文/李青

美國(guó)網(wǎng)絡(luò)安全審查制度研究及對(duì)中國(guó)的啟示

文/李青

2014年5月22日，中國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布公告稱(chēng)，為維護(hù)國(guó)家網(wǎng)絡(luò)安全、保障中國(guó)用戶合法利益，中國(guó)將推出網(wǎng)絡(luò)安全審查制度。該項(xiàng)制度規(guī)定，關(guān)系國(guó)家安全和公共利益的系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù)，應(yīng)通過(guò)網(wǎng)絡(luò)安全審查。對(duì)于審查不合格的產(chǎn)品和服務(wù)，將不得在中國(guó)境內(nèi)使用。美國(guó)等發(fā)達(dá)國(guó)家高度關(guān)注網(wǎng)絡(luò)安全，如何防范與信息通信技術(shù)相關(guān)的網(wǎng)絡(luò)安全威脅已經(jīng)成為各國(guó)政策和法規(guī)的重點(diǎn)，紛紛建立了網(wǎng)絡(luò)安全審查制度。我國(guó)應(yīng)借鑒發(fā)達(dá)國(guó)家的經(jīng)驗(yàn)，尤其是美國(guó)的網(wǎng)絡(luò)安全審查制度，構(gòu)建符合我國(guó)國(guó)情的網(wǎng)絡(luò)安全審查制度。

美國(guó)網(wǎng)絡(luò)安全審查制度

美國(guó)網(wǎng)絡(luò)安全審查制度是以保障國(guó)家安全、防范供應(yīng)鏈安全風(fēng)險(xiǎn)為目標(biāo)，同時(shí)建立網(wǎng)絡(luò)安全壁壘，保持美國(guó)的領(lǐng)先性，對(duì)信息通信技術(shù)產(chǎn)品和服務(wù)進(jìn)行全方位、綜合性的安全審查，涉及機(jī)構(gòu)設(shè)置、法規(guī)依據(jù)、運(yùn)作程序、審查范圍和審查標(biāo)準(zhǔn)等方面，逐步形成了嚴(yán)格、全方位、綜合性的供應(yīng)鏈安全審查制度。

（一）成立網(wǎng)絡(luò)安全審查專(zhuān)門(mén)機(jī)構(gòu)

20世紀(jì)80年代，美國(guó)擔(dān)憂外資在美并購(gòu)可能帶來(lái)的安全問(wèn)題，國(guó)會(huì)通過(guò)了《埃克森·弗羅里奧修正案》（Exon-Florio Amendment），由外國(guó)投資委員會(huì)代為審查并向總統(tǒng)提出是否阻止交易的建議。外國(guó)投資委員會(huì)負(fù)責(zé)國(guó)家安全審查工作，對(duì)相關(guān)信息與通信產(chǎn)品或服務(wù)進(jìn)行調(diào)查，并決定是否提請(qǐng)總統(tǒng)審議或采取一定措施；總統(tǒng)享有較大自由裁量權(quán)和最終決定權(quán)，當(dāng)其判斷交易可能危及美國(guó)國(guó)家安全時(shí)，可中斷、禁止這些交易。2007年國(guó)會(huì)通過(guò)《外國(guó)投資與國(guó)家安全法》（FINSA）加強(qiáng)了外國(guó)投資委員會(huì)的審查范圍和力度，要求外國(guó)投資委員會(huì)對(duì)所有“由外國(guó)政府控制或所有的經(jīng)濟(jì)實(shí)體發(fā)起的投資活動(dòng)”進(jìn)行國(guó)家安全審查。在我國(guó)華為、中興等公司的幾次收購(gòu)審查案中，都受到美國(guó)外國(guó)投資委員會(huì)的巨大影響。

外國(guó)投資委員會(huì)隸屬于美國(guó)財(cái)政部，但跨部門(mén)運(yùn)作，其成員由財(cái)政部、司法部、國(guó)土安全部、商務(wù)部、國(guó)防部、能源部和美國(guó)貿(mào)易代表辦公室等九部門(mén)共同組成，必要時(shí)還包括管理和預(yù)算辦公室、經(jīng)濟(jì)顧問(wèn)委員會(huì)、國(guó)家安全委員會(huì)、國(guó)民經(jīng)濟(jì)委員會(huì)和國(guó)土安全委員會(huì)。目前，與美國(guó)外國(guó)投資委員會(huì)配套的還有以下幾個(gè)機(jī)構(gòu)：一是美國(guó)總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施委員會(huì)（PCCIP），定期舉辦會(huì)議，以加強(qiáng)公共和私營(yíng)部門(mén)間在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面的合作關(guān)系，并在必要的時(shí)候向總統(tǒng)提交報(bào)告；二是國(guó)家基礎(chǔ)設(shè)施顧問(wèn)委員會(huì)（NIAC），負(fù)責(zé)提供行業(yè)經(jīng)驗(yàn)和指導(dǎo)，以保護(hù)美國(guó)的關(guān)鍵基礎(chǔ)設(shè)施；三是美國(guó)國(guó)土安全部下設(shè)的信息分析與基礎(chǔ)設(shè)施保護(hù)分部（IAIPD），負(fù)責(zé)統(tǒng)籌領(lǐng)導(dǎo)美國(guó)國(guó)內(nèi)網(wǎng)絡(luò)安全工作，保障政府部門(mén)、金融機(jī)構(gòu)及企業(yè)集團(tuán)等具體的網(wǎng)絡(luò)安全工作，并統(tǒng)一協(xié)調(diào)處理美國(guó)國(guó)內(nèi)非軍事性的網(wǎng)絡(luò)信息安全事務(wù)。之所以如此，是因?yàn)榫W(wǎng)絡(luò)安全本身涉及范圍廣泛，包括國(guó)防、能源、電信、交通、金融、公共衛(wèi)生等部門(mén)的信息基礎(chǔ)設(shè)施安全。

（二）出臺(tái)網(wǎng)絡(luò)安全審查相關(guān)法律法規(guī)

美國(guó)就關(guān)鍵信息基礎(chǔ)設(shè)施安全方面的法律法規(guī)數(shù)量較多，網(wǎng)絡(luò)安全法制建設(shè)一直在完善：

1987年，美國(guó)設(shè)立國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST），制定統(tǒng)一的安全標(biāo)準(zhǔn)，同時(shí)協(xié)調(diào)政府各部門(mén)，對(duì)美國(guó)計(jì)算機(jī)系統(tǒng)制定標(biāo)準(zhǔn)、原則、方法和技術(shù)等做出明確規(guī)定。1988年美國(guó)國(guó)會(huì)通過(guò)的《埃克森·弗羅里奧修正案》，也被稱(chēng)作《外國(guó)投資、國(guó)家安全和核心商業(yè)修訂案》，授權(quán)美國(guó)總統(tǒng)從國(guó)家安全的角度調(diào)查外國(guó)收購(gòu)、兼并、接管或入股美國(guó)企業(yè)，是美國(guó)規(guī)制外資并購(gòu)、保護(hù)國(guó)家安全的基本法。

1993年的《美國(guó)國(guó)家信息基礎(chǔ)設(shè)施：行動(dòng)計(jì)劃》、1994年的《全球信息基礎(chǔ)設(shè)施行動(dòng)計(jì)劃》和1996年的《國(guó)家信息基礎(chǔ)設(shè)施保護(hù)法》，均對(duì)計(jì)算機(jī)犯罪、破壞信息基礎(chǔ)設(shè)施等問(wèn)題做出規(guī)定。1997年通過(guò)了《關(guān)鍵基礎(chǔ)——保護(hù)美國(guó)的基礎(chǔ)設(shè)施》和《國(guó)家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》，1998年通過(guò)了《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》等規(guī)定。2000年《網(wǎng)絡(luò)安全信息法》既指出了網(wǎng)絡(luò)安全的潛在風(fēng)險(xiǎn)，也較全面地規(guī)定了采用數(shù)據(jù)保護(hù)等技術(shù)手段維護(hù)關(guān)鍵基礎(chǔ)設(shè)施安全等問(wèn)題。2001年《信息時(shí)代關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》和2002年《關(guān)鍵基礎(chǔ)設(shè)施信息法》，都對(duì)關(guān)鍵基礎(chǔ)設(shè)施、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃、信息共享和分析組織、保護(hù)系統(tǒng)等基本概念做出規(guī)定。2007年《2007年外國(guó)投資和國(guó)家安全法》確立美國(guó)外國(guó)投資委員會(huì)的結(jié)構(gòu)、任務(wù)、審查程序和職責(zé)等。2008年通過(guò)《?？松し鹆_里奧修正案》的實(shí)施條例，確定了美國(guó)外國(guó)投資委員會(huì)的內(nèi)部協(xié)作機(jī)制。

2009年《網(wǎng)絡(luò)空間政策評(píng)估：保障可信和強(qiáng)健的信息和通信基礎(chǔ)設(shè)施》、2012年《全球供應(yīng)鏈安全國(guó)家戰(zhàn)略》、2013年《關(guān)于提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》、2014年《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的操作框架》和2015年《2015年網(wǎng)絡(luò)安全信息共享法》等為美國(guó)網(wǎng)絡(luò)安全審查制度構(gòu)建了法制基礎(chǔ)。

（三）建立權(quán)威性審查管理機(jī)制

美國(guó)設(shè)立專(zhuān)門(mén)的安全審查機(jī)構(gòu)，規(guī)定了審查程序以及出現(xiàn)危及國(guó)家安全情況時(shí)需要采取的流程和具體的仲裁措施。國(guó)會(huì)授權(quán)美國(guó)總統(tǒng)設(shè)立包括外國(guó)投資委員會(huì)負(fù)責(zé)國(guó)家安全審查工作，外國(guó)投資委員會(huì)是一個(gè)跨部門(mén)組織，對(duì)可能影響美國(guó)國(guó)家安全的外國(guó)投資交易進(jìn)行審查。外國(guó)投資委員會(huì)采取自愿申報(bào)原則，并非必經(jīng)程序。是否需要申報(bào)，完全取決于該交易是否可能影響美國(guó)的國(guó)家安全以及重要基礎(chǔ)設(shè)施，這意味著，一些很小的并購(gòu)交易有可能要進(jìn)行外國(guó)投資委員會(huì)申報(bào)，而不涉及國(guó)家安全或重要基礎(chǔ)設(shè)施的大型并購(gòu)案則無(wú)需申報(bào)。

（四）審查原則

美國(guó)以威脅國(guó)家安全為由，依法進(jìn)行個(gè)案審查。審查依據(jù)主要是《?？松じチ_里奧修正案》和《外國(guó)投資和國(guó)家安全法》，細(xì)節(jié)不完全透明。在審查過(guò)程中，充分發(fā)揮信息安全行業(yè)和專(zhuān)業(yè)測(cè)試機(jī)構(gòu)的力量，憑借經(jīng)濟(jì)和技術(shù)優(yōu)勢(shì)，跟蹤相關(guān)國(guó)家標(biāo)準(zhǔn)化戰(zhàn)略和政策動(dòng)向，控制國(guó)際標(biāo)準(zhǔn)主導(dǎo)權(quán)，確保本國(guó)企業(yè)及其技術(shù)的國(guó)際競(jìng)爭(zhēng)力。

美國(guó)網(wǎng)絡(luò)安全審查標(biāo)準(zhǔn)非常嚴(yán)格，并且審查的機(jī)制和過(guò)程也不公開(kāi)。對(duì)于審查的結(jié)果，不對(duì)外說(shuō)明原因和理由，也不接受申訴。除了對(duì)所需的產(chǎn)品和服務(wù)的安全性能等指標(biāo)進(jìn)行審查外，對(duì)其配套的設(shè)備、相關(guān)的企業(yè)背景、產(chǎn)品的研發(fā)過(guò)程等都嚴(yán)格審查。對(duì)通過(guò)外國(guó)投資委員會(huì)審查的交易，外國(guó)企業(yè)還須與美國(guó)安全部門(mén)簽署安全協(xié)議，在數(shù)據(jù)存儲(chǔ)、公民隱私以及網(wǎng)絡(luò)監(jiān)控等方面必須符合美國(guó)的相關(guān)安全標(biāo)準(zhǔn)。

（五）審查程序

根據(jù)美國(guó)《外國(guó)投資與國(guó)家安全法》，安全審查程序可以由總統(tǒng)或美國(guó)外國(guó)投資委員會(huì)成員啟動(dòng)，也可由交易任意一方向美國(guó)外國(guó)投資委員會(huì)提交書(shū)面通知主動(dòng)申請(qǐng)開(kāi)始。交易方可自愿申報(bào)交易，但若未主動(dòng)申報(bào)，依然可能會(huì)受到美國(guó)外國(guó)投資委員會(huì)審查。整個(gè)審查程序自企業(yè)申報(bào)起，最長(zhǎng)不超過(guò)90天，分為申報(bào)、審查、調(diào)查和總統(tǒng)裁決四個(gè)階段。外國(guó)投資委員會(huì)對(duì)案件的最初審查必須在30日之內(nèi)完成。如果美國(guó)外國(guó)投資委員會(huì)在審查過(guò)程中認(rèn)為該交易不會(huì)對(duì)美國(guó)國(guó)家安全構(gòu)成威脅，則美國(guó)外國(guó)投資委員會(huì)將通知相關(guān)方不予調(diào)查，程序結(jié)束。但若出現(xiàn)下列三種情況之一，則交易要進(jìn)入為期45天的調(diào)查期：一是交易確實(shí)威脅到美國(guó)國(guó)家安全，二是交易由外國(guó)政府控制，三是外國(guó)人擬通過(guò)交易控制美國(guó)關(guān)鍵基礎(chǔ)設(shè)施并且此控制會(huì)威脅美國(guó)國(guó)家安全。調(diào)查結(jié)束后，美國(guó)外國(guó)投資委員會(huì)或與交易雙方協(xié)商有效的緩解措施，或提請(qǐng)總統(tǒng)中止或否決交易。如各成員機(jī)構(gòu)對(duì)該交易的看法無(wú)法達(dá)成一致，美國(guó)外國(guó)投資委員會(huì)主席將會(huì)在向總統(tǒng)的報(bào)告中詳細(xì)闡述各方不同的意見(jiàn)，請(qǐng)總統(tǒng)裁決?？偨y(tǒng)須在15天內(nèi)做出最終決定。只有當(dāng)可靠證據(jù)證明交易可能會(huì)對(duì)美國(guó)國(guó)家安全造成威脅，并且現(xiàn)行其他法律不能為國(guó)家安全提供有效保護(hù)，總統(tǒng)才能暫?；蚍駴Q此交易。允許交易方在審查和調(diào)查期間主動(dòng)撤回申報(bào)，相應(yīng)程序則終止。也允許外國(guó)投資委員會(huì)對(duì)某些已經(jīng)審查結(jié)束的交易進(jìn)行重新審查，前提是交易雙方并未提供有關(guān)交易的重要信息或提供帶有誤導(dǎo)性的信息，或故意重大違反緩解協(xié)議。

（六）美國(guó)網(wǎng)絡(luò)安全審查的主要特點(diǎn)

美國(guó)網(wǎng)絡(luò)安全審查建立了較完備的法律、法規(guī)和制度措施，形成了嚴(yán)格的國(guó)家網(wǎng)絡(luò)安全審查制度，具有以下特點(diǎn)：

1．立法完備

美國(guó)圍繞信息通信技術(shù)產(chǎn)品的采購(gòu)、使用、運(yùn)維、管理，形成了相對(duì)嚴(yán)密的法律法規(guī)，包括主要的法律以及相關(guān)的輔助條款。譬如，《外國(guó)投資與國(guó)家安全法》，一是確立外國(guó)投資委員會(huì)的法律地位，二是外國(guó)投資委員會(huì)成員固定，該法還授權(quán)總統(tǒng)可以加入新成員，三是規(guī)定關(guān)鍵基礎(chǔ)設(shè)施、重要技術(shù)、對(duì)于關(guān)鍵資源和材料的長(zhǎng)期需要、外國(guó)投資者身份，等等，都在審查范圍之內(nèi)。

2．安全審查流程保密

美國(guó)外國(guó)投資委員會(huì)運(yùn)作和審查過(guò)程都缺乏透明度，審查通常包括申報(bào)、初審、調(diào)查和總統(tǒng)決定四個(gè)步驟，其保密的特性使得美國(guó)網(wǎng)絡(luò)安全審查標(biāo)準(zhǔn)、機(jī)制、過(guò)程不公開(kāi)，且其審查沒(méi)有明確的時(shí)間限制，更不解釋審查結(jié)果的原因和理由，不接受申訴；各步驟所能公開(kāi)的信息比較有限。

3．安全審查標(biāo)準(zhǔn)模糊卻嚴(yán)格

由于美國(guó)網(wǎng)絡(luò)安全審查流程的相對(duì)保密性，對(duì)國(guó)家安全定義的相對(duì)寬泛性，對(duì)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域定義的全面覆蓋性，造成審查結(jié)果的裁定空間非常大，這樣對(duì)信息通信產(chǎn)品和服務(wù)乃至相關(guān)產(chǎn)業(yè)的影響力難以評(píng)估。美國(guó)外國(guó)投資委員會(huì)的立法依據(jù)和各項(xiàng)法規(guī)一直未有“國(guó)家安全”的準(zhǔn)確定義，《外國(guó)投資與國(guó)家安全法》擴(kuò)展了國(guó)家安全概念，加入了關(guān)鍵性基礎(chǔ)設(shè)施、關(guān)鍵技術(shù)、國(guó)有資本等內(nèi)容。但回避了對(duì)國(guó)家安全、控制標(biāo)準(zhǔn)等關(guān)鍵性概念的嚴(yán)格界定，賦予美國(guó)外國(guó)投資委員會(huì)充分的自由裁量權(quán)。

4．安全審查結(jié)果具有強(qiáng)制性

美國(guó)對(duì)信息通信技術(shù)產(chǎn)品進(jìn)行統(tǒng)一的安全審查，但在執(zhí)行過(guò)程中，對(duì)涉及外資、外國(guó)政府背景的產(chǎn)品，審查特別嚴(yán)苛。美國(guó)在外資進(jìn)入初期看似無(wú)強(qiáng)制性要求，一旦涉及國(guó)家安全則嚴(yán)格審查，且審查時(shí)間曠日持久或完全不可預(yù)控。一旦外資申請(qǐng)因國(guó)家安全因素被拒絕，即使無(wú)明確的技術(shù)細(xì)節(jié)和取證，也難以更改審查結(jié)果。未通過(guò)安全審查的一律不得進(jìn)入聯(lián)邦政府的采購(gòu)名單。對(duì)于通過(guò)審查的交易，外國(guó)企業(yè)必須與美國(guó)安全部門(mén)簽署安全協(xié)議。

5．網(wǎng)絡(luò)安全審查突出針對(duì)性和目的性

美國(guó)重視對(duì)技術(shù)轉(zhuǎn)移的安全控制，美國(guó)較早采用法規(guī)、管理和技術(shù)等綜合手段，先是防控技術(shù)流出，后是防范技術(shù)滲入。其網(wǎng)絡(luò)安全審查制度旨在保持高科技領(lǐng)域的優(yōu)勢(shì)地位。重點(diǎn)控制外資及信息通信技術(shù)產(chǎn)品進(jìn)入金融、能源、交通等基礎(chǔ)設(shè)施領(lǐng)域，避免因此帶來(lái)安全隱患和漏洞，危及國(guó)家安全。為確保信息通信技術(shù)產(chǎn)品安全，美國(guó)采取了多項(xiàng)措施，包括信息通信技術(shù)產(chǎn)品安全性測(cè)試評(píng)估、進(jìn)口產(chǎn)品安全審查等。同時(shí)，美國(guó)政府機(jī)構(gòu)和各大企業(yè)基本上都只用美國(guó)本土品牌的信息通信技術(shù)產(chǎn)品與服務(wù)，國(guó)外的同類(lèi)產(chǎn)品很難獲得準(zhǔn)入機(jī)會(huì)。

美國(guó)網(wǎng)絡(luò)安全審查制度對(duì)中國(guó)的啟示

雖然美國(guó)的國(guó)家安全審查制度還有不合理、不完善的地方，但畢竟有完整的法律體系，有相對(duì)完善的審查流程，值得深入研究和借鑒。

（一）明確網(wǎng)絡(luò)安全審查的主管部門(mén)

美國(guó)明確了專(zhuān)門(mén)的網(wǎng)絡(luò)安全審查機(jī)構(gòu)，并根據(jù)審查流程進(jìn)行審查管理。我國(guó)也應(yīng)明確網(wǎng)絡(luò)安全審查的主管部門(mén)，制定針對(duì)信息系統(tǒng)的審查流程和審查方法，協(xié)調(diào)國(guó)內(nèi)各政府監(jiān)管部門(mén)，共同做好網(wǎng)絡(luò)安全審查工作。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第三十五條指定“國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)”，但不是專(zhuān)門(mén)審查機(jī)構(gòu)。目前，中國(guó)的網(wǎng)絡(luò)安全審查機(jī)構(gòu)包括：有權(quán)行權(quán)政機(jī)構(gòu)（包括國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)及相關(guān)行業(yè)監(jiān)管部門(mén)）、司法機(jī)構(gòu)（公安、檢察、法院、國(guó)安）和信息服務(wù)提供商。我國(guó)僅將網(wǎng)絡(luò)安全審查作為信息管理的一部分，未建立對(duì)國(guó)外進(jìn)口信息與通訊產(chǎn)品和服務(wù)、企業(yè)兼并等進(jìn)行國(guó)家安全審查的專(zhuān)門(mén)機(jī)構(gòu)，監(jiān)管力度不夠，重機(jī)制、輕管理問(wèn)題突出。需要建立“國(guó)家網(wǎng)絡(luò)安全審查委員會(huì)”，規(guī)定審查程序，既明確日常審查程序，嚴(yán)格、統(tǒng)一、標(biāo)準(zhǔn)化安全審查。

（二）明確相應(yīng)的法律法規(guī)

在網(wǎng)絡(luò)安全審查中，真正做到有法可依、有法必依。法律是制度實(shí)施的根本保證，在網(wǎng)絡(luò)安全審查制度的建立過(guò)程中，要明確所依據(jù)的法律條款，包括主要的法律法規(guī)和相關(guān)的輔助條款，圍繞信息通信技術(shù)產(chǎn)品的采購(gòu)、使用、運(yùn)維和管理，形成一套相對(duì)嚴(yán)密的法律法規(guī)。我國(guó)雖然已經(jīng)在戰(zhàn)略層面重視網(wǎng)絡(luò)安全，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第23條涉及網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品；第31條、第32條和第33條涉及關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，但不是網(wǎng)絡(luò)安全審查的專(zhuān)門(mén)法律，還應(yīng)細(xì)化補(bǔ)充。

（三）確定明晰的審查要求和標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全審查與政府采購(gòu)、認(rèn)證認(rèn)可和技術(shù)進(jìn)出口等相關(guān)法律制度關(guān)系最為密切，可將我國(guó)網(wǎng)絡(luò)安全審查滲透進(jìn)上述立法中。為有效實(shí)現(xiàn)網(wǎng)絡(luò)安全審查的功能，必須保證必要的透明度，因此需要建立相關(guān)的審查標(biāo)準(zhǔn)。例如美國(guó)在《國(guó)家信息保障采購(gòu)政策》中要求所有國(guó)家安全信息系統(tǒng)中采購(gòu)的信息通信技術(shù)產(chǎn)品必須經(jīng)過(guò)評(píng)估和認(rèn)證，滿足互認(rèn)的國(guó)際信息安全技術(shù)評(píng)估通用標(biāo)準(zhǔn)，滿足美國(guó)國(guó)家安全局、美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院和國(guó)家信息保障合作機(jī)構(gòu)的評(píng)估認(rèn)證要求，滿足國(guó)家技術(shù)標(biāo)準(zhǔn)研究聯(lián)邦信息處理標(biāo)準(zhǔn)的認(rèn)證要求，并符合美國(guó)國(guó)家安全局批準(zhǔn)的認(rèn)證流程。這樣既為我國(guó)網(wǎng)絡(luò)安全審查活動(dòng)提供指引，也為企業(yè)遵從提供參考框架。

（四）實(shí)施信息通信技術(shù)供應(yīng)鏈安全審查

美國(guó)政府信息通信技術(shù)采購(gòu)保障的特點(diǎn)是根據(jù)風(fēng)險(xiǎn)來(lái)源不斷適時(shí)調(diào)整和擴(kuò)展審查范圍。隨著信息通信技術(shù)供應(yīng)的全球化，信息通信技術(shù)產(chǎn)品和服務(wù)提供在全球范圍內(nèi)外包，有更多的安全風(fēng)險(xiǎn)滲透渠道。2015年，美國(guó)明確了供應(yīng)鏈審查的具體要求，規(guī)定有關(guān)標(biāo)準(zhǔn)進(jìn)行供應(yīng)鏈風(fēng)險(xiǎn)審查；而我國(guó)網(wǎng)絡(luò)安全審查主要圍繞網(wǎng)絡(luò)信息通信技術(shù)產(chǎn)品和服務(wù)展開(kāi)，應(yīng)延伸到整個(gè)信息通信技術(shù)供應(yīng)鏈。因?yàn)樾畔⑼ㄐ偶夹g(shù)利用的全球化是以供應(yīng)鏈為基礎(chǔ)的，需要對(duì)信息通信技術(shù)供應(yīng)鏈整體進(jìn)行安全審查。

結(jié)論

美國(guó)在網(wǎng)絡(luò)安全審查法律法規(guī)、審查機(jī)構(gòu)、審查機(jī)制、審查程序、審查標(biāo)準(zhǔn)、運(yùn)作程序等方面都做出了成熟的制度設(shè)計(jì)，維護(hù)了美國(guó)的國(guó)家安全和國(guó)家利益。網(wǎng)絡(luò)安全審查制度是網(wǎng)絡(luò)空間治理的頂層設(shè)計(jì)，是確保國(guó)家安全的重要手段。應(yīng)該立足我國(guó)國(guó)情，借鑒美國(guó)網(wǎng)絡(luò)安全審查制度成熟的經(jīng)驗(yàn)，盡快推進(jìn)中國(guó)網(wǎng)絡(luò)安全審查制度建設(shè)和落實(shí)，這是我國(guó)從網(wǎng)絡(luò)大國(guó)走向網(wǎng)絡(luò)強(qiáng)國(guó)的必由之路。

（作者系國(guó)際關(guān)系學(xué)院外語(yǔ)學(xué)院教授；摘自《國(guó)際安全研究》2017年第2期）