今天这篇文章以5G安全为例,分析说明中国网络安全审查办法的逻辑和要旨。本篇文章的英文版,发表于布鲁塞尔隐私中心(Brussels Privacy Hub)的工作论文系列中。链接地址为:https://brusselsprivacyhub.eu/publications/wp623.html

布鲁塞尔隐私中心(BPH)是一个以全球为重点的学术隐私研究中心,是布鲁塞尔自由大学(Vrije Universiteit Brussel,简称VUB)的一个实体。作为布鲁塞尔自由大学(Vrije Universiteit Brussel,简称VUB)的一个实体,它利用其在欧洲首都布鲁塞尔的位置,与欧盟政策制定者、数据保护监管者、私营部门和非政府组织接触,并就数据保护和隐私法律和政策的重要问题开展创新的前沿研究。布鲁塞尔是欧洲联盟就数据保护问题作出关键决定的地方,欧盟的规则为全世界的数据保护和隐私法制定了标准。(洪延青

中国的《网络安全审查办法》(以下简称“审查办法”)于2020年4月13日发布,并将于同年6月1日生效。前身是从2017年开始实施的《网络产品和服务安全审查办法(试行)》。从试行到成型,近三年间的实践和摸索,最终扬弃、浓缩、升华于新的规章之中。本文将以5G安全为例,分析说明中国网络安全审查办法的逻辑和要旨。

一、中国现行的5G安全法律框架

目前中国的电信和网信主管部门尚未对5G安全提出专门的制度性文件。在2020年2月出版的《5G安全报告》中,工信部下属的中国信通院提出:“应对和解决5G安全问题,可以基于现有4G安全管理框架和技术保障措施,针对新的安全风险和不确定性,采取有针对性的完善措施”。因此,在我国5G专门立法出现之前,可以认为《网络安全法》和《电信条例》共同构建了我国5G安全的法律框架。本节将根据5G生态中主要利益相关方,对中国现有的5G安全法律框架做出分析。

对于移动网络运营商,《网络安全法》第三章“网络运营安全”和《电信条例》第五章“电信安全”共同适用。5G移动网络几乎肯定被认定为《网络安全法》中的关键信息基础设施。因此其运营者,不仅要承担一般的网络运营者的安全义务,还应当承担作为关键信息基础设施运营者的增强式的安全义务。

对于5G移动网络运营商的供应商,以及联网设备制造商及相关服务提供商,《电信条例》没有专门的规定。《网络安全法》做出了如下一般性的要求:

产品或服务本身的安全性

《网络安全法》第二十二条:不得设置恶意程序、发现安全缺陷及时补救、按约定提供安全维护、明示收集用户信息功能等等

《网络安全法》第二十三条:针对网络关键设备和网络安全专用产品的强制认证和强制检测

《网络安全法》第三十六条:要求关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。

产品或服务对关键信息基础设施的安全影响

《网络安全法》第三十五条:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

注:《审查办法》细化落实了《网络安全法》第三十五条的规定

针对连接入5G的其他服务和内容提供商,即可能是一般的网络运营者,也可能是关键信息基础设施运营者,同样的应当遵循《网络安全法》和《电信条例》的相关规定。

二、《审查办法》的基本逻辑和要旨

从上一节中可见,中国的《审查办法》解决的核心事项是:产品或服务用于关键信息基础设施中可能带来的安全问题。换句话说,之所以发起审查,是因为具体的关键信息基础设施运营者(即5G移动网络运营商)因采购了特定的网络产品和服务,可能因此给5G网络带来“脆弱性”,而非产品或服务自身内在的安全问题。后者主要由《网络安全法》第二十二、二十三和三十六条及其配套制度所解决。真正理解中国的《审查办法》,应牢牢记住这点。沿着这个基本逻辑,就能很好地掌握中国《审查办法》设立的审查制度的各个方面。

(一)审查对象明确

在《审查办法》中,安全审查的目标是“为了确保关键信息基础设施供应链安全,维护国家安全”,将审查着眼于产品和服务在供应链安全方面给关键信息基础设施带来的风险。

因此,中国《审查办法》审查的对象始终是关键信息基础设施运营者所采购的一个个具体的产品或服务。这一点非常明确。为此,《网络安全审查办法》还明确了产品或服务的范围,第二十条规定:“本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务”。对5G供应商的审查,《网络安全审查办法》主要考察其“遵守中国法律、行政法规、部门规章情况”。归纳起来,中国的审查对象范围明晰,审查对象以具体的产品或服务为主,供应商为辅。对供应商的审查,不能独立于其提供的具体的产品或服务。因此,中国不存在主动发起阵对某一供应商的独立审查或风险评估。

(二)审查中的评估要素具体

中国《审查办法》的核心在于考察——“具体的产品或服务+具体的使用场景”。这体现了对安全的一种先进认识,即“网络安全是相对的而不是绝对的”。同样,产品和服务的安全性也是相对的。安不安全,很大程度上是依赖于该产品和服务的使用主体、使用目的、使用方式以及产品供应渠道的可靠程度等因素,并不存在衡量安全性的绝对、恒定的基准。

因此,中国《审查办法》重点审查采购、使用具体的产品和服务后,是否会造成以下两方面后果:

  1. 关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;(第九条第一款)

  2. 产品和服务供应中断对关键信息基础设施业务连续性的危害;(第九条第二款)

其次,《网络安全审查办法》第九条中第三款审查“产品和服务的安全性、开放性、透明性、来源的多样性”。可大致做如下理解:安全性是指产品和服务本身被入侵、损毁、破坏、篡改、操控等风险;开放性是指产品和服务的兼容性、互操作性问题;透明性是指产品和服务内部的工作原理、机制是否可为网络运营人员所理解、干预或管控;来源的多样性是指避免过度依赖问题。

再次,第九条中第三款审查“供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”的审查,实质上是更进一步审查各个可能造成供应中断的因素。例如微软停止对XP操作系统的安全更新服务,对大量使用XP系统的党政机关信息系统的安全风险,又如美国通过出口管制措施对芯片全球供应链的控制能力,对特定关键信息基础所采购的某一款芯片,是否能够持续供应的潜在影响。

从上述剖析可以看到,中国的风险考量要素中并没有国别因素。网络安全审查的注意力始终在具体的产品和服务,以及该产品或服务用于具体的关键信息基础设施后,可能引入的脆弱性问题。可以说,网络安全审查主要是一种技术性、客观性的评估。正如国家互联网信息办公室有关负责人就《网络安全审查办法》相关问题回答了记者提问时说到的:“网络安全审查的目的是维护国家网络安全,不是要限制或歧视国外产品和服务。对外开放是我们的基本国策,我们欢迎国外产品和服务进入中国市场的政策没有改变。”

(三)审查由运营者主动发起

在中国《审查办法》中,审查启动的主要要件是“运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查”。

从上述规定看,审查申报的主体明确为作为采购方的“关键信息基础设施运营者”。而且,采购方主动“预判产品或服务可能带来的国家安全风险”并据此决定是否申报审查,成为其法定义务之一。再次,采购方应主动通过法律工作管理自身的供应链风险,例如第六条所规定的:“应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等”。

把上述法定义务结合起来看,可以看到《审查办法》对采购方的角色定位——既然特定的产品和服务是采购方自主选择的,那采购方应当成为责任主体(即所谓的权责一致原则),因此采购方应当在力所能及的范围内,主动管理和降低供应链安全风险。

可以看到,中国的制度安排极大地尊重了5G网络运营者结合自身运营场景的风险判断和商业决策,避免了政府无差别、大规模地介入企业日常的采购行为。换句话说,只有当某产品或服务在某个场景中的使用,所造成的安全风险超出了运营者的能力范围,网络安全审查机制才会启动。

这样的规定,反过来避免公权力主动对5G供应市场提前介入,主动对供应商风险状况、供应商多样性进行评估,避免5G供应商市场会成为一个高计划性、高管制度的市场,从而失去市场活力和创新动力。

(四)审查结论审慎

由于中国《审查办法》的核心在于考察“具体的产品或服务+具体的使用场景”。因此,审查所得出的结论是具体的产品或服务是否可以使用于某个具体的场景中。换句话说,即便单次的网络安全审查不过,并不必然导致该产品或服务在其他5G运营商发起的网络安全审查中不通过。在上述思路的指导下,为了避免对市场外界造成某个产品或服务不安全的整体印象,网络安全审查的结果,多数情况下仅“会以书面形式将审查结论通知运营者”(第十二条),并不会向其他运营者或者社会各界公开。

之所以会有这样的结论,还是因为中国《审查办法》审查的对象始终是关键信息基础设施运营者所采购的一个个具体的产品或服务。因此即便单次审查不通过,也不会造成该供应商的全线产品或服务被所有关键信息基础设施运营者拒之门外,造成“一次审查不通过,满盘皆输”的局面。

三、简短的总结

从前文可看到,中国的网络安全审查不考虑“国别出身”。换句话说,即不把供应商的风险状况是安全的逻辑起点。

此外,中国的网络安全审查“就事论事”,不会造成“贴标签”的效应。单次审查不通过仅仅意味着特定的关键信息基础设施运营者在某个场景或环节中不应使用特定的产品或服务,不会同时影响该供应商旗下的所有产品或服务,也就避免产生“连带损害”(collateral damage)的效果。

此外,中国的网络安全审查还通过尊重运营者的自主安全决策反向激励运营者提升安全水平。

总的来说,这样的网络安全审查制度设计,有利于维护5G供应市场的多样性,鼓励来自不同国家的网络运营者相互竞争和持续创新,为5G网络持续发展提供了源源不断的动力。

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。