在IT 采购全球化的态势下,IT 供应链安全与国家安全的关系愈发密切,通过IT 产品进口安全审查、IT 产品安全性测试评估、外资国家安全审查等措施确保IT 供应链安全已经成为各国普遍采用的管制手段。但现实发生的案例使国家安全审查与政治审查的关系变得模糊不清,严重扭曲了IT 国际供应链安全的国家管控体制。IT 供应链国家安全审查应当秉持必要的基本理性,避免滥用国家安全审查阻碍贸易自由,防止盲目排外与充斥“不信任”的国家安全审查阻断关键IT 产品和服务的提供。为此,IT 供应链国家安全审查必须通过立法设置权力边界,明确审查活动的范围,提高审查活动的透明度,以确保国家安全审查活动的正当性。
一、IT 供应链国家安全审查的缘起
近年来,“脆弱性成为全球供应链安全较为突出的问题”[1],针对IT 供应链进行的攻击和侵入活动已经引起了国际社会的高度关注。鉴于国家关键基础设施和关键资源(CIKR)对IT 技术的依赖,IT 供应链安全与国家安全的关系日益密切,通过国家安全审查识别和控制IT 供应链风险成为保障国家安全的必然选择。
(一)全球化视域下的IT 供应链
IT供应链是包含系统终端用户、政策制定者、采购专家、系统集成商、网络提供商和软硬件提供商在内的统一系统,是上述角色通过组织和交互等行为,参与IT 相关基础设施的管理、维护和防御的过程。[2]过去的IT 供应链注重功能性,片面强调供应商的安全责任,现在则更多地关注IT供应链的脆弱性,强调各参与角色的共同责任。如软件开发商需要管理软件谱系,保证代码的完整性,并排除人员和病毒对其开发过程的威胁;硬件供应商需要管理二级供应商,保证产品安全,防止假冒产品进入系统;等等。[3]
IT 供应链尽管在结构和功能上与传统供应链存在共性,但也具有区别于传统供应链的特点:
(1)产品供应与服务供应的融合度更高。根据客体的不同,供应链理论将供应链划分为产品供应链与服务供应链,在技术风险控制、供应链安全管理和法律规制等方面二者均有所区别。例如,产品供应链更为实体化,提供有形的产品,因此更加侧重物流中的安全措施控制;而服务供应链提供无形的服务,更侧重服务质量标准(QoS)的优化和信息流中的信息共享和协调。在IT 供应链中,产品供应和服务供应的融合度更高,很难进行清晰的划分,如云计算应用中的三种基本服务模式,本身就是产品的服务化。IT 供应链是产品供应链与服务供应链相融合的新型供应链,是包含了物流、信息流和资金流的统一整体,在供应链的风险控制中需要兼顾二者的特点,更为全面地考虑供应链的安全问题。
(2)对国家运行的保障作用更为显著。现代社会的一切表征都可以泛化为信息,信息社会中国家运行的基础是对各类信息的收集、处理和利用,这是由工业经济向信息经济转变的必然结果,也是信息化所强调的基本路径。信息化彻底改变了国家运行的基本方式,由IT 技术应用所构筑的经济和社会发展范式强化了IT 供应链的基础性和全局性作用。可以说,国家信息化的过程本身就是国家生产生活向IT 系统逐步迁移的过程,IT系统和资源的部署和维护成为支撑国家运行的必要保障。较于其他供应链,IT 供应链风险可能对国防、经济和科技安全造成全面影响,与国家整体的生存和发展息息相关,而且随着IT 供应链的延伸和分化,这种风险将更为严峻。
(3)对信息安全的要求更迫切。与传统供应链相比,IT 供应链对信息安全的要求更为迫切。这不仅体现为IT 供应链在自身信息化过程中对信息安全三性的基本诉求,而且IT 产品和服务也嵌入了供应链中的其他技术要素,技术本身的不确定性会导致信息安全风险的广泛存在。“产品规格的变化,持续改进的措施,外包,内部网络重设,IT 更新,技术升级过程,供应商关系都会影响IT 供应链的不确定性。”[4]IT 供应链中任何关键节点都可能由于未经授权的访问、恶意或不合格的供应商、未经测试的软件升级和补丁、使用不安全的发送或存储机制等原因,造成IT 产品和服务安全性的减损或关键IT 产品和服务供应的中断。
(二)IT 供应链安全与国家安全的关系
“在重要关头,国家最终关心的并不是权力,而是安全。”[5]包括国防、科研、金融、交通、教育、能源在内的国家关键基础设施和关键资源已经成为国家的“神经系统”,将CIKR 保护纳入国家安全战略已经是各国的通行做法,美国在《国家基础设施保护计划》中更特别强调“CIKR 保护计划是一项国家安全任务。”[6]
全球化在客观上增加了IT 供应链的复杂程度,不合格或恶意的IT 产品和服务将有更多的渗透渠道⑥,CIKR 保护越来越明显地依赖于IT 供应链安全,这使得IT 供应链安全和国家安全在本位价值上趋于一致。为了应对IT 供应链风险,保障国家安全,早在2008 年美国政府发布的《国家网络安全综合计划》(CNCI)中就曾提出,美国政府应当建立多元化的全球供应链风险管理,应对试图通过供应链渗透进行未经授权的数据访问、数据篡改及通信信息拦截等供应链风险。[7]美国政府在《全球供应链安全国家战略》中进一步阐明美国重点关注威胁供应链系统功能的风险,指出美国政府应当理解并解决那些企图引入有害产品或材料的系统开发和由恶意攻击、事故或自然灾害引发的中断所带来的供应链脆弱性。[8]美国政府审计局(GAO)在给美国国会的报告中直言,通过全球供应链提供的IT 产品和服务存在威胁,该威胁会降低联邦关键和敏感机构网络和数据的保密性、完整性和可用性,要求联邦机构识别和防范IT 供应链风险。[9]欧盟《供应链完整性》报告也同样认为,信息通信技术行业中的供应链完整性是国家经济发展的关键因素,提高供应链完整度对公私部门意义重大。[10]中俄提交联合国的《信息安全国际行为准则》中强调,应当努力确保信息技术产品和服务供应链的安全,防止他国利用自身资源、关键设施、核心技术及其他优势,削弱接受上述行为准则的国家对信息技术的自主控制权,或威胁其政治、经济和社会安全[11]。
为了保证IT 供应链安全,各国基于国家安全的保障要求,普遍着手开展或完善针对IT 供应链的安全审查活动,通常涉及本国的政府采购限制、IT 产品质量和服务等级、数据保护标准、密码控制制度等,但各国现行的IT 供应链国家安全审查制度的法治程度不容乐观,普遍存在审查范围模糊,审查过程不透明,审查结果存在主观臆断的现象。
IT 供应链国家安全审查应当揭开法制的“外衣”,推行实质性的法治化,即审查标准必须客观,审查范围必须明确,审查程序必须透明,不应当负载过多的政治因素,特别是在技术利用与国家发展愈发密切的今天,盲目排外的审查活动会造成国家丧失对先进技术的利用机会,在国际竞争中处于不利,这与维护国家安全的制度初衷相悖。应当认识到,立法的确定性和稳定性是规制国家安全审查“工具性倾向”的有效途径,在立法上怠于明确审查范围,会减损国家安全审查的正当性。我们尊重国家对以立法形式明确国家安全的审慎态度,但也不能无视在国家安全审查中任意解释国家安全范畴所产生的弊端。
二、IT 供应链国家安全审查的范围
明确IT 供应链国家安全审查的范围有两个层面的现实价值:一是为执法机关的审查活动提供指引和规范,提高审查活动的透明度,增加审查结果的公正性和可信度;二是为IT 供应商提供法律遵从依据,建立平等的贸易环境,促进良性的经济交流与技术利用。
(一)确立综合国家安全观
作为IT 供应链国家安全审查的本位价值,“国家安全”是IT 供应链国家安全审查的逻辑起点和最终归宿,在何种程度,就何种事项,进行何种审查取决于对国家安全涵义的认知程度,确立合理的国家安全观是国家安全审查逻辑结构中的第一环。
作为与国际关系和地缘政治密切相关的概念,国家安全是动态变化的,在不同的历史背景和时代需求中反映出有差别的表征。冲突与对抗是“冷战”时期世界格局的主旋律,国家安全必须依靠军事能力和外交政策进行维系,领土不受侵犯,政治稳定和主权独立是国家安全的表现形式,也就是传统安全所强调的主权安全、领土安全、政治和军事安全。国际经济政治新格局的演变缓解了紧张的国际环境,促进了全球政治经济的合作与发展,虽然这一时期传统安全仍然是国家安全的核心内容,但内涵更为丰富的国家安全概念正在被各国重新认识。“随着冷战结束,军事—政治安全的比重相对下降,于此同时,安全的内涵与外延也获得了更为广阔的扩展。”[12]特别是在9·11 之后,非传统安全开始成为国家安全考虑的优先事项,国家安全不仅包括国家军事安全和政治稳定,而且更多地指国家的经济利益、贸易自由、关键基础设施保障、科技利用等。
尽管对国家安全的理解存在差异,但在综合层面上阐述国家安全已经成为共识,如认为“当今的国家安全不仅指政治安全、军事安全,还包括经济安全、文化安全、科技安全、信息安全、生态安全等等”[13]。“有关国家经济秩序稳定、金融与货币安全、战略资源保障、对外贸易与投资安全等经济安全要素,环境与生态保护、重大自然灾害控制等国土与生态安全要素,重大犯罪的防范与控制、重大事故和人为灾害的防范与控制、突发性事件的应急处置等社会安全要素,以及生物安全、信息安全、核安全等科技安全要素等,都成为影响国家根本利益的因素,因而都属于国家安全的范畴。”[14]“可以把全球化时代的国家安全概括为政治安全、军事安全、经济安全、文化安全、科技安全、社会安全等诸多方面的有机结合。”[15]
IT 供应链国家安全审查应当以综合国家安全观为指导思想,体现传统安全和非传统安全相互融合,相互影响的特点,特别是当技术利用和经济发展成为国家进步的核心动力时,不同的安全领域具有了相当程度的同质性,其实质都体现为实现国家的稳定状态,保证国家生产生活的正常运行。在这样的语境下,综合国家安全观更符合全球化背景下的国家利益。
(二)IT 供应链国家安全审查的范围
IT 供应链国家安全的审查范围是解决“审查什么”的问题,至少在“广度”和“深度”的维度上存在加以明确的必要。长期以来,由于技术的局限性和审查思路的片面性,各国基于国家安全的审查活动通常围绕“核心企业”和“最终产品”开展审查,没有对IT 供应链的层次进行区分,这无益于国家安全审查基本目的的实现。
首先,围绕“核心企业”和“最终产品”进行国家安全审查不符合IT 供应链的特点。随着技术流动和经济合作的加强,IT 产品和服务的提供更加依赖广泛的全球化市场,供应商自身的采购行为、业务外包行为、系统集成行为产生了区分间接供应商的客观需要,由“核心企业”向“多级供应商”分散的风险控制很难进行“模块化”的处理,利用IT供应链进行的渗透和攻击可能出现在任何参与主体或供应流程中,仅针对“核心企业”和“最终产品”实施的彼此拆分的审查过程无法满足保障国家安全的需要。IT 供应链国家安全审查的范围应当扩大审查半径,包含IT 产品和服务的整个生命周期,涵盖供应商的采购、研发、生产和提供过程,特别是需要将供应商与第三方(如次级供应商、外包方、采购商)之间的关系纳入审查范围,这是IT 供应链国家安全审查在“广度”层面上的横向延伸。
其次,需要根据IT 产品和服务的部署领域进行IT 供应链的分类审查。在IT 供应链中,涉及军事和国防建设的IT产品和服务直接关系国家军事安全,各国的政府采购法或进出口管制法通常规定只能采购或部署本国供应商的IT 产品或服务,由于与国家的生死存亡密切相关,应当尊重国家在该领域的基本态度,严格适用该国的国内安全标准;涉及商业或民用用途的IT 产品和服务关系国家经济发展和技术利用,除属于国家禁止或限制进出口的IT 产品和服务(如商用密码产品)以外,各国通常对该领域实行原则上的自由贸易,该领域的审查应当适用国际安全标准 ;涉及关键基础设施的IT 供应链较为特殊,既涉及商业民用的用途,又与军事国防密切相关,鉴于在国家运行中日益重要的支撑作用,关键基础设施IT 供应链的国家安全审查需要考虑其“军民两用”的性质,平衡国家安全与技术利用和贸易自由之间的权重,可以提倡适用国际安全标准,并将国内安全标准作为参照。这是IT 供应链国家安全审查范围在“深度”层面上纵向扩展。
三、IT 供应链国家安全审查的中国应对
为了应对日益严峻的IT 供应链风险,并改善我国供应商海外频频遭遇国家安全审查而被否决的现状,避免因IT 技术控制的不对等性而对我国科技创新自主能力造成的损害,弱化技术依赖性带来的国家安全威胁,我国需要建立IT 供应链国家安全审查制度,并对现行法律体系进行适时调整。
(一)建立IT 供应链国家安全审查制度
我国的信息技术发展水平与发达国家存在差距,而所面临的安全风险却是与国际同步的,美国已经为应对供应链风险实施了战略部署,而我国仍未对此做好准备,建立IT 供应链国家安全审查制度是目前亟待推进的重要任务。
我国IT 供应链国家安全审查制度应当确立“合作包容”的理念。该理念的精髓在于以国家综合性安全为基点,实现技术共同进步、经济共同繁荣。[17]在技术领域,这一理念体现为始终保持技术中立原则,不带有任何政治经济色彩。在法律领域,这一理念体现为法律制度不应当成为技术进步和经济发展的阻碍。IT 供应链是IT 技术流转的重要途径,当技术与国家利益之间存在越来越密切的联系时,国家安全的保护并不意味着技术自由的绝对牺牲。“技术自身也已经成为影响国家安全的一个直接的、独立的要素。”[18]在平衡国家利益与技术利用的冲突中,合作包容的战略理念为国家安全审查确立了应当恪守的基本原则。该理念并不是强调妥协,在经济的全球化合作必须建立在平等的基础上,对于将国家安全审查作为政治工具,通过附加不公正条件而限制我国IT 技术自由贸易的国家,我国应当在维护国家利益和产业发展中坚守对等原则,在更广泛的利益框架下促进综合国家安全的实现。
我国IT 供应链国家安全审查制度应当通过立法进行确立,这一立法可以是专门的审查法,也可以在相关立法中进行制度构建。审查过程可以考虑改变目前分散的审查方式,设立统一的审查机构,这一审查机构可以是现有的与IT 供应链安全相关的主管机构,如工信部、商务部或公安部,也可以建立类似美国外资审查委员会(CFIUS)这类的专门机构。根据前述确立的IT 供应链国家安全审查范围,审查机构负责统一部署和分配IT 供应链的国家安全审查工作,实现IT 供应链国家安全审查的基本目标:一是通过加强信息安全以保护IT 供应链和关键节点的完整性,保证IT 产品和服务的安全,并有能力核实和检验其是否存在被禁止的情况;二是利用事前响应机制在潜在威胁之前降低IT 供应链中断的风险,建立弹性的IT 供应链系统;三是制定与完善国家政策、法律和标准,明确各方在IT 供应链安全中应当承担的责任和义务。
(二)调整涉及IT 供应链国家安全审查的法律规范
IT 供应链国家安全审查涉及多项法律的适用和协调,技术进出口管制、商用密码专控和认证认可是与审查活动最为密切相关的法律制度,为了与国家安全审查的目的更加契合,需要进行适度调整。
(1)技术进出口管制的法律调整。IT 技术的发展必然超越立法的增补速率,我国在现行的技术进出口管制立法中仍然对“技术”“技术产品”缺乏清晰的定义,仅依靠列举限制或禁止的类别表明受管制的技术范围,极易在国家安全审查范围中对存在风险威胁的新技术产生疏漏。而且,我国在技术进出口管制方面确立了分别管制的原则,即货物进口和技术进口需要适用不同的法律。但在实践中,某一项具体的IT 进口项目经常是货物、技术密不可分的,甚至IT 产品本身也包含技术的要素,这就造成对同一项目可能依据不同的法律规范进行管控。容易造成在法律适用方面产生冲突,有必要协调技术和物品进出口法规之间的衔接。
(2)商用密码专控的法律调整。我国《商用密码管理条例》第二条将商用密码定义为不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。对介于国家秘密和商用信息之间的政府非涉密敏感信息如何适用未作规定,这一“灰色地带”可能导致进口密码或其基础上的二次开发密码直接适用于电子政务,在政府信息逐步向电子政务迁移的过程中产生大量的信息聚合,原本分散的、非敏感信息通过聚合可以形成完整的、敏感的整体信息,我国应当尽快将政府非涉密敏感信息纳入密码专控的范畴,防止该部分信息泄露对国家安全产生的威胁。同时,我国目前在商用密码进出口控制方面没有对密码位数的具体要求,在密码技术进出口的国家安全审查中,需要对所有密码技术和含有密码技术的产品进行审查,这与国际社会向“重点可控”发展的密码管制趋势相悖。
(3)认证认可的法律调整。认证认可法律制度是IT 供应链国家安全审查中最为核心的内容。我国多种许可制度与认证认可制度同时运行,在国家安全审查过程中可能存在重复测评认证的问题。涉及政府采购的IT 产品和服务在国家安全审查中,至少需要销售许可和强制认证的双重检测,若产品或服务包含密码技术,则还需经过密码主管机构的测评许可。过于繁琐的认证认可程序会加重IT 供应商的负担,增加向我国提供IT 产品和服务的时间与成本,IT 供应商很可能会将其解读为我国希望通过严厉的审查达到排斥特定供应商的目的,而对我国失去技术输入的信心。IT 供应商的这种顾虑还可能源自对我国第三方认证机构独立性的怀疑。在我国目前的认证认可法律体系中,第三方认证机构及实验室目前仍未完全脱离国家政府部门,在独立性和公信力方面存在瑕疵,IT 供应商完全有理由怀疑我国的审查结果可能出于纯粹的政治需要。我国虽然已经对《信息技术安全评估通用准则》(CC)进行了转化,但在认证过程中仍然主要依靠国内标准,而且没有参与国际标准的国家间互认。认证认可国际互认有助于减少技术性贸易壁垒。[19]在国家安全审查中,对于已经通过CC 认证的IT 供应商仍然需要开展大范围的安全及风险控制评估与测试,将导致不必要的二次审查。
结语
立法的确定性和稳定性是规制国家安全审查“工具性倾向”的有效途径,在立法上怠于明确审查范围,会减损国家安全审查的正当性。对IT 供应链的安全审查源自供应链风险对国家安全的潜在威胁,审查过程本身即是对风险的识别和控制过程,以弱化因技术脆弱性产生的IT 产品或服务缺陷及IT 供应链中断等风险,规制IT 供应链渗透、入侵或间谍活动等恶意行为,达到保障国家安全的目的。尽管IT 供应链处于不断发展之中,但立法完全可以对普遍性的风险做出法制安排。我国应当在“合作包容”理念的指导下坚守对等原则,全面理解综合国家安全观的要义,尽快建立符合国家发展目标的IT 供应链国家安全审查制度,平衡国家安全与技术利用之间的冲突,提高在全球供应链中的参与程度并切实保障国家利益。
作者:马民虎,马宁 (西安交通大学法学院)
网址引用: 思谋案例组. 全球化视角下的IT供应链国家安全审查. 思谋网. https://www.scmor.com/view/1723.