編者按：作為互聯網的締造者和網絡戰的始作俑者，美國網絡技術絕對領先，霸主地位業已形成。在此情況下，依然構建了完備的網絡安全審查制度，影響世界，示范他國，控制產業。中國在“沒有網絡安全就沒有國家安全”的內憂外患之下，加緊推出網絡安全審查制度，僅僅是姍姍來遲的缺失彌補。其根本追求在于安全與發展雙輪驅動，實現國家治理體系和治理能力現代化的改革開放總目標，建設世界一流的網絡強國。

2014年5月22日，國家互聯網信息辦公室宣布為維護國家網絡安全、保障中國用戶合法利益，我國將推出網絡安全審查制度。一石激起千層浪，媒體熱炒，公眾熱議。美國及西方各國認為這是我國的網絡對抗或制衡手段，以“八大金剛”為代表的外企擔心從此中國市場優勢不保，國內主流網絡安全廠商看似迎來又一次發展良機，各方喜憂混雜，莫衷一是。本為網絡空間治理舉措，幾乎就是姍姍來遲的一項制度，受到過份關注和過度解讀。事實上，我國出臺網絡安全審查制度，是借鑒吸收國外先進經驗與做法，是落實改革開放總目標的具體步伐。

一、美國網絡安全審查制度探秘

網絡空間被視為繼陸、海、空、天之后的大國博弈的第五空間，網絡空間安全已成為國家安全戰略的重要組成部分。美國已經確立了網絡、太空、核“三位一體”的國家安全戰略，并早已推出了網絡安全審查制度。

（一）美國家安全審查制度由來已久

美國家安全審查制度由其外國投資委員會(CFIUS)執掌，從機構設置、法規依據、運作程序、審查內容、審查標準等方面均體現出鮮明的國家意志。一是機構跨部門設置。CFIUS的成員由財政部、司法部、國土安全部、商務部、國防部、能源部、美國貿易代表辦公室等九部門共同組成，必要時還包括管理和預算辦公室、經濟顧問委員會、國家安全委員會、國民經濟委員會、國土安全委員會。二是法規適時修訂。經由《1950年國防生產法案》修訂并于1988年8月23日生效的《埃克森—弗羅里奧修正案》，是美國規制外資并購、保護國家安全的基本法。此后歷經四次修訂，于2007年10月形成了《外國投資和國家安全法》（FINSA）。出于反恐的需要，加強了對政治控制或其他隱蔽性控制等非常規商業形態的監控。三是運作程序保密。CFIUS是一個運作和審查過程都缺乏透明度的機構，審查通常包括申報、初審、調查和總統決定四個步驟，其保密的特性使得各步驟所能公開的信息比較有限。四是審查標準模糊卻嚴格。CFIUS的立法依據和各項法規一直未給出“國家安全”的準確定義，此后的FINSA擴展了國家安全概念，加入了關鍵性基礎設施、關鍵技術、國有資本等內容。但其回避了對國家安全、控制標準等關鍵性概念的嚴格界定，賦予CFIUS充分的自由裁量權。

（二）網絡安全審查制度游刃有余

伴隨網絡空間的蓬勃發展，網絡安全審查必然成為國家安全審查的重要組成部分。在這個問題上，美國的態度非常堅決。早在２０００年，美國就率先在國家安全系統中對采購的產品和服務進行安全審查。隨后陸續針對聯邦政府云計算服務、國防供應鏈等出臺了安全審查政策，實現了對國家安全系統、國防系統、聯邦政府系統的全面覆蓋。審查對象不僅涉及產品和服務，還針對產品和服務提供商。經過多年的實踐與探索，逐步建立了多種形式的網絡安全審查制度，將全方位、綜合性的供應鏈安全審查體系上升為國家戰略。美國網絡安全審查制度呈現出四個特點，一是審查范圍逐步拓展；2000年1月，美國國家安全委員會發布了《國家信息安全保障采購政策》，對涉及國家安全的信息系統的采購進行安全審查。2002年，美國國家標準技術研究所發布新的信息安全標準，確立了面向政府的網絡安全審查制度。2013年11月，美國國防部頒布臨時政策，規定國防系統及其合同商采購的產品和服務要經過供應鏈安全審查。二是審查內容逐步擴大；美國聯邦政府要求，不僅信息技術產品和服務的關鍵技術必須要經過審查，而且產品安全性能指標、產品的研發過程、程序、步驟、方法、產品的交付方法等，都要經過審查。三是審查流程保密；美國網絡安全審查標準、機制、過程不對外公開，主要考量因素就是對國家安全、司法和公共利益的潛在影響，且其審查沒有明確的時間限制，更不解釋審查結果形成的原因和理由，不接受申訴。四是審查結果具有強制性；美國政府先后發布的《國家信息安全保障采購政策》和《聯邦風險及授權管理計劃》，分別對進入國家安全系統的信息技術產品和云服務提供商實行安全審查，未通過安全審查的一律不得進入聯邦政府的采購名單。2012年中國電信設備制造商華為和中興先后在美國遭調查封殺，便是網絡安全審查的直接后果。

（三）云計算服務安全審查引領潮流

美國作為云計算服務應用的倡導者和引領者，以“云優先戰略”為牽引，將大量的聯邦政府信息系統遷移到“云端”。同時，云計算服務提供便利的同時也給敏感數據和重要業務帶來了新的安全挑戰。對云計算服務實行安全審查，也成了云計算服務推廣應用的重要方面，在這一點上，美國又一次走在了世界的前列。一是標準法規先行；2011年國家標準與技術研究所發布了《公共云計算安全和隱私指南》和《完全虛擬化技術安全指南》兩項標準，為聯邦政府下一步建立云計算服務安全審查制度提供了標準依據。二是審查機制高效；在《云計算環境信息系統安全授權》、《聯邦風險及授權管理計劃》（FedRAMP）和《聯邦信息安全管理法案》的框架下，設計了由第三方評估、FedRAMP審查、獲得初始授權、結果共享的運作機制。組建了由國防部、國土安全部、審計署三方成員構成的聯合授權機構，統籌云計算服務安全控制基線要求、批準第三方機構認定標準、對云計算服務進行初始授權等工作。三是審查程序標準化。通過近年來的實踐，逐步形成了在法規標準支撐下云計算安全基線，突出第三方機構認定、云計算服務審查、云計算服務持續監管三大關鍵點，成熟了十余部標準化的模板、程序與指南材料，初步確立了聯邦政府云計算服務安全審查體系。目前，FedRAMP共認定了27家從事云計算服務安全評估的第三方機構，并已有11家云計算服務商的12項云計算服務通過了安全審查。

二、美國網絡安全審查制度的戰略效應

如果不是華為、中興在美國受阻，如果沒有斯諾登的持續爆料，如果沒有美國司法部對中國軍人的所謂起訴，也許我國的網絡安全審查制度還要來得更晚一些。但是已經實施數十年的美國網絡安全審查制度，其引領和示范作用、警醒和刺激作用、擴張和輻射作用，卻不以我們的意志為轉移，真實真切地存在著。

（一）示范效應

目前，網絡安全審查已成為國際通行作法。拋開西方信息技術強國網絡安全意識覺醒早、網絡空間戰略意識強的內因，恐怕美國網絡安全審查制度的示范和引領效應也起到了推動和加速的作用。英國、德國、澳大利亞、新西蘭、俄羅斯、印度等國相繼都出臺了網絡安全審查制度。英國網絡安全認證制度由政府通信總部實施，通過其安全認證的產品和服務，方能為英國政府機構信息系統所使用。德國政府從立法體系、監管機構、網絡審查等多個方面加強對重要信息基礎設施和信息系統的保護，對信息技術產品與服務實行安全標準與使用便捷性的審查。澳大利亞國防通信局與新西蘭政府通信安全局共同建立澳大利亞信息安全評估計劃，采用統一的網絡安全審查機制。俄羅斯也實行嚴格的網絡安全審查制度，由俄羅斯工業和貿易部負責實施，重點是對外資進入其戰略性產業交易進行審查，評估交易是否存在風險。必要時還需要征詢俄聯邦安全局和國家保密委員會的審核評估意見。印度的網絡安全審查制度由內政部負責實施，重點是加強對通信產品以及“關鍵核心設備”運營商的管控，設備提供商必須得到內政部的安全審查以及第三方認證，方可簽署合同。從各國的審查實踐看，審查結果也具備一定的示范與傳導作用。從2009年開始，美國、印度、澳大利亞、法國等國家多次以國家安全為由，禁止華為、中興等公司產品在該國部署和使用，這當中美國阻止華為參與Sprint Nextel公司的網絡招標為他國樹立了標桿。

（二）鯰魚效應

鯰魚效應實質上就是要喚醒危機意識和憂患意識，樹立風險意識，從而激發生存意識和競爭求勝之心。2013年6月斯諾登事件之前，中國面對長驅直入并且占據市場絕對優勢的“八大金剛”并無多少不適或警覺，鮮有的一些擔憂與顧慮也在大好的發展形勢之中被淹沒。與其形成鮮明對比的是，國內企業華為、中興在海外市場上卻四處碰壁，華為在美國遭到封殺，在澳大利亞被禁止投標寬帶網項目，在英國遭到議會情報和安全監督機構的調查，在印度也遭到了內政部的嚴密審查，國際市場開拓陷入困境。直至斯諾登捅破那層窗戶紙后，怵目驚心、瞠目結舌、后背發冷的結果公之于眾，先前的僥幸變成了確證，之前的擔憂變成了活生生的現實。此時反觀中國IT行業，芯片、操作系統、數據庫以及通用協議和標準90%以上依賴進口，關鍵信息系統有99%是外國品牌，金融、電信、能源等核心行業的信息系統被國外壟斷。內憂外患之下，產、學、研、政府各界互聯網國家意識、戰略意識空前覺醒，自主可控不絕于耳，去“IOE”風生水起。其實在華為、中興海外市場受挫之際，就應當重視和審視美國及西方大國的網絡安全審查制度，其時也有專家呼吁建立中國的信息技術安全產品審查制度。時至今日，這種倒逼的覺醒和變革，來得猛烈，發人深省。亡羊補牢，為時未晚，美國給我們的這個教訓值得認真吸取！

（三）蝴蝶效應

蝴蝶效應是指在一個動力系統中，初始條件下微小的變化能帶動整個系統的長期的巨大的連鎖反應，是一種混沌的現象。美國的網絡安全審查制度是以保障國家安全、防范供應鏈安全風險為目標，對信息技術產品和服務進行的全方位、綜合性的安全審查，其蝴蝶效應體現在如下兩個方面。一個是審查的范圍呈現擴張態勢；信息技術產品和服務的整個生態系統涉及軟件、硬件、制造、材料等上下游的多個產業，技術上又涉及通信、網絡、密碼、計算機、信息安全等多個學科，網絡安全審查的對象和范圍將涉及供應鏈的每一個環節，越來越呈現出明顯的拓展和擴張之勢。任何一個節點上的審查問題，或者某一個產品或服務的審查，其結果都會輻射并影響到多個產業和行業，而且這種影響的威力巨大、傳播迅速。另一個是審查的自由度較大；由于美國網絡安全審查流程的相對保密性，對國家安全定義的相對寬泛性，對關鍵基礎設施領域定義的全面覆蓋性，造成審查結果的裁定空間非常大，這樣對產品和服務乃至相關產業的影響力難以評估。比如美國2013年對于關鍵基礎設施的分類包括了通訊、信息技術、關鍵制造、金融服務、能源、政府設施、食品農業、交通運輸等16大項，只要跟這些項目相關就能跟國家安全建立聯系，這種關聯度對審查至關重要。

三、厘清我國網絡安全審查制度的認識誤區

我國即將出臺的網絡安全審查制度，應該是從筑牢法律法規基礎、規范信息技術產品和服務提供商的社會責任、健全風險評估響應機制等多方面落實網絡空間治理戰略的務實舉措。鑒于其敏感性和影響度，加強輿論引導和推廣宣傳，糾正認識上的偏差和誤區，回歸其制度本身要義和初衷，具有重要意義。

（一）網絡安全審查并非制衡手段

我國即將出臺網絡安全審查制度之時，正值美國起訴中國軍方黑客、我暫停中美網絡安全工作組活動之際，這使得媒體和西方國家對此產生了聯想。以IBM、CISCO為代表的國外IT企業也產生了不安和焦慮。事實上，政策的出臺是綜合考量我國網絡空間面臨的內憂外患，維護網絡網絡空間主權、保障公眾合法權益的內在需要。借鑒了國際通行做法，結合了國家網絡安全法規、標準、規范發展的現實基礎，繼承和發揚信息安全產品測評認證和等級保護的經驗，乃大勢所趨，順勢而為。再者，我國一直奉行和平、安全、開放、合作的網絡空間治理原則，本著相互尊重和相互信任，通過積極有效的國際合作，共同建立多邊、民主、透明的國際互聯網治理體系，沖突與對抗并不符合國家的安全利益。

（二）網絡安全審查并非貿易保護

網絡安全審查制度的出臺，將從積極審查、事中檢測、事后懲處等環節對IT產品和服務進行安全性和可控性的把控。這勢必對國內自主可信可控的信息安全產業提供發展良機，提升國內企業的核心競爭力。但這同時給國外企業留出了猜想空間，質疑我借國家安全之名，行貿易保護之實。對國外信息技術產品及服務的審查，還有可能引起外界對我國政府是否違背WTO規定的爭議。對此專家認為，目前中國規定的審查對象是涉及國家安全與公共利益領域的信息產品和服務的重要產品。根據WTO的規定，是可以適用其“安全例外”條款（第21條）。從制度設計本意看，我國的網絡安全審查將“無國別”實施，擯棄“出身論”，國產“根正苗紅”并非護身符。對發現存在安全隱患的網絡產品和服務，不論是外國企業還是中國境內企業，都將一視同仁。

（三）網絡安全審查并非安全測評

從目前專家對我國網絡安全審查制度的分析和解讀來看，無論是審查主體、審查范圍、審查內容、審查方式、審查結果，都是緊緊圍繞安全可控、誠信可靠、客觀公正來展開。審查絕不單單是一個單純的技術性的審查，而是將企業聲譽、背景、資質，產品研發、制造、交付的過程等各種指標和因素都納入審查，從多角度衡量產品和供應商的可控性與安全性。這與我們已經推行十幾年的信息安全產品測評認證制度存在明顯區別，其一是內容范圍的擴展。先前的安全測評只是針對信息安全產品的測評認證，比如防火墻、IDS、UTM等，而安全審查的對象是信息技術產品和服務，囊括了所有信息技術產品，比如服務器、操作系統、應用軟件、數據庫。其二是目標重點的延伸。之前是信息安全測評認證是針對產品功能和性能的標準一致性驗證，存在明顯局限性。網絡安全審查則是要主動發現安全隱患、后門缺陷。其三是審查主體的統一。隨著中央網絡安全和信息化領導小組的成立和運轉，以工信部、公安部、安全部、保密局多頭管理的局面必然終結，籌建集中統一的審查機構勢在必行。其四是審查結果的強制性更大。除了公正客觀權威之外，網絡安全審查的結果應當比安全測評的結果更具強制力，而不是可有可無。當然，安全測評的結果可是用作安全審查的依據之一。

（四）網絡安全審查并非內容審查

網絡和信息技術產品是否安全、是否可控，事關國家安全，事關我國經濟社會健康發展，事關廣大人民群眾合法權益不受侵犯。從安全的概念看，網絡安全與信息安全在范圍上沒有本質區別，也指的是總體性的安全，既包含網絡與信息系統的技術安全，也包含信息內容安全。但網絡安全審查制度是對關系國家安全的信息系統中使用的產品與服務進行測試評估、檢測分析和持續監督，這些信息系統中運行的業務和流轉的信息，并不是審查的對象，因此它不涉及信息內容安全，與輿論管控、內容審查無關。更不會涉及個人信息，不會對個人信息安全造成負面影響。