国家网络安全审查制度的法律困惑与中国策略*
2015-02-14马民虎
马民虎, 马 宁
(西安交通大学法学院,陕西西安710049)
国家网络安全审查制度的法律困惑与中国策略*
马民虎, 马 宁
(西安交通大学法学院,陕西西安710049)
我国网络安全审查制度存在诸多亟待解答的法律困惑,对于网络安全审查制度本身也存在需要修正的“误读”,为了避免“贸易保护主义”对制度本身正当性造成的减损,应当有针对性地实施中国策略,实现网络安全审查的应然状态,坚持以风险控制为审查目的,以IT供应链为审查范围,以立法和标准为审查基础。
网络安全审查制度;法律困惑;中国策略
2014年5月22日,国家互联网信息办公室发布公告称,我国将实行网络安全审查制度,主要针对关系国家安全和公共利益系统使用的重要技术产品和服务实行安全性和可控性审查,防止产品提供者非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。①张洋,郑会燕.网络安全审查乃顺势而为[OB-EL].人民网.http://politics.people.com.cn/n/2014/0523/ c1001-25053486.html.2015-04-22.该制度被认为是“国家网络空间治理体系顶层设计逐渐完善的重要标志”②秦安.国家出台网络安全审查制度的战略思考[J].中国信息安全,2015,(3).,因此自公布伊始便备受关注。目前,受限于披露细节的有限性,我国网络安全审查制度存在诸多亟待解答的法律困惑,对于网络安全审查制度本身也存在需要修正的“误读”。网络安全审查制度会在国家安全与技术利用之间引入额外的平衡机制,特别是将强化对国外信息技术的审慎态度。因此,国家网络安全审查制度必须建立在法律理性的基础上,避免利益保护的“偏在性”对制度本身正当性造成减损。我们认为,首先,网络安全审查制度不是应对国外“贸易壁垒”的被动的反制措施,而是保障国家网络安全的主动的风险防范措施,应当以风险控制为审查目的,这也决定了其不同于外资并购的国家安全审查制度,因而具有制度独立性。其次,网络安全审查应当将围绕“最终产品”和“核心企业”的审查范围扩展至整个IT供应链,这不仅适应信息技术全球化的趋势,也有助于修正“国别化审查”的思路。最后,网络安全审查不公开、不透明的审查方法并不能提高审查的有效性,反而容易使网络安全审查制度降格为简单的政策工具,网络安全审查应当以立法和标准为审查基础,通过提高审查的透明度,为政府信息安全保障提供指引,为供应商安全遵从提供参考框架,在保障国家安全的同时,兼顾经济发展和技术利用。
一、国家网络安全审查制度应以风险控制为审查目的
中国对于网络安全审查制度的关注与美国2012年前后针对中国的种种举措息息相关。2012年10月9日,美国国会众议院情报委员会公布针对华为和中兴的调查报告,该报告认为“华为和中兴向美国关键基础设施提供的设备存在风险,会削弱美国国家安全的核心利益”③U.S.House of Representatives.Investigative Report on the U.S.Mational Security Issues Posed by Chinese Telecommunications Companies Huawei and ZTE[R].112th Congress,2012:5.。根据上述结论,委员会向美国政府提出了5点建议,要求美国政府和私营部门都不应当在其系统中使用华为和中兴的设备。①该5点建议包括:(1)美国政府应当以怀疑的态度审查中国通信企业向美国通信市场的渗透;(2)鼓励美国的私营企业正视与华为和中兴商业合作中存在的长期安全风险,鼓励美国的网络提供商和系统开发商寻求其他合作伙伴; (3)美国国会司法委员会和执法机构应该对中国电信部门的不公平贸易行为进行调查,尤其应当关注中国对主要公司的持续财务支持;(4)中国公司应该迅速变得更加开放和透明,包括提供独立第三方评估机构对于他们财务信息和网络安全进程的评估。(5)美国国会司法委员会应该促进立法,以更好应对与其他国家政府相关的电信公司所带来的风险,否则就不要充分信任他们来建造关键基础设施。2013年3月26日,美国《2013年合并与持续拨款法案》生效,该法案第516条款限制联邦机构对中国信息技术系统进行采购,②美国“2013年合并与持续拨款法案”第516条a款规定,美国商务部、司法部、国家宇航局和国家科学基金会不得利用任何拨款采购信息技术系统,除非上述联邦机构负责人与联邦调查局或其他适当机构对网络间谍或破坏行为进行了风险评估,该风险包括由中国拥有、管理或资助的一个或多个机构所生产、制造或组装的信息技术系统有关的任何风险。该条b款规定,上述联邦机构不得利用任何拨款采购根据a款规定需要进行评估的信息技术系统,不得采购由中国拥有、管理或资助的一个或多个机构所生产、制造或组装的信息技术系统,除非a款规定的评估机构的负责人决定并向众议院和参议院的拨款委员会报告中称,该系统采购符合美国的国家利益。该条款所含的信息技术安全审查规定被认为开创了非常糟糕的先例,严重违反“非歧视原则”。但是,该条款同样被认为,“中国依据WTO非歧视原则否定该法案效力的努力会相当艰难,除非有极具说服力的理由,否则该限制条款被修订的可能性很小。”③马民虎,马宁.技术中立:政府IT采购中信息安全审查的法律理性——兼评美国《2013年合并与持续拨款法案》第516条款[J].河北法学,2014,(8).随后,美国《2014年合并与持续拨款法案》第515条款仍然沿用了对中国信息技术系统的限制策略。
与此前美国开展安全审查的情况不同,上述案例是直接针对中国信息技术设置的准入限制,带有强烈的主观偏见和针对性。为此,中国在2014年宣布实施网络安全审查制度被认为在很大程度上是一种反制措施。诚然,“网络安全审查有利于反击外国不公平竞争格局”④刘兵.从国家网络治理看国家网络安全审查制度[J].中国信息安全,2015,(3).。从我国出台网络安全审查制度的背景来看,这也可以被理解为是针对美国行为的应对策略。但是,我们不希望这种认识成为构建我国网络安全审查制度的主导思想,这会导致网络安全审查制度偏离应然的法治路径,使其降格为单纯的“政策工具”。我们在抨击美国上述缺乏法律理性的审查规定时,并不希望我国的网络安全审查制度“重蹈覆辙”。毕竟,这对于维护国家网络安全并无益处。我国的网络安全审查制度应当是主动的网络安全风险防范措施,应当以风险控制为审查目的。
鉴于信息技术对国家和社会运行的支撑作用,其脆弱性所产生的安全风险是多元化的,对国家、社会、产业和个人均有影响。但是,过于宽泛的审查范围会削弱网络安全审查的有效性和可行性,对于民用领域信息技术进行过度审查也会阻碍技术的自由流通。因此,各国的网络安全审查制度主要关注于政府信息系统、关键信息基础设施和国家安全系统⑤美国2000年颁布的《国家信息安全保障认证认可流程》(MIACAP)中将国家安全系统(MSS)定义为:任何由政府机构、政府机构合同商或代表机构履行职责的其他组织使用或运维的下列信息系统(包括通信系统):(1)其功能、运行和使用涉及情报、与国家安全相关的密码技术、军事事项,或其包括武器或武器系统的设备;(2)涉及由行政命令或国会法案特别授权永久保护的信息系统。等直接关系国家安全和公共利益的风险控制。这类信息系统通常属于国家的关键基础设施和关键资源(CIKR),⑥美国爱国者法案将CIKR定义为:“systems and assets,whether physical or virtual,so vital to the United States that the incapacity or destruction of such systems and assets would have a debilitating impact on security,national economic security,national public health or safety,or any combination of those matters”.一旦遭受破坏,将对国家安全、国家经济安全和社会福祉产生灾难性影响。我国拟实施的网络安全审查制度将重点确定为“关系国家安全和公共利益的系统”,尽管我国目前并未对这类系统进行明确界定,但可以预见,其审查活动仍然需要将围绕关键基础设施展开,重点关注政务、金融、能源、医疗、国防、电信、交通、科研、化学和核工业等重要单位和部门的网络安全风险。
网络安全审查制度的风险控制目的与关键基础设施对信息技术的依赖性密切相关。我们比以往任何时候都更加依赖信息技术的安全性,特别是CIKR的信息化本身就是向信息技术迁移的过程,其中所部署的信息技术产品和服务是否安全,将直接决定国家和社会能否良好有序地运行。2007年针对爱沙尼亚政府网络的攻击、①爱沙尼亚是第一个政府和关键基础设施遭受大规模攻击的国家,在2007年4月至5月的3个星期里,其政府网站、在线媒体和银行部门遭受了高强度的网络攻击,国家通信能力受到很大限制。2009年针对韩国②2009年7月7日,韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站同时遭到分布式拒绝服务攻击,致使上述部门瘫痪长达4小时。2013年3月20日,韩国多家大型银行及数家媒体和企业遭受恶意程序攻击,关键业务运行出现中断。的大规模拒绝服务攻击、2010年针对伊朗核设施的震网病毒攻击③2010年9月,伊朗政府宣布大约3万个网络中断感染“震网”病毒,病毒攻击目标直指伊朗核设施,此次攻击造成伊朗暂时卸载该国首座核电站的核燃料。等安全事件一再验证了网络安全风险给国家安全所带来的可怕后果。早在2009年,美国审计局(GAO)就提醒美国政府关注持续增加的网络威胁对联邦信息系统产生的风险,并认为这些风险主要包括政府重要信息资源丢失或被盗,遭受未经授权的访问和攻击,敏感信息遭受身份盗窃、网络间谍或其他形式的犯罪,政府关键部门运行的中断,数据被篡改并用于欺诈或入侵。④GAO.information security:Cyber Threats and Vulnerabilities Place Federal Systems at Risk[R].GAO-09-661T,2009:2.为了应对上述威胁,网络安全保障成为各国政府最为关注的优先事项,控制和弱化网络安全风险是实现网络安全保障的有效方法和策略。那么,作为国家网络安全保障工作组成部分的网络安全审查制度,便也应当以关键领域的网络风险控制⑤绝对排除网络安全风险对国家安全的威胁是不可能的,网络安全审查制度是通过风险控制过程将网络安全风险降低到国家可能接受的程度。为审查目标。
这同时也可以澄清网络安全审查的制度独立性问题。在探讨网络安全审查制度的过程中,将外资并购国家安全审查和国家网络安全审查制度混同的情况并不少见,并且援引美国外国投资委员会(CFIUS)诉讼华为并购3Com、3Leaf的否决案来阐述美国严格的网络安全审查制度。事实上,美国外资并购国家安全审查制度是为“防止外资影响美国国家安全”⑥邵沙平,王小承.美国外资并购国家安全审查制度探析——兼论中国外资并购国家安全审查制度的构建[J].法学家,2008,(3).,其主要通过政府干预,降低外国资本通过直接或间接投资控制本国重要行业的风险,主要关注的是国家经济安全,我国也在2008年的《反垄断法》⑦我国《反垄断法》第31条规定:对外资并购境内企业或者以其他方式参与经营者集中,涉及国家安全的,除依照本法规定进行经营者集中审查外,还应当按照国家有关规定进行国家安全审查。中建立了外资并购国家安全审查制度。而如前所述,国家网络安全审查制度主要关注国家网络安全,尽管随着信息技术全球化趋势的加强,国家经济安全和网络安全存在相互渗透的情况,而且同属于国家安全的范畴,但二者的制度基础仍然存在较大差别。因此,我国的国家网络安全审查制度既不应当等同于业已确立的外资并购国家安全审查,也不应当从属于外资并购国家安全审查中的网络安全部分,其应当具有制度独立性,但是外资并购国家安全审查的经验和做法仍然可以为网络安全审查的制度设计提供可资借鉴的蓝本。
二、国家网络安全审查制度应以IT供应链为审查范围
我国拟实施的国家网络安全审查制度将审查范围确定为“关系国家安全和公共利益系统使用的重要技术产品和服务”,这表明审查活动将主要围绕“直接供应商”和“最终产品”展开,我们认为这样的审查是不充分的。信息技术利用的全球化是以供应链为基础,信息技术产品和服务的提供更加依赖广泛的全球市场,IT供应链的复杂程度客观上造成网络安全风险将有更多的渗透渠道,①例如,伊朗核设施遭受的震网病毒就是通过IT供应链进行渗透的。在产品和服务的生产、组装和分发过程中都可能引入不确定的安全风险,这些安全风险包括嵌入恶意程序,使用不合格的产品组件,存在非恶意的漏洞,存在恶意或不合格的供应商等等,而且这些风险可能出现在部署信息系统生命周期中的任何阶段。微软公司在《网络供应链风险管理》白皮书中,将上述风险总结为“攻击者可能在产品开发、制造、生产或交付过程中篡改产品”②Scott Charney,Eric T.Werner.Cyber Supply Chain Risk Management:Toward a Global Vision of Transparency and Trust[R].Microsoft,2011:1.。
事实上,早在2008年,美国政府发布的《国家网络安全综合计划》(CMCI)中就曾提出应当建立多元化的全球供应链风险管理,应对试图通过供应链渗透进行未经授权的数据访问、数据篡改及通信信息拦截等供应链风险。③John Rollins,Anna C.Henning.Comprehensive Mational Cyber Security Initiative:Legal Authorities and policy Considerations[R].Congressional Research Service,2009:5.并在第11项计划中为美国构建了总体性的框架策略,强调采用综合方式应对供应链风险,从技术和运营两个方面降低产品生命周期内的风险。根据上述建议,美国2011《国防授权法案》第806节授权国防部长或陆军、海军和空军秘书长排除存在重大供应链风险的合同商。GAO同样认为,“通过全球供应链提供的IT产品和服务存在威胁,提示联邦机构识别和防范IT供应链风险。”④GAO.IT Supply Chain Mational Security-Related Agencies Meed to Better Address Risks[R].USA,2012:6.为此,美国的网络安全审查“不仅包括产品和服务的安全性能指标,还包括产品研发过程、程序、步骤、方法、产品的交付方法等”⑤石峰,张红军,等.实行网络安全审查制度是保障国家安全的重要举措[J].信息安全与通信保密,2014,(6).。
考虑到信息技术的脆弱性和供应链的复杂性,网络安全风险可能出现在任意供应节点,仅针对直接供应商和最终产品并不能满足网络安全审查的要求,审查对象向供应链扩展是必要的。这也决定了网络安全审查不仅仅是单纯的“技术审查”,针对IT供应链安全管理的“管理审查”也应当包含在内,这与我国网络安全审查的基本思路相契合。“产品规格的变化,持续改进的措施,外包,内部网络重设,IT更新,技术升级过程,供应商关系都会影响IT供应链的不确定性。”⑥Helen Peck.Drivers of supply chain vulnerability:an integrated framework[J].International Journal of Physical Distribution&Logistics Management,2005,(4).这些要素都应当成为网络安全审查的重点,覆盖信息技术产品和服务从生产到交付的全过程。针对IT供应链进行审查也决定了国家网络安全审查应当是一个动态的审查过程,产品和服务安全审查仅仅是审查活动的起点,持续性的风险评估、风险监控、应急响应和风险恢复也可以考虑纳入网络安全审查制度之中。“网络安全审查制度的出台,将从积极审查、事中检测、事后惩处等环节对IT产品和服务进行安全性和可控性的把控”⑦王珞.美国网络安全审查制度的战略效应[J].中国信息安全,2015,(3).。
IT供应链安全审查同时也是修正“国别化审查”思路的突破。我国确立的网络安全审查制度已经明确“不针对特定国家、企业和产品”⑧方言.审时度势,亮出信息安全将牌[J].中国信息安全,2014,(8).,这与我们一贯秉承的“技术中立”审查理念保持一致,同时也要求网络安全审查应当以“供应链审查”替换传统“国别化审查”的概念。“国别化审查”的典型例子是上述提及的美国2013年《合并与持续拨款法案》,在批判其第516条款直接针对中国信息技术的限制规定时,我们认为其丧失了基本的法律理性,违反非歧视原则,构成实质性的贸易壁垒。与此同时,在探讨我国建立网络安全审查制度的必要性问题中,国外信息技术在我国重要领域的大规模部署引起了各界的广泛担忧,认为“国外品牌设备已在我国各大企业和政府部门重要信息系统中形成垄断之势”①薛高.网络安全审查制度研究及对我国金融业的启示[J].金融科技时代,2015,(1).。这种担忧在华为中兴调查案后体现得尤为明显,催生了“国产化”概念的兴起,也引起了网络安全审查制度将主要针对国外信息技术的误解。
诚然,在“棱镜门”事件之后各国普遍对国外信息技术持审慎态度,国外信息技术向本国关键基础设施的渗透容易引起政府的警惕,美国针对华为中兴的调查也正是基于这种原因。同时,网络安全审查制度加强对国外信息技术的限制也被认为有助于促进本国信息产业的发展。为此,网络安全审查制度的审查重点向国外信息技术倾斜似乎也成为应然之势。但是信息技术利用和供应的全球化是客观事实,复杂性导致信息技术组件的设计、生产、组装、交付和使用可能在全球范围内进行。例如,笔记本电脑的液晶演示器、内存、处理器、主板和硬盘可能源于众多国家和地区。②GAO.IT supply chain:Mational Security-Related Agencies Meed to Better Address Risks[R].USA,2012:5.那么,对信息系统进行产品和服务进行来源调查就变得非常困难,在存在广泛外包业务的情况下甚至是不可行的。因此,在网络安全审查中区分产品和服务的来源地是毫无意义的,片面排除国外信息技术的利用也排除了本国信息技术产业作为次级供应商进入本国市场的可能。国家网络安全保障能力水平决定于保障框架最薄弱的环节,国家应当充分利用可获得的一切资源提升保障能力,盲目排外的安全审查会造成本国丧失利用先进信息技术的机会,对于国家安全并无益处。③例如,尽管美国对信息技术采购有严格限制,但信息技术对于国家和社会繁荣的推动也不容忽视,美国1994年的《联邦采购简化法》鼓励政府采购满足安全要求的商业产品,同时预算与管理办公室的A-130也要求政府在采购信息技术时,最大限度地使用商业现货供应的信息技术。为此,我国网络安全审查应当“坚持开放的基本原则,避免自我封闭”④方兴东,胡怀亮.网络安全审查制度的根本在于掌握防御主动权[J].信息安全与通信保密,2014,(8).。
但是,IT供应链审查仍然无法解决“可信”的问题,鉴于国家安全保障的敏感性,安全性和可控性的验证标准并不能完全打消国家对于网络安全的顾虑。这也是为何大多数能够满足CC准则的供应商却无法出现在美国政府采购的清单上,为何华为在极力自我证明满足安全标准的基础上仍然受到美国政府的排斥。如果国家政府认为供应商不可信,那么供应商的任何努力都将是徒劳的。但是在排除政治因素的条件下认定供应商不可信的过程是艰难的,我们的努力是希望增加网络安全审查的透明度,在有效保障国家安全的前提下同样可以促进信息技术产业的发展。
三、国家网络安全审查制度应以立法和标准为审查基础
在明确网络安全审查制度的独立性、目标和范围之后,便需要探讨“如何审查”的问题,也就是判断信息技术安全性和可控性的依据如何确定,这构成网络安全审查制度的审查基础。有学者认为我国可以借鉴美国的做法,“审查过程、标准、机制完全不公开,也不需要披露原因和理由。”⑤张莉.网络安全审查的国际经验及借鉴[J].信息安全与通信保密,2014,(8).也有学者认为“信息网络安全审查决策是在对相关产品、技术、服务、系统等安全性能和提供人背景等情况进行判断基础上,依据国家经济社会发展情况、对外经贸和外交形势做出,不需要有具体的审查标准。”⑥许长帅.从国家行为角度探讨构建信息网络安全审查制度[J].现代电信科技,2014,(10).我们认为,网络安全审查是法律制度,法律制度的功能价值在于在社会主体之间形成稳定的“规范性期待”,社会主体能够根据确定的规范性要求约束自己的行为。
如前所述,网络安全审查制度并不是简单的市场准入制度,而是提升国家网络安全能力的底层性保障制度。国家网络安全能力依赖于所部属的信息技术产品和服务,而供应商在网络安全方面的努力能够减少国家在后续审查过程中的投入。排除恶意供应商的考虑,信息技术产品和服务的安全性主要取决于供应商在供应链各环节以合规性为基础的风险控制措施,如果审查标准完全不公开,不透明,那么就无法通过确定性的安全要求对供应商给予明确指引和规范,毕竟“政府采购功能的实现需要供应商满足政府的要求”①谢俊贵.网络虚拟社会管理的工作机制建构[J].思想战线,2014,(2).。特别是当国家对网络安全有特殊要求时,通用性的国际安全标准并不能使供应商满足审查要求。由于我国的网络安全审查制度并不专门针对国外供应商,不公开的审查标准也会造成国内供应商无所适从,对于提升国内信息技术产业的核心竞争力也会构成阻碍。而且,封闭式的审查过程会产生以“国家安全例外条款”构筑“贸易壁垒”的口实,这也是我们批判美国网络安全审查制度的主要观点。作为负责任的国家,我国的网络安全审查制度至少在审查标准方面应当做到公正透明。
事实上,任何国家的网络安全审查制度并非完全无迹可寻,我们对于网络安全审查“不公开、不透明”的理解盖因于大多数国家会在立法表述上避免引起别国的抵触。在信息技术全球化的态势下,技术的自由流动成为各国恪守的基本原则,审查活动往往带有强烈的行政色彩,并被认为在一定程度上构成技术自由流动的障碍。但国家网络安全的诉求又是各国需要最为优先解决的事项,因此,国家网络安全与技术利用和自由流动之间的平衡就成为国家网络安全审查必须考虑的要素。例如,美国网络安全审查的相关立法中很少出现“审查(Review)”的直接表述,而是以“风险评估”、“风险控制”等中性术语阐述安全审查的要求,确立审查制度的正当性。中国同样面临类似的问题,在构建支撑网络安全审查制度的立法和标准体系时,应当避免可能引起争议的表述,考虑将网络安全审查要求渗透进不同的法律制度中,重点以政府采购、认证认可、信息安全保障立法和标准规定网络安全审查的要求。如果对美国目前涉及网络安全审查制度进行细分,也可以归集为上述3类立法,并且立法之间相互配合,相互支撑,综合适用。
简单来说,美国以国家信息安全保障为基础,构建了完善的政府采购和认证认可制度。在政府采购领域,2000年,美国国家安全通信和信息系统安全委员会(MSTISSC)发布了名为“国家信息保障采购政策”②原文为“Mational Information Assurance Acquisition Policy”,国内有学者译为“国家信息安全采购政策”,考虑到该文件旨在保障“国家安全信息(national security information)”,同时为了区别于“information security”的信息安全概念,本文将该文件译为“国家信息保障采购政策”。的第11号文件,该政策文件认为在所有访问、处理、存储、显示或传输国家安全信息的系统中考虑信息保障(IA)事项,并在政府和商业IT产品现货供应(Off-the-Shelf)的采购和评估验证过程中实现信息保障。为此,该文件规定,自2002年7月1日起,所有国家安全信息系统中采购的IT产品必须评估和认证,满足互认的国际信息安全技术评估通用标准;满足国家安全局(MSA)、国家技术标准研究院(MIST)和国家信息保障合作组织(MIAP)的评估认证程序;满足MIST联邦信息处理标准(FIPS)的认证程序。采购同时必须接受MSA的评估或符合MSA批准的流程。针对与关键基础设施保护第63号总统令相关的非国家安全系统也可以考虑适用上述评估和认证要求。2002年的《联邦信息安全管理法》(FISMA)明确了联邦信息安全的程序要求,用以支持信息安全控制的有效性,该要求实质上建立联邦政府信息安全风险生命周期的管理框架。FISMA要求所有联邦机构建立信息安全程序,指定MIST开发政府信息安全的标准和指南。③除要求联邦机构遵从MIST的相关标准和指南外,各联邦机构也被要求在机构范围内部开发、文档化和实施信息安全程序。为此,MIST颁布了FIPS199④FIP199用于信息和信息系统分类,建立了安全保护的通用框架,将信息和信息系统分为高、中、低3级。和FIP200⑤FIP200用于明确联邦信息和信息系统的最低安全要求,该标准要求联邦机构使用安全控制措施以符合MIST制定的SP800-53标准。标准,并在SP800-53标准中规定了保护联邦信息和信息系统的安全控制措施和技术指南,在2009年修订的SP800-53中,首次加入对供应链保护的安全控制要求,建议政府机构在与供应商签订信息技术采购合同之前,对供应商进行尽职审查。美国预算与管理办公室(OMB)的A-130要求联邦机构使用SP800-53作为非国家安全系统的安全标准,2009年,美国国家安全系统委员会发布1253号指令,将SP800-53作为国家安全系统信息安全控制的通用标准。《联邦采购条例》(FAR)是美国政府采购的基础性法规,其针对政府IT采购规定,政府机构根据OMB A-130识别安全需求,包括对信息安全、隐私保护、国家安全和应急响应进行考虑。同时要求政府机构采用适当的信息技术安全政策和要求,包括MIST发布的通用安全标准。美国2011《国防授权法案》第806节授权国防部长或陆军、海军和空军秘书长排除存在重大供应链风险的合同商。
在认证认可领域,早在1994年,美国政府就建立了《国家安全通信和信息系统认证认可政策》,①Mational policy on certification and accreditation of national security telecommunications and information systems,MSTISSP Mo.6,1994.要求所有的联邦政府机构对其控制和运行的国家安全系统②根据该政策,国家安全系统(MSS)是指:任何由政府机构、政府机构合同商或代表机构履行职责的其他组织使用或运维的下列信息系统(包括通信系统):(1)其功能、运行和使用涉及情报、与国家安全相关的密码技术、军事事项,或其包括武器或武器系统的设备;(2)涉及由行政命令或国会法案特别授权永久保护的信息系统。建立和实施强制性的认证认可,所建立的认证认可制度应当能够有效保证国家安全系统中的信息处理、存储和传输的保密性、完整性和可用性。2000年,美国政府建立了逐渐趋于一致的国家信息保障认证认可流程(MIACAP)。③Mational Information Assurance Certification and Accreditation Process(MIACAP).MSTISSI Mo.1000,2000.MIACAP本身可以认为是美国在这一时期统一的认证认可标准,其中规定了涉及国家安全系统的安全实践、任务、管理框架和相关机构的职责,并在后续的MIACAP实施手册中规定了认证认可程序的细节。2005年,美国政府再次重申了国家安全系统认证认可的重要性,发布了专门的国家安全系统认证认可政策,④Mational policy on certification and accreditation of national security systems,CMSS Mo.6,2005.要求所有的联邦机构对其控制和运行的国家安全系统建立和实施强制性的认证认可制度,所建立的认证认可制度应当能够有效保证国家安全系统中的信息处理、存储和传输的保密性、完整性和可用性。在该政策中,MIACAP被规定为各机构实施认证认可的最低标准,各机构所实施的认证认可制度必须遵从MIACAP或与MIACAP相一致的标准。同时,FISMA与OMB A-130同样被认为是美国信息安全认证认可的参照性政策立法,在实施FISMA的过程中,OMB A-130要求联邦机构通过实施安全计划,确保在使用和变更任何通用性支持系统或主要应用程序之前需要获得管理官员的书面授权。OMB的认证认可要求具有持续性,其会要求各联邦机构提交信息系统认证和认可的数量,这种持续性还体现在OMB依据FISMA授权的职责审查各机构实施的安全政策、原则、标准和指南。在FISMA和A-130的框架性规定下,MIST负责开发了信息安全认证认可标准,⑤例如SP800-37,Guide for the Security Certification and Accreditation of Federal Information Systems.同时一些政府机构也开始推行自己的认证认可指南。⑥例如DOD就开发了自己的认证认可标准。
可见,美国的网络安全审查制度即是由上述立法和标准体系构成,明确的立法和标准不仅为政府信息安全保障的相关活动提供指引,而且为供应商提供安全遵从的参考框架。从安全审查的有效性而言,公开和透明的审查标准无论对于政府的网络安全保障,还是供应商的风险控制自证明过程,都具有积极的指导意义。我国目前在政府采购、认证认可和信息安全保障领域的立法和标准仍然较为薄弱,如果秉承公开透明的审查原则,则无法有效支撑网络安全审查的要求,应当加快上述领域立法和标准层面的制定和完善工作。我们同时希望国家网络安全审查制度严格依照明确的立法和标准开展审查活动,增加国家网络安全的透明度,在保障国家安全的同时,兼顾经济发展和技术利用。
四、结 语
国家网络安全审查制度并不是简单的市场准入制度,而是提升国家网络安全能力的底层性保障制度。在国际上已经出现了网络安全审查滥用的实例,如何保持网络安全审查制度的法律理性成为我国必须正视的问题。我们应当意识到,网络安全审查必须以风险控制为基础,通过对整个IT供应链进行安全审查,防止针对国家重要信息的破坏,将国家网络安全风险降低到可以接受的程度。立法和标准仍然需要作为网络安全审查制度的基础,重点以政府采购、认证认可、信息安全保障立法和标准规定网络安全审查的要求,我国应当努力加快上述领域中的立法和标准的完善,为政府信息安全保障提供指引,为供应商安全遵从提供参考框架。
Legal puzzlements and the Chinese strategies for the national cyber-security inspection system
MA Min-hu&MA Ning
(School of Law,Xi'an Jiaotong University,Xi'an 710049,China)
Currently,China's national cyber-security inspection system still has many legal puzzlements waiting to be solved urgently,as well as some“misinterpretations”.To avoid the damage to its justification caused by the“trade protectionism”,we should purposely implement the Chinese strategies in order to achieve the ideal state for this system with the risk-control as the aim,IT supply chain as the inspection coverage and the legislation and criterion as the basis.
cyber-security inspection system;legal puzzlement;Chinese strategy
乔小洺]
D923
A
1000-5110(2015)05-0042-08
马民虎,男,陕西周至人,西安交通大学教授,博士生导师,研究方向为信息安全法。
