經歷數十年的發展,作為一種貿易對象,網絡信息技術產品和服務的采購已經形成相對成熟的規則。針對網絡信息技術產品和服務市場化采購的行政干預,須遵循市場規律,遵守貿易規則,尤其是在當前數字經濟快速崛起、經濟全球化和貿易一體化不斷深化的背景下。與此同時,鑒于網絡信息技術產品和服務的復雜多元與快速迭代,以及基礎網絡和重要信息系統保密性、完整性和可用性對國家安全的重要影響,必要的網絡安全管控措施又顯得不可或缺。因此,科學地劃定網絡空間市場自律與安全監管的法律邊界非常重要。
依據WTO的“安全例外”原則或可以解釋網絡空間的安全管控,但是作為對反歧視等原則的突破,該原則適用往往受到嚴格限制。當前,中國法律已原則性地提出信息技術產品和服務的國家安全審查,為了確保這種網絡空間的國家安全審查機制可以與國際貿易規則相符合,符合國際慣例,考察美國、英國等信息技術產品和服務貿易發達國家與之相關的網絡安全制度,分析相應的管控機制對象、范圍和內容,就顯得尤為必要。
一、網絡安全審查的概念
“網絡安全審查”是一個具有中國特色的表達。從法律淵源分析其內涵,首先網絡安全審查制度是國家安全審查和監管的基本內容。根據《國家安全法》第五十九條,我國的國家安全審查和監管的制度和機制,主要可以分為四類,一是對影響或者可能影響國家安全的外商投資審查,主要是商務部負責的外商投資并購審查;二是特定物項和關鍵技術的審查,例如密碼產品的審查;三是網絡信息技術產品和服務的審查;四是涉及國家安全事項的建設項目,以及其他重大事項和活動的審查。
其次,網絡安全審查主要是指對關鍵信息基礎設施以及黨政機關、重點行業采購使用的重要信息技術產品和服務的審查。《網絡安全法》第三十五條提出“關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查”。國家互聯網信息辦公室發布的《國家網絡空間安全戰略》要求建立實施“網絡安全審查制度”,包括“加強供應鏈安全管理,對黨政機關、重點行業采購使用的重要信息技術產品和服務開展安全審查,提高產品和服務的安全性和可控性,防止產品服務提供者和其他組織利用信息技術優勢實施不正當競爭或損害用戶利益”。
雖然由于法律等國情差異,在美國和英國的政策文件中沒有與“網絡安全審查”(cyber security review)直接對應的概念,畢竟“網絡審查”、“安全審查”等在西方國家也屬于與自由、人權、貿易等相關的敏感詞匯。但沒有“網絡安全審查”這樣一種說辭,并不意味著不存在針對國家“網絡安全”問題的“審查”性機制,許多西方國家通過法律、政策或標準等多元方式,在政府采購等國家安全相關領域,對信息技術產品和服務的采購采取安全測評、評估、認證。這些前置機制,實質上構成了信息技術產品和服務進入國家安全相關領域的市場準入門檻,與我國信息技術產品和服務的安全審查制度有共通之處,為便于比較研究,因此本文暫冠以“網絡安全審查”。
需要明確的是,英美等國在特定領域實行的“網絡安全審查”機制有嚴格限定,反對在商業領域濫用安全例外。WTO《服務貿易總協定》第14條規定:“本協定不得解釋為阻止成員方采用或施行它所認為保護公共道德或維持公共秩序的措施”,但腳注同時明確該例外“僅在社會根本利益受至真正的、重大的、嚴重的威脅時才可援引”。例如,在中國實施信息安全等級保護制度時,要求第三級以上信息系統采購本國生產的自主信息安全產品,美國就曾提出反對,并認為根據WTO國家安全例外,中國實施的任何強制性要求只能適用于軍隊和涉密信息系統,而重點行業屬于商用系統,不能認定是國家安全范疇。
二、美國對網絡技術產品與服務的安全審查
(一)基本內容
美國對信息技術產品和服務的安全審查,從管理機制角度,主要可以區分為采購部門管理規范體系和職能部門管理規范體系兩個方面。
采購部門管理規范體系的核心,是《聯邦采購條例》(Federal Acquisition Regulation),其明確而詳盡地規定了聯邦政府的采購計劃、采購方式、合同類型、采購合同管理、采購合同條款及合同格式等內容。一些特殊部門內部規定了符合部門特殊要求的專項措施,鑒于美國既有聯邦政府又有州政府,政府機關內部又細致劃分權限,因此,職能部門管理體系就顯得更加龐雜。
(二)采購部門的網絡安全審查
美國在國家安全系統采購、聯邦政府采購,以及國防系統和合同商采購領域引入對信息技術產品和服務的安全審查。
1. “國家安全系統”采購的網絡安全審查措施
美國“國家安全系統”的定義和范圍十分明確。針對國家安全系統的網絡安全審查措施有著嚴格的標準和規定。
1994年,美國聯邦政府發布《國家安全通信和信息系統認證認可政策》,要求所有聯邦政府機構對其控制和運行的國家安全系統建立和實施強制性認證認可,所建立的認證認可制度應當能夠有效保證國家安全系統中的信息處理、存儲和傳輸的保密性、完整性和可用性。2000年,國家信息保障認證認可流程(NIACAP)逐步建立成型。
根據美國國家安全通信和信息系統委員會(NSTISSC)2000年發布的《國家信息安全采購政策》(National Information Assurance Acquisition Policy)相關規定,自2002年7月1日起,所有國家安全系統采購的IT產品必須評估和認證,滿足由國家安全局(NSA)、國家技術標準研究院(NIST)共同組成的國家信息保障聯盟(NIAP)的評估認證體系(CCEVS)的評估認證。NIAP安全審查的范圍包括所有政府部門采購、用在國家安全系統中的、商業現貨信息安全產品(防火墻、入侵檢測)或信息安全相關產品(如操作系統、數據庫系統),主要審查依據為《信息技術安全性通用評估準則》(CC)和信息系統安全保護輪廓(PP)。與此同時,NIAP定期公開相關部門采購清單中通過認證的產品。
2009年,國家安全系統委員會發布第1253號指令,將NIST發布的《保護聯邦信息和信息系統的安全控制措施和技術指南》(SP800-53)作為國家安全系統信息安全控制的通用標準。SP800-53在2009年的修訂中,增加了供應鏈保護的安全控制要求,建議政府機構在與供應商簽訂信息技術采購合同之前,對供應商進行盡職審查。
此外,部分用于支持國家安全系統的采購,也要遵循國家安全系統采購的規定。《總務署采購手冊》第507條第70款規定,雖然總務署的任務不包括直接采購武器系統,但總務署活動可能包括武器系統的支持技術和配套服務,這應當被視為國家安全系統的一部分,適用國家安全系統相應安全等級的要求。
2. 非“國家安全系統”采購的網絡安全審查措施
與國家安全系統相關采購相對應的,便是非國家安全系統的網絡信息技術采購。
一是各聯邦機構在采購信息技術設備前,要確保信息技術采購符合美國行政管理和預算辦公室(Office of Management and Budget,以下簡稱“OMB”)發布的《A-130通知》(Circular A-130)規定的信息資源安全、國家安全、隱私保護、突發事件應急準備等具體要求;
二是采購財務管理系統要符合OMB發布的《A-127通知》(Circular A-127)的要求,核心財務軟件必須預先通過“聯合財務管理改進項目”的認證;三是聯邦機構采購信息技術產品,應當符合信息技術安全的政策法規,采購通過NIST認證的產品,產品列表詳見見NIST官方網站(http://checklists.nist.gov)的國家清單計劃(National Checklist Program, NCP)[ii]中的信息安全保障清單一欄;四是采購的信息產品包含互聯網協議(Internet Protocol)的,該協議應當通過NIST的USGv6測試。
與此同時,作為《聯邦采購條例》的配套規范性文件,《總務署采購手冊》第539部分規定,負責采購信息技術的聯邦雇員,應當具備與采購信息技術產品和服務安全等級相當的水平。項目負責人應當確保招標文件符合信息安全要求,并且信息安全要求必須足夠詳細,使得供應商充分理解信息安全規定、任務和需求,保證供應商能夠履行合同或任務。
3. 網絡安全審查的特殊措施
無論是國家安全系統的網絡安全審查,還是非國家安全系統的網絡安全審查,其一般措施都是針對網絡信息技術產品和服務的,但是,在某些特殊的情況下,美國采購部門的網絡安全審查直接覆蓋到供應鏈階段。其中,比較有特色的措施有兩個:一是國防部的供應鏈審查;二是明確禁止采購觸及的供應鏈。
(1)國防系統的供應鏈安全審查
《2011年國防授權法案》第806節授權國防部,在國家安全系統采購中,排除存在重大供應鏈風險的合同商。其對該風險描述為:“攻擊者可能破壞、惡意引入不必要的功能,或者破壞設計、完整性、制造、生產、銷售、安裝、操作,或者控制整個系統以監控、拒絕服務、中止服務,或者弱化系統的功能、使用或者操作。”
為此,美國國防部發布了第2012-D050號《國防聯邦采購補充條例》,要求國防部在采購信息技術時,必須將“供應鏈風險”作為選擇合同商的評估重點。
(2)禁購性來源的安全審查
FAR第25部分第7節“禁止來源”明確禁止聯邦機構與特定國家、單位和個人進行交易。因此,這些國家、單位和個人的信息技術產品和服務,也就無法通過美國聯邦政府采購的審查。
此外,也有規范和中國相關。《2013年合同與持續撥款法》及《2014年合同與持續撥款法》均對美國商務部、司法部、國家宇航局和國家科學基金會四家聯邦機構,采購中國信息技術系統進行限制,具體表述為“聯邦機構負責人與聯邦調查局或其他適當機構”對“中國擁有、管理或資助的一個或多個機構所生產、制造或組裝的信息系統有關的任何風險”進行“網絡間諜或破壞行為”進行風險評估,除非評估認為“該系統采購符合美國的國家利益”,否則“不得采購”。
(三)職能部門的網絡安全審查
如果說政府采購的限定性規范屬于直接審查措施的話,那么職能部門則是通過明確聯邦機構的安全責任和聯邦信息系統的安全標準,間接地進行了網絡安全審查。
這種間接審查的主要措施有兩種:一是聯邦政府業務系統安全檢查制度,二是近年來興起的云計算服務安全評估。
1.聯邦政府業務系統安全檢查制度
2002年《聯邦信息安全管理法》(Federal Information Security Management Act,以下簡稱“FISMA”)明確了聯邦機構的信息安全管理責任。第3544節(a)(1)(A)(ii)規定的責任主體范圍包括“機構、機構的承包商、機構的代理組織使用或運維信息系統”,以確保聯邦政府層面信息系統和數據的安全。為實現法律的落地,FISMA 指定NIST開發政府信息安全的標準和指南。NIST隨后頒布FIPS 199標準和FIPS 200標準。前者對聯邦信息和信息系統進行高、中、低級分類,建立了安全保護的通用框架;后者明確了聯邦信息和信息系統的最低安全要求,并要求聯邦機構使用安全控制措施,符合SP800-53的要求。
以NIST為首,針對FISMA的技術安全問題提出了信息安全自控計劃(Information Security Automation Program),并由此延伸出安全內容自控協定(Security Content Automation Protocol, SCAP)框架,該框架由CVE、CCE、CPE、XCCDF、OVAL、CVSS等6個支撐標準構成(檢查的標準,一致性標準等)。這6個支撐標準需要檢查的內容、檢查的方式由國家漏洞數據庫(National Vulnerability Database, NVD)和國家清單計劃(NCP)提供,由此SCAP框架就實現了標準化和自動化安全檢查,及形成了一套針對系統的安全檢查基線。
SCAP及安全基線的最重要成果和成功案例當屬聯邦桌面的核心配置(Federal Desktop Core Configuration, FDCC)項目。該項目是在美國政府支持下建立的桌面系統(Windows XP、Windows vista等)相關安全基線要求規范,并通過自動化的工具進行檢查。FDCC基于NVD、NCP等內容進行基線安全核查。NVD為自動化漏洞管理、安全評估和合規性檢查提供數據支撐,包含安全核查名單、與安全相關的軟件漏洞、配置錯誤以及量化影響等。NVD數據庫針對數據庫中的漏洞等提出了一整套核查名單(Checklist),劃歸到NCP計劃中。
概而言之,標準化和自動化是FISMA下聯邦信息系統安全檢查的最重要的特征。
2. 云計算服務安全評估
2011年,OMB發布首席信息官備忘錄《云計算環境信息系統安全授權》,闡述了聯邦風險和授權管理計劃(FedRAMP)。根據FISMA和FedRAMP,美國國防部、國土安全部、總務署三方派出代表組成“聯合授權委員會”(JAB),牽頭負責制定云服務安全基線要求、批準第三方機構認定標準、對云計算服務進行初始授權等工作。
FedRAMP規定的云服務安全基線,是在通用安全要求NIST SP 800-53《保護聯邦信息和信息系統的安全控制措施和技術指南》的基礎上,針對低級、中級的云,選取適合于云的服務的部分內容,修改形成了云計算服務安全基線要求。FedRAMP不建議聯邦機構將高安全等級需求的業務和數據遷移到云上。
FedRAMP 的評估審查流程是,有意向為聯邦政府機構提供云計算服務的云服務商向管理辦公室提交審查申請,由受聯合授權委員會認可的第三方評估機構根據云服務安全要求進行測評,聯合授權委員會參照測評結果對云服務商進行綜合風險評估,并作出決定。聯合授權委員會對通過評估的云計算服務給予初始授權,各聯邦政府部門均可在初始授權名單里根據自身需求選擇云計算服務。由于各部門可共享安全評估與審查結果,從而避免了重復評估和審查。這實際上是一種“白名單”機制。
聯邦政府及各部門采購商業和非商業化云服務,需要預先通過安全評估、授權以及運行前審批。亞馬遜的美國政務云服務即通過了聯邦風險和授權管理計劃(FedRAMP)的認證,并在其官網公開承諾其物理服務器分布在美國境內,只有美國公民可以訪問[iii]。云計算服務評估遵循“一次審查、多次使用原則”,以避免多個政府部門對同一云服務商重復審查,扶持和促進云計算服務產業的發展。
三、英國對網絡技術產品與服務的安全審查
(一)基本內容
雖然英國信息技術產品和服務也屬于隸屬財政部的政府采購辦公室強制集中采購范疇,但英國政府采購辦公室更偏向于采購制度本身的管理,而非技術性要求。英國政府采購信息技術產品和服務,主要決定權在政府通信總部(Government Communications Headquarters, GCHQ)下設的電子信息安全小組(Communications-Electronics Security Group,以下簡稱“CESG”)。因此,英國的網絡安全審查的核心規范,基本出自CESG。
這一規范體系,主要由兩大部分構成:指導性規范(Guidances)和服務性規范(Services)。
屬于指導性規范的主要有:《數字服務的安全設計原則指南》(Security Design Principles for Digital Services),其目的是防御針對政府系統的數字攻擊,核心關注是公共服務,但是,其所涉及的領域還包括財政和基礎設施建設;《公務級網絡加密指南》(Network Encryption at Official),當公務機關使用或接入信任級別較低的網絡之時,通過專業加密的方式,保護信息安全;《默認安全:白名單》(Secure by Default - white papers),列出了安全的平臺及其渠道來源,并且每天都會進行相關的審查和更新。
屬于服務性規范種類繁雜。第一,咨詢規范,CESG下設網絡安全鑒定咨詢顧問(CESG Certified Cyber Security Consultancy)和網絡鑒定專員(CESG Certified Professional, CCP),為信息的安全提供咨詢服務,相關的運行依照內部規范進行。
第二,政府通信總部鑒定培訓(GCHQ Certified Training, GCT)規范,分為兩個層級,一是碩士學位培訓,一是專業學習安排。
第三,保護服務規范,包括商業產品認證(Commercial Product Assurance,以下簡稱“CPA”)、輔助產品服務(CESG Assisted Products Service,以下簡稱“CAPS”)、通用標準(Common Criteria,以下簡稱“CC”)、商品信息認證(Commodity Information Assurance Services)、防信息泄露技術和電磁安全(TEMPEST and Electromagnetic Security)等。以及其他相關規范,比如安全檢測規范等。
(二)新分級制下的安全審查
英國曾經按照保護級、限制級、保密級、秘密級和絕密級對信息進行了五級分類,實施了復雜的信息技術產品和服務采購的審查體系。然而隨著信息技術的不斷發展,紙質文件和傳統辦公環境已被顛覆,5級信息分類不再適應當前數據為中心的現代工作環境,過于復雜分類帶來了信息系統的管理難題,因此,2014年4月,英國正式改用信息的三級安全分級:公務級(Official)、秘密級(Secret)和絕密級(Top Secret),并在此基礎上重構了英國信息技術產品和服務的安全審查。因此,英國網絡安全審查的規范措施,以2014年后的新分級為準。
1.基礎級認證
涉及公務級信息的需要通過商業產品認證(CPA)取得基礎級(Foundation)證書。
根據CESG的數據,公務級信息占政府信息總量的80%以上,主要為公共部門所產生,其一旦丟失、被竊或公布在媒體上,將會造成一定后果但不會有明顯危害。對公務級信息,CESG所規定的CPA主要采用黑盒測試(Black Box)的方式,接受認證的廠商無需擔心其商業敏感信息被獲取,主要為商務現貨供應(COTS)的軟硬件產品所采用。
基礎級信息安全產品和服務的認證的主要流程是,廠商首選根據產品的類別選擇接受認證的類別,并自主選擇一家CESG認可的測試機構;測試機構產出推薦報告后直接提交給CESG;CESG根據測試機構的報告,確認是否適合參加認證;測試機構根據CESG認可,對產品進行黑盒測試等審查,并產出概要報告遞交CESG;CESG對最終報告進行審查,符合條件的授予基礎級證書。
2. 高級認證
涉及秘密級和絕密級的適用輔助產品服務(CAPS)認證,獲得高級(High Grade)證書。主要應用于政府現貨供應(GOTS)的軟硬件產品。
GOTS產品的全生命周期均將受到政府的控制。CESG通過設立專門的客戶經理(CAMs)團隊實施非公開的管控,主要區分中央政府、健康、工業、執法、地方政府和國防等六種類型。在參加CAPS認證之前,相關廠商還必須獲得一個英國政府支持方(HMG Sponsor),即某英國政府部門書面授權其開發相關產品。并且,該廠商必須在英國有正在運營中的商業實體,提供安全場所,在英國政府登記在案的安全位置(List X),相關工作人員也應當通過“高度審查”(Developed Vetting),即類似公務員的全面安全審查。
CAPS采用源代碼審查方式,以確保安全。根據CESG網站的介紹,源代碼審查是通過徹底和不受限制地審查設計文檔、源代碼、電路圖、物理布局等通常被視為公司機密的信息,CESG要求受審查產品在指定場所被不受限制的訪問。特別注意的是,這一審查要求同樣適用于產品中使用的第三方知識產權內容。
(三)技術服務型的安全審查
除嚴格實行新分級制下的安全審查機制,CESG還為政府與公共部門提供技術服務型的安全審查。
1. 政府和公共部門的安全檢查
CESG為政府和公共部門提供的安全檢查方案(CHECK Scheme),主要使用滲透測試的方法。
只要是英國政府用于處理公務級信息、秘密級信息的網絡信息系統,都將定期實施安全檢查。其中處理秘密級信息的系統,實施安全檢查還需事先征得CESG的同意。
CESG同時強烈建議其他公共部門在處理標識為“敏感”的公務級信息時,也要實施安全檢查。而當其他公共部門認為其秘密級和絕密級信息的系統有必要進行安全檢查的時候,相關機構需要與和它直接對應的CESG客戶經理進行溝通,以便進行相關檢查。
2. 政府和公共部門的安全評估
CESG為英國政府、國防部、關鍵國家基礎設施(CNI)及公共部門提供定制化的安全評估服務。評估服務的范圍涵蓋相關信息技術系統、產品和服務。
在相關系統、產品和服務部署之前,認證機構可提出具體的需求,由CTAS評估機構進行初評。CESG根據初評得出最終的評估報告。而后,認證機構根據評估報告,對相關系統、產品和服務的安全風險作最終的判斷。
評估機構、CESG及其他利益相關方需要一致同意具體的評估范圍、技術方法,審查CTAS評估報告涉及的活動記錄和結果文檔。
鑒于社會評估機構的存在,與安全檢查相比,安全評估機制中,CESG的技術支持只是階段性的,而非全面性。
3. 創新或復雜安全功能的技術設計審查
私營或公共部門向政府提供信息通信技術((Information Communications Technology, ICT)服務時,一旦解決方案包含創新或復雜的安全功能,且不在當前政府信息安全相關指南中,則需要向CESG申請技術設計審查(IA Technical Design Review)。
技術設計審查的主要組織形式是設計審查會議,申請者需要取得政府支持方的書面同意,完成設計審查問卷,并至少提前五天將相關文件提交參與設計審查會議的各方。
與安全檢查和安全評估相比,技術設計審查中的CESG是一種被動的姿態,而非主動的姿態。此時,初步審查來自于政府本身或提供信息通信技術的部門,因為它們作為設計的使用者或提供者,是最關心創新性和應用指南的。
四、英美網絡安全審查機制的異同
美國和英國的網絡安全審查機制既有共性,也有特色。前者基本勾勒了網絡安全審查規范體系得以穩定運行的原則,而后者為不同國家、不同時期的網絡安全審查機制提供了多樣性的借鑒。
(一)英美網絡安全審查機制的差異
美國的信息技術和產品占據著國際市場的主流,而英國本土缺乏有實力的信息技術企業,政府采購信息技術產品多數需要從國外引進,自主安全保障能力相對較弱。網絡安全環境的不同,導致二者的網絡安全審查機制有著不同的面向。
1. 不同的路徑選擇
美國擁有非常發達國內網絡安全市場,信息技術產品和服務的研發領先于全球,自主安全保障能力充分,甚至擔當著全球IT“供應商”角色;同時,政府IT及相關設備采購規模龐大。因此美國對網絡信息技術產品和服務開展的相關安全審查,既包括對信息技術產品與服務安全性能的各種評估要求,還包括供應鏈安全審查,即對產品和服務的來源進行審查,甚至可以排除特定供應鏈來源。某種程度上,這既可以保障其國家網絡安全,也能通過政府采購拉動其國內信息技術產品與服務產業的發展。
英國沒有美國這樣的IT技術優勢,本土產業規模相對有限,不可避免地要使用其他國家企業的網絡信息技術產品和服務,供應鏈更為復雜。因此,英國的網絡安全審查機制,并沒有體系化的政府采購信息技術產品與服務的安全性能要求,也沒有專門的供應鏈審查機制,而是采用相對市場化的評估機制,包括深層次的“源代碼”審查測試,檢測相關產品或服務是否存在安全缺陷或漏洞。
2. 不同的頂層設計
美國和英國安全審查的頂層設計截然不同。美國圍繞聯邦政府采購政策辦公室(Office of Federal Procurement Policy,以下簡稱“OFPP”)與相關部門,形成了機構分工明確的安全審查機制。而英國則以CESG為中心,形成相對精簡且市場化的安全審查機制。
OFPP隸屬OMB,其與聯邦總務署、國防部、航空航天局等部門共同擬定FAR,用以指導和督促各政府機構依法采購。OFPP的行政長官由總統任命并經參議院確認,代表總統參與政府采購有關的政策、程序等立法工作。該機構在本質上并非一個專門的網絡安全審查機構,其只是承擔美國網絡安全審查規范體系的核心規范的確立工作。美國國家技術標準研究院和國家安全系統委員會的情況也與之類似,并非專門的網絡安全審查機構。
與之形成鮮明對比,CESG是專門的網絡安全審查機構,是英國國家信息安全技術保障的權威,在政府信息安全工作方面有決定性發言權。CESG 負責整個信息安全認證體系的設計、標準的發布。具體審查認證工作是由CESG認可的專業商業機構負責,例如CGI、Context Information Security、Info Assure Ltd等,CESG在具體審查方面只進行復核確認并簽署具有效力的認證證明。英國政府明確將CESG打造為專門的網絡安全部門,以其為主體框架,成立新一代英國國家網絡安全中心(National Cyber Security Centre, NCSC),保護公眾、私營部門、公共部門以及核心國家設施的線上安全。
3. 不同的規則體系
差異化的頂層設計之下,是美國和英國兩國迥異的安全審查規則體系。美國的網絡安全審查規范體系完整而分明,從聯邦法律、部門規則到具體標準,均有覆蓋,且保持緊湊的更新頻度。更深層的原因在于,美國已在政府采購及國家安全領域形成完整的制度架構,網絡安全審查機制僅是作為其中的一個相對特殊的領域。
英國網絡安全審查規則,基本上由CESG發布的規范性文件為主,相對獨立于政府采購、國家安全相關的規則。并且CESG的上位機關,GCHQ是英國的情報機構和國家安全負責部門,向外交大臣負責,和英國安全局(MI5)、秘密情報局(MI6)一同受到聯合情報委員會(JIC)的領導,因此其采用的審查手段更偏重于技術檢測與控制,而非法律規范與標準指導。
(二)英美網絡安全審查機制的共性
盡管美國和英國兩套網絡安全審查機制存在很大差異,但這并不妨礙它們之間的共性,并且二者深層次的共通之處,值得深思與借鑒。
1. 相似的審查對象
英美網絡安全審查對象,主要聚焦與國家安全相關的信息技術產品與服務。網絡安全的主動審查主要集中于政府和公共部門的信息系統、國家安全系統和國防軍事信息系統等影響或者可能影響國家安全的領域。其中,直接影響國家安全的國家安全系統和國防軍事信息系統會采取更為嚴格的審查標準。在美國,國家安全系統和國防系統的采購有專項規定,而在英國,則利用高級認證加以確認。
一般民用領域,美國與英國沒有普遍使用的強制性、主動網絡安全審查,但一旦涉及國家安全,仍可能接受國家安全審查。例如美國外國投資委員會(CFIUS)會根據外國投資者申請,被動地進行外資并購國家安全審查。這樣的審查機制不在前述典型范圍,但其中也涉及涉及網絡安全要素,相關安全協議(mitigation agreement)通常會包括:確保只有受過審查的員工負責特定技術和信息,擔任關鍵職位;建立公司安全委員會、經美國政府(CFIUS)批準的安全官或其他機制,履行安全政策、年度報告和獨立審計等職能;發布專門指南和條款約定,處理現有或將來可能涉及的美國政府采購合同、美國政府客戶信息或其他敏感信息等。英國的技術服務型安全審查也是類似被動發起審查的機制。反過來看,民用領域網絡安全審查的一個重要特點是,以被動式審查為主,在產品和服務與國家安全相關聯時,才被發起。
2. 相近的審查策略
英美網絡安全審查措施多種多樣,審查策略卻大體相當。一種策略是直接審查與間接審查相結合。政府在進行采購之時,既直接提出信息技術產品與服務的安全性能要求,明確需要達到的水平,同時也存在對政府機構使用信息系統安全能力提出要求,間接影響信息技術產品與服務,這就構成了一種間接審查。政府既可以直接明確安全技術采購的標準,也可以用相對模糊的安全評估甚至不公開的安全協議替代,避免內部安全口徑或者安全傾向暴露。間接審查的存在,甚至可以使得特定國家、主體的信息技術產品與服務處于隱性的不利地位,但又不觸及貿易規則。
還有一種策略,則是堅持分類管理。在美國,國家安全系統和非國家安全系統就是兩類截然不同的類型,在英國也存在公務級和秘密級、絕密級的劃分,不同類別安全性能要求,使得網絡信息技術產品和服務接受不同的檢驗標準進行審查。
3. 保證重要數據安全
保證信息技術產品與服務的安全,核心是保護其承載的數據安全。網絡安全審查某種程度上也可以被理解為對重要數據的載體進行安全審查。實際上美國和英國對于網絡信息技術系統的安全,已經從管設備、管技術,轉向管數據。
英國的網絡安全審查機制是建立在對信息等級區分的基礎上的,其對重要數據安全的重視程度無需贅述。美國的網絡安全審查機制最初是以政府采購為主,而政府采購更多地指向產品和服務,而非數據本身。不過,進入21世紀,美國陸續通過《信息質量法》(Information Quality Act, IQA)[ii]、《聯邦信息安全管理法》((FISMA)等法律的通過,將網絡安全保護的核心定位為信息安全,強制推行聯邦信息處理標準。
4. 搭建社會共治平臺
網絡安全審查涉及的領域廣、主體多、對象復雜,相關技術演進速度也非常快,對此美國和英國都重視引入市場機制實現網絡安全審查,表現在:
一是是尊重市場選擇。美國和英國針對商業產品和服務的安全審查,只是局限于政府采購領域,商業機構可以自主選擇是否加入政府采購,且加入政府采購也不影響商業機構的其他市場銷售行為。
二是培育第三方認證機構。美國和英國政府在牢牢把握標準制定權和最終評價權的同時,將中間具體認證監測評估環節交由經有關部門認可的商業化第三方認證機構完成,以此提高效率,確保公平公正。政府采購供應商能夠在政府提供的目錄中,自主選擇評估機構,通過市場機制實現評估機構的優勝劣汰。
三是形成多元主體共治機制。網絡安全審查并不是政府的單方行為,美國和英國都通過指南或標準引導、財政項目支持和網絡安全信息共享的方式,引導私營組織參與國家基礎網絡與重要信息系統的安全保護工作。并且,在網絡信息技術日新月異的現階段,對安全市場服務和自身業務安全存在天然利益訴求的美英兩國的互聯網企業、第三方認證機構等私營部門對安全風險管控和安全技術升級更有動力。
五、英美網絡安全審查機制的啟示
無論是從網絡大國走向網絡強國,還是全面推進“互聯網+”,中國都將面對更加嚴峻的網絡安全形勢,需要克服更多、更頻繁的網絡安全風險。現階段,推進網絡安全審查制度建設確有必要。但與此同時,作為一項可能涉及國際貿易規則、影響市場資源配置的制度,我們也需要更加審慎,特別是現有政策法律顯示,中國的網絡安全審查是以關鍵信息基礎設施保護、黨政部門和重點行業安全為邏輯起點而展開的,與西方國家基于政府采購、政府信息安全、政府控制的信息系統安全性而開展安全審查存在重要差異。如何通過具體的安全審查規則,將審查目的與審查手段與WTO安全例外原則掛鉤,確保維護國家安全的大方向不偏離,考驗著立法者與監管部門。
當前,監管部門已經認識到網絡安全審查“不能僅停留在規則層面,還要有自己的手段和機制。加強網絡安全審查,就是要督促監督信息產品服務提供者公平、公正、透明地為用戶提供服務和產品”。[i]英美的網絡安全審查機制的設計,基本實現了規則公開、手段適當與制度健全,借鑒其制度設計,進一步完善中國的網絡安全審查機制,健全配套制度,也能夠打消某些抵觸與擔憂。可能的借鑒包括:
一是在網絡安全審查的頂層設計方面,美國與英國在進行網絡安全審查時,均明確專門負責機構。《網絡安全法》并沒有明確專門的負責機構,這需要有關部門在制定具體網絡安全審查辦法時,明確牽頭部門與跨部門協調機制。例如,作為關鍵信息基礎設施安全保護的基礎制度,網絡安全審查應當與關鍵信息基礎設施保護制度相銜接,理順關鍵信息基礎設施的行業主管部門與網絡安全審查牽頭部門與專門負責機構機構的關系,明確協調機制與相應分工。
二是在網絡安全審查的機制方面,考慮到《國家網絡空間安全戰略》提出的基礎信息網絡、重要信息系統、重要互聯網應用三類范圍的關鍵信息基礎設施,以及黨政部門與重點行業,直接包含有許多商業機構,采購的信息技術產品與服務更是來源于商業機構,為避免過度干預市場,中國的網絡安全審查機制需要注意避免對這些市場主體適用強制性或者主動審查。要注重利用市場機制,采用鼓勵而非強制的方式,通過政府采購、示范項目、行業自律等形式引導這些商業機構參與安全審查,主動維護國家安全。
三是在網絡安全審查的適用方面,英國與美國的安全審查機制均突出確保國家安全的目的,在此基礎上推出具體領域的安全審查。中國的網絡安全審查的基本依據,無論是《國家安全法》或者是《網絡安全法》,也都基于國家安全的目的對采購網絡產品與服務提出國家安全審查,但二者均未確定具體審查適用的范圍。建議在正在制定中的網絡安全審查規則中,明確列舉網絡安全的審查適用范圍,例如“黨政機關、重點行業的網絡產品和服務采購,以及關鍵信息基礎設施的網絡產品和服務采購,影響或者可能影響國家安全的,適用網絡安全審查”。
四是在網絡安全審查的方式方面,英國與美國采用的市場主體多元參與機制值得借鑒。網絡安全審查不是政府主導的行政審批,而應當是行政性色彩相對淡化、技術性特征明顯的安全風險控制機制。行政資源有限,決定了監管部門難以獨立實現對所有影響國家安全的采購行為,有效實現審查前置全覆蓋,市場主體參與是必然的。同時,被審查者、行業協會、第三方認證機構、信息技術產品與服務提供者都是市場主體,公平與效率將是考驗安全審查制度成敗的重要指標,監管部門要盡可能確保安全指標的確定性,確保審查的公正有效。
五是從網絡安全審查的內容看,英國與美國均持差別化管理的思路,根據實際使用場景或者涉及風險級別確定相應信息技術產品與服務的安全性能要求。當前,中國只是在黨政部門云計算服務領域初步實踐了網絡安全審查,其他領域的安全審查還停留于紙面討論。對黨政部門、重點行業和關鍵信息基礎設施采購的安全審查,要具體落地到相應的領域之中,并根據風險進行分類分級,提出相應的具體審查方法,例如供應鏈安全評估、黑盒測試、源代碼審查等。這不僅需要完善網絡安全審查的具體規則,更需要在政府采購、外商投資等具體領域的政策法律中,增加基于管控國家安全風險的網絡安全審查規則。
六是從政策的變革趨勢看,英美安全審查已不僅是管設備、管技術,數據安全和系統風險才是重點,審查的色彩也越來越淡化,對私營機構的安全引導越發關鍵。例如2014年2月12日美國發布的由國家標準技術研究院(NIST)起草的美國國家信息安全指導規范《提升美國關鍵基礎設施網絡安全的框架規范》,從識別、保護、偵測、響應和恢復五個層面,推出基于生命周期和流程的風險防控體系。[ii]中國的網絡安全審查,作為一個新設的、旨在維護國家安全的非常態網絡安全管理機制,其重心不應是針對具體的產品與服務的安全管理,而是基于網絡空間國家安全風險的預警、發現與處置。
總之,英美的網絡安全審查機制在平衡與國際貿易規則關系、分類分層管控、多方參與及安全檢測等方面,積累了重要經驗。對影響或可能影響國家安全的重要信息技術產品與服務采購,區分采購主體、采購對象、采購領域等維度,適用強制性與推薦性、行政化與市場化、基礎級與增強級、普遍性與特殊化相結合的安全管控機制,是值得借鑒的思路。
(來源:中關村可信計算產業聯盟)
京公網安備 11010502049343號