中国网络安全审查目前阶段仍属于“防御性驾驶”︱网眼看法

中国最近公布了对若干赴美上市的企业进行网络安全审查，引起较大反响和关注，很多网络传言进行了夸大和臆测，不熟悉网络安全审查制度的中国网民对这个消息感到好奇和惊讶。

其实，网络安全审查制度是各国通行的国家安全审查制度，自2000年开始美国率先在国家安全系统中对采购予以安全审查，随后陆续针对联邦政府云计算服务、国防供应链等实施安全审查，覆盖了国家安全系统、国防系统、联邦政府系统。审查对象不仅涉及产品和服务，还会针对产品和服务提供商。目前主要西方国家都已经建立各种形式的网络安全审查制度，并且其审查范围有延伸扩大趋势。

美国安全审查结果具有强制性。对供应链安全审查的过程、标准、机制完全封闭，不披露原因和理由，不接受供应方申诉。对外声称主要考虑对国家安全、司法和公共利益的潜在影响，且其审查没有明确的时间限制。

与国外的网络安全审查相比，笔者认为，刚刚起步的中国网络安全审查类似于“防御性驾驶”。所谓防御性驾驶是中国交警为了加强交通驾驶行为安全性而发明的一个概念，意思是驾驶员必须对在驾驶道路上的前后左右以及天气等各种可能危及安全的因素进行充分的预防和预判，留有余量，不得使自己的驾驶行为陷入不安全的境地。经过若干年的实践证明，经过防御性驾驶培训的驾驶人员行车安全性大幅度提高。

与此类似，中国也迫切需要类似“防御性驾驶”的网络安全教育培训，笔者以为，最近的网络安全审查在目前阶段就是国家网络安全方面的“防御性驾驶”，了解自身安全情况，通过预防性措施为安全措施留有余量，以达到网络安全可控稳定运行的目的，具体理由如下：

第一是中国的互联网兴旺发达的部分仅限于应用层面，在互联网基础设施、底层技术等底层和上游方面，中国还不具备领先优势。

虽然全球前20名的互联网巨头企业现在开始也有一些中国企业的身影，但是，一方面中国主要互联网企业阿里巴巴、腾讯、华为等与美国企业苹果、谷歌、亚马逊等实力相差还比较大；另一方面，这些企业还限于互联网应用层面，对于底层技术、互联网基础设施等足以掌控互联网全局的技术和设施，中国还有很长的路要走。中国也不像美国那样对全球互联网具有话语权，例如美国可以通过封锁伊朗新闻媒体网站的域名迫使其断网，中国关注重点还在国内。

第二是中国网络安全审查的对象主要还是中国国内企业和掌握中国网络安全命门的供应商，短期内还无法实现替代。

中国的网络安全审查是依照2016年通过的网络安全法而实施的。经过三年的试行，2020年网信办等十二部委正式发布网络安全审查办法，本次几家新近赴美IPO中国企业的网络安全审查就是依照网络安全法、国家安全法和上述网络安全审查办法启动的。虽然法律依据明确充分，但是长期以来中国在基础软件例如操作系统等方面都依赖美国大企业的产品，中国的银行金融等领域对很多国际大厂的产品和服务目前尚不具有国产替代能力，短期内难以实现替代，更为重要的是中国对外开放的基本国策也没有变化，因而网络安全审查对国内外企业一视同仁。本次审查的企业也是中国企业，它们的主要业务都在中国。

第三是其他国家对于中国网络安全的指责主要还是争取贸易优惠条件的手段，真正从国际打击犯罪合作角度共同应对网络安全威胁较少。

网络安全是全球共同面临的挑战，网络犯罪是各国需要通过国际合作共同应对的事务。但是，目前有些国家对中国的网络安全的指责往往跟经贸谈判施加压力，从而换取更加优惠的贸易条件有关。因而要共同应对跨国网络赌博、电信诈骗、通过网络洗钱等犯罪，需要各国警方和央行加强沟通合作。

第四是中国网络安全立法起步晚，目前主要的任务还是确保国内经济和社会各领域的正常生产生活秩序不能因为网络安全而受到影响。极端案例和犯罪属于应当通过国际合作共同打击犯罪等渠道解决。

美国1983年就已经拍摄了网络安全主题的电影《战争游戏》（War Games），也就是将近40年前美国就已经开始有了网络安全的意识和文化产品，而我国的网络安全法直到2017年才开始实施，唤起公民网络安全意识这方面的工作才刚刚起步。对中国企业和政府来说，首先是要确保正常的经济社会生活秩序必须安全稳定可控，不能因为网络安全瑕疵影响正常的生产生活秩序。对于犯罪和极端案例毕竟属于少数，应当由安全企业和专业部门进行专门研究，通过国家之间合作共同打击犯罪等渠道解决。

（作者系上海段和段律师事务所律师）