英美网络安全审查机制及其启示

　　经历数十年的发展，作为一种贸易对象，网络信息技术产品和服务的采购已经形成相对成熟的规则。针对网络信息技术产品和服务市场化采购的行政干预，须遵循市场规律，遵守贸易规则，尤其是在当前数字经济快速崛起、经济全球化和贸易一体化不断深化的背景下。与此同时，鉴于网络信息技术产品和服务的复杂多元与快速迭代，以及基础网络和重要信息系统保密性、完整性和可用性对国家安全的重要影响，必要的网络安全管控措施又显得不可或缺。因此，科学地划定网络空间市场自律与安全监管的法律边界非常重要。

　　依据WTO的“安全例外”原则或可以解释网络空间的安全管控，但是作为对反歧视等原则的突破，该原则适用往往受到严格限制。当前，中国法律已原则性地提出信息技术产品和服务的国家安全审查，为了确保这种网络空间的国家安全审查机制可以与国际贸易规则相符合，符合国际惯例，考察美国、英国等信息技术产品和服务贸易发达国家与之相关的网络安全制度，分析相应的管控机制对象、范围和内容，就显得尤为必要。

　　一、 网络安全审查的概念

　　“网络安全审查”是一个具有中国特色的表达。从法律渊源分析其内涵，首先网络安全审查制度是国家安全审查和监管的基本内容。根据《国家安全法》第五十九条，我国的国家安全审查和监管的制度和机制，主要可以分为四类，一是对影响或者可能影响国家安全的外商投资审查，主要是商务部负责的外商投资并购审查;二是特定物项和关键技术的审查，例如密码产品的审查;三是网络信息技术产品和服务的审查;四是涉及国家安全事项的建设项目，以及其他重大事项和活动的审查。

　　其次，网络安全审查主要是指对关键信息基础设施以及党政机关、重点行业采购使用的重要信息技术产品和服务的审查。《网络安全法》第三十五条提出“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。国家互联网信息办公室发布的《国家网络空间安全战略》要求建立实施“网络安全审查制度”，包括“加强供应链安全管理，对党政机关、重点行业采购使用的重要信息技术产品和服务开展安全审查，提高产品和服务的安全性和可控性，防止产品服务提供者和其他组织利用信息技术优势实施不正当竞争或损害用户利益”。

　　虽然由于法律等国情差异，在美国和英国的政策文件中没有与“网络安全审查”(cyber security review)直接对应的概念，毕竟“网络审查”、“安全审查”等在西方国家也属于与自由、人权、贸易等相关的敏感词汇。但没有“网络安全审查”这样一种说辞，并不意味着不存在针对国家“网络安全”问题的“审查”性机制，许多西方国家通过法律、政策或标准等多元方式，在政府采购等国家安全相关领域，对信息技术产品和服务的采购采取安全测评、评估、认证。这些前置机制，实质上构成了信息技术产品和服务进入国家安全相关领域的市场准入门槛，与我国信息技术产品和服务的安全审查制度有共通之处，为便于比较研究，因此本文暂冠以“网络安全审查”。

　　需要明确的是，英美等国在特定领域实行的“网络安全审查”机制有严格限定，反对在商业领域滥用安全例外。WTO《服务贸易总协定》第14条规定：“本协定不得解释为阻止成员方采用或施行它所认为保护公共道德或维持公共秩序的措施”，但脚注同时明确该例外“仅在社会根本利益受至真正的、重大的、严重的威胁时才可援引”。例如，在中国实施信息安全等级保护制度时，要求第三级以上信息系统采购本国生产的自主信息安全产品，美国就曾提出反对，并认为根据WTO国家安全例外，中国实施的任何强制性要求只能适用于军队和涉密信息系统，而重点行业属于商用系统，不能认定是国家安全范畴。

　　二、 美国对网络技术产品与服务的安全审查

　　(一)基本内容

　　美国对信息技术产品和服务的安全审查，从管理机制角度，主要可以区分为采购部门管理规范体系和职能部门管理规范体系两个方面。

　　采购部门管理规范体系的核心，是《联邦采购条例》(Federal Acquisition Regulation)，其明确而详尽地规定了联邦政府的采购计划、采购方式、合同类型、采购合同管理、采购合同条款及合同格式等内容。一些特殊部门内部规定了符合部门特殊要求的专项措施，鉴于美国既有联邦政府又有州政府，政府机关内部又细致划分权限，因此，职能部门管理体系就显得更加庞杂。

　　(二)采购部门的网络安全审查

　　美国在国家安全系统采购、联邦政府采购，以及国防系统和合同商采购领域引入对信息技术产品和服务的安全审查。

　　1. “国家安全系统”采购的网络安全审查措施

　　美国“国家安全系统”的定义和范围十分明确。针对国家安全系统的网络安全审查措施有着严格的标准和规定。

　　1994年，美国联邦政府发布《国家安全通信和信息系统认证认可政策》，要求所有联邦政府机构对其控制和运行的国家安全系统建立和实施强制性认证认可，所建立的认证认可制度应当能够有效保证国家安全系统中的信息处理、存储和传输的保密性、完整性和可用性。2000年，国家信息保障认证认可流程(NIACAP)逐步建立成型。

　　根据美国国家安全通信和信息系统委员会(NSTISSC)2000年发布的《国家信息安全采购政策》(National Information Assurance Acquisition Policy)相关规定，自2002年7月1日起，所有国家安全系统采购的IT产品必须评估和认证，满足由国家安全局(NSA)、国家技术标准研究院(NIST)共同组成的国家信息保障联盟(NIAP)的评估认证体系(CCEVS)的评估认证。NIAP安全审查的范围包括所有政府部门采购、用在国家安全系统中的、商业现货信息安全产品(防火墙、入侵检测)或信息安全相关产品(如操作系统、数据库系统)，主要审查依据为《信息技术安全性通用评估准则》(CC)和信息系统安全保护轮廓(PP)。与此同时，NIAP定期公开相关部门采购清单中通过认证的产品。

　　2009年，国家安全系统委员会发布第1253号指令，将NIST发布的《保护联邦信息和信息系统的安全控制措施和技术指南》(SP800-53)作为国家安全系统信息安全控制的通用标准。SP800-53在2009年的修订中，增加了供应链保护的安全控制要求，建议政府机构在与供应商签订信息技术采购合同之前，对供应商进行尽职审查。

　　此外，部分用于支持国家安全系统的采购，也要遵循国家安全系统采购的规定。《总务署采购手册》第507条第70款规定，虽然总务署的任务不包括直接采购武器系统，但总务署活动可能包括武器系统的支持技术和配套服务，这应当被视为国家安全系统的一部分，适用国家安全系统相应安全等级的要求。

　　2. 非“国家安全系统”采购的网络安全审查措施

　　与国家安全系统相关采购相对应的，便是非国家安全系统的网络信息技术采购。

　　一是各联邦机构在采购信息技术设备前，要确保信息技术采购符合美国行政管理和预算办公室(Office of Management and Budget，以下简称“OMB”)发布的《A-130通知》(Circular A-130)规定的信息资源安全、国家安全、隐私保护、突发事件应急准备等具体要求;

　　二是采购财务管理系统要符合OMB发布的《A-127通知》(Circular A-127)的要求，核心财务软件必须预先通过“联合财务管理改进项目”的认证;三是联邦机构采购信息技术产品，应当符合信息技术安全的政策法规，采购通过NIST认证的产品，产品列表详见见NIST官方网站(http://checklists.nist.gov)的国家清单计划(National Checklist Program, NCP)[ii]中的信息安全保障清单一栏;四是采购的信息产品包含互联网协议(Internet Protocol)的，该协议应当通过NIST的USGv6测试。

　　与此同时，作为《联邦采购条例》的配套规范性文件，《总务署采购手册》第539部分规定，负责采购信息技术的联邦雇员，应当具备与采购信息技术产品和服务安全等级相当的水平。项目负责人应当确保招标文件符合信息安全要求，并且信息安全要求必须足够详细，使得供应商充分理解信息安全规定、任务和需求，保证供应商能够履行合同或任务。

　　3. 网络安全审查的特殊措施

　　无论是国家安全系统的网络安全审查，还是非国家安全系统的网络安全审查，其一般措施都是针对网络信息技术产品和服务的，但是，在某些特殊的情况下，美国采购部门的网络安全审查直接覆盖到供应链阶段。其中，比较有特色的措施有两个：一是国防部的供应链审查;二是明确禁止采购触及的供应链。

　　(1)国防系统的供应链安全审查

　　《2011年国防授权法案》第806节授权国防部，在国家安全系统采购中，排除存在重大供应链风险的合同商。其对该风险描述为：“攻击者可能破坏、恶意引入不必要的功能，或者破坏设计、完整性、制造、生产、销售、安装、操作，或者控制整个系统以监控、拒绝服务、中止服务，或者弱化系统的功能、使用或者操作。”

　　为此，美国国防部发布了第2012-D050号《国防联邦采购补充条例》，要求国防部在采购信息技术时，必须将“供应链风险”作为选择合同商的评估重点。

　　(2)禁购性来源的安全审查

　　FAR第25部分第7节“禁止来源”明确禁止联邦机构与特定国家、单位和个人进行交易。因此，这些国家、单位和个人的信息技术产品和服务，也就无法通过美国联邦政府采购的审查。

　　此外，也有规范和中国相关。《2013年合同与持续拨款法》及《2014年合同与持续拨款法》均对美国商务部、司法部、国家宇航局和国家科学基金会四家联邦机构，采购中国信息技术系统进行限制，具体表述为“联邦机构负责人与联邦调查局或其他适当机构”对“中国拥有、管理或资助的一个或多个机构所生产、制造或组装的信息系统有关的任何风险”进行“网络间谍或破坏行为”进行风险评估，除非评估认为“该系统采购符合美国的国家利益”，否则“不得采购”。

　　(三)职能部门的网络安全审查

　　如果说政府采购的限定性规范属于直接审查措施的话，那么职能部门则是通过明确联邦机构的安全责任和联邦信息系统的安全标准，间接地进行了网络安全审查。

　　这种间接审查的主要措施有两种：一是联邦政府业务系统安全检查制度，二是近年来兴起的云计算服务安全评估。

　　1. 联邦政府业务系统安全检查制度

　　2002年《联邦信息安全管理法》(Federal Information Security Management Act，以下简称“FISMA”)明确了联邦机构的信息安全管理责任。第3544节(a)(1)(A)(ii)规定的责任主体范围包括“机构、机构的承包商、机构的代理组织使用或运维信息系统”，以确保联邦政府层面信息系统和数据的安全。为实现法律的落地，FISMA 指定NIST开发政府信息安全的标准和指南。NIST随后颁布FIPS 199标准和FIPS 200标准。前者对联邦信息和信息系统进行高、中、低级分类，建立了安全保护的通用框架;后者明确了联邦信息和信息系统的最低安全要求，并要求联邦机构使用安全控制措施，符合SP800-53的要求。

　　以NIST为首，针对FISMA的技术安全问题提出了信息安全自控计划(Information Security Automation Program)，并由此延伸出安全内容自控协定(Security Content Automation Protocol, SCAP)框架，该框架由CVE、CCE、CPE、XCCDF、OVAL、CVSS等6个支撑标准构成(检查的标准，一致性标准等)。这6个支撑标准需要检查的内容、检查的方式由国家漏洞数据库(National Vulnerability Database, NVD)和国家清单计划(NCP)提供，由此SCAP框架就实现了标准化和自动化安全检查，及形成了一套针对系统的安全检查基线。

　　SCAP及安全基线的最重要成果和成功案例当属联邦桌面的核心配置(Federal Desktop Core Configuration, FDCC)项目。该项目是在美国政府支持下建立的桌面系统(Windows XP、Windows vista等)相关安全基线要求规范，并通过自动化的工具进行检查。FDCC基于NVD、NCP等内容进行基线安全核查。NVD为自动化漏洞管理、安全评估和合规性检查提供数据支撑，包含安全核查名单、与安全相关的软件漏洞、配置错误以及量化影响等。NVD数据库针对数据库中的漏洞等提出了一整套核查名单(Checklist)，划归到NCP计划中。

　　概而言之，标准化和自动化是FISMA下联邦信息系统安全检查的最重要的特征。

　　2. 云计算服务安全评估

　　2011年，OMB发布首席信息官备忘录《云计算环境信息系统安全授权》，阐述了联邦风险和授权管理计划(FedRAMP)。根据FISMA和FedRAMP，美国国防部、国土安全部、总务署三方派出代表组成“联合授权委员会”(JAB)，牵头负责制定云服务安全基线要求、批准第三方机构认定标准、对云计算服务进行初始授权等工作。

　　FedRAMP规定的云服务安全基线，是在通用安全要求NIST SP 800-53《保护联邦信息和信息系统的安全控制措施和技术指南》的基础上，针对低级、中级的云，选取适合于云的服务的部分内容，修改形成了云计算服务安全基线要求。FedRAMP不建议联邦机构将高安全等级需求的业务和数据迁移到云上。

　　FedRAMP 的评估审查流程是，有意向为联邦政府机构提供云计算服务的云服务商向管理办公室提交审查申请，由受联合授权委员会认可的第三方评估机构根据云服务安全要求进行测评，联合授权委员会参照测评结果对云服务商进行综合风险评估，并作出决定。联合授权委员会对通过评估的云计算服务给予初始授权，各联邦政府部门均可在初始授权名单里根据自身需求选择云计算服务。由于各部门可共享安全评估与审查结果，从而避免了重复评估和审查。这实际上是一种“白名单”机制。

　　联邦政府及各部门采购商业和非商业化云服务，需要预先通过安全评估、授权以及运行前审批。亚马逊的美国政务云服务即通过了联邦风险和授权管理计划(FedRAMP)的认证，并在其官网公开承诺其物理服务器分布在美国境内，只有美国公民可以访问[iii]。云计算服务评估遵循“一次审查、多次使用原则”，以避免多个政府部门对同一云服务商重复审查，扶持和促进云计算服务产业的发展。

　　三、 英国对网络技术产品与服务的安全审查

　　(一)基本内容

　　虽然英国信息技术产品和服务也属于隶属财政部的政府采购办公室强制集中采购范畴，但英国政府采购办公室更偏向于采购制度本身的管理，而非技术性要求。英国政府采购信息技术产品和服务，主要决定权在政府通信总部(Government Communications Headquarters, GCHQ)下设的电子信息安全小组(Communications-Electronics Security Group，以下简称“CESG”)。因此，英国的网络安全审查的核心规范，基本出自CESG。

　　这一规范体系，主要由两大部分构成：指导性规范(Guidances)和服务性规范(Services)。

　　属于指导性规范的主要有：《数字服务的安全设计原则指南》(Security Design Principles for Digital Services)，其目的是防御针对政府系统的数字攻击，核心关注是公共服务，但是，其所涉及的领域还包括财政和基础设施建设;《公务级网络加密指南》(Network Encryption at Official)，当公务机关使用或接入信任级别较低的网络之时，通过专业加密的方式，保护信息安全;《默认安全：白名单》(Secure by Default - white papers)，列出了安全的平台及其渠道来源，并且每天都会进行相关的审查和更新。

　　属于服务性规范种类繁杂。第一，咨询规范，CESG下设网络安全鉴定咨询顾问(CESG Certified Cyber Security Consultancy)和网络鉴定专员(CESG Certified Professional, CCP)，为信息的安全提供咨询服务，相关的运行依照内部规范进行。

　　第二，政府通信总部鉴定培训(GCHQ Certified Training, GCT)规范，分为两个层级，一是硕士学位培训，一是专业学习安排。

　　第三，保护服务规范，包括商业产品认证(Commercial Product Assurance，以下简称“CPA”)、辅助产品服务(CESG Assisted Products Service，以下简称“CAPS”)、通用标准(Common Criteria，以下简称“CC”)、商品信息认证(Commodity Information Assurance Services)、防信息泄露技术和电磁安全(TEMPEST and Electromagnetic Security)等。以及其他相关规范，比如安全检测规范等。

　　(二)新分级制下的安全审查

　　英国曾经按照保护级、限制级、保密级、秘密级和绝密级对信息进行了五级分类，实施了复杂的信息技术产品和服务采购的审查体系。然而随着信息技术的不断发展，纸质文件和传统办公环境已被颠覆，5级信息分类不再适应当前数据为中心的现代工作环境，过于复杂分类带来了信息系统的管理难题，因此，2014年4月，英国正式改用信息的三级安全分级：公务级(Official)、秘密级(Secret)和绝密级(Top Secret)，并在此基础上重构了英国信息技术产品和服务的安全审查。因此，英国网络安全审查的规范措施，以2014年后的新分级为准。

　　1. 基础级认证

　　涉及公务级信息的需要通过商业产品认证(CPA)取得基础级(Foundation)证书。

　　根据CESG的数据，公务级信息占政府信息总量的80%以上，主要为公共部门所产生，其一旦丢失、被窃或公布在媒体上，将会造成一定后果但不会有明显危害。对公务级信息，CESG所规定的CPA主要采用黑盒测试(Black Box)的方式，接受认证的厂商无需担心其商业敏感信息被获取，主要为商务现货供应(COTS)的软硬件产品所采用。

　　基础级信息安全产品和服务的认证的主要流程是，厂商首选根据产品的类别选择接受认证的类别，并自主选择一家CESG认可的测试机构;测试机构产出推荐报告后直接提交给CESG;CESG根据测试机构的报告，确认是否适合参加认证;测试机构根据CESG认可，对产品进行黑盒测试等审查，并产出概要报告递交CESG;CESG对最终报告进行审查，符合条件的授予基础级证书。

　　2. 高级认证

　　涉及秘密级和绝密级的适用辅助产品服务(CAPS)认证，获得高级(High Grade)证书。主要应用于政府现货供应(GOTS)的软硬件产品。

　　GOTS产品的全生命周期均将受到政府的控制。CESG通过设立专门的客户经理(CAMs)团队实施非公开的管控，主要区分中央政府、健康、工业、执法、地方政府和国防等六种类型。在参加CAPS认证之前，相关厂商还必须获得一个英国政府支持方(HMG Sponsor)，即某英国政府部门书面授权其开发相关产品。并且，该厂商必须在英国有正在运营中的商业实体，提供安全场所，在英国政府登记在案的安全位置(List X)，相关工作人员也应当通过“高度审查”(Developed Vetting)，即类似公务员的全面安全审查。

　　CAPS采用源代码审查方式，以确保安全。根据CESG网站的介绍，源代码审查是通过彻底和不受限制地审查设计文档、源代码、电路图、物理布局等通常被视为公司机密的信息，CESG要求受审查产品在指定场所被不受限制的访问。特别注意的是，这一审查要求同样适用于产品中使用的第三方知识产权内容。

　　(三)技术服务型的安全审查

　　除严格实行新分级制下的安全审查机制，CESG还为政府与公共部门提供技术服务型的安全审查。

　　1. 政府和公共部门的安全检查

　　CESG为政府和公共部门提供的安全检查方案(CHECK Scheme)，主要使用渗透测试的方法。

　　只要是英国政府用于处理公务级信息、秘密级信息的网络信息系统，都将定期实施安全检查。其中处理秘密级信息的系统，实施安全检查还需事先征得CESG的同意。

　　CESG同时强烈建议其他公共部门在处理标识为“敏感”的公务级信息时，也要实施安全检查。而当其他公共部门认为其秘密级和绝密级信息的系统有必要进行安全检查的时候，相关机构需要与和它直接对应的CESG客户经理进行沟通，以便进行相关检查。

　　2. 政府和公共部门的安全评估

　　CESG为英国政府、国防部、关键国家基础设施(CNI)及公共部门提供定制化的安全评估服务。评估服务的范围涵盖相关信息技术系统、产品和服务。

　　在相关系统、产品和服务部署之前，认证机构可提出具体的需求，由CTAS评估机构进行初评。CESG根据初评得出最终的评估报告。而后，认证机构根据评估报告，对相关系统、产品和服务的安全风险作最终的判断。

　　评估机构、CESG及其他利益相关方需要一致同意具体的评估范围、技术方法，审查CTAS评估报告涉及的活动记录和结果文档。

　　鉴于社会评估机构的存在，与安全检查相比，安全评估机制中，CESG的技术支持只是阶段性的，而非全面性。

　　3. 创新或复杂安全功能的技术设计审查

　　私营或公共部门向政府提供信息通信技术((Information Communications Technology, ICT)服务时，一旦解决方案包含创新或复杂的安全功能，且不在当前政府信息安全相关指南中，则需要向CESG申请技术设计审查(IA Technical Design Review)。

　　技术设计审查的主要组织形式是设计审查会议，申请者需要取得政府支持方的书面同意，完成设计审查问卷，并至少提前五天将相关文件提交参与设计审查会议的各方。

　　与安全检查和安全评估相比，技术设计审查中的CESG是一种被动的姿态，而非主动的姿态。此时，初步审查来自于政府本身或提供信息通信技术的部门，因为它们作为设计的使用者或提供者，是最关心创新性和应用指南的。

四、 英美网络安全审查机制的异同

　　美国和英国的网络安全审查机制既有共性，也有特色。前者基本勾勒了网络安全审查规范体系得以稳定运行的原则，而后者为不同国家、不同时期的网络安全审查机制提供了多样性的借鉴。

　　(一)英美网络安全审查机制的差异

　　美国的信息技术和产品占据着国际市场的主流，而英国本土缺乏有实力的信息技术企业，政府采购信息技术产品多数需要从国外引进，自主安全保障能力相对较弱。网络安全环境的不同，导致二者的网络安全审查机制有着不同的面向。

　　1. 不同的路径选择

　　美国拥有非常发达国内网络安全市场，信息技术产品和服务的研发领先于全球，自主安全保障能力充分，甚至担当着全球IT“供应商”角色;同时，政府IT及相关设备采购规模庞大。因此美国对网络信息技术产品和服务开展的相关安全审查，既包括对信息技术产品与服务安全性能的各种评估要求，还包括供应链安全审查，即对产品和服务的来源进行审查，甚至可以排除特定供应链来源。某种程度上，这既可以保障其国家网络安全，也能通过政府采购拉动其国内信息技术产品与服务产业的发展。

　　英国没有美国这样的IT技术优势，本土产业规模相对有限，不可避免地要使用其他国家企业的网络信息技术产品和服务，供应链更为复杂。因此，英国的网络安全审查机制，并没有体系化的政府采购信息技术产品与服务的安全性能要求，也没有专门的供应链审查机制，而是采用相对市场化的评估机制，包括深层次的“源代码”审查测试，检测相关产品或服务是否存在安全缺陷或漏洞。

　　2. 不同的顶层设计

　　美国和英国安全审查的顶层设计截然不同。美国围绕联邦政府采购政策办公室(Office of Federal Procurement Policy，以下简称“OFPP”)与相关部门，形成了机构分工明确的安全审查机制。而英国则以CESG为中心，形成相对精简且市场化的安全审查机制。

　　OFPP隶属OMB，其与联邦总务署、国防部、航空航天局等部门共同拟定FAR，用以指导和督促各政府机构依法采购。OFPP的行政长官由总统任命并经参议院确认，代表总统参与政府采购有关的政策、程序等立法工作。该机构在本质上并非一个专门的网络安全审查机构，其只是承担美国网络安全审查规范体系的核心规范的确立工作。美国国家技术标准研究院和国家安全系统委员会的情况也与之类似，并非专门的网络安全审查机构。

　　与之形成鲜明对比，CESG是专门的网络安全审查机构，是英国国家信息安全技术保障的权威，在政府信息安全工作方面有决定性发言权。CESG 负责整个信息安全认证体系的设计、标准的发布。具体审查认证工作是由CESG认可的专业商业机构负责，例如CGI、Context Information Security、Info Assure Ltd等，CESG在具体审查方面只进行复核确认并签署具有效力的认证证明。英国政府明确将CESG打造为专门的网络安全部门，以其为主体框架，成立新一代英国国家网络安全中心(National Cyber Security Centre, NCSC)，保护公众、私营部门、公共部门以及核心国家设施的线上安全。

　　3. 不同的规则体系

　　差异化的顶层设计之下，是美国和英国两国迥异的安全审查规则体系。美国的网络安全审查规范体系完整而分明，从联邦法律、部门规则到具体标准，均有覆盖，且保持紧凑的更新频度。更深层的原因在于，美国已在政府采购及国家安全领域形成完整的制度架构，网络安全审查机制仅是作为其中的一个相对特殊的领域。

　　英国网络安全审查规则，基本上由CESG发布的规范性文件为主，相对独立于政府采购、国家安全相关的规则。并且CESG的上位机关，GCHQ是英国的情报机构和国家安全负责部门，向外交大臣负责，和英国安全局(MI5)、秘密情报局(MI6)一同受到联合情报委员会(JIC)的领导，因此其采用的审查手段更偏重于技术检测与控制，而非法律规范与标准指导。

　　(二)英美网络安全审查机制的共性

　　尽管美国和英国两套网络安全审查机制存在很大差异，但这并不妨碍它们之间的共性，并且二者深层次的共通之处，值得深思与借鉴。

　　1. 相似的审查对象

　　英美网络安全审查对象，主要聚焦与国家安全相关的信息技术产品与服务。网络安全的主动审查主要集中于政府和公共部门的信息系统、国家安全系统和国防军事信息系统等影响或者可能影响国家安全的领域。其中，直接影响国家安全的国家安全系统和国防军事信息系统会采取更为严格的审查标准。在美国，国家安全系统和国防系统的采购有专项规定，而在英国，则利用高级认证加以确认。

　　一般民用领域，美国与英国没有普遍使用的强制性、主动网络安全审查，但一旦涉及国家安全，仍可能接受国家安全审查。例如美国外国投资委员会(CFIUS)会根据外国投资者申请，被动地进行外资并购国家安全审查。这样的审查机制不在前述典型范围，但其中也涉及涉及网络安全要素，相关安全协议(mitigation agreement)通常会包括：确保只有受过审查的员工负责特定技术和信息，担任关键职位;建立公司安全委员会、经美国政府(CFIUS)批准的安全官或其他机制，履行安全政策、年度报告和独立审计等职能;发布专门指南和条款约定，处理现有或将来可能涉及的美国政府采购合同、美国政府客户信息或其他敏感信息等。英国的技术服务型安全审查也是类似被动发起审查的机制。反过来看，民用领域网络安全审查的一个重要特点是，以被动式审查为主，在产品和服务与国家安全相关联时，才被发起。

　　2. 相近的审查策略

　　英美网络安全审查措施多种多样，审查策略却大体相当。一种策略是直接审查与间接审查相结合。政府在进行采购之时，既直接提出信息技术产品与服务的安全性能要求，明确需要达到的水平，同时也存在对政府机构使用信息系统安全能力提出要求，间接影响信息技术产品与服务，这就构成了一种间接审查。政府既可以直接明确安全技术采购的标准，也可以用相对模糊的安全评估甚至不公开的安全协议替代，避免内部安全口径或者安全倾向暴露。间接审查的存在，甚至可以使得特定国家、主体的信息技术产品与服务处于隐性的不利地位，但又不触及贸易规则。

　　还有一种策略，则是坚持分类管理。在美国，国家安全系统和非国家安全系统就是两类截然不同的类型，在英国也存在公务级和秘密级、绝密级的划分，不同类别安全性能要求，使得网络信息技术产品和服务接受不同的检验标准进行审查。

　　3. 保证重要数据安全

　　保证信息技术产品与服务的安全，核心是保护其承载的数据安全。网络安全审查某种程度上也可以被理解为对重要数据的载体进行安全审查。实际上美国和英国对于网络信息技术系统的安全，已经从管设备、管技术，转向管数据。

　　英国的网络安全审查机制是建立在对信息等级区分的基础上的，其对重要数据安全的重视程度无需赘述。美国的网络安全审查机制最初是以政府采购为主，而政府采购更多地指向产品和服务，而非数据本身。不过，进入21世纪，美国陆续通过《信息质量法》(Information Quality Act, IQA)[ii]、《联邦信息安全管理法》((FISMA)等法律的通过，将网络安全保护的核心定位为信息安全，强制推行联邦信息处理标准。

　　4. 搭建社会共治平台

　　网络安全审查涉及的领域广、主体多、对象复杂，相关技术演进速度也非常快，对此美国和英国都重视引入市场机制实现网络安全审查，表现在：

　　一是是尊重市场选择。美国和英国针对商业产品和服务的安全审查，只是局限于政府采购领域，商业机构可以自主选择是否加入政府采购，且加入政府采购也不影响商业机构的其他市场销售行为。

　　二是培育第三方认证机构。美国和英国政府在牢牢把握标准制定权和最终评价权的同时，将中间具体认证监测评估环节交由经有关部门认可的商业化第三方认证机构完成，以此提高效率，确保公平公正。政府采购供应商能够在政府提供的目录中，自主选择评估机构，通过市场机制实现评估机构的优胜劣汰。

　　三是形成多元主体共治机制。网络安全审查并不是政府的单方行为，美国和英国都通过指南或标准引导、财政项目支持和网络安全信息共享的方式，引导私营组织参与国家基础网络与重要信息系统的安全保护工作。并且，在网络信息技术日新月异的现阶段，对安全市场服务和自身业务安全存在天然利益诉求的美英两国的互联网企业、第三方认证机构等私营部门对安全风险管控和安全技术升级更有动力。

　　五、 英美网络安全审查机制的启示

　　无论是从网络大国走向网络强国，还是全面推进“互联网+”，中国都将面对更加严峻的网络安全形势，需要克服更多、更频繁的网络安全风险。现阶段，推进网络安全审查制度建设确有必要。但与此同时，作为一项可能涉及国际贸易规则、影响市场资源配置的制度，我们也需要更加审慎，特别是现有政策法律显示，中国的网络安全审查是以关键信息基础设施保护、党政部门和重点行业安全为逻辑起点而展开的，与西方国家基于政府采购、政府信息安全、政府控制的信息系统安全性而开展安全审查存在重要差异。如何通过具体的安全审查规则，将审查目的与审查手段与WTO安全例外原则挂钩，确保维护国家安全的大方向不偏离，考验着立法者与监管部门。

　　当前，监管部门已经认识到网络安全审查“不能仅停留在规则层面，还要有自己的手段和机制。加强网络安全审查，就是要督促监督信息产品服务提供者公平、公正、透明地为用户提供服务和产品”。[i]英美的网络安全审查机制的设计，基本实现了规则公开、手段适当与制度健全，借鉴其制度设计，进一步完善中国的网络安全审查机制，健全配套制度，也能够打消某些抵触与担忧。可能的借鉴包括：

　　一是在网络安全审查的顶层设计方面，美国与英国在进行网络安全审查时，均明确专门负责机构。《网络安全法》并没有明确专门的负责机构，这需要有关部门在制定具体网络安全审查办法时，明确牵头部门与跨部门协调机制。例如，作为关键信息基础设施安全保护的基础制度，网络安全审查应当与关键信息基础设施保护制度相衔接，理顺关键信息基础设施的行业主管部门与网络安全审查牵头部门与专门负责机构机构的关系，明确协调机制与相应分工。

　　二是在网络安全审查的机制方面，考虑到《国家网络空间安全战略》提出的基础信息网络、重要信息系统、重要互联网应用三类范围的关键信息基础设施，以及党政部门与重点行业，直接包含有许多商业机构，采购的信息技术产品与服务更是来源于商业机构，为避免过度干预市场，中国的网络安全审查机制需要注意避免对这些市场主体适用强制性或者主动审查。要注重利用市场机制，采用鼓励而非强制的方式，通过政府采购、示范项目、行业自律等形式引导这些商业机构参与安全审查，主动维护国家安全。

　　三是在网络安全审查的适用方面，英国与美国的安全审查机制均突出确保国家安全的目的，在此基础上推出具体领域的安全审查。中国的网络安全审查的基本依据，无论是《国家安全法》或者是《网络安全法》，也都基于国家安全的目的对采购网络产品与服务提出国家安全审查，但二者均未确定具体审查适用的范围。建议在正在制定中的网络安全审查规则中，明确列举网络安全的审查适用范围，例如“党政机关、重点行业的网络产品和服务采购，以及关键信息基础设施的网络产品和服务采购，影响或者可能影响国家安全的，适用网络安全审查”。

　　四是在网络安全审查的方式方面，英国与美国采用的市场主体多元参与机制值得借鉴。网络安全审查不是政府主导的行政审批，而应当是行政性色彩相对淡化、技术性特征明显的安全风险控制机制。行政资源有限，决定了监管部门难以独立实现对所有影响国家安全的采购行为，有效实现审查前置全覆盖，市场主体参与是必然的。同时，被审查者、行业协会、第三方认证机构、信息技术产品与服务提供者都是市场主体，公平与效率将是考验安全审查制度成败的重要指标，监管部门要尽可能确保安全指标的确定性，确保审查的公正有效。

　　五是从网络安全审查的内容看，英国与美国均持差别化管理的思路，根据实际使用场景或者涉及风险级别确定相应信息技术产品与服务的安全性能要求。当前，中国只是在党政部门云计算服务领域初步实践了网络安全审查，其他领域的安全审查还停留于纸面讨论。对党政部门、重点行业和关键信息基础设施采购的安全审查，要具体落地到相应的领域之中，并根据风险进行分类分级，提出相应的具体审查方法，例如供应链安全评估、黑盒测试、源代码审查等。这不仅需要完善网络安全审查的具体规则，更需要在政府采购、外商投资等具体领域的政策法律中，增加基于管控国家安全风险的网络安全审查规则。

　　六是从政策的变革趋势看，英美安全审查已不仅是管设备、管技术，数据安全和系统风险才是重点，审查的色彩也越来越淡化，对私营机构的安全引导越发关键。例如2014年2月12日美国发布的由国家标准技术研究院(NIST)起草的美国国家信息安全指导规范《提升美国关键基础设施网络安全的框架规范》，从识别、保护、侦测、响应和恢复五个层面，推出基于生命周期和流程的风险防控体系。[ii]中国的网络安全审查，作为一个新设的、旨在维护国家安全的非常态网络安全管理机制，其重心不应是针对具体的产品与服务的安全管理，而是基于网络空间国家安全风险的预警、发现与处置。

　　总之，英美的网络安全审查机制在平衡与国际贸易规则关系、分类分层管控、多方参与及安全检测等方面，积累了重要经验。对影响或可能影响国家安全的重要信息技术产品与服务采购，区分采购主体、采购对象、采购领域等维度，适用强制性与推荐性、行政化与市场化、基础级与增强级、普遍性与特殊化相结合的安全管控机制，是值得借鉴的思路。