4月27日下午，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)改委等12個(gè)部門聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》（以下簡稱“《辦法》”），確認(rèn)國家互聯(lián)網(wǎng)信息辦公室下設(shè)的網(wǎng)絡(luò)安全審查辦公室作為網(wǎng)絡(luò)安全審查的監(jiān)管部門，負(fù)責(zé)制定網(wǎng)絡(luò)安全審查相關(guān)制度規(guī)范，組織網(wǎng)絡(luò)安全審查，而被審查主體關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（或簡稱“運(yùn)營者”）則對其采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)負(fù)有預(yù)判風(fēng)險(xiǎn)、提前申報(bào)審查的義務(wù)?！掇k法》將于2020年6月1日正式實(shí)施，《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》（以下簡稱“《施行辦法》”）同時(shí)廢止。

 《辦法》與《試行辦法》相比，針對性更為突出，也更具有操作性。從適用范圍，到審查對象、審查機(jī)構(gòu)、審查流程等，都有更加明確和詳細(xì)的規(guī)定。然而，筆者認(rèn)為，《辦法》最大的價(jià)值在于塑造一種新的網(wǎng)絡(luò)安全觀。在復(fù)雜的國際大背景下，規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，維護(hù)網(wǎng)絡(luò)空間的基礎(chǔ)安全架構(gòu)。

 一、制度價(jià)值目標(biāo)的完善與“新網(wǎng)絡(luò)安全觀”的構(gòu)建

 在《試行辦法》中，核心的價(jià)值觀念目標(biāo)側(cè)重于技術(shù)安全，而《辦法》則更加側(cè)重供應(yīng)鏈安全和關(guān)鍵網(wǎng)絡(luò)設(shè)備的自主可控。

《試行辦法》第一條開宗明義規(guī)定“為提高網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可控水平，防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)…制定本辦法。”《試行辦法》雖然提到了全面安全的觀念，但在更加偏重技術(shù)風(fēng)險(xiǎn)和信息安全風(fēng)險(xiǎn)，對供應(yīng)鏈安全風(fēng)險(xiǎn)規(guī)定較為簡單。如《試行辦法》其第四條規(guī)定：網(wǎng)絡(luò)安全審查重點(diǎn)審查網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性，主要包括 （一）產(chǎn)品和服務(wù)自身的安全風(fēng)險(xiǎn)，以及被非法控制、干擾和中斷運(yùn)行的風(fēng)險(xiǎn)；（二）產(chǎn)品及關(guān)鍵部件生產(chǎn)、測試、交付、技術(shù)支持過程中的供應(yīng)鏈安全風(fēng)險(xiǎn)； （三）產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件非法收集、存儲、處理、使用用戶相關(guān)信息的風(fēng)險(xiǎn)；（四）產(chǎn)品和服務(wù)提供者利用用戶對產(chǎn)品和服務(wù)的依賴，損害網(wǎng)絡(luò)安全和用戶利益的風(fēng)險(xiǎn)。其中僅有第（二）項(xiàng)涉及供應(yīng)鏈安全。與美國美國參議院于2020年2月27日批準(zhǔn)的《安全和可信電信網(wǎng)絡(luò)法》（Secure and Trusted Telecommunications Networks Act）相比，技術(shù)性更強(qiáng)，而保護(hù)供應(yīng)鏈安全的屬性則偏弱。《試行辦法》與美國《安全和可信電信網(wǎng)絡(luò)法》對于電信及網(wǎng)絡(luò)產(chǎn)品準(zhǔn)入安全審查采用的價(jià)值判斷標(biāo)準(zhǔn)是不同的，中國偏重于從技術(shù)標(biāo)準(zhǔn)認(rèn)定準(zhǔn)入標(biāo)準(zhǔn)，客觀性更強(qiáng)；而美國則以認(rèn)定企業(yè)是否威脅國家安全作為準(zhǔn)入標(biāo)準(zhǔn)，主觀性更強(qiáng)。

 《辦法》對于《試行辦法》的上述局限性做出了修正?！掇k法》第一條開宗明義的規(guī)定：“為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全…制定本辦法?！迸c《試行辦法》相比，表述有明顯差異，從“提高網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可控水平，防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)”到“關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全”，其所展現(xiàn)的價(jià)值目標(biāo)差異顯而易見。

 在《辦法》第九條則規(guī)定，網(wǎng)絡(luò)安全審查重點(diǎn)評估采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風(fēng)險(xiǎn)，主要考慮以下因素：(一)產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險(xiǎn)；(二)產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害；(三)產(chǎn)品和服務(wù)的安全性、開放性、透明性、來源的多樣性，供應(yīng)渠道的可靠性以及因?yàn)檎?、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn)；(四)產(chǎn)品和服務(wù)提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況。

 《辦法》在進(jìn)行國家安全風(fēng)險(xiǎn)審查時(shí)，將“產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害”以及“供應(yīng)渠道的可靠性以及因?yàn)檎?、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn)”，作為安全風(fēng)險(xiǎn)審查的重要內(nèi)容，特別強(qiáng)調(diào)對于產(chǎn)品與服務(wù)“供應(yīng)中斷”風(fēng)險(xiǎn)的審查。而《辦法》對于“供應(yīng)渠道的可靠性”規(guī)定，應(yīng)該是與商務(wù)部的 “不可靠實(shí)體清單”制度相對應(yīng)的。

 從上述規(guī)定可以看出，《辦法》的頒布，意味著網(wǎng)絡(luò)安全觀從更加側(cè)重技術(shù)性規(guī)則到更加側(cè)重核心供應(yīng)鏈“自主可控”。

 二、審查對象的安全判斷維度清晰、聚焦

 與《試行辦法》相比，《辦法》所涉及的審查維度，更加清晰聚焦。兩個(gè)辦法對于安全的審查，都涉及“主體”和“網(wǎng)路產(chǎn)品與服務(wù)（簡稱“產(chǎn)品”）”兩個(gè)安全判斷維度?！对囆修k法》對于這兩個(gè)維度的界定不夠清晰，操作性和針對性均較差。

 1、審查對象的主體維度

 《辦法》第二條明確了被審查的主體為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者，第二十條確認(rèn)了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者是指經(jīng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門認(rèn)定的運(yùn)營者。

 《試行辦法》對于被審查主體的界定不夠清晰，有被擴(kuò)大理解的空間。如《試行辦法》第二條規(guī)定：“關(guān)系國家安全的網(wǎng)絡(luò)和信息系統(tǒng)采購的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)經(jīng)過網(wǎng)絡(luò)安全審查?！痹谶@一規(guī)定中，由于“國家安全”這一界定缺乏必要的標(biāo)準(zhǔn)，似乎所有的信息系統(tǒng)的采購，無論采購方是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者，都需要實(shí)施網(wǎng)絡(luò)安全審查。《試行辦法》第十條規(guī)定：“ 公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過網(wǎng)絡(luò)安全審查。產(chǎn)品和服務(wù)是否影響國家安全由關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門確定。”則提出了“重要行業(yè)和領(lǐng)域”以及“其他關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者”，這兩個(gè)表述是否具有同一性？《暫行辦法》的界定并不清晰?！掇k法》將審查的對象明確界定為“關(guān)鍵信息技術(shù)設(shè)施運(yùn)營者”，有利于在執(zhí)法中統(tǒng)一標(biāo)準(zhǔn)，也有利于相關(guān)主體對于規(guī)則的準(zhǔn)確理解。

 鑒于《網(wǎng)絡(luò)安全法》第三十一條規(guī)定關(guān)鍵基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定，且目前尚未正式發(fā)布關(guān)鍵信息基礎(chǔ)設(shè)施的具體認(rèn)定細(xì)則，對于《辦法》中關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者范圍的界定尚未有明確的法規(guī)規(guī)定。針對這一問題，國家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人在就《辦法》答記者問中，明確了《辦法》中規(guī)定的應(yīng)當(dāng)預(yù)判風(fēng)險(xiǎn)申報(bào)網(wǎng)絡(luò)安全審查的義務(wù)主體為“電信、廣播電視、能源、金融、公路水路運(yùn)輸、鐵路、民航、郵政、水利、應(yīng)急管理、衛(wèi)生健康、社會保障、國防科技工業(yè)等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營者”。在關(guān)鍵信息基礎(chǔ)設(shè)施的具體認(rèn)定細(xì)則正式出臺之前，上述范圍內(nèi)的運(yùn)營者將作為《辦法》的被審查主體承擔(dān)申報(bào)審查的義務(wù)。

 2、審查對象的產(chǎn)品維度

 對于納入安全審查的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，《辦法》的規(guī)定也更加突出網(wǎng)絡(luò)基礎(chǔ)安全層面。《辦法》第二十條規(guī)定：“本辦法所稱網(wǎng)絡(luò)產(chǎn)品和服務(wù)主要指核心網(wǎng)絡(luò)設(shè)備、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計(jì)算服務(wù)，以及其他對關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)?！?/p>

 《試行辦法》對于納入安全審查的產(chǎn)品和服務(wù)的規(guī)定則較為籠統(tǒng)，僅規(guī)定“重要網(wǎng)絡(luò)安全與服務(wù)”。該界定不夠清晰和具體，可能會產(chǎn)生擴(kuò)大適用的情況，從而影響正常的網(wǎng)絡(luò)產(chǎn)品及服務(wù)采購。

  從《辦法》的規(guī)定可以看出，納入產(chǎn)品審查范圍的設(shè)施界定更加清晰，從網(wǎng)絡(luò)結(jié)構(gòu)角度看，涉及到了網(wǎng)絡(luò)系統(tǒng)的物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層等基礎(chǔ)層面。從功能角度看，涉及到了信息傳輸、運(yùn)算、存儲、網(wǎng)絡(luò)安全、數(shù)據(jù)庫、云計(jì)算等各個(gè)重要方面。

 《辦法》在我國開啟“新基建”的關(guān)鍵時(shí)期發(fā)布，具有積極的規(guī)范意義。從新基建的角度看，毫無疑問，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者將成為“新基建”的主要建設(shè)任務(wù)承擔(dān)者，而對關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，無疑是保障“新基建”基礎(chǔ)設(shè)施安全、可控的基礎(chǔ)。因此，將安全審查聚焦于“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”采購“對安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”，在“新基建”與國際上圍繞信息網(wǎng)絡(luò)安全所展開的大博弈背景下，其意義可謂深遠(yuǎn)。

 主體與產(chǎn)品兩個(gè)維度，其關(guān)系具體如下圖示：

 三、審查主體全面覆蓋

 《辦法》第四條規(guī)定：“在中央網(wǎng)絡(luò)安全和信息化委員會領(lǐng)導(dǎo)下，國家互聯(lián)網(wǎng)信息辦公室會同中華人民共和國國家發(fā)展和改革委員會、中華人民共和國工業(yè)和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財(cái)政部、中華人民共和國商務(wù)部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局建立國家網(wǎng)絡(luò)安全審查工作機(jī)制?！?/p>

 由上述規(guī)定可以看出，網(wǎng)絡(luò)安全審查機(jī)制中，中央網(wǎng)絡(luò)安全和信息化委員會是領(lǐng)導(dǎo)機(jī)構(gòu)，但并不直接參與審核，而是領(lǐng)導(dǎo)和協(xié)調(diào)審查機(jī)制的建立。

 參與審查機(jī)制的機(jī)構(gòu)則包括國家互聯(lián)網(wǎng)信息辦公室，以及十一個(gè)中央政府職能部門，參與主體職能分布相當(dāng)廣泛。

 為什么要這樣設(shè)立審查機(jī)制呢？其核心仍是“新網(wǎng)絡(luò)安全觀”的體現(xiàn)。

 網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購，必然涉及國家產(chǎn)業(yè)政策、網(wǎng)絡(luò)系統(tǒng)維護(hù)與管理、網(wǎng)絡(luò)系統(tǒng)的信息安全、國家安全、財(cái)政資金的使用和劃撥、對外貿(mào)易政策的制定與調(diào)整、金融安全與金融支持、市場秩序的維護(hù)與清理、新聞發(fā)布與傳播、保守國家秘密、以及密碼體系的安全與可靠。這些功能，任何一個(gè)部門均無法單獨(dú)完成，為了避免在安全審查上的漏洞和標(biāo)準(zhǔn)不一，需要建立多部門的強(qiáng)力協(xié)同機(jī)制。

 相較之下，《試行辦法》的規(guī)定過于簡單， 僅在第五條規(guī)定，國家互聯(lián)網(wǎng)信息辦公室會同有關(guān)部門成立網(wǎng)絡(luò)安全審查委員會，負(fù)責(zé)審議網(wǎng)絡(luò)安全審查的重要政策，統(tǒng)一組織網(wǎng)絡(luò)安全審查工作，協(xié)調(diào)網(wǎng)絡(luò)安全審查相關(guān)重要問題。該規(guī)定，對于如何形成安全審查委員會，并沒有制度性的安排，不利于發(fā)揮審查制度的作用。

 四、“多樣、可控”新理念

 具體而言，《辦法》第九條規(guī)定了網(wǎng)絡(luò)安全審查過程中，對于國家安全影響的重要考量因素。其中第（三）款的規(guī)定特別值得關(guān)注，“產(chǎn)品和服務(wù)的安全性、開放性、透明性、來源的多樣性，供應(yīng)渠道的可靠性以及因?yàn)檎?、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn)?！痹摋l款的關(guān)鍵詞包括“來源的多樣性”以及“供應(yīng)渠道的可靠性”。應(yīng)該說，這一規(guī)則有深刻的國際信息技術(shù)博弈的大背景。近幾年來，中國的網(wǎng)絡(luò)設(shè)備與服務(wù)領(lǐng)域面臨巨大的不確定性，對于國家安全形成一定壓力。如美國政府對于納入“實(shí)體清單”的中國企業(yè)或其他機(jī)構(gòu)，在采購美國相關(guān)網(wǎng)絡(luò)產(chǎn)品或服務(wù)時(shí)，設(shè)置了諸多審查或限制，而這些限制往往與政治、外交、貿(mào)易沖突等背景緊密相關(guān)。同時(shí)，由于在諸多核心技術(shù)領(lǐng)域，中國對于境外供應(yīng)商的依賴度較高，來源過于集中。一旦受到其他因素影響“斷供”，對于網(wǎng)絡(luò)安全與正常運(yùn)營將帶來巨大沖擊。

 “渠道單一化”一旦遭遇“供應(yīng)渠道的不可靠”，其疊加效果將會非常巨大。因此，通過對“來源的多樣性”以及“供應(yīng)渠道的可靠性”進(jìn)行規(guī)定，并作為審查的重要內(nèi)容，有利于促成企業(yè)選擇多元產(chǎn)品和更為“可靠”的渠道。通過企業(yè)的選擇，可以進(jìn)一步培育“多元化”的供應(yīng)鏈。

 某種意義上講，“來源的多樣性”以及“供應(yīng)渠道的可靠性”并不是一個(gè)傳統(tǒng)意義上的網(wǎng)絡(luò)安全技術(shù)審核標(biāo)準(zhǔn)，而是一個(gè)供應(yīng)鏈安全的標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)的設(shè)立，不僅有利于國際間網(wǎng)絡(luò)信息技術(shù)的均衡分布于合理流動，也有利于國內(nèi)相關(guān)網(wǎng)絡(luò)產(chǎn)品及服務(wù)提供者的長期發(fā)展。

 五、不同主體面的合規(guī)策略選擇

 總體而言，《辦法》是一部體現(xiàn)全面網(wǎng)絡(luò)安全觀的規(guī)范。在強(qiáng)調(diào)技術(shù)帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的同時(shí)，對于產(chǎn)品于服務(wù)來源單一、供應(yīng)渠道不可靠性等供應(yīng)鏈安全風(fēng)險(xiǎn)也提升到了重要的位置。對于《辦法》，企業(yè)也應(yīng)順勢而為：

 1、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者

 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者，應(yīng)充分讀懂《辦法》所蘊(yùn)含的深層含義與審查措施，并積極規(guī)劃自身的合規(guī)方案，在源頭采購環(huán)節(jié)就應(yīng)采用全面安全觀指導(dǎo)自己的采購行為。簡單的技術(shù)風(fēng)險(xiǎn)容易解決，而產(chǎn)品組合不合理帶來的供應(yīng)鏈風(fēng)險(xiǎn)，則不僅難以解決，而且成本巨大。

 2、網(wǎng)絡(luò)產(chǎn)品與服務(wù)的供應(yīng)商

 除常規(guī)的技術(shù)能力外，供應(yīng)商需要考慮的是，如何證明“供應(yīng)渠道的可靠性”以及如何避免被納入“因?yàn)檎?、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn)”中。

 境外供應(yīng)商，對于可靠性問題的考量通常更為復(fù)雜，因?yàn)椴粌H要受制于中國的法律規(guī)范，還要受制于其所在國的法律規(guī)范。如何減少所在國法律、政治、貿(mào)易政策對于設(shè)備與服務(wù)出口造成影響，成為其首先應(yīng)考量的合規(guī)策略。