RM新时代平台足球

　　《審查辦法》解決的核心事項是：產(chǎn)品或服務(wù)用于關(guān)鍵信息基礎設施中可能帶來(lái)的安全問(wèn)題。換句話(huà)說(shuō)，之所以發(fā)起審查，是因為具體的關(guān)鍵信息基礎設施運營(yíng)者因采購了特定的網(wǎng)絡(luò )產(chǎn)品和服務(wù)，可能因此給關(guān)鍵信息基礎設施帶來(lái)“脆弱性”，而非產(chǎn)品或服務(wù)自身內在的安全問(wèn)題。后者主要由《網(wǎng)絡(luò )安全法》第二十二、二十三和三十六條及其配套制度所解決。沿著(zhù)這個(gè)基本邏輯，就能很好地掌握中國《審查辦法》設立的審查制度的各個(gè)方面。

　　審查對象明確

　　在《審查辦法》中，安全審查的目標是“為了確保關(guān)鍵信息基礎設施供應鏈安全，維護國家安全”，將審查著(zhù)眼于產(chǎn)品和服務(wù)在供應鏈安全方面給關(guān)鍵信息基礎設施帶來(lái)的風(fēng)險。因此，審查的對象始終是關(guān)鍵信息基礎設施運營(yíng)者所采購的一個(gè)個(gè)具體的產(chǎn)品或服務(wù)。為此，《審查辦法》還明確了產(chǎn)品或服務(wù)的范圍，第二十一條規定：“本辦法所稱(chēng)網(wǎng)絡(luò )產(chǎn)品和服務(wù)主要指核心網(wǎng)絡(luò )設備、高性能計算機和服務(wù)器、大容量存儲設備、大型數據庫和應用軟件、網(wǎng)絡(luò )安全設備、云計算服務(wù)，以及其他對關(guān)鍵信息基礎設施安全有重要影響的網(wǎng)絡(luò )產(chǎn)品和服務(wù)。”對關(guān)鍵信息基礎設施供應商的審查，《審查辦法》主要考察其“遵守中國法律、行政法規、部門(mén)規章情況”。

　　歸納起來(lái)，中國的審查對象范圍明晰，審查對象以具體的產(chǎn)品或服務(wù)為主，供應商為輔。對供應商的審查，不能獨立于其提供的具體的產(chǎn)品或服務(wù)。因此，中國不存在主動(dòng)發(fā)起針對某一供應商的獨立審查或風(fēng)險評估。

　　評估要素具體

　　首先，《審查辦法》的核心在于考察“具體的產(chǎn)品或服務(wù)+具體的使用場(chǎng)景”。這體現了對安全的一種先進(jìn)認識，即“網(wǎng)絡(luò )安全是相對的而不是絕對的”。同樣，產(chǎn)品和服務(wù)的安全性也是相對的。安不安全，很大程度上依賴(lài)于該產(chǎn)品和服務(wù)的使用主體、使用目的、使用方式以及產(chǎn)品供應渠道的可靠程度等因素，并不存在衡量安全性的絕對、恒定的基準。因此，《審查辦法》重點(diǎn)審查采購、使用具體的產(chǎn)品和服務(wù)后，是否會(huì )造成以下兩方面后果。其一，關(guān)鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風(fēng)險（第九條第一款）；其二，產(chǎn)品和服務(wù)供應中斷對關(guān)鍵信息基礎設施業(yè)務(wù)連續性的危害（第十條第二項）。

　　其次，《審查辦法》第十條第三項審查“產(chǎn)品和服務(wù)的安全性、開(kāi)放性、透明性、來(lái)源的多樣性”?？纱笾伦鋈缦吕斫猓喊踩允侵府a(chǎn)品和服務(wù)本身被入侵、損毀、破壞、篡改、操控等風(fēng)險；開(kāi)放性是指產(chǎn)品和服務(wù)的兼容性、互操作性問(wèn)題；透明性是指產(chǎn)品和服務(wù)內部的工作原理、機制是否可為網(wǎng)絡(luò )運營(yíng)人員所理解、干預或管控；來(lái)源的多樣性是指避免過(guò)度依賴(lài)問(wèn)題。

　　最后，《審查辦法》第十條第三項審查“供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風(fēng)險”的審查，實(shí)質(zhì)上是更進(jìn)一步審查各個(gè)可能造成供應中斷的因素。例如，微軟停止對XP操作系統的安全更新服務(wù)，對大量使用XP系統的黨政機關(guān)信息系統的安全風(fēng)險；又如，美國通過(guò)出口管制措施對芯片全球供應鏈的控制能力，對特定關(guān)鍵信息基礎所采購的某一款芯片，是否能夠持續供應的潛在影響。

　　可見(jiàn)，中國的風(fēng)險考量要素中并沒(méi)有國別因素。網(wǎng)絡(luò )安全審查的注意力始終在具體的產(chǎn)品和服務(wù)，以及該產(chǎn)品或服務(wù)用于具體的關(guān)鍵信息基礎設施后，可能引入的脆弱性問(wèn)題?？梢哉f(shuō)，網(wǎng)絡(luò )安全審查主要是一種技術(shù)性、客觀(guān)性的評估。

　　審查由運營(yíng)者主動(dòng)發(fā)起

　　在《審查辦法》中，審查啟動(dòng)的主要要件是“運營(yíng)者采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)的，應當預判該產(chǎn)品和服務(wù)投入使用后可能帶來(lái)的國家安全風(fēng)險。影響或者可能影響國家安全的，應當向網(wǎng)絡(luò )安全審查辦公室申報網(wǎng)絡(luò )安全審查”。審查申報的主體明確為作為采購方的“關(guān)鍵信息基礎設施運營(yíng)者”。而且，采購方主動(dòng)“預判產(chǎn)品或服務(wù)可能帶來(lái)的國家安全風(fēng)險”并據此決定是否申報審查，成為其法定義務(wù)之一。采購方應主動(dòng)通過(guò)法律工作管理自身的供應鏈風(fēng)險，例如第七條所規定的：“應通過(guò)采購文件、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò )安全審查，包括承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶(hù)數據、非法控制和操縱用戶(hù)設備，無(wú)正當理由不中斷產(chǎn)品供應或必要的技術(shù)支持服務(wù)等”。

　　把上述法定義務(wù)結合起來(lái)，可以看到《審查辦法》對采購方的角色定位：既然特定的產(chǎn)品和服務(wù)是采購方自主選擇的，那采購方應當成為責任主體（即所謂的權責一致原則），因此采購方應當在力所能及的范圍內，主動(dòng)管理和降低供應鏈安全風(fēng)險。此外，中國的制度安排極大地尊重了關(guān)鍵信息基礎設施運營(yíng)者結合自身運營(yíng)場(chǎng)景的風(fēng)險判斷和商業(yè)決策，避免了政府無(wú)差別、大規模地介入企業(yè)日常的采購行為。換句話(huà)說(shuō)，只有當某產(chǎn)品或服務(wù)在某個(gè)場(chǎng)景中的使用，所造成的安全風(fēng)險超出了運營(yíng)者的能力范圍，網(wǎng)絡(luò )安全審查機制才會(huì )啟動(dòng)。這樣的規定，反過(guò)來(lái)避免公權力主動(dòng)對網(wǎng)絡(luò )產(chǎn)品和服務(wù)的供應市場(chǎng)提前介入，主動(dòng)對供應商風(fēng)險狀況、供應商多樣性進(jìn)行評估，避免網(wǎng)絡(luò )產(chǎn)品和服務(wù)的供應市場(chǎng)成為一個(gè)高計劃性、高管制的市場(chǎng)，從而失去市場(chǎng)活力和創(chuàng )新動(dòng)力。

　　審查結論審慎

　　由于《審查辦法》的核心在于考察“具體的產(chǎn)品或服務(wù)+具體的使用場(chǎng)景”。因此，審查所得出的結論是具體的產(chǎn)品或服務(wù)是否可以使用于某個(gè)具體的場(chǎng)景中。換句話(huà)說(shuō)，即便單次的網(wǎng)絡(luò )安全審查不通過(guò)，并不必然導致該產(chǎn)品或服務(wù)在其他關(guān)鍵信息基礎設施運營(yíng)者發(fā)起的網(wǎng)絡(luò )安全審查中不通過(guò)。在上述思路的指導下，為了避免對市場(chǎng)外界造成某個(gè)產(chǎn)品或服務(wù)不安全的整體印象，網(wǎng)絡(luò )安全審查的結果，多數情況下僅會(huì )“以書(shū)面形式將審查結論通知運營(yíng)者”（第十二條），并不會(huì )向其他運營(yíng)者或者社會(huì )各界公開(kāi)。之所以會(huì )有這樣的結論，還是因為《審查辦法》審查的對象始終是關(guān)鍵信息基礎設施運營(yíng)者所采購的一個(gè)個(gè)具體的產(chǎn)品或服務(wù)。因此即便單次審查不通過(guò)，也不會(huì )造成該供應商的全線(xiàn)產(chǎn)品或服務(wù)被所有關(guān)鍵信息基礎設施運營(yíng)者拒之門(mén)外，造成“一次審查不通過(guò)，滿(mǎn)盤(pán)皆輸”的局面。

　　總之，中國的網(wǎng)絡(luò )安全審查不把供應商的風(fēng)險狀況作為安全的邏輯起點(diǎn)，也不會(huì )“就事論事”，更不會(huì )造成“貼標簽”的效應。單次審查不通過(guò)僅僅意味著(zhù)特定的關(guān)鍵信息基礎設施運營(yíng)者在某個(gè)場(chǎng)景或環(huán)節中不應使用特定的產(chǎn)品或服務(wù)，不會(huì )同時(shí)影響該供應商旗下的所有產(chǎn)品或服務(wù)，也就避免了“連帶損害”的效果。相關(guān)制度設計還通過(guò)尊重運營(yíng)者的自主安全決策，反向激勵運營(yíng)者提升安全水平。這樣有利于維護網(wǎng)絡(luò )產(chǎn)品和服務(wù)供應市場(chǎng)的多樣性，鼓勵來(lái)自不同國家的網(wǎng)絡(luò )運營(yíng)者相互競爭和持續創(chuàng )新，為供應市場(chǎng)持續發(fā)展提供源源不斷的動(dòng)力。

　?。ㄗ髡吆檠忧嘞当本├砉ご髮W(xué)法學(xué)院教授）

編輯：薛姣