众所周知,滴滴以及其他三家近期在美上市的企业本月受到网络安全审查。一石激起千层浪,网络安全审查迅速进入公众视野。网上有无数文章在对这个制度进行“详解”,诸如制度实施流程、责任要求等。但草蛇灰线,伏脉千里,重大政策的设计必有其脉络,其背后的故事更值得关注。

2012年深秋的某一天,美国华盛顿,由中国现代国际关系研究院和美国战略与国际研究中心搭台的中美网络安全1.5轨对话进行中。因为网络安全太敏感,而中美又不得不保持对话,所以两国一开始建立的是二轨对话渠道。即两国各自派出专家学者,传达的其实是政府立场,但进退有余。后来美国人还是觉得不解渴,要求直接见到中方官员,所以建议两边都以政府官员为主、专家为辅,但官员也是以专家身份发言,只代表个人。这样,官员表达观点时会更自由,弦外之音更容易传递,比政府对政府的一轨对话效率高得多。 这一次的对话有些剑拔弩张。时值美国国会发布了对中兴、华为公司的国家安全审查报告,认为这两家中企可能会对美国国家安全利益造成威胁——事实上,正是这份报告,拉开了美国蓄意遏制打压中国高科技公司的序幕,恶行延续到今天。中方对此强烈不满,自然要在这次对话中质问美方。 但当时作为中方代表之一的我万万没有想到的是,美方代表之一、美国助理国防部长帮办主动说:“这次审查是美国国会众议院情报委员会干的,我本人不认同。你们别当回事,那地方我以前工作过,里面的人都是神经病,向来就很偏激。” 什么?你几个意思?多年以后,我都忘不了这个人的发言带给我观念上的冲击。原来还可以这么干!美国政府发动的一场蓄谋已久的对华封锁战,事后却一推三六五,甚至先来个“躺尸剑法”,轻松化解我们对其违反国际法的指责。 在华盛顿的几天里,对我触动的不止于此。就在那天晚上,在白宫附近的一个中餐厅,美国IT行业协会的一位负责人主动约我,边喝酒边“善意”地为我解读了美国国会的这次审查,希望我们理解。他的这个解读,着实给我上了一课: 一、美国国会并没有确定的审查制度,是中兴、华为公司主动、反复向美方提出申请的,这是顺应中企自己的请求临时发起的一种特别程序(这话没有错,但却是美方调动各种舆论资源抹黑中企后,企业的自证清白之举)。 二、美国国会是立法机关,但这次的审查报告却不是法律,自然没有法律效力,更不具备强制性,就像中国政府发了一个白头文,没盖章不是政府文件,不必当回事。 三、美国国会的确没有从技术上发现中兴、华为有安全问题,但企业运行不透明,很多东西不公开,华为的负责人还是前军人,企业还设了党委。那么国会完全可以提出一些担忧,认为企业可能会听命于政府实施破坏网络安全的活动,再说国会也没有说两家企业一定不安全,只是说两家企业不能打消国会的怀疑。国会完全可以从各种角度提出质疑,这方面没有固定的标准。 四、美国的既有审查制度——美国外国投资审查委员会(CFIUS)的活动被中国人夸大了。统计表明,在外国公司并购美国公司的交易中,申请审查的只占比约10%多,最终开展审查的占比不到1%,审查后撤销申报和被总统否决的只占0.6%。很多中企是担心最后通不过审查,导致前期商业成本太高,所以主动撤销了审查申请,知难而退,他们根本就没有被审查。 五、美国某私营电信运营商虽然拒绝购买华为的设备,但这不是政府的命令,只是时任商务部长骆家辉以私人身份给企业写了一封信,这不违反世贸规则,中国人不要责怪美国政府,也不应该报复。


我曾经走过最深的路,就是你的套路 大国网络安全博弈,不单是技术博弈,还是理念博弈、话语权博弈。多年以后,当我学习习近平总书记关于网络强国的重要思想,读到这一重要论断时,感受自是很深刻。 中美斗争后来一直在继续。到了2014年5月,发生了美国司法部以网络攻击为名起诉五名中国人民解放军军官的恶性事件。几天之后,中国政府向全世界宣布,拟建立网络安全审查制度。 这一系列事件的前和后,我们的网络安全政策还多次遇到了来自美方的挑战,甚至要求我们取消在很多领域的网络安全监管规定,防止影响美国产品进入中国。 这期间,我也一直在思考,我们应该制定什么样的网络安全政策,既要有效,又要防止授人以柄,能在规则博弈中胜出。于是在2014年8月,我对网络安全审查制度的设计提出了6条建议: 一是,这项制度可以像美国外国投资审查委员会(CFIUS)一样,平时少用慎用,但保持强大威慑力,用则见效。不建议将其设计成市场准入制度。 二是,这项制度的审查标准不必公开,甚至流程都由内部掌握,目前美国所有涉及国家安全的审查、调查制度均是这样的。 三是,这项制度可以像美国国会审查中兴、华为一样,不仅关注技术功能,更要关注产品和服务提供商的声誉、透明度、资本构成、法人治理结构等,以最大程度地确保供应商没有实施恶意行为的手段和条件。 四是,这项制度可以像美国官员、国会议员写信一样,设置多种启动条件,如全国人大代表、专业机构、其他企业、专家等均可对某企业的产品和服务表示安全关注,并提请启动网络安全审查。 五是,这项制度可以像美国电信运营商拒绝华为参与投标一样,指导重点行业用户(甲方)对产品和服务的安全性提出要求,即把制度的实施与采购活动挂钩,在商业规则的范畴内处理,将行政行为转化为民事行为,而不是由政府直接去规范市场。 六是,这项制度可以像美国国会发布对中兴、华为的调查报告一样,由权威机构、组织发布非官方、非正式技术报告,对有关产品和服务作出风险提示。报告可以不列入政府公文系列,造成影响就可以,政府不必承担法律责任。 2017年5月,国家网信办发布《网络产品和服务安全审查办法(试行)》。2020年5月,国家网信办发布《网络安全审查办法》,试行文件相应废止。2021年7月2日和5日,国家网信办先后宣布对滴滴等四家企业实施网络安全审查。2021年7月10日,国家网信办发布《网络安全审查办法(修订草案征求意见稿)》。 网络安全审查制度对内对外一视同仁,此前已涉及多家外资企业产品和服务,对滴滴等四家企业的审查不是第一起,当然更不是最后一起。 我经常拿起网络安全审查制度文件,反复读这些最终成文的规定:关键信息基础设施运营者采购网络产品和服务时要预判国家安全风险,存在风险的要主动申报网络安全审查;网络安全审查关注产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性及因为政治、外交、贸易等因素导致中断的风险;网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,按程序报批后,可以启动网络安全审查…… 每当这个时候,我就想起美国人给我们上的课。

Andrew
Andrew CISP-PTE CISM-WSE 暂无个人描述~