2020年12月、2022年7月,财政部两次发布《政府采购法(修订草案征求意见稿)》,两版征求意见稿中均要求建立政府采购安全审查制度。第一次征求意见稿第三十三条明确指出,国家建立政府采购安全审查制度。政府采购活动可能影响国家安全的,应当通过国家有关部门组织的国家安全审查。第二次征求意见稿第二十四条细化规定,政府采购应当落实国家安全要求,执行法律法规有关国家安全的产品标准、供应商资格条件、知识产权、信息发布和数据管理等规定。对涉及国家秘密的采购项目,应当采用公开竞争以外的方式和程序。国家建立政府采购安全审查制度,对可能影响国家安全的政府采购活动开展安全审查。可以说,政府采购安全审查制度的轮廓初步显现。然而,由初步的制度设想到制度正式出台,直至最终制度得到有效执行,关于政府采购安全审查还有很多工作需要一一落实。
总体国家安全观下,政府采购安全审查理念不断深入
从《政府采购法》第二次征求意见稿的表述看,政府采购安全审查并不局限于网络与信息化产品。但毋庸置疑,网络信息化领域的不安全是催生政府采购安全审查制度的重要因素,信息化产品服务也是政府采购安全审查的重点。
2013年“棱镜门”事件曝光,使得美国利用信息设备监控全世界的内幕大白于天下。2014年,习近平总书记首次提出总体国家安全观。政治安全和网络安全是总体国家安全观的重要组成部分,而政府采购产品的安全性,与确保政治安全和网络安全休戚相关。
2015年7月1日,《国家安全法》公布并开始施行。该法规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全网络信息技术产品和服务、涉及国家安全事项的建设项目等进行国家安全审查,中央国家机关各部门依照法律、行政法规行使国家安全审查职责,依法作出国家安全审查决定或者提出安全审查意见并监督执行。这相当于为财政部门进行政府采购安全审查赋权。
2020年末发布的《政府采购法(修订草案征求意见稿)》,首次提出要“建立政府采购安全审查制度”,但其表述相对宽泛,只提出“国家建立政府采购安全审查制度。政府采购活动可能影响国家安全的,应当通过国家有关部门组织的国家安全审查”。
到了2022年的第二次征求意见稿,在坚持第一次征求意见稿表述的基础上,将政府采购的安全要求列举为产品标准、供应商资格条件、知识产权、信息发布和数据管理等方面。这显示了在总体国家安全观的指导下,政府采购安全审查的理念日益深入完善。
实践中,过往我国企业在参加外国政府采购时遭到的以安全审查名义进行的歧视性对待,也呼唤我国出台自己的政府采购安全审查制度。例如,2006年3月,联想集团中标价值约1300万美元的美国政府计算机设备采购项目。而美中经济安全审查委员会以“使用联想计算机会对美国国家安全产生灾难性后果”为由,提出强烈反对。最终美国政府调整了原来的采购计划,在联想与美国国土安全部签订的安全协定上又增加了限制条件,要求联想在参与美国的政府采购时,不得以任何形式索取、接受、维护、鉴别有关美国政府定购电脑产品的用户信息。联想必须通过美国政府认可的本地第三方公司代理而不能直接向美国政府部门提供产品及售后服务,同时必须无条件接受美国安全部门对其信息系统使用情况的检查。另外,联想必须通过美国政府认可的美国公司提供产品售后服务,而不能直接进行产品售后服务。2013年3月26日,奥巴马签署的一项新开支法案中,包含一条禁止美国政府机构购买与中国政府有关公司信息技术的条款。直至今天,美国政府对中国产品进入该国政府采购市场的打压更是有增无减。
遵循全面覆盖、重点兼顾、由易到难、逐步完善原则,建立政府采购安全审查制度
政府采购安全审查制度要涵盖政府采购标的的各个领域,即不仅要包括如计算机、服务器、交换机等一般货物,也要包括云计算、数据库等软件服务,还要包括重点建设工程,如审查工程设计及原料的安全性等。安全审查的对象既然五花八门,标准自然也数量众多,专业性要求也相对较高。因此,政府采购安全审查制度的建立,不妨效仿《民法典》编纂的过程,遵循全面覆盖、重点兼顾、由易到难、逐步完善的原则。
我国在民法制度的建设过程中,首先出台了《民法通则》,对民法领域进行总体指导。之后在各民事细分领域不断颁布实施单行法,如《婚姻法》《合同法》《侵权责任法》《担保法》等。在进行了大量的法律实践后,又颁布了《民法总则》,最后将各单行法融入编纂成如今的《民法典》。政府采购安全审查制度也可以借鉴前述经验,先出台总体规定,规范政府采购安全审查制度。然后由易到难,从最重要也最紧迫需要审查的信息网络设备和服务入手,利用行业发展经验和已有制度基础,明确标准清单。随后,逐步在各细分领域不断制定审查细则,对政府采购的安全审查体系进行调整、完善。
以网络产品的政府采购安全审查为例,当前已有相关法律法规对网络安全审查制度作出规范。
从法律层面,《网络安全法》规定,网络关键设备和网络安全专用产品销售或者提供的前提,是通过具备资格的有关机构进行的安全认证或者安全检测。为配合《网络安全法》正式实施,2017年6月,国家互联网信息办公室(以下简称“国家网信办”)会同工业和信息化部(以下简称“工信部”)、公安部、国家认证认可监督管理委员会等部门发布了《网络关键设备和网络安全专用产品目录(第一批)》。该目录主要从容量、吞吐量、最大并发连接数等具体网络性能参数方面进行了规定,满足最低参数要求的服务器、路由器、交换机、防火墙、IDS等设备产品才符合《网络安全法》网络关键设备、网络安全专用产品的要求。2022年1月,国家网信办等四部门联合发布《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》,公示了首批通过国家认证的网络关键设备,包括服务器、路由器、交换机等47款产品。这相当于为政府采购安全审查提供了技术标准。
从部门规章层面看,国家网信办、国家发展和改革委员会(以下简称“国家发展和改革委”)、财政部等十三部门已联合修订发布《网络安全审查办法》,自2022年2月15日起施行。该办法明确建立国家网络安全审查工作机制,为网络安全审查提供了组织保障。
从规范性文件层面,财政部发布的《政务信息系统政府采购管理暂行办法》(财库〔2017〕210号,以下简称“财库〔2017〕210号文”)要求,采购人制定的政务信息系统采购需求应当科学合理、明确细化,包括项目名称、采购人、预算金额、经费渠道、运行维护要求、数据共享要求、安全审查和保密要求、等级保护要求、分级保护要求等内容。采购人还应按照国家有关规定组织政务信息系统项目验收,验收方案应包括项目所有功能的实现情况、密码应用和安全审查情况等内容。
2019年,国家网信办、国家发展和改革委、工信部、财政部联合颁布了《云计算服务安全评估办法》,要求对包括云计算服务软硬件设施及其相关管理制度进行审查,并建立了云计算服务安全评估工作协调机制。
建立政府采购网络安全审查制度,有必要充分利用前述机制和标准,确保审查制度顺利出台并得到切实执行,为政府采购安全审查全领域打开局面。
积极借鉴国外经验,组织实施政府采购安全审查
美国开展国家网络安全审查的经验主要有3个:
其一,安全审查结果具有强制性。美国国家安全系统委员会2000年1月发布的《国家信息安全保障采购政策》规定,自2002年7月起进入国家安全系统的信息技术产品必须通过审查。2011年12月,美国政府发布《联邦风险及授权管理计划》,要求为联邦政府提供云计算服务的服务商,必须通过安全审查、获得授权;联邦政府各部门不得采用未经审查的云计算服务。美国在政府采购招标文件中还进一步规定,向联邦机构提供云计算服务的基础设施必须位于美国境内。
其二,美国的网络安全审查对不同政府实体适用不同标准。按照美国国家安全系统委员会的《国家信息安全保障采购政策》,对涉及国家安全的信息系统采购信息技术产品进行安全审查。通用标准为国家技术标准研究院(NIST)发布的《保护联邦信息和信息系统的安全控制措施和技术指南》(SP800-53)。对于非“国家安全系统”采购的网络安全审查措施,各联邦机构在采购信息技术设备前,要确保信息技术采购符合美国行政管理和预算办公室(Office of Management and Budget,以下简称“OMB”)发布的《A-130通知》(Circular A-130)规定的信息资源安全、国家安全、隐私保护、突发事件应急准备等具体要求;采购财务管理系统要符合OMB发布的《A-127通知》(Circular A-127)的要求,核心财务软件必须预先通过“联合财务管理改进项目”的认证。
其三,美国网络安全审查的内容不局限于技术,且要求企业“自证清白”。美国联邦政府要求,不仅要审查产品安全性能指标,还要审查产品的研发过程、程序、步骤、方法、产品的交付方法等,企业要自己证明产品已达到了规定的安全强度。美国要求被审查企业签署网络安全协议,协议通常包括:通信基础设施必须位于美国境内;通信数据、交易数据、用户信息等仅存储在美国境内;若外国政府要求访问通信数据必须获得美国司法部、国防部、国土安全部的批准;配合美国政府对员工实施背景调查等。
建立政府采购安全审查制度的具体建议
一是加强立法引领。在《政府采购法》修订完成时,正式建立政府采购安全审查制度,财政部门应积极推动形成多部门政府采购安全审查联合工作机制,并至少以部门规章层次的文件予以明确。在日常管理中形成政府采购安全审查清单制管理,并在政府采购文件有关范本中列明安全审查要求。
二是明确采购人安全审查的主体地位。如前所述,在财库〔2017〕210号文中,有两处对采购人的安全审查职责作出了规定,即采购人需要在采购需求中体现安全审查内容,并在验收方案中体现安全审查要求。应将此要求扩展到所有相关政府采购项目中,不单单局限于信息化系统的采购,以此敦促采购单位形成安全审查意识,压实安全审查责任。
三是推动形成分级审查标准。要依托专业机构形成审查标准并不断更新。比如前文提到的网络安全国家审查,国内目前已有相应标准及清单管理,财政部门应及时将其引入政府采购领域。具体来说,财政部门要会同其他有关机构制定审查标准,重点从国家安全产品标准的适用、供应商资格条件及人员配置、知识产权归属、信息发布要求和数据本地化管理等方面细化审查标准,必要时对采购产品的供应链进行追溯审查。此外,还可以对涉密项目采购、国家安全核心项目采购及一般项目采购分别设定不同审查标准。
四是强化监督检查。推动财政监督、审计监督、部门内部监督、人大监督、社会公众监督等多管齐下,切实将政府采购安全审查的前置避险作用落实到位。
五是注重社会共治。政府采购安全审查中可能遇到的最大困难,就是专业能力与专业人才的缺乏。这种缺乏不仅体现在政府内部,也体现在整个国内市场。同时,政府采购安全审查涉及范围广,这就决定了安全审查制度虽然由政府部门实施,但与制度匹配的能力储备不足,需要全社会的共同努力。因此,政府采购安全审查制度的建立,必须体现社会共治的导向。
针对专业能力的缺乏,应在增强政府机构基本能力的情况下,积极鼓励社会第三方标准机构、认证机构参与安全审查工作。美国和英国政府就是在牢牢把握标准制定权和最终评价权的同时,将中间的具体认证监测评估环节交由经有关部门认可的商业化第三方认证机构完成的,以此提高效率,确保公平公正。我国也可以在政府部门提供的目录中,自主选择评估机构,通过市场机制实现评估机构的优胜劣汰。
还应看到,我国在网络安全等特定领域的专业能力距离国际先进水平仍有差距,专业能力供给侧面临不足。在制定政府采购安全审查制度时,要注意引导民营企业等参与国家重点系统的安全保护工作,以政府采购安全审查制度体系深化供给侧结构性改革,充分发挥我国超大规模市场优势和内需潜力,培育好国内第三方市场。
政府采购安全审查制度应体现人才导向。从美国网络安全审查实践看,该国对政府采购人员的专业能力非常看重。例如,《总务署采购手册》第539条部分规定,负责采购信息技术的联邦雇员,应当具备与采购信息技术产品和服务安全等级相当的水平;项目负责人应当确保招标文件符合信息安全要求,并且信息安全要求必须足够详细,使得供应商能充分理解信息安全规定、任务和需求,保证供应商能履行合同或任务。
我国已认识到政府采购专业人才的重要性。2022年发布的《政府采购法(修订草案征求意见稿)》新增了“采购人、集中采购机构的采购人员应当具有相关职业素质和专业技能,符合政府采购监督管理部门规定的专业岗位任职要求”的表述。政府采购安全审查制度应发挥后发优势,对采购单位审查人员的专业能力提出要求,规划好其成长路径,并建立完善相应的激励措施。
六是注意安全审查制度的侧重点。我国政府采购安全审查制度的核心是维护安全,这与商务部的不可靠实体清单(对不遵守市场规则,背离契约精神,出于非商业目的对中国企业实施封锁或断供,严重损害中国企业正当权益的外国企业组织或个人的清单)管理既有区别,又有联系。区别是政府采购安全审查体现的是维护安全性,不可靠实体清单体现的是对等反制性;联系则是进入不可靠实体清单的企业,其产品必然不能通过政府采购的安全审查。在制定实施政府采购安全审查制度时,要明确该项制度与不可靠实体清单管理的协同配合,将审查目的、审查手段与WTO安全例外原则挂钩,确保不触碰WTO非歧视性条款,保证相关制度与维护国家安全的大方向不偏离。
本文刊发于《中国招标》2023年第4期,转自中国招标投标网