＴ供应链的复杂程度大大提升，大量的信息技术产品和服务提供存在全球范围内的业务外包的情况，安全风险将具有更多的渗透渠道。为此，早在2012年美国审计局就明确指出联邦政府在政府采购中具有信息安全脆弱性，认为“通过全球供应链提供的IT产品和服务存在威胁，要求联邦机构识别和防范IT供应链风险。”2015年，美国更是在全球范围内率先明确了供应链审查的具体要求，规定美国商务部、司法部、国家宇航局和国家科学基金会根据NIST制定的有关标准进行供应链风险审查，而上述机构也正在逐步落实该法案的审查要求。

反观我国，《国家安全法》和《网络安全法（草案）》均未明确网络安全审查的范围，如果根据2014年网信办的公告，我国的网络安全审查限定于“关系国家安全和公共利益系统使用的重要技术产品和服务”，属于典型的“终端产品和服务”审查。这样会产生一个明显的弊端，即信息技术产品和服务生产或提供环节的安全状态不可见，无法判断供应商是否在信息技术供应中采取了适当的安全保障措施，而任何“产品规格的变化，持续改进的措施，外包，内部网络重设，ＩＴ更新，技术升级过程，供应商关系都会影响IT供应链的不确定性。”并且“攻击者可能在产品开发、制造、生产或交付过程中篡改产品。”

同时，“终端产品和服务”审查主要采取技术审查，即审查产品和服务是否存在潜在的安全风险，而欠缺对人员安全的考虑，无法解决供应商可信性的问题。大量的实践经验表明，恶意的内部人员往往比产品或服务缺陷导致的危害更为严重，网络间谍即属典型。在供应商雇员可以访问采购方信息系统的情况下，缺乏对人员安全的必要审查将会大大增加信息泄露或网络破坏行为发生的可能性。为此，基于终端产品和服务的安全审查并不能有效控制风险的渗透的过程，需要将我国网络安全审查范围扩展至整个供应链。

（四）完善信息安全标准体系

从美国DOI的安全审查过程可以发现，供应链的网络安全审查会非常复杂，需要依靠大量的安全标准。有一种观点认为，美国针对我国华为和中兴的审查并没有依据安全标准，而是充斥着怀疑和主观臆断，我国的网络安全审查制度也应当“审查过程、标准、机制完全不公开，也不需要披露原因和理由”，或认为“信息网络安全审查决策是在对相关产品、技术、服务、系统等安全性能和提供人背景等情况进行判断基础上，依据国家经济社会发展情况、对外经贸和外交形势做出，不需要有具体的审查标准”。这种考虑有一定合理性，因为明确而固化的审查标准会弱化审查机关的自由裁量权，容易产生被动局面。然而，如果从审查活动的有效性分析，缺乏审查标准的审查制度仍然只能称为“政策工具”或“贸易壁垒”。因为这样的审查制度无论对于供应商而言，还是审查机构而言，均无法提供明确的审查指引，也就无法形成所谓的“可期待规范”。特别是考虑到我国的网络安全审查制度并不专门针对外国供应商，而是针对国家网络安全风险设立的保障制度，如果缺乏审查标准的支撑，那么制度整体的有效性和正当性都会存疑。因此，在国家网络安全审查向供应链审查进行扩展时，信息安全标准化建设也需要同步加快。

五、结　语

鉴于英美针对我国信息技术企业实施安全审查的现实影响，国家网络安全审查制度存在一种错误的功能认知，以“反制”为定位的网络安全审查并不能解决我们面临的安全问题，反而会将审查制度降格为纯粹的“政策工具”，甚至在某些情况下并不能起到应有的制度规范效果。我们必须意识到目前网络安全风险的“泛在化”态势，明确国家网络安全审查制度的保障功能，将其作为一项积极的保障手段，而非被动的防御措施。将国家网络安全审查的制度功能定位于保障，同样也能澄清制度独立性问题，其与外商投资国家安全审查在审查重点、审查对象和审查内容均有所区别，网络安全审查旨在保障国家网络安全，通过对信息技术产品、服务乃至供应链的安全审查，防止产品提供者非法控制、干扰、中断用户系统，非法收集、存储、处理和利用用户有关信息。在此基础上，国家网络安全审查保障功能的实现需要依托完备的制度支撑，在此方面可以参照美国政府信息技术采购保障制度的有益经验。为保证国家网络安全审查制度保障功能的实现，应当建立基于风险的威胁态势感知审查理念，细化信息系统分级，实施供应链安全审查和完善信息安全标准体系。

《环球法律评论》征订方式

微店订阅（（(请扫下方二维码） 

 ★ 备注:请在汇款留言栏注明刊名、订期、数量，并写明收件人姓名、详细地址、邮编、联系方式，或者可以致电我们进行信息登记。

联系方式

订阅热线：010-59366555

邮    箱：qikanzhengding@ssap.cn

银行汇款

户  名：社会科学文献出版社

开户行：工行北京北太平庄支行

账  号：0200010019200365434

邮局汇款

收款人：社会科学文献出版社期刊运营中心

地  址：北京市西城区北三环中路甲29号院3号楼华龙大厦A座1403室期刊运营中心

邮  编：100029 

《法学研究》公众号二维码，敬请长按关注：

《环球法律评论》公众号二维码，敬请长按关注：