美国际战略研究中心发表我国网络安全标准研究报告

2018年8月2日，美国国际战略研究中心（Center for Strategic and International Studies）发布了《中国网络安全标准对在华市场活动的影响-How Chinese Cybersecurity Standards Impact Doing Business in China》报告（以下简称《报告》），对我国网络安全标准化工作进行深入研究，从一个侧面反映了我国网络安全标准化工作取得的进展及其影响。本文从五个方面概要介绍《报告》的主要内容及观点。

一、中国网络安全标准快速建立

《报告》指出：自从2015年中国网络安全法起草过程以来，中国的主要国家标准机构——国家信息安全标准化技术委员会（TC260）发布了近300项与网络安全相关的标准。这些新标准涵盖了从软件到路由器、交换机和防火墙的产品。2016年8月（网络安全法生效前一年），中国三方政府机构都参与了网络安全标准工作并发表了联合意见，为习近平主席所提出的“网络强国”梦想而努力，也为网络安全法的落实贡献力量。2017年11月，全国人民代表大会颁布了修订后的《中华人民共和国标准化法》，作为中国推动标准体系现代化，以适应工业和技术发展的一部分。同时，中国官员们表示，作为国家标准化工作的一部分，在不久的将来将发布更多的网络安全标准，现在仅是处于早期阶段。

二、关于网络安全等级保护2.0

《报告》提到，今年6月27日，公安部发布了《网络安全等级保护条例（征求意见稿）》，简称等保2.0。该草案以网络安全法为原则，基于新时代下的新情况对原有的信息安全等级保护体系进行更新。

在原有信息安全等级保护的体系下，政府对信息和信息载体按照重要性等级分级别进行保护，共有一级到五级五种标准，其中五级是最敏感的。三级或以上级别便触发了对向关键信息基础设施（CII）出售的ICT产品和服务的一系列监管要求。等级越高意味着公司将受到等保系统的更强监控，因此增加了国外企业的市场准入难度和安全风险。

等保2.0虽然降低了3级及以上的知识产权要求，但很有可能会增加对其他领域的审查。例如，该文件可能涵盖以前不属于等保范围的ICT产品，将该计划扩展至所有网络运营商，而不仅仅是CII或政府机构的网络运营商。在等保 1.0制度下，制造业或零售业等行业不会落入等保的监管范围，但等保 2.0将覆盖所有拥有ICT基础设施的行业，因为它涵盖了“网络运营商”这一模糊的类别，可以包括任何使用ICT系统的人。同时，等保 2.0似乎也专注于云计算、移动互联网和大数据。

三、关于关键信息基础设施（CII）

《报告》提到，在新的网络安全监管制度下，最令人困惑但又重要的问题之一是CII到底是什么。根据网络安全法，被视为CII的实体将面临一系列新要求。然而，政府还没有发布CII的官方定义，也没有解释这些规则是如何与现有的等保系统配合的。现在，CII似乎有两个平行的监管系统:一个是最初的信息安全等级保护系统，另一个是根据网络安全法中规定的新系统。政府没有澄清这两个权利部门之间的关系。此外，两家政府机构(公安部和网信办)对CII拥有重叠的管辖权。在众多争论中，CII标准的发展非常缓慢。关于CII的条例草案中的措词表明，标准将在澄清模糊概念，特别是CII本身的范围方面发挥重要作用，但到目前为止，这方面仍有许多问题。

在这些灰色监管区域缺乏透明度的情况下，企业很可能会陷入网络官僚机构中竞争利益相关者之间的交叉口。在网信办获得影响力推进并行CII保护系统之际，公安部可能会寻求实施等保2.0机制，以维护其相关性。CII监管草案表示，负责不同行业的监管机构应在各自的行业内分别确定CII，这一事实进一步加剧了这场地盘争夺战。因此，外国公司可能会受到不公平执法的影响，因为拥有广泛自由裁量权的政府利益攸关方正努力理清相互竞争的监管制度，维护主导权。

四、关于密码标准

《报告》指出：虽然长期以来一直在审查《密码法》草案，但中国官方媒体最近的一篇文章指出，当局可能正在加速立法进程。如果《密码法》得以颁布和执行，它意味着只能使用预先批准的国内密码产品——这是许多在华外国公司的底线。

《密码法》草案还包含涉及国家安全的模糊性解密要求(《中国反恐法》中也有这一规定)、访问数据和没收设备的现场检查，以及对某些密码产品和服务的国家安全审查。《密码法》将通过扩大政府监管和中国首个统一密码制度下的准入，显著加强中国国家密码管理局的执法权力。因为这一法律仍在编写中，它很容易成为另一个“后门(backdoor)”报复工具。

研究与密码相关的现有标准可以发现，政府有着广泛自由裁量权的途径。首先，虽然许多与密码有关的中文标准都采用国际标准，但其中还包括对使用中国国家密码管理部门批准的算法的修改，数据完整性、数字签名等内容的相关标准都是如此；其次，政府在要求公司进行与密码要求相关检查过程中提供什么有很大灵活性，密码模块安全测试要求的有关标准规定“举证责任在被检查的公司。”

中国政府认识到，对外国企业来说，要想留在中国市场，执行成本太高。现行法规中的一项豁免规定允许公司申请批准使用外国生产的商业密码产品。但在贸易战下，这些可能性都会消失。

五、网络安全标准为在华外企带来的挑战

《报告》指出：中国政府可以使用标准来迫使企业进行深入的产品审查，其中敏感的知识产权（IP）和源代码（即使企业并没有清晰明确的代码）可能需要作为验证和测试的一部分。为了符合中国的部分标准，外国公司还可能需要重新设计中国市场的产品，尽管这与国际标准并不兼容。中国的这些标准也为本土企业创造了竞争优势。在并不清晰的标准下，受本土思想的影响，中国监管机构也可能认为中国公司的安全性更好，并因此认为没有外国政府影响的情况更加“可控”。

同时，官方将大多数标准列为“推荐标准”，但在与政府或者国有企业合作时，企业必须满足其中的许多条目。除政府之外，一些普通的中国客户可能也不会从缺乏特定标准认证证书的供应方购买产品（需满足的标准随着商业和产品的不同而不同）。

随着中美双边紧张局势加剧，新的网络安全审查制度相关的标准很可能是中国在贸易战中使用的第一批反击美国公司的工具。他们为中国政府延缓市场准入所需的许可证或执照的发放，或者关闭一家在中国已经取得成功的公司提供了依据。

总体来看，网络安全标准为外企在中国境内的营业活动增加了难度，不仅影响其企业安全，还增加了其销售成本，监管标准的模糊也为企业经济活动带来困难。随着中美贸易战的升级，这些成本很难被量化计算。

对外企而言，他们必须熟悉掌握监管环境的层次性和模糊性，在处理中国市场时应格外注意这一点；同时，正如我们所知，标准和法律中用语模糊往往是为了将不同利益团体集合到一起，外企也可以积极寻找有一致利益的团体。最后，无论如何，美国企业必须清楚地认识到一系列行为的可能后果，网络安全标准或许不会造成最大的冲击，但这将会是影响中美技术和商业合作关系的重要因素。

美国国际战略研究中心：美国国际战略研究中心（Center for Strategic and International Studies），成立于1962年，是目前美国规模最大的国际问题研究机构，在美国乃至世界战略与政策研究机构中都有着重要地位。近年，它加强了对亚太、中国和台湾研究，在对外政策方面的主张较前温和，是对共和党政府具有重大影响力的思想库之一。本文内容仅代表原作者观点，联盟仅对原文进行节选翻译工作，点击访问原网址查看原文。