网络安全审查 | ​中国《网络安全审查办法》的逻辑和要旨：以5G安全为例

编者按：

中国的《网络安全审查办法》（以下简称“审查办法”）于2020年4月13日发布，并将于同年6月1日生效。前身是从2017年开始实施的《网络产品和服务安全审查办法（试行）》。从试行到成型，近三年间的实践和摸索，最终扬弃、浓缩、升华于新的规章之中。本文将以5G安全为例，分析说明中国网络安全审查办法的逻辑和要旨。

一、中国现行的5G安全法律框架

目前中国的电信和网信主管部门尚未对5G安全提出专门的制度性文件。在2020年2月出版的《5G安全报告》中，工信部下属的中国信通院提出：“应对和解决5Ｇ安全问题，可以基于现有4G安全管理框架和技术保障措施，针对新的安全风险和不确定性，采取有针对性的完善措施”。因此，在我国5G专门立法出现之前，可以认为《网络安全法》和《电信条例》共同构建了我国5G安全的法律框架。本节将根据5G生态中主要利益相关方，对中国现有的5G安全法律框架做出分析。

对于移动网络运营商，《网络安全法》第三章“网络运营安全”和《电信条例》第五章“电信安全”共同适用。5G移动网络几乎肯定被认定为《网络安全法》中的关键信息基础设施。因此其运营者，不仅要承担一般的网络运营者的安全义务，还应当承担作为关键信息基础设施运营者的增强式的安全义务。

对于5G移动网络运营商的供应商，以及联网设备制造商及相关服务提供商，《电信条例》没有专门的规定。《网络安全法》做出了如下一般性的要求：

针对连接入5G的其他服务和内容提供商，即可能是一般的网络运营者，也可能是关键信息基础设施运营者，同样的应当遵循《网络安全法》和《电信条例》的相关规定。

二、《审查办法》的基本逻辑和要旨

从上一节中可见，中国的《审查办法》解决的核心事项是：产品或服务用于关键信息基础设施中可能带来的安全问题。换句话说，之所以发起审查，是因为具体的关键信息基础设施运营者（即5G移动网络运营商）因采购了特定的网络产品和服务，可能因此给5G网络带来“脆弱性”，而非产品或服务自身内在的安全问题。后者主要由《网络安全法》第二十二、二十三和三十六条及其配套制度所解决。真正理解中国的《审查办法》，应牢牢记住这点。沿着这个基本逻辑，就能很好地掌握中国《审查办法》设立的审查制度的各个方面。

（一）审查对象明确

在《审查办法》中，安全审查的目标是“为了确保关键信息基础设施供应链安全，维护国家安全”，将审查着眼于产品和服务在供应链安全方面给关键信息基础设施带来的风险。

因此，中国《审查办法》审查的对象始终是关键信息基础设施运营者所采购的一个个具体的产品或服务。这一点非常明确。为此，《网络安全审查办法》还明确了产品或服务的范围，第二十条规定：“本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务”。对5G供应商的审查，《网络安全审查办法》主要考察其“遵守中国法律、行政法规、部门规章情况”。归纳起来，中国的审查对象范围明晰，审查对象以具体的产品或服务为主，供应商为辅。对供应商的审查，不能独立于其提供的具体的产品或服务。因此，中国不存在主动发起阵对某一供应商的独立审查或风险评估。

（二）审查中的评估要素具体

中国《审查办法》的核心在于考察——“具体的产品或服务+具体的使用场景”。这体现了对安全的一种先进认识，即“网络安全是相对的而不是绝对的”。同样，产品和服务的安全性也是相对的。安不安全，很大程度上是依赖于该产品和服务的使用主体、使用目的、使用方式以及产品供应渠道的可靠程度等因素，并不存在衡量安全性的绝对、恒定的基准。

因此，中国《审查办法》重点审查采购、使用具体的产品和服务后，是否会造成以下两方面后果：

1. 关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；（第九条第一款）

2. 产品和服务供应中断对关键信息基础设施业务连续性的危害；（第九条第二款）

   
   

其次，《网络安全审查办法》第九条中第三款审查“产品和服务的安全性、开放性、透明性、来源的多样性”。可大致做如下理解：安全性是指产品和服务本身被入侵、损毁、破坏、篡改、操控等风险；开放性是指产品和服务的兼容性、互操作性问题；透明性是指产品和服务内部的工作原理、机制是否可为网络运营人员所理解、干预或管控；来源的多样性是指避免过度依赖问题。

再次，第九条中第三款审查“供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”的审查，实质上是更进一步审查各个可能造成供应中断的因素。例如微软停止对XP操作系统的安全更新服务，对大量使用XP系统的党政机关信息系统的安全风险，又如美国通过出口管制措施对芯片全球供应链的控制能力，对特定关键信息基础所采购的某一款芯片，是否能够持续供应的潜在影响。

从上述剖析可以看到，中国的风险考量要素中并没有国别因素。网络安全审查的注意力始终在具体的产品和服务，以及该产品或服务用于具体的关键信息基础设施后，可能引入的脆弱性问题。可以说，网络安全审查主要是一种技术性、客观性的评估。正如国家互联网信息办公室有关负责人就《网络安全审查办法》相关问题回答了记者提问时说到的：“网络安全审查的目的是维护国家网络安全，不是要限制或歧视国外产品和服务。对外开放是我们的基本国策，我们欢迎国外产品和服务进入中国市场的政策没有改变。”

（三）审查由运营者主动发起

在中国《审查办法》中，审查启动的主要要件是“运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查”。

从上述规定看，审查申报的主体明确为作为采购方的“关键信息基础设施运营者”。而且，采购方主动“预判产品或服务可能带来的国家安全风险”并据此决定是否申报审查，成为其法定义务之一。再次，采购方应主动通过法律工作管理自身的供应链风险，例如第六条所规定的：“应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等”。

把上述法定义务结合起来看，可以看到《审查办法》对采购方的角色定位——既然特定的产品和服务是采购方自主选择的，那采购方应当成为责任主体（即所谓的权责一致原则），因此采购方应当在力所能及的范围内，主动管理和降低供应链安全风险。

可以看到，中国的制度安排极大地尊重了5G网络运营者结合自身运营场景的风险判断和商业决策，避免了政府无差别、大规模地介入企业日常的采购行为。换句话说，只有当某产品或服务在某个场景中的使用，所造成的安全风险超出了运营者的能力范围，网络安全审查机制才会启动。

这样的规定，反过来避免公权力主动对5G供应市场提前介入，主动对供应商风险状况、供应商多样性进行评估，避免5G供应商市场会成为一个高计划性、高管制度的市场，从而失去市场活力和创新动力。

（四）审查结论审慎

由于中国《审查办法》的核心在于考察“具体的产品或服务+具体的使用场景”。因此，审查所得出的结论是具体的产品或服务是否可以使用于某个具体的场景中。换句话说，即便单次的网络安全审查不过，并不必然导致该产品或服务在其他5G运营商发起的网络安全审查中不通过。在上述思路的指导下，为了避免对市场外界造成某个产品或服务不安全的整体印象，网络安全审查的结果，多数情况下仅“会以书面形式将审查结论通知运营者”（第十二条），并不会向其他运营者或者社会各界公开。

之所以会有这样的结论，还是因为中国《审查办法》审查的对象始终是关键信息基础设施运营者所采购的一个个具体的产品或服务。因此即便单次审查不通过，也不会造成该供应商的全线产品或服务被所有关键信息基础设施运营者拒之门外，造成“一次审查不通过，满盘皆输”的局面。

三、简短的总结

从前文可看到，中国的网络安全审查不考虑“国别出身”。换句话说，即不把供应商的风险状况作为安全的逻辑起点。

此外，中国的网络安全审查“就事论事”，不会造成“贴标签”的效应。单次审查不通过仅仅意味着特定的关键信息基础设施运营者在某个场景或环节中不应使用特定的产品或服务，不会同时影响该供应商旗下的所有产品或服务，也就避免产生“连带损害”（collateral damage）的效果。

此外，中国的网络安全审查还通过尊重运营者的自主安全决策反向激励运营者提升安全水平。

总的来说，这样的网络安全审查制度设计，有利于维护5G供应市场的多样性，鼓励来自不同国家的网络运营者相互竞争和持续创新，为5G网络持续发展提供了源源不断的动力。（完）

数据保护官（DPO）社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时，DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月，DPO社群举行了第一次线下沙龙。沙龙每月一期，集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下：

人脸识别系列文章

1. 欧盟基本权利局“人脸识别技术”报告中文翻译（DPO社群出品）
   

2. 法国数据保护局（CNIL）关于人脸识别报告的中译文（DPO社群出品）
   

3. 零售门店使用人脸识别技术的主要法律问题（DPO社群成员观点）
   

4. 人脸识别技术的规制框架（PPT+讲稿）
   

5. 人脸识别技术运用的六大场景及法律规制框架的适配（DPO社群成员观点）
   

6. 解读世界首例警方使用人脸识别技术合法性判决（DPO社群成员观点）
   

7. 人脸识别技术的法律规制研究初探（DPO社群成员观点）

8. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

9. 美国华盛顿州人脸识别服务法案中文翻译（DPO社群出品）

10. PAI | 《理解人脸识别系统》全文翻译（DPO社群出品）

美国联邦隐私保护立法草案研究

1. 美国联邦隐私保护立法草案研究（一）：“行为个性化”

2. 美国联邦隐私保护立法草案研究（二）：“个人敏感信息”

3. 美国联邦隐私保护立法草案研究（三）：“个人敏感信息”的保护规则

4. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

传染病疫情防控与个人信息保护系列文章

1. 传染病疫情防控与个人信息保护初探之一：个人信息的性质
   

2. 传染病疫情防控与个人信息保护初探之二：同意的例外

3. 传染病疫情防控与个人信息保护初探之三：数据技术的应用路径

4. 传染病疫情防控与个人信息保护初探之四：接触追踪的数据共享安全规范

5. 传染病疫情防控与个人信息保护初探之五：电信数据的安全规范

6. 传染病疫情防控与个人信息保护初探之六：GDPR框架下的公共卫生数据共享

7. 传染病疫情防控与个人信息保护初探之七：美国公共卫生机构的数据调取权力

8. 传染病疫情防控与个人信息保护初探之完结篇：解读中央网信办通知

9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总（DPO社群出品）

10. 美国疫情防控中的关键基础设施的识别和认定（DPO社群出品）

11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见（DPO社群出品）

12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译（DPO沙龙出品） 

13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

15. 疫情防控常态化中的接触追踪：中国方案

16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译（DPO社群出品）

17. 来自欧洲的接触追踪协议（ROBERT Protocol）的基本原理：漫画图解

18. 英国信息专员对苹果谷歌接触追踪项目的官方意见：全文翻译（DPO社群出品）

19. 三百名学者关于接触追踪APP的联合声明

20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

22. 韩国利用ICT抗疫经验总结：接触追踪部分（中文翻译）

23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱（DPO沙龙出品）

美国的出口管制制度系列文章：

1. 美国出口管制制度系列文章之一：对“外国生产的产品”的相关规则

2. 美国出口管制制度系列文章之二：适用EAR的步骤

3. 美国出口管制制度系列文章之三：苏联油气管道的“华为”事件

4. 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈

5. 美国出口管制制度 | 允许华为和美国公司共同制定5G标准
   

第29条工作组/EDPB关于GDPR的指导意见：

1. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)
   

2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）
   

3. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

5. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

7. EDPB《关于GDPR适用地域范围（第3条）的解释指南》全文翻译（DPO沙龙出品）

8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

9. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

10. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）
    

11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

12. EDPB | 《对第2016/679号条例（GDPR）下同意的解释指南v1》中文翻译（DPO社群出品）

13. 第29条工作组 | 《关于匿名化技术的意见》中文全文翻译（DPO社群出品）
    

自动驾驶系列文章：

1. 自动驾驶数据共享：效用与障碍

2. 自动驾驶数据共享：效用与障碍（附文字实录）

3. 北京市关于自动驾驶车辆道路测试的立法综述及动态（DPO社群成员观点）

4. 自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡（DPO社群成员观点）

5. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

数据安全法系列文章：

1. 对《数据安全法》的理解和认识 | 立法思路

2. 对《数据安全法》的理解和认识 | 数据分级分类

3. 对《数据安全法》的理解和认识 | 中国版的封阻法令

4. 对《数据安全法》的理解和认识 | 重要数据如何保护
   

欧盟“技术主权”进展跟踪系列文章：

1. 技术主权视野下的欧盟数字化转型战略探析（DPO社群出品）
   

2. 欧盟委员会主席首提“技术主权”概念

3. 推进欧洲可持续和数字化转型：《欧洲新工业战略》解读（DPO社群成员观点）
   

4. 欧盟“技术主权”进展 | 德国和法国推出欧盟自主可控的Gaia-X云平台计划

5. 欧盟“技术主权”进展 | 欧盟如何在科技领域能主导下一个十年

6. 欧盟“技术主权”进展 | 关于数字平台监管的建议

7. 欧盟“技术主权”进展 | 欧洲共同数据空间治理立法框架

数据跨境流动系列文章：

1. 构建数据跨境流动安全评估框架：实现发展与安全的平衡

2. 构建数据跨境流动安全评估框架：实现发展与安全的平衡（二）

3. 构建数据跨境流动安全评估框架：实现发展与安全的平衡（三）

4. 构建数据跨境流动安全评估框架：实现发展与安全的平衡（四）

5. TPP对跨境金融数据“另眼相看”？

6. 马来西亚拟将我国认定为个人数据跨境流动“白名单”地区

7. 美国ITIF关于数据跨境流动的研究报告简介

8. Chatham House举办Cyber 2017大会，关注中国数据跨境流动

9. 俄罗斯个人信息保护机构对隐私政策和数据跨境流动的新举措

10. 看清APEC“跨境隐私保护规则”体系背后的政治和经济

11. 敬请关注“闭门会-数据跨境流通”

12. “闭门会：数据跨境流动政策分析” 总结

13. 欧盟个人数据跨境流动机制进展更新（截止201810）

14. 俄罗斯数据本地化和跨境流动条款解析

15. 亚洲十四个国家和地区数据跨境制度报告中译本（DPO社群出品）

16. 《个人信息和重要数据出境安全评估办法》实现了安全与发展的平衡

17. 数据出境安全评估：保护我国基础性战略资源的重要一环

18. 个人信息和重要数据出境安全评估之“境内运营”

19. 《数据出境安全评估：保护我国基础性战略资源的重要一环》英文版

20. 个人信息和重要数据出境安全评估之“向境外提供”

21. 数据出境安全评估基本框架的构建

22. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

23. 《网络安全法》中数据出境安全评估真的那么“另类”吗

24. 解析《个人信息出境安全评估办法（征求意见稿）》实体保护规则背后的主要思路

25. 《个人信息出境安全评估办法（征求意见稿）》解读：从中外比较的角度

26. 数据跨境流动 | 澳大利亚政府提出新的数据本地化要求

27. 数据跨境流动 | 欧盟EDPB对欧盟隐私盾协议被判无效的相关问答（全文翻译）

28. 数据跨境流动 | 美欧“隐私盾协议”被判无效背后的逻辑