来源： 网络法前哨  原创 JerryLIU

前哨按语

2020年8月6日，美国总统特朗普签署两个行政令，以国家安全之名，将在45天后对微信、TikTok的交易施加限制。两个行政令明确指出，这是继2019年5月15日第13873号行政令之后，应对美国信息通信技术和服务供应链威胁而采取的进一步措施。这三个行政令表明，美国目前在网络安全审查方面采取了一种非理性进路。

从网络空间互联互通和供应链全球化来看，最终还是需要一种理性的制度建构。网络安全审查不应成为国际贸易的壁垒，在防范国家安全风险与维护自由贸易之间达成平衡，而近期我国通过的《网络安全审查办法》就提供了一种立法示范。

网络安全审查不应成为国际贸易的壁垒

——中美网络安全审查立法比较评析

刘金瑞

　　近日，国家互联网信息办公室与国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局共12个部门联合制定的《网络安全审查办法》（以下简称《办法》）正式生效实施，取代了2017年6月1日实施的《网络产品和服务安全审查办法（试行）》（以下简称《试行办法》）。

　　此次《办法》修订的重要背景之一是中美经济贸易冲突。目前，基于网络安全考虑而出台限制贸易措施，已经成为影响国与国经济贸易关系的重要因素。2019年5月15日，美国总统特朗普签署第13873号行政令《确保信息通信技术与服务供应链安全》，以“外国竞争对手”威胁美国国家安全为由，禁止交易、使用可能对美国国家安全、外交政策和经济构成特殊威胁的外国信息技术和服务。2019年11月26日，美国商务部发布了落实行政令的《〈确保信息通信技术与服务供应链安全〉规则草案》（以下简称《美国商务部规则草案》）。

　　如何切实发挥网络安全审查制度维护国家安全的作用，同时又不对正常的跨国经济贸易造成壁垒，成为《办法》修订的重要任务。对此，作为部门规章的《办法》并未囿于《试行办法》的既有规定，而是根据面临的形势和任务另起炉灶，突出上位法维护国家安全的价值定位，聚焦关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险，规定了我国网络安全审查新的制度架构。

这一新的制度框架进一步申明了我国通过网络安全审查制度来切实维护国家安全的决心，充分表达了不能以网络安全之名肆意设置贸易壁垒的中国立场。对比《办法》确立的网络安全审查制度与美国总统行政令、《美国商务部规则草案》规定的信息通信技术与服务交易评估审查制度来看，《办法》也树立了网络安全审查坚持防范国家安全风险与维护自由贸易相平衡的国际立法典范。

《办法》规定的适用范围更加聚焦和理性

　　《办法》严格贯彻《国家安全法》《网络安全法》的规定，价值定位突出维护国家安全，明确规定适用于“关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的”情形，涉及的“网络产品和服务”主要是指“核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务”。这改变了《试行办法》把所有网络产品和服务纳入网络安全审查的做法，适用范围更加聚焦。

　　而美国评估审查的范围非常宽泛、不够聚焦，并不限于关键信息基础设施供应链安全。只要该交易包含外国或外国国民的利益，涉及由外国对手（foreign adversary）拥有、控制、管辖或指派的人设计、开发、制造或提供的信息和通信技术或服务，可能对美国信息和通信技术或服务行业、关键基础设施、数字经济安全造成不当风险，或者对美国国家安全或国民安全造成不可接受的风险，美国商务部部长就可以决定进行审查。

还需要指出的是，对可能纳入网络安全审查的网络产品和服务，《办法》对国内外产品和服务是一视同仁的，并未特别针对外国企业的产品和服务，其出发点是为了维护关键信息基础设施供应链安全，并不是阻碍正常的国际贸易。而美国的评估审查明确是针对外国信息技术和服务的交易与使用，这种仅以技术和服务提供者的国籍就判断某项技术和服务是否安全的做法是非常不理性的，不仅会影响正常的国际贸易和公平竞争，也无助于网络安全水平的提升。

《办法》设定的审查标准更加明确和妥当

　　《办法》进一步明确网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险，并列明了应当主要考虑的五项因素，相较于《试行办法》更加全面。具体包括：产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；产品和服务供应中断对关键信息基础设施业务连续性的危害；产品和服务的安全性、开放性、透明性以及来源的多样性，供应渠道的可靠性以及政治、外交、贸易等因素导致供应中断的风险；产品和服务提供者遵守中国法律、行政法规、部门规章情况；其他可能危害关键信息基础设施安全和国家安全的因素。

　　而美国评估审查的标准具有非常大的不确定性。所谓的对美国信息和通信技术或服务行业、关键信息基础设施、数字经济安全造成“不当风险”，对美国国家安全或国民安全造成“不可接受的风险”，以及交易包含的“外国或外国国民的利益”，拥有、控制、管辖或指派人设计、开发、制造或提供信息和通信技术或服务的“外国对手”等术语，语义模糊并不确定，美国商务部部长对此有充分的裁量权。相较而言，《办法》更新后的规定更强调产品和服务本身的安全性、可靠性以及关键信息基础设施的供应链安全，避免仅因企业接受政府资助或支持就武断地认为其提供的产品和服务并不安全，比美国的审查标准更加明确和妥当。

《办法》确立的审查程序更加透明和合理

　　《办法》相较于《试行办法》，删除了第三方评价、专家委员会评估等内部工作程序，进一步明确了网络安全审查的流程和时限要求，确立了具体清晰的审查程序。一是明确了启动审查的两种方式：一种是，运营者自己预判评估国家安全风险后主动向网络安全审查办公室（以下简称“办公室”）申报审查；另一种是，网络安全审查工作机制成员单位认为影响或可能影响国家安全的，按程序报批后启动审查程序。二是明确了一般审查程序的流程和时限要求：办公室应当自收到运营者提交的审查申报材料起，10个工作日内确定是否需要审查并书面通知运营者；需要审查的，应当自向运营者发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议并发送工作机制成员单位、向相关关键信息基础设施保护工作部门征求意见，情况复杂的可以延长15个工作日；机制成员单位和相关保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见，意见一致的，办公室将审查结论书面通知运营者。三是明确特殊审查程序的流程和时限要求：对于办公室按照一般审查程序形成的审查结论建议，工作机制成员单位、相关保护工作部门意见不一致的，启动特别审查程序，并通知运营者；特别审查程序一般应当在45个工作日内完成，情况复杂的可以适当延长。

　　而美国评估审查的程序并不够透明和合理。根据《美国商务部规则草案》，美国商务部启动评估审查程序时，并不需要通知当事方，当事方只有收到美商务部部长的初步评估裁定才知道自己被评估审查；在这之后的30天内，当事方可以提出书面意见并提交相关证明材料，收到当事方意见后30天内，美商务部部长将作出最终裁定。该草案明确规定美商务部部长不会就某交易作出咨询意见或预裁定，也就是说当事方无法在交易前主动通过上述方式降低交易风险。此外，该草案还规定如果遵循上述评估审查程序可能会导致公共损害或危害美国国家利益，美商务部部长可以按照符合美国国家安全利益的方式采取紧急行动，而改变或免除该草案所规定的任何程序。这些规定实际为美国以国家安全之名干涉正常贸易和打压他国企业提供了工具。

　　总之，如果一国网络安全审查制度的适用范围过于宽泛、审查标准不够确定、审查程序不甚透明，对本国和他国的产品或服务区别对待，就必然会对信息通信技术与服务领域的国际贸易和公平竞争造成阻碍。网络安全审查不应成为国际贸易的壁垒，更不能成为一国打压他国企业正常发展的工具，网络安全审查制度设计必须在防范国家安全风险与维护自由贸易之间达成平衡，而我国《网络安全审查办法》就对此作出了良好的立法示范。各国政府和产业界应该进一步加强合作和互信，尽快就网络安全审查规则达成共识，发展共通的供应链安全标准和网络安全最佳实践，以共同构建和平、安全、开放、合作、有序的网络空间。

本文载《中国社会科学报》2020年8月19日

（本文仅代表作者个人观点，不代表作者所在机构观点，未经授权请勿转载）