2014年5月22日国家互联网信息办公室宣布我国将建立网络安全审查制度,①我国《国家安全法》、②《网络安全法(草案)》③一审稿和二审稿也均对网络安全审查制度进行了明确规定,特别是在作为规划我国未来信息化发展方向的《国家信息化发展战略纲要》④中,亦明确提出了建立网络安全审查制度的具体要求。与有些学者的理解不同,⑤本文认为,目前各国并不存在真正法律意义上的国家网络安全审查制度,该制度是我国在国家网络安全保障领域的创新尝试。限于目前我国相关政策立法的模糊性,各方对于网络安全审查的理解并不一致,其中不乏偏见与误读。⑥特别是在国家网络安全审查制度的功能定位和实现方面,非理性的制度设定极有可能削弱国家网络安全审查的正当性基础,有悖于制度设立的初衷。应当意识到,网络安全审查制度同样是一柄双刃剑,其既可以作为一种有效手段提升国家网络安全的保障能力,也可以沦为一种贸易壁垒令国家丧失利用先进技术的机会。 一 国家网络安全审查制度的功能定位 我国选择在美英针对我国信息技术企业实施安全审查之后公布网络安全审查政策,在客观上给人一种“反制措施”的感觉。但本文认为,将国家网络安全审查制度的功能定位于片面的“反制措施”并不能解决我们面临的安全问题,反而会将审查制度降格为纯粹意义上的“政策工具”。鉴于日益严峻的网络安全态势,国家网络安全审查制度的功能应在于“保障”,是基于风险考虑的制度安排。 (一)美英安全审查对我国“反制”思维形成的影响 在2012年前后,我国信息技术企业在全球范围内频繁遭受安全审查,而其中以美国尤甚。2011年美国众议院情报委员会专门针对华为和中兴展开审查,直到今天对我国信息技术企业产生的负面影响仍然没有完全消除。2013年英国国家安全委员会对华为位于英国的网络安全中心进行了安全审查,其审查结论包含额外的持续性审查要求,并对华为网络安全中心设立了专门的监管委员会。随后,美国在《合并与持续拨款法案》中对我国采取了歧视性规定,限制四个联邦政府机构采购源自我国的信息技术。上述一系列事件引发了我国各界的强烈不满,并催生了“反制”思维的形成。 1.美国众议院情报委员会针对华为和中兴的审查 2011年11月,作为对华为公开信的回应,⑦美国众议院情报委员会启动了对华为的调查,主要针对中国电信企业在美业务产生的反间谍和安全威胁,该调查同时将中兴纳入其中。⑧在经历了11个月的调查之后,美国众议院情报委员会于2012年10月8日发布了调查报告,详细阐述了调查过程和结果。然而该份调查报告一经发布便饱受质疑,因为其并未提出任何有力的证据表明华为和中兴实施了针对美国的网络攻击或间谍行为,反而充斥着无端的猜测与臆断。⑨该报告将大量调查集中于分析华为和中兴与中国政府和军队的关系,实质上等同于“背景审查”,认为两公司的运作不具备“独立性”。在调查基础上,美国众议院情报委员会提出了措辞非常严厉的五点建议。⑩如果美国各联邦机构和私营部门选择遵从该建议,那么华为和中兴毫无疑问将被排除在美国市场之外。 2.英国国家安全委员会针对华为网络安全评估中心的审查 在美国众议院情报委员会的调查报告发布不久,英国情报安全委员会于2013年即发布了名为《外国参与关键国家基础设施:国家安全的影响》的报告,该报告直指华为位于班伯里的网络安全评估中心,认为华为进入英国通信市场,特别是涉足关键国家基础设施将严重影响国家安全,建议国家安全委员会尽快组织对华为网络安全评估中心的审查活动。(11)随后,英国国家安全委员会于2013年7月对华为的网络安全中心进行了审查,(12)形成了《华为网络安全中心:国家安全委员会审查》的报告,并向英国首相进行了汇报。尽管英国国家安全委员会的审查结论认为,华为网络安全评估中心能够有效进行运营,现有的管理制度保证了华为网络安全评估中心充足的独立性,但仍然要求设立专门的监管委员会,对华为网络安全评估中心进行年度审查。(13) 3.美国《合并与持续拨款法案》的歧视性规定 如果上述两个案例仍然可以被视为特例,那么美国2013年实施的《合并与持续拨款法案》则在立法层面确立了针对中国信息技术的限制态度。(14)作为美国联邦政府财年预算和拨款法案,历年的《合并与持续拨款法案》对于美国政府的政策制定和业务开展起到举足轻重的引导和规范作用。(15)2013年的《合并与持续拨款法案》第516条款赤裸裸地抛弃了各国立法所恪守的“非歧视原则”,史无前例地直接限制四个政府机构采购源自中国的信息技术。(16)该条款引起了信息技术产业的强烈不满,认为其开创了非常糟糕的审查先例。(17)尽管第516条款受到了强烈质疑,但“中国依据WTO非歧视原则否定该法案效力的努力会相当艰难,除非有极具说服力的理由,否则该限制条款被修订的可能性很小”。(18)在2014年的《合并与持续拨款法案》中,第515条款对中国信息技术管制的态度有所放松,开始强调IT供应链风险控制的具体要求,但仍然保留了对中国的歧视性规定。(19)该规定虽然并未禁止采购源自中国的信息技术,但要求机构负责人决定采购活动符合国家利益,并向国会报告,这实质上完全排除了采购活动的可能性,“因为机构负责人不会愿意对采购活动是否符合国家利益自行作出判断”。(20) 为此,在很多情况下,我国建立网络安全审查制度被或多或少地理解为一种“反制手段”。(21)在实践中,很多学者强调美国对我国信息技术企业实施了不公正待遇,我们也应当“以牙还牙”地采取对等策略。但片面或单纯将“反制”作为制度功能,会导致该制度沦为纯粹的“政策工具”,甚至是“贸易壁垒”,这对于我国网络安全的实现并无裨益。
