浅析《国家安全法》中的网络安全审查制度.docx

浅析国家安全法中的网络安全审查制度国家安全法是维护新时期国家安全的基本大法，对政治安全、国土安全、军事安全、文化安全、科技安全等*X个领域的国家安全任务进行了明确，为各领域安全立法提供了基本遵循。尤其引人关注的是，该法明确建立国家安全审查与监管的制度和机制，对影响或可能影响国家安全的外商投资、特定物项和关键技术等进行国家安全审查。这是我国在国家安全保障的制度设计方面的突破，也确立了我国网络安全审查的制度框架和总体思路，为维护国家网络空间主权、安全和发展利益提供了战略利器。20*年*月*日，我国第十二届全国人民代表大会常务委员会第十五次会议通过了新的国家安全法，该部立法被认为是我国真正意义上的首部国家安全法，对于切实维护我国的国家安全意义重大。除首次明确界定了“国家安全”的基本涵义以外，国家安全法更是在国家安全保障的制度设计方面有所突破，其中涉及网络安全审查的规定格外受到关注。从立法的功能性和结构性分析，国家安全法中的网络安全审查规定具有严谨的逻辑结构，基本确立了我国网络安全审查的制度框架和总体思路。一、国家安全法为网络安全审查制度明确了边界要素在网络安全审查过程中，最棘手的问题就是立法对国家安全基本涵义的界定。出于对国家安全敏感性的考虑，立法通常不会对“国家安全”进行过于细化的描述，以使立法具有足够的延展性。但是“国家安全”的模糊性又成为网络安全审查中最受人诟病的弊端，因为缺乏明确边界的“国家安全”很容易成为实质性贸易壁垒的借口，进而动摇网络安全审查的正当性。在此方面，我国国家安全法具有明显的突破，其中第二条明确规定 “国家安全”是指“国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态，以及保障持续安全状态的能力。”在网络安全的语境下，该定义完整涵盖了国家安全、社会稳定、经济发展和公民隐私这四大网络安全支柱，可以作为网络安全审查制度利益保障的参照要素。同时，将国家安全界定为“没有危险和不受威胁的状态”与各国立法中关于国家安全的表述保持一致，而将其界定为“保障能力”则是本法概念性提升的一大亮点。从网络安全的国家保障角度来看，网络安全的核心思想即是形成稳固的保障能力，其通常与信息系统的“脆弱性”相关，旨在将可能受到的安全风险和威胁降低到可以接受的程度。与代表终极目的的安全状态不同，能力建设更侧重于实现对安全风险的动态反应和控制过程，因此在制度实施中更具有“弹性”，能够在固化的法律规定中获得最大程度的解释空间。这对于广泛具有“技术属性”的网络安全保障意义非凡，可以避免信息技术快速发展对法律稳定性构成的冲击。因此，我国国家安全法中界定的“国家安全”既有相对明确的内涵边界，又具备必要的延展性，为网络安全审查制度的可行性提供了必要的支撑，也间接明确了网络安全审查制度的范围。二、国家安全法为网络安全审查制度明确了安全与发展的关系我国国家安全法在总体安全观下强调了协同发展的重要思想，其中第八条规定“维护国家安全，应当与经济社会发展相协调。国家安全工作应当统筹内部安全和外部安全、国土安全和国民安全、传统安全和非传统安全、自身安全和共同安全。”上述规定使得我国立法对于国家安全的认知更加丰富，改变了传统国家安全偏重军事政治安全的狭隘性，能够更多地考虑国家经济利益、贸易自由、关键基础设施保障、科技利用等等，而这些要素恰恰是网络安全审查最为需要关注和平衡的内容。应当认识到，当技术利用和经济发展成为国家进步的核心动力时，不同的安全领域具有了相当程度的同质性，其实质都体现为实现国家的稳定状态，保证国家生产生活的正常运行。因此，片面强调国家安全的审查活动必然带有利益保护的偏在性，盲目排外和充斥不信任的审查制度可能造成国家丧失利用先进技术的机会，也会间接对高度依赖数字框架的经济发展构成障碍。我国国家安全法关于“国家安全和经济社会协调发展”的规定确立了网络安全审查制度的指导理念，特别是关于“统筹内部安全和外部安全、国土安全和国民安全、传统安全和非传统安全、自身安全和共同安全”的阐述具有一定程度的先进性，这构成了网络安全审查制度进行利益平衡的基础，能够避免非理性审查活动的出现，在维护国家安全的同时兼顾经济和社会发展，最大化网络安全审查制度的功能。三、国家安全法为网络安全审查制度明确了“风险控制”的目标和思路我国国家安全法第二十五条规定“国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。”本条规定明确了我国网络安全审查制度的细化目标。在制度的功能性方面，网络安全审查制度无疑属于网络与信息安全保障体系中的重要内容和措施，那么其理应具备上述目的。特别是是其中关于“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控，防范和制止网络攻击、网络入侵、网络窃密等违法犯罪活动”的规定，与20*年*月*日国家互联网信息办公室发布的公告基本一致，该公告称我国将实行网络安全审查制度，主要针对关系国家安全和公共利益系统使用的重要技术产品和服务实行安全性和可控性审查，防止产品提供者非法控制、干扰、中断用户系统，非法收集、存储、处理和利用用户有关信息。其也与日前公布的网络安全法(草案)中关于关键基础设施安全审查的规定相互呼应，保持了不同立法之间的协调性。同时，本条规定也明确了网络安全审查“风险控制”的基本思路，侧重于关注信息技术产品和服务在部署过程中可能引入的未知风险。20*年针对爱沙尼亚政府网络的攻击、20*年针对韩国的大规模拒绝服务攻击、20*年针对伊朗核设施的震网病毒攻击等安全事件充分说明了国家网络安全审查风险控制的重要意义。美国审计局(GAO)也曾经提醒美国政府关注持续增加的网络威胁对联邦信息系统产生的风险，并认为这些风险主要包括政府重要信息资源丢失或被盗，遭受未经授权的访问和攻击，敏感信息遭受身份盗窃、网络间谍或其他形式的犯罪，政府关键部门运行的中断，数据被篡改并用于欺诈或入侵等等。我国国家安全法的上述规定能够反应全球网络安全保障的发展趋势，提高网络审查制度的科学性和有效性。四、网络安全审查制度承接国家安全法，成为网络法制体系的重要组成部分概括而言，我国国家安全法第二条间接明确了网络安全审查的审查范围，第八条明确了网络安全审查协同发展和利益平衡的审查理念，第二十五条明确了网络安全审查“安全可控”的审查目标和“风险控制”的审查思路。在此基础上，国家安全法第五十九条最终确立了针对网络信息技术产品和服务的国家网络安全审查制度，并在第六十条中规定中央国家机关各部门依照法律、行政法规行使国家安全审查职责，依法作出国家安全审查决定或者提出安全审查意见并监督执行，由此提出了完整的国家网络安全审查制度框架。值得注意的是，国家安全法第五十九条将外商投资、特定物项和关键技术、网络信息技术产品和服务等审查内容并列表述，澄清了我国网络安全审查的制度独立性问题，修正了目前外资并购国家安全审查和网络安全审查相互混同的情况。尽管随着信息技术全球化趋势的加强，外资并购国家安全审查所关注的国家经济安全和网络安全审查所关注的网络安全存在相互渗透的情况，而且同属于国家安全的范畴，但二者的制度基础仍然存在较大差别。网络安全审查制度既不应当等同于在20*年反垄断法中业已确立的外资并购国家安全审查，也不应当从属于外资并购国家安全审查中的网络安全部分，其应当具有制度独立性。五、在实践中细化完善国家网络安全审查制度，不断提升维护国家安全的法制效力在网络安全审查制度的可实施性方面，我国国家安全法的现有规定仍然是原则性的，还不能对国家网络安全审查活动和企业遵从提供有效指引，需要在后续的配套立法或制度规范中进行细化和补充，对于未涉及的审查事项进行明确。首先，考虑到我国网络安全审查将主要围绕网络信息技术产品和服务而展开，那么就应当对传统“直接供应商”和“最终产品”的审查半径进行扩展，延伸到整个信息技术供应链。因为信息技术利用的全球化是以供应链为基础的，信息技术产品和服务的提供更加依赖广泛的全球市场，供应链的复杂程度客观上造成网络安全风险将有更多的渗透渠道 ，在产品和服务的生产、组装和分发过程中都可能引入不确定的安全风险，需要对信息技术供应链整体施加审查要求。其次，由于信息技术在现代社会中的泛在式部署，网络安全审查活动将极为复杂，在信息技术服务中还可能受到数据跨境产生的管辖权争议影响。因此，我国网络安全审查制度应当有所侧重。从目前的国际立法实践来看，网络安全审查与政府采购、认证认可和技术进出口等相关法律制度关系最为密切，可以考虑将我国网络安全审查的要求渗透进上述立法中。最后，为了避免网络安全审查成为政策性工具，有效实现网络安全审查的功能，必要的透明度必须予以保证，因此需要建立相关的审查标准。例如美国在国家信息保