黃志雄 陳徽

(武漢大學(xué) 國際法研究所，湖北武漢 430072)

引言

伴隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)空間國際治理正受到世界各國的日益重視，網(wǎng)絡(luò)空間治理正快速走向法治化。在這一進(jìn)程中，國際社會(huì)已就國際法適用于網(wǎng)絡(luò)空間達(dá)成了重要的原則性共識(shí)。但出于網(wǎng)絡(luò)空間的獨(dú)特屬性以及主要大國的意識(shí)形態(tài)、價(jià)值觀和現(xiàn)實(shí)國家利益等方面的差異乃至對(duì)立，各方對(duì)于國際法中的諸項(xiàng)原則與規(guī)則如何具體地適用于網(wǎng)絡(luò)空間仍存有巨大爭議。(1)參見黃志雄：《網(wǎng)絡(luò)空間負(fù)責(zé)任國家行為規(guī)范：源起、影響和應(yīng)對(duì)》，載《當(dāng)代法學(xué)》2019年第1期。此外，各方的爭論還在于，面對(duì)日益復(fù)雜的網(wǎng)絡(luò)環(huán)境與日益嚴(yán)重的安全威脅，現(xiàn)有國際法是否足夠應(yīng)對(duì)？是否需要制定新的規(guī)則以及新的規(guī)則應(yīng)當(dāng)通過何平臺(tái)以何種形式制定？(2)參見Michael N. Schmitt, Trends in International Law for Cyberspace, CCDCOE (May 2019), https://ccdcoe.org/uploads/2019/05/Trends-Intlaw_a4_final.pdf，2020年9月14日最后訪問。在此背景下，供應(yīng)鏈安全作為新興的非傳統(tǒng)安全，已從一個(gè)單純的技術(shù)與產(chǎn)業(yè)問題，逐漸升格為政治與法律的博弈手段，嚴(yán)重威脅到網(wǎng)絡(luò)空間的安全與穩(wěn)定。由于供應(yīng)鏈安全難以通過對(duì)現(xiàn)有國際法的解釋適用予以應(yīng)對(duì)，國際社會(huì)亟需新的特殊規(guī)則。2015年，聯(lián)合國信息安全政府專家組(UN GGE)在其報(bào)告文件中提出了11條網(wǎng)絡(luò)空間負(fù)責(zé)任國家行為規(guī)范，其中的第9條便首次就供應(yīng)鏈安全問題給出了國際規(guī)則層面的行為指引。本文以此GGE供應(yīng)鏈規(guī)范(3)本文中各方提出的所有涉及供應(yīng)鏈的規(guī)范統(tǒng)稱為“供應(yīng)鏈規(guī)范”， “GGE供應(yīng)鏈規(guī)范”一詞特指2015年UN GGE報(bào)告提出的負(fù)責(zé)任國家行為規(guī)范第9條。文中最后提出的新規(guī)范稱為“總規(guī)范”。為基礎(chǔ)，結(jié)合聯(lián)合國開放式工作組(OEWG)與UN GGE的工作、談判進(jìn)展，研究提出相應(yīng)的改進(jìn)策略。

一、供應(yīng)鏈規(guī)范的興起與發(fā)展

隨著信息通信技術(shù)(ICT)產(chǎn)業(yè)朝著全球互通融合的方向發(fā)展，對(duì)供應(yīng)鏈的爭奪已從企業(yè)間單純的市場競爭向國家間的戰(zhàn)略競爭方向延伸，供應(yīng)鏈安全威脅已日益突破國家間的傳統(tǒng)界限而上升到國際層面。同時(shí)在網(wǎng)絡(luò)空間的國際立法中，談判所需的高昂時(shí)間成本使得以條約、習(xí)慣為代表的“硬法”難以滿足當(dāng)前需求，相對(duì)靈活的“軟法”規(guī)范治理開始受到重視。供應(yīng)鏈規(guī)范的興起正是二者相結(jié)合背景下的產(chǎn)物。

(一)全球供應(yīng)鏈安全威脅凸顯

當(dāng)今全球化的信息社會(huì)越來越依賴于ICT產(chǎn)品與服務(wù)，其對(duì)精密性的極高要求催生了一套復(fù)雜的全球供應(yīng)鏈體系。參考美國標(biāo)準(zhǔn)技術(shù)研究院(NIST)《聯(lián)邦信息系統(tǒng)供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐標(biāo)準(zhǔn)》文件中的定義：ICT系統(tǒng)的運(yùn)行依賴于全球分布而又互相聯(lián)系的供應(yīng)鏈生態(tài)系統(tǒng)，該生態(tài)系統(tǒng)包括制造商、供應(yīng)商(網(wǎng)絡(luò)供應(yīng)商和軟硬件供應(yīng)商)、系統(tǒng)集成商、采購商、終端用戶和外部服務(wù)提供商等各類實(shí)體，產(chǎn)品和服務(wù)的設(shè)計(jì)、研發(fā)、生產(chǎn)、分配、部署和使用等環(huán)節(jié)，以及技術(shù)、法律、政策等軟環(huán)境。(4)參見Jon Boyens et al., Supply Chain Risk Management Practices for Federal Information Systems and Organizations, NIST SP800-161 (Apr. 2015), p.1, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161.pdf，2020年9月14日最后訪問。任何一個(gè)環(huán)節(jié)中的風(fēng)險(xiǎn)漏洞，都可能給ICT產(chǎn)品與服務(wù)的有效運(yùn)作帶來巨大威脅。尤其是當(dāng)這類漏洞被網(wǎng)絡(luò)空間中的惡意行為體所利用時(shí)，將可能導(dǎo)致數(shù)據(jù)泄露、數(shù)據(jù)受損、系統(tǒng)失靈的后果，嚴(yán)重時(shí)甚至可擾亂社會(huì)環(huán)境，造成對(duì)財(cái)產(chǎn)和人員的物理損害。

然而，當(dāng)前在網(wǎng)絡(luò)空間通過供應(yīng)鏈實(shí)施的惡意行為屢見不鮮，供應(yīng)鏈攻擊因具有明顯的便捷性、(5)如通過ICT供應(yīng)鏈安插“后門”(back door)、實(shí)施遠(yuǎn)程操控等方式獲取情報(bào)，可極大的節(jié)約任務(wù)成本，同時(shí)避免現(xiàn)實(shí)中實(shí)施間諜行為所具有的高風(fēng)險(xiǎn)性。參見Ariel E. Levite, ICT Supply Chain Integrity: Principles for Governmental and Corporate Policies, Carnegie Endowment for International Peace (Oct. 2019), p.10, https://carnegieendowment.org/files/Levite_SupplyChain_final.pdf，2020年9月14日最后訪問。高效性(6)實(shí)施ICT供應(yīng)鏈攻擊與本國的技術(shù)環(huán)境與在供應(yīng)鏈中所處的特殊位置具有緊密聯(lián)系，因而技術(shù)強(qiáng)國、產(chǎn)業(yè)鏈分布集中之國家或地區(qū)具有實(shí)施供應(yīng)鏈攻擊的特殊能力，具有不對(duì)稱的戰(zhàn)略優(yōu)勢。此外，ICT供應(yīng)鏈攻擊可以直接對(duì)關(guān)鍵基礎(chǔ)設(shè)施或重要平臺(tái)(如核設(shè)施)實(shí)施精準(zhǔn)打擊。參見Ariel E. Levite, ICT Supply Chain Integrity: Principles for Governmental and Corporate Policies, Carnegie Endowment for International Peace (Oct. 2019), p.10. https://carnegieendowment.org/files/Levite_SupplyChain_final.pdf，2020年9月15日最后訪問。與隱蔽性(7)供應(yīng)鏈攻擊由于通?？梢杂邢喈?dāng)一段時(shí)間的潛伏期，在攻擊指令激活前不易被察覺，激活后對(duì)方也難以及時(shí)偵測，“零日漏洞”(zero-day)的存在表明用以避免損害結(jié)果發(fā)生的反應(yīng)時(shí)間并不充足。參見Jason Healey, The U.S. Government and Zero-Day Vulnerabilities: From Pre-Heartbleed to Shadow Brokers, Columbia Journal of International Affairs (Nov. 2016), https://jia.sipa.columbia.edu/sites/default/files/attachments/Healey%20VEP.pdf，2020年9月14日最后訪問；同時(shí)，當(dāng)前的技術(shù)水平也制約了受害方進(jìn)行準(zhǔn)確歸責(zé)的能力，在網(wǎng)絡(luò)空間如何進(jìn)行國際法上的有效歸責(zé)一直是一個(gè)棘手問題。參見Delbert Tran, The Law of Attribution: Rules for Attributing the Source of a Cyber-Attack, Yale Journal of Law & Technology, Vol.20: 1 (2018), pp.376-441；此外，供應(yīng)鏈攻擊還可借助合法的政策目標(biāo)作為偽裝，例如以打擊恐怖主義作為安插“后門”的借口。參見劉晴：《“五眼聯(lián)盟”力推“后門”合法化原因與影響》，載《中國信息安全》2019年第11期。而在實(shí)踐中越發(fā)為一些國家所青睞。一方面，通過技術(shù)手段實(shí)施的供應(yīng)鏈攻擊，可為國家贏取非對(duì)稱的戰(zhàn)略優(yōu)勢。早在2010年，美國與以色列即利用“震網(wǎng)”病毒，“無聲”地實(shí)現(xiàn)了打斷伊朗核計(jì)劃的戰(zhàn)略目標(biāo)。另一方面，通過政治化渲染，供應(yīng)鏈攻擊也可從廣義上理解為一種干涉和制裁的手段，借助技術(shù)出口管制措施，將供應(yīng)鏈“武器化”。(8)參見王天禪：《美國新興技術(shù)出口管制及其影響分析》，載《信息安全與通信保密》2020年第4期。如美國近段時(shí)間以來，借助中興、華為等事件，故意破壞對(duì)特定國家產(chǎn)品和服務(wù)的信任，通過逐漸提升對(duì)高新技術(shù)的“斷供”和“圍堵”措施，展現(xiàn)出將供應(yīng)鏈作為打擊手段從而破壞其他國家供應(yīng)鏈安全的威力。(9)參見桂暢旎：《對(duì)特朗普政府在信息通信領(lǐng)域供應(yīng)鏈安全政策的初步分析》，載《中國信息安全》2019年第6期。2020年新冠疫情下各國廣泛采取的旅游和貿(mào)易限制措施也使得國際供應(yīng)鏈體系受到嚴(yán)重?cái)_亂。疫情對(duì)各國供應(yīng)鏈自主性的考驗(yàn)，觸動(dòng)了此類國家加緊審視和調(diào)整自身的供應(yīng)鏈政策。疫情因素疊加各國對(duì)尖端科技爭奪的大背景，使得“技術(shù)民族主義”正逐漸抬頭。

在這一系列事件的累計(jì)作用下，ICT供應(yīng)鏈安全已成為網(wǎng)絡(luò)空間國際治理中的一項(xiàng)熱點(diǎn)議題，其安全與穩(wěn)定亟需制度保障。

(二)作為“軟法”的網(wǎng)絡(luò)空間規(guī)范治理漸趨主流

在當(dāng)前網(wǎng)絡(luò)空間的國際治理中，國際社會(huì)借助于UN GGE于2013年所達(dá)成的一份具有里程碑意義的報(bào)告文件，已就國際法原則上適用于網(wǎng)絡(luò)空間達(dá)成了重要共識(shí)。(10)參見United Nations General Assembly, Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, A /68 /98*, 24 June 2013, p.8, https://undocs.org/A/68/98，2020年9月15日最后訪問。而2015年報(bào)告則更進(jìn)一步提出了11條負(fù)責(zé)任國家行為規(guī)范作為對(duì)現(xiàn)有國際法適用于網(wǎng)絡(luò)空間中的重要補(bǔ)充，確認(rèn)了以這種自愿性、不具約束力的“軟法”規(guī)范來促進(jìn)國家在網(wǎng)絡(luò)空間中有序行為的主要規(guī)制方式。(11)參見黃志雄：《網(wǎng)絡(luò)空間負(fù)責(zé)任國家行為規(guī)范：源起、影響和應(yīng)對(duì)》，載《當(dāng)代法學(xué)》2019年第1期。此種規(guī)范治理既源于美國為代表的西方發(fā)達(dá)國家的推動(dòng)，也源于中俄等為代表的發(fā)展中國家的認(rèn)可：一方面，西方國家主張規(guī)范以其靈活的治理形式，更能適應(yīng)不斷變動(dòng)的技術(shù)特征，同時(shí)可借以繞開中俄等國呼吁制定有約束力的網(wǎng)絡(luò)空間條約的“不成熟”主張。(12)對(duì)美國等西方國家而言，當(dāng)前談判網(wǎng)絡(luò)空間條約的“不成熟”不僅在于國際層面上尚缺乏規(guī)則共識(shí)，還在于國內(nèi)程序上的制約。對(duì)于美國來說，條約在簽訂后需要經(jīng)過國會(huì)的批準(zhǔn)，其不僅耗費(fèi)時(shí)間，而且還面臨不被通過的風(fēng)險(xiǎn)。采用規(guī)范的形式則僅僅需要行政部門的授權(quán)即可，大大提高了美國政府參與國際規(guī)則塑造過程中的靈活性。參見Martha Finnemore & Ducan B. Hollis, Constructing Norms for Global Cybersecurity, The American Journal of International Law, Vol.110: 3 (Jul. 2016), pp.469-470.最重要的是，相較于條約只能由政府參與制定，規(guī)范可由企業(yè)、國際組織等非國家行為體提出的特性，(13)參見Martha Finnemore, Cybersecurity and the Concept of Norms, Carnegie Endowment for International Peace (Nov. 2017), p.3, https://carnegieendowment.org/files/Finnemore_web_final.pdf，2020年9月16日最后訪問。更好地契合了西方國家所倡導(dǎo)的“多利益攸關(guān)方”(multi-stakeholder)治理模式，(14)參見Eric Rosenbach & Shu Min Chong, Governing Cyberspace: State Control vs. The Multistakeholder Model, Belfer Center for Science and International Affairs, Harvard Kennedy School (Aug. 2019), https://www.belfercenter.org/publication/governing-cyberspace-state-control-vs-multistakeholder-model#toc-3-0-0，2020年9月15日最后訪問。方便其借助自身成熟的公民社會(huì)，鞏固網(wǎng)絡(luò)空間國際規(guī)則制定中的話語權(quán)優(yōu)勢地位。另一方面，規(guī)范被中俄等國視為在具有濃厚西方價(jià)值觀色彩的傳統(tǒng)國際法外開辟更廣闊規(guī)則塑造空間的重要路徑。以2011年上合組織成員國向聯(lián)大提交的《信息安全國際行為準(zhǔn)則》為代表，中俄等國最早提出了一套完整的網(wǎng)絡(luò)空間行為規(guī)范，意圖為網(wǎng)絡(luò)空間新規(guī)則的構(gòu)建引入范本。

正因如此，盡管網(wǎng)絡(luò)空間的國際治理體系正呈現(xiàn)出國際法、“軟法”規(guī)范、政治聲明、技術(shù)標(biāo)準(zhǔn)、社群倡議等治理措施并存的所謂“機(jī)制復(fù)合”(regime complex)現(xiàn)象，(15)參見Joseph S. Nye Jr., The Regime Complex for Governing Global Cyber Activities, Global Commission on Internet Governance Paper Series, 1. (May. 2014).規(guī)范治理正逐漸成為其中的主流。在聯(lián)合國大會(huì)2018年對(duì)成立聯(lián)合國信息安全開放式工作組(OEWG)和新一屆UN GGE的工作授權(quán)中，推動(dòng)負(fù)責(zé)任國家行為規(guī)范的進(jìn)一步實(shí)施與發(fā)展是其二者兼具的重要工作目標(biāo)。

在以上雙重背景的作用下，各方開始加速搶占供應(yīng)鏈安全領(lǐng)域的國際規(guī)則主導(dǎo)權(quán)，并以GGE供應(yīng)鏈規(guī)范為基礎(chǔ)達(dá)成了初步共識(shí)。

(三)GGE供應(yīng)鏈規(guī)范的誕生

當(dāng)前各種供應(yīng)鏈規(guī)范中，最重要、最有影響的無疑是UN GGE的工作成果。早在2010年，UN GGE的一份報(bào)告即呼吁各國關(guān)注供應(yīng)鏈中的安全風(fēng)險(xiǎn)，提到“各國擔(dān)心，信通技術(shù)供應(yīng)鏈會(huì)受到影響或破壞而妨礙正常、安全、可靠地使用信通技術(shù)。在信通技術(shù)中安裝惡意隱蔽功能會(huì)破壞對(duì)產(chǎn)品和服務(wù)的信心，削弱商業(yè)信任，并影響國家安全”。2013年UN GGE的報(bào)告建議：“各國應(yīng)鼓勵(lì)私營部門和公民社會(huì)在加強(qiáng)信通技術(shù)使用安全方面發(fā)揮適當(dāng)作用，包括信通技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈的安全。”隨后，UN GGE的2015年報(bào)告歷史性地提出了11條負(fù)責(zé)任國家行為規(guī)范，其中第9 條對(duì)各國如何確保ICT供應(yīng)鏈安全給出了專門指引：“各國應(yīng)采取合理措施，確保供應(yīng)鏈的完整性，使終端用戶可以對(duì)信通技術(shù)產(chǎn)品的安全性有信心。各國應(yīng)設(shè)法防止惡意信通技術(shù)工具和技術(shù)的擴(kuò)散以及使用有害的隱蔽功能。”

然而，GGE供應(yīng)鏈規(guī)范的誕生并未給該領(lǐng)域的討論畫下句號(hào)，各方仍在積極通過各種平臺(tái)補(bǔ)充新的規(guī)范提議，使得供應(yīng)鏈規(guī)范得以大量涌現(xiàn)。

(四)其他平臺(tái)供應(yīng)鏈規(guī)范的擴(kuò)增

在GGE供應(yīng)鏈規(guī)范誕生后，作為對(duì)它的細(xì)化或補(bǔ)充，大量供應(yīng)鏈規(guī)范開始相繼出現(xiàn)于其它多邊平臺(tái)中。例如，在2018年11月12日，法國主導(dǎo)提出了《網(wǎng)絡(luò)空間信任和安全巴黎倡議》(簡稱《巴黎倡議》)，提議“強(qiáng)化數(shù)字流程、產(chǎn)品和服務(wù)在其整個(gè)生命周期和供應(yīng)鏈中的安全性”。(16)Paris Call for Trust and Security in Cyberspace, France Diplomatie, https://www.diplomatie.gouv.fr/en/french-foreign-policy/digital-diplomacy/france-and-cyber-security/article/cybersecurity-paris-call-of-12-november-2018-for-trust-and-security-in，2020年9月16日最后訪問。

在跨國企業(yè)主導(dǎo)的多方合作倡議中，微軟于2017年提出《數(shù)字日內(nèi)瓦公約》，呼吁國家“避免在大眾市場的商業(yè)技術(shù)產(chǎn)品中插入或要求設(shè)置‘后門’”。(17)Brad Smith, The need for a Digital Geneva Convention, Microsoft (Feb.2017), https://blogs.microsoft.com/on-the-issues/2017/02/14/need-digital-geneva-convention/，2020年9月16日最后訪問。次年2018年4月，微軟又聯(lián)合了其它33家大型科技企業(yè)，啟動(dòng)并簽署了網(wǎng)絡(luò)安全《技術(shù)協(xié)議》，從企業(yè)自律的視角要求簽署者“在技術(shù)產(chǎn)品和服務(wù)的開發(fā)、設(shè)計(jì)、銷售和使用過程中防止其被篡改和利用”。(18)Cybersecurity Tech Accord, Microsoft (Apr.2018), https://cybertechaccord.org/about/，2020年9月16日最后訪問。同年，西門子也攜手合作伙伴簽署了網(wǎng)絡(luò)安全《信任憲章》，提出了企業(yè)與政府在數(shù)字供應(yīng)鏈中應(yīng)肩負(fù)的行為責(zé)任。(19)The Charter of Trust, Siemens (Feb 2018), https://www.charteroftrust.com/about/, 2020年9月18日最后訪問。

在多利益攸關(guān)方合作平臺(tái)中，全球網(wǎng)絡(luò)空間穩(wěn)定委員會(huì)(GCSC)在2019年11月發(fā)布了名為《推進(jìn)網(wǎng)絡(luò)空間穩(wěn)定》的最終報(bào)告文件，提出了8條具體規(guī)范作為該委員會(huì)的最終工作成果，其中的第3條要求：“國家和非國家行為體不應(yīng)干預(yù)或篡改處于生產(chǎn)過程中的產(chǎn)品和服務(wù)，同時(shí)應(yīng)積極防止此類行為發(fā)生，以避免損害網(wǎng)絡(luò)空間穩(wěn)定。”(20)Advancing Cyberstability: Final Report, Global Commission on the Stability of Cyberspace (Nov. 2019), https://cyberstability.org/wp-content/uploads/2019/11/Digital-GCSC-Final-Report-Nov-2019_LowRes.pdf，2020年9月17日最后訪問。

由此可見，通過利用多樣化渠道，各方正踴躍表達(dá)自身對(duì)供應(yīng)鏈安全的關(guān)切。但與此同時(shí)，隨著越來越多的國家及非國家行為體的加入，規(guī)范治理進(jìn)程中的碎片化傾向愈趨明顯，不同規(guī)范間難免存在著重復(fù)、抵觸乃至沖突的現(xiàn)象。

因而，當(dāng)前國際規(guī)則博弈中有關(guān)供應(yīng)鏈安全的爭議焦點(diǎn)在于：作為共識(shí)基礎(chǔ)的GGE供應(yīng)鏈規(guī)范是否足以應(yīng)對(duì)當(dāng)前的安全威脅？我們需要的是何種新規(guī)范？對(duì)此，本文的回答是現(xiàn)有GGE供應(yīng)鏈規(guī)范并不完善，未來新規(guī)范的補(bǔ)充勢在必行。

二、供應(yīng)鏈規(guī)范的內(nèi)容解析

2015年的GGE供應(yīng)鏈規(guī)范要求：“各國應(yīng)采取合理措施，確保供應(yīng)鏈的完整性，使終端用戶可以對(duì)信通技術(shù)產(chǎn)品的安全性有信心。各國應(yīng)設(shè)法防止惡意信通技術(shù)工具和技術(shù)的擴(kuò)散以及使用有害的隱蔽功能?！蓖ㄟ^對(duì)該規(guī)范所包含構(gòu)成要件的分析，筆者認(rèn)為，該規(guī)范既有一定的可取之處，但也同時(shí)蘊(yùn)藏風(fēng)險(xiǎn)和缺陷，需引起警覺并加以改進(jìn)。

(一)規(guī)范的結(jié)構(gòu)體系

從結(jié)構(gòu)上看，GGE供應(yīng)鏈規(guī)范由前后兩句組成。第一句確立了對(duì)供應(yīng)鏈的總體保護(hù)原則，要求各國積極采取措施保障供應(yīng)鏈的完整性，該保護(hù)行為的目的是確保終端產(chǎn)品的安全。第二句則從防止惡意技術(shù)擴(kuò)散和使用有害隱蔽功能的具體行為層面，從規(guī)范目的出發(fā)強(qiáng)調(diào)了防止此類行為的后果。就行為方式而言，不同于其它平臺(tái)提出的供應(yīng)鏈規(guī)范，該規(guī)范既有要求積極作為的義務(wù)，也有要求消極不作為的義務(wù)。(21)參見Oleg Demidov & Giacomo Persi Paoli, Supply Chain Security in the Cyber Age: Sector Trends, Current Threats and Multi-Stakeholder Responses, UNIDIR (2020) , pp.47-51, https://css.ethz.ch/content/dam/ethz/special-interest/gess/cis/center-for-securities-studies/resources/docs/UNIDIR_Supply-Chain-Security-in-the-Cyber%20Age.pdf，2020年9月18日最后訪問。

對(duì)于兩部分間的關(guān)聯(lián)問題，第二句應(yīng)理解為是對(duì)第一句的細(xì)化和強(qiáng)調(diào)，并在相當(dāng)程度上構(gòu)成了對(duì)其保護(hù)范圍的限縮。原因在于：首先，第一款實(shí)際暗中指向第二款所述的保護(hù)情形，使用有害的隱蔽功能實(shí)際上即指安插“后門”一類的供應(yīng)鏈攻擊方式，直接損害了供應(yīng)鏈的完整性，使得遭到惡意篡改的產(chǎn)品當(dāng)然地?zé)o法滿足終端用戶所期望的安全需求。其次，從UN GGE的談判歷程來看，保護(hù)供應(yīng)鏈安全項(xiàng)下的討論一直聚焦于使用有害的隱蔽功能這一特殊情形。例如，相比于2010年報(bào)告，2013年UN GGE的報(bào)告中沒有再以“供應(yīng)鏈會(huì)受到影響或破壞而妨礙正常、安全、可靠地使用信通技術(shù)”的宏觀表述去陳述供應(yīng)鏈安全威脅，而是具體表述為：“各國感到關(guān)切的是，把有害的隱蔽功能嵌入信通技術(shù)，即可影響信通技術(shù)的安全、可靠使用，影響信通技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈，削弱商業(yè)信任，并破壞國家安全?！倍?017年未能出臺(tái)的UN GGE報(bào)告草案中，對(duì)執(zhí)行GGE供應(yīng)鏈規(guī)范所給出的指引也專注于“各國應(yīng)采取措施，防止包括私營部門在內(nèi)的非國家行為體出于自身目的或其他非國家行為體的目的而使用有害的隱蔽功能，損害本國或他國領(lǐng)土內(nèi)之第三方的利益”，以及“建立可減輕對(duì)信息通信技術(shù)產(chǎn)品中有害的隱蔽功能的擔(dān)憂的信任措施，并鼓勵(lì)私營部門和公民社會(huì)在其中發(fā)揮適當(dāng)作用”。(22)參見Oleg Demidov & Giacomo Persi Paoli, Supply Chain Security in the Cyber Age: Sector Trends, Current Threats and Multi-Stakeholder Responses—TECHNICAL COMPENDIUM, UNIDIR (2020) , pp.68-69, https://unidir.org/sites/default/files/2020-02/Technical%20Compendium%20for%20Supply%20Chain%20Security%20in%20the%20Cyber%20Age.pdf，2020年9月18日最后訪問。因此，防止使用有害的隱蔽功能才是GGE供應(yīng)鏈規(guī)范意圖規(guī)制的核心行為。

(二)規(guī)范的意義與特點(diǎn)

就GGE供應(yīng)鏈規(guī)范本身在國際上已取得的影響而言，其意義是顯著的，至少有以下三個(gè)方面的特點(diǎn)：

首先，該規(guī)范具有開創(chuàng)性。作為國際上第一條真正意義上的供應(yīng)鏈規(guī)范， GGE供應(yīng)鏈規(guī)范的誕生，意味著將供應(yīng)鏈安全問題正式引入了網(wǎng)絡(luò)空間國際規(guī)則討論的多邊框架內(nèi)，使對(duì)供應(yīng)鏈安全問題的關(guān)注度超越了技術(shù)標(biāo)準(zhǔn)與國內(nèi)法層面，進(jìn)入到全新的國際規(guī)則領(lǐng)域。

其次，該規(guī)范具備權(quán)威性。不同于其它平臺(tái)的供應(yīng)鏈規(guī)范尚處于提案或倡議階段，GGE供應(yīng)鏈規(guī)范作為當(dāng)前國際社會(huì)就供應(yīng)鏈安全問題達(dá)成的唯一普遍共識(shí)，不僅獲得聯(lián)合國大會(huì)決議通過，還于G7、G20、東盟峰會(huì)等多邊場合中被一再重申。盡管不具有約束力，但作為國際軟法，其勸告和引導(dǎo)的作用效力是顯著的，擁有發(fā)展與塑造新的國際法規(guī)則的巨大潛力。(23)參見何志鵬：《逆全球化潮流與國際軟法的趨勢》，載《武漢大學(xué)學(xué)報(bào)(哲學(xué)與社會(huì)科學(xué)版)》2017年第4期。英國、加拿大、澳大利亞、東盟等國家和區(qū)域組織也在積極推動(dòng)規(guī)范在本國或本地區(qū)的實(shí)施。相比之下，盡管《巴黎倡議》也獲得了部分國家、跨國企業(yè)和國際組織的支持，但其本身意在開辟中美互聯(lián)網(wǎng)治理模式間的第三條道路的特性，(24)參見黃志雄：《互聯(lián)網(wǎng)監(jiān)管的“道路之爭”及其規(guī)則意蘊(yùn)》，載《法學(xué)評(píng)論》2019年第5期。決定了在缺乏中美等網(wǎng)絡(luò)大國直接支持的背景下，影響的范圍仍具有局限性。而其它如GCSC報(bào)告、微軟和西門子的提案也只是反映了某一類利益攸關(guān)方的利益關(guān)切。

最后，該規(guī)范擁有可擴(kuò)展性。在提出該規(guī)范的2015年UN GGE報(bào)告中，已意識(shí)到其作為特定時(shí)期內(nèi)特定國家間利益妥協(xié)的產(chǎn)物，時(shí)效性和完整性必然有所欠缺。故明確指出“鑒于信通技術(shù)的獨(dú)特屬性，可能需要在一段時(shí)間后制定更多規(guī)范”，為新規(guī)范的補(bǔ)充提供了可能。因此，良好的擴(kuò)展性不僅可以保證規(guī)范在技術(shù)的變遷下保持持久的生命力，還可以修正因此前UN GGE進(jìn)程中專家成員代表性限制問題而導(dǎo)致的利益失衡。(25)參見戴麗娜，鄭樂鋒：《聯(lián)合國網(wǎng)絡(luò)安全規(guī)則進(jìn)程的新進(jìn)展及其變革與前景》，載《國外社會(huì)科學(xué)前沿》2020年第4期。特別是在2019年，聯(lián)合國開啟了具有廣泛包容性的OEWG進(jìn)程后，許多首次獲得參與機(jī)會(huì)的發(fā)展中國家和國際組織代表，無論在正式會(huì)議抑或是與多利益攸關(guān)方的非正式磋商中，都明確表達(dá)了期望補(bǔ)充新規(guī)范的立場。

(三)規(guī)范蘊(yùn)含的風(fēng)險(xiǎn)與缺陷

之所以會(huì)有補(bǔ)充新規(guī)范的必要，是因?yàn)楫?dāng)前GGE供應(yīng)鏈規(guī)范仍不乏風(fēng)險(xiǎn)與缺陷。為此，本文梳理了當(dāng)前GGE供應(yīng)鏈規(guī)范中可能存有爭議的五大方面，吁請(qǐng)各方警覺并擇機(jī)改進(jìn)。

1.尚待明確的“合理措施”(reasonable steps)。GGE供應(yīng)鏈規(guī)范要求各國采取合理措施來保障供應(yīng)鏈安全，但首先何為合理措施不明確。(26)參見Tim Maurer, A Dose of Realism: The Contestation and Politics of Cyber Norms, Hague Journal on the Rule of Law (2020), pp. 283-305.對(duì)于措施合理性的統(tǒng)一判斷，當(dāng)前不僅缺乏專門針對(duì)此類行為形成的官方解釋或指南文件，也缺乏國際法提供的明確背書。例如，有學(xué)者分析指出：GGE供應(yīng)鏈規(guī)范立基于國際法上的審慎原則，國家所需采取的措施理應(yīng)滿足審慎義務(wù)的標(biāo)準(zhǔn)要求。(27)參見Zine Homburger, Conceptual Ambiguity of International Norms on State Behavior in Cyberspace, EU Cyber Direct (Apr. 2019), p.16, https://eucyberdirect.eu/wp-content/uploads/2019/05/zine-homburger-conceptual-ambiguity-of-norms-april-2019-eucyberdirect.pdf，2020年9月19日最后訪問。然而，并非所有國家都贊同審慎原則當(dāng)然地適用于網(wǎng)絡(luò)空間，作為各方爭論的焦點(diǎn)，對(duì)于網(wǎng)絡(luò)環(huán)境下國家承擔(dān)怎樣的審慎義務(wù)是極具爭議而不明確的，(28)參見Peter Z. Stockburger, From grey zone to customary international law: How adopting the precautionary principle may help crystallize the due diligence principle in cyberspace, 2018 10th International Conference on Cyber Conflict (CyCon), Tallinn, 2018, pp. 245-262.存在內(nèi)涵、適用標(biāo)準(zhǔn)以及適用條件等上的不確定性。(29)參見張華：《論非國家行為體之網(wǎng)絡(luò)攻擊的國際法律責(zé)任問題——基于審慎原則的分析》，載《法學(xué)評(píng)論》2019年第5期。盡管有學(xué)者通過梳理國家實(shí)踐，試圖找出當(dāng)前各國在審慎義務(wù)要求下所應(yīng)采取的合理措施范圍，但這些涵蓋法律、技術(shù)、組織、合作的措施總體上看仍是不完全且寬泛的，僅具指向性而非約束性的。(30)參見Antonio Coco & Talita de Souza Dias, States’ Duty of Due Diligence in Cyberspace, presentation at ESIL KRAKW-LEIDEN SYMPOSIUM: Exploring the Frontiers of International Law in Cyberspace (Dec. 2020).

其次，國家采取合理措施的能力與其技術(shù)能力緊密相關(guān)，國際法上的審慎義務(wù)也只要求國家在知情與能力的范圍內(nèi)采取行動(dòng)，制約了合理性標(biāo)準(zhǔn)的客觀統(tǒng)一性。ICT供應(yīng)鏈往往涉及到復(fù)雜精密的技術(shù)，對(duì)國家的風(fēng)險(xiǎn)識(shí)別和管控能力要求較高，加之國際上針對(duì)網(wǎng)絡(luò)攻擊歸因的非公開性特點(diǎn)，(31)通過發(fā)表演說、公布國家立場文件等方式，大多數(shù)已表明觀點(diǎn)的國家目前都明確承認(rèn)歸因的非公開性，這些國家具體包括英國、美國、法國、澳大利亞、荷蘭。參見Przemysaw Roguski, Application of International Law to Cyber Operations: A Comparative Analysis of States’ Views, The Hague Program For Cyber Norms Policy Brief (Mar. 2020), pp.13-17.加劇了網(wǎng)絡(luò)能力匱乏國家受到不合理歸因的可能性。故而，一定的能力是使規(guī)范獲得有效推行的前提條件。(32)參見Zine Homburger, The Necessity and Pitfall of Cybersecurity Capacity Building for Norm Development in Cyberspace, Global Society, Vol.33: 2 (Jan. 2019), pp.230-231.正如有評(píng)論認(rèn)為：各方還應(yīng)非常重視能力建設(shè)措施，通過提升關(guān)鍵節(jié)點(diǎn)的技術(shù)能力，幫助其完善法治環(huán)境，并在必要時(shí)提供協(xié)助來保障供應(yīng)鏈安全。(33)參見Caitriona Heinl, Recommendation 13(i), in Voluntary, Non-Binding Norms for Responsible State Behavior in the Use of Information and Communications Technology: A Commentary, New York: United Nations Publications (2017), pp. 234-235.

最后，國家是否采取了合理措施由誰來判定？(34)參見Tim Maurer, A Dose of Realism: The Contestation and Politics of Cyber Norms, Hague Journal on the Rule of Law (2020), pp. 283-305.理論上，規(guī)范既不同于事后(expost)對(duì)行為進(jìn)行評(píng)價(jià)的標(biāo)準(zhǔn)，也不同于事前(exante)對(duì)行為進(jìn)行指導(dǎo)的原則與對(duì)行為進(jìn)行規(guī)制的規(guī)則，(35)參見Martha Finnemore & Ducan B. Hollis, Constructing Norms for Global Cybersecurity, The American Journal of International Law, Vol.110: 3 (Jul. 2016), p.441.規(guī)范指的是“給定群體范圍內(nèi)對(duì)成員恰當(dāng)行為的共同期望”。(36)參見Peter J. Katzenstein, Introduction: Alternative Perspectives on National Security, in Peter J. Katzenstein ed., The Culture of National Security: Norms and Identity in World Politics, Columbia University Press, 1996.因而對(duì)于這樣一條不具約束力的規(guī)范來說，理論上無所謂來源于更高位階者的權(quán)威評(píng)判，有的只是來自同集體成員間的評(píng)價(jià)。然而當(dāng)前各方不僅缺乏實(shí)施規(guī)范的具體舉措的共同理解，集體監(jiān)督機(jī)制的缺失也制約了實(shí)踐中采取措施的統(tǒng)一性。此時(shí)，互相間借助“點(diǎn)名羞辱”(naming and shaming)甚至指控(accusation)的方式對(duì)自認(rèn)為違反規(guī)范的國家施加惡名評(píng)價(jià)，(37)參見Martha Finnemore & Duncan B. Hollis, Beyond Naming and Shaming: Accusations and International Law in Cybersecurity, European Journal of International Law (forthcoming 2020).以達(dá)到單邊推動(dòng)規(guī)范遵行并推廣自身行為標(biāo)準(zhǔn)的目的，(38)例如美國等27國在2019年9月發(fā)表聯(lián)合聲明，意圖在集體自愿的基礎(chǔ)上共同采取措施，要求違反規(guī)范的國家為惡意行為承擔(dān)后果。參見Joint Statement on Advancing Responsible State Behavior in Cyberspace, U.S. Department of Sates (Sep. 2019), https://www.state.gov/joint-statement-on-advancing-responsible-state-behavior-in-cyberspace/，2020年9月19日最后訪問。只能是助長了無序環(huán)境中的混亂。

2.片面地以“完整”(integrity)促“安全”(security)。從條文表述來看，GGE供應(yīng)鏈規(guī)范中的首要關(guān)切是確保完整性，并進(jìn)而促進(jìn)安全性。由此可見，安全保障只是附隨于完整性保障的結(jié)果，完整性保障水平的高低決定了供應(yīng)鏈的安全層次。盡管完整性的概念并不是固定的，根據(jù)定義場景與使用背景的不同而可能內(nèi)在地包含一定的安全性因素，(39)參見Supply Chain Integrity: An Overview of the ICT Supply Chain Risks and Challenges, and Vision for the Way Forward, European Union Agency for Cybersecurity (Aug. 2015), https://www.enisa.europa.eu/publications/sci-2015，2020年9月19日最后訪問。然而關(guān)于廣義上的供應(yīng)鏈安全具體包含哪些要件當(dāng)前尚無統(tǒng)一概念，美國NIST的指南文件中就區(qū)分出了安全、完整、彈性和優(yōu)質(zhì)四大要素。參見Jon Boyens et al., Supply Chain Risk Management Practices for Federal Information Systems and Organizations, NIST SP800-161 (Apr. 2015), p.3, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161.pdf，2020年9月20日最后訪問。但只對(duì)供應(yīng)鏈完整性進(jìn)行強(qiáng)調(diào)，恰恰在一定程度上反映了對(duì)使用有害的隱蔽功能這一具體情形的過度關(guān)注。如同其它平臺(tái)提出的供應(yīng)鏈規(guī)范也多類似地聚焦于植入“后門”問題，如此有限的保護(hù)范圍使得完整性保障并不能反映供應(yīng)鏈安全的全貌。該規(guī)范之所以強(qiáng)調(diào)以“完整”促“安全”，筆者認(rèn)為更多的是反映西方國家的利益和關(guān)切。對(duì)此，首先針對(duì)整個(gè)供應(yīng)鏈生態(tài)系統(tǒng)，筆者將之劃分為兩類安全觀，一是西方國家所倚重的“技術(shù)安全觀”，更為關(guān)注的是供應(yīng)鏈中所潛藏的技術(shù)攻擊威脅；二是中國等發(fā)展中國家所注重的“環(huán)境安全觀”，更為關(guān)注的是對(duì)圍繞供應(yīng)鏈的法律、政策、市場等軟環(huán)境造成的干預(yù)和擾亂。導(dǎo)致兩種安全觀之間差異的因素是各方對(duì)供應(yīng)鏈安全威脅的不同感知。

然而這樣的“技術(shù)安全觀”并不完善，“環(huán)境安全觀”的補(bǔ)充則更能呈現(xiàn)出整個(gè)供應(yīng)鏈的安全全貌。早在2011年，中俄等上合組織成員國提出的《信息安全國際行為準(zhǔn)則》中就提出了自身的供應(yīng)鏈規(guī)范，該規(guī)范在2015年更新后指出：各國應(yīng)承諾“努力確保信息技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈的安全，防止他國利用自身資源、關(guān)鍵設(shè)施、核心技術(shù)、信息通訊技術(shù)產(chǎn)品和服務(wù)、信息通訊網(wǎng)絡(luò)及其他優(yōu)勢，削弱接受上述行為準(zhǔn)則國家對(duì)信息通訊技術(shù)產(chǎn)品和服務(wù)的自主控制權(quán)，或威脅其政治、經(jīng)濟(jì)和社會(huì)安全?！?44)《信息安全國際行為準(zhǔn)則(2015年版)》，載外交部網(wǎng)站2015年3月5日，http://infogate.fmprc.gov.cn/web/ziliao_674904/tytj_674911/zcwj_674915/t858317.shtml，2020年9月19日最后訪問。中國于2017年發(fā)布的《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》中，也尤其強(qiáng)調(diào)了“各國不得利用信息通信技術(shù)干涉別國內(nèi)政，不得利用自身優(yōu)勢損害別國信息通信技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈安全”的規(guī)范要求。(45)《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》，中央網(wǎng)信辦網(wǎng)站2017年3月1日，http://www.cac.gov.cn/2017-03/01/c_1120552617.htm，2020年9月19日最后訪問。在2019年OEWG第一次會(huì)議有關(guān)負(fù)責(zé)任國家行為規(guī)范的討論中，中國更是提出了多條新供應(yīng)鏈規(guī)范，包括：“各國應(yīng)維護(hù)公平、公正、非歧視的營商環(huán)境。不應(yīng)濫用‘國家安全’理由限制正常信息通信技術(shù)發(fā)展與合作、限制信息通信技術(shù)產(chǎn)品的市場準(zhǔn)入及高新技術(shù)產(chǎn)品出口。”(46)聯(lián)合國信息安全開放式工作組中方立場文件，https://www.un.org/disarmament/wp-content/uploads/2019/09/china-submissions-oewg-ch.pdf，2020年9月19日最后訪問。在2020年3月公布的OEWG首份報(bào)告草案中，多項(xiàng)考慮擬定的新規(guī)范中只是就供應(yīng)鏈安全問題籠統(tǒng)地提及：“有國家表示出于對(duì)有害隱蔽功能的擔(dān)憂，需進(jìn)一步增進(jìn)供應(yīng)鏈的完整性，加強(qiáng)漏洞通報(bào)的責(zé)任。”(47)Initial “Pre-draft” of the report of the OEWG on developments in the field of information and telecommunications in the context of international security, p.7, https://unoda-web.s3.amazonaws.com/wp-content/uploads/2020/03/200311-Pre-Draft-OEWG-ICT.pdf, 2020年9月19日最后訪問。這不僅沒有明確吸納中國等國提及的保護(hù)供應(yīng)鏈不受惡意政策擾亂的安全關(guān)切，也未能對(duì)已有規(guī)范形成實(shí)質(zhì)性突破。(48)陳徽、夏宇清：《2020年上半年國際供應(yīng)鏈安全形勢與對(duì)策建議》，載《中國信息安全》2020年第7期。為此，中國在對(duì)報(bào)告草案的評(píng)論中再次強(qiáng)調(diào)了增添保障供應(yīng)鏈環(huán)境安全穩(wěn)定的新規(guī)范的堅(jiān)定立場，(49)China’s Contribution to the Initial Pre-Draft of OEWG Report, https://front.un-arm.org/wp-content/uploads/2020/04/china-contribution-to-oewg-pre-draft-report-final.pdf, 2020年9月20日最后訪問。并得到了來自俄羅斯的全力支持。(50)Commentary of the Russian Federation on the Initial “Pre-Draft” of the Final Report of the United Nations Open-ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security, https://front.un-arm.org/wp-content/uploads/2020/04/russian-commentary-on-oweg-zero-draft-report-eng.pdf, 2020年9月20日最后訪問。有關(guān)新規(guī)范的部分內(nèi)容還延續(xù)反映在了2020年9月8日提出的《全球數(shù)據(jù)安全倡議》中，(51)參見《全球數(shù)據(jù)安全倡議》，載外交部網(wǎng)站2020年9月8日，https://www.fmprc.gov.cn/web/wjbzhd/t1812949.shtml，2020年9月20日最后訪問進(jìn)一步顯示出中國對(duì)于供應(yīng)鏈環(huán)境安全的高度關(guān)切與迫切需求。

理論上，根據(jù)國際法院在“尼加拉瓜”案中確定的傳統(tǒng)干涉公式，干涉必須具有強(qiáng)迫性(coercion)。(55)參見Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. United States of America), Merits, Judgment. I.C.J. Reports 1986.在第9版《奧本海國際法》中也指出，干涉是“一個(gè)國家對(duì)另一個(gè)國家的事務(wù)的強(qiáng)制的或?qū)嗟母深A(yù)，旨在針對(duì)另一個(gè)國家強(qiáng)加某種行為或后果”。(56)[英]詹寧斯、瓦茨修訂：《奧本海國際法(第9版)》，王鐵崖等譯，中國大百科全書出版社1995年版，第313-315頁。在一個(gè)國際互賴日益加深、國際分工高度成熟分化的全球ICT產(chǎn)業(yè)體系中，美國作為高端技術(shù)壟斷者，單方面對(duì)中國的華為等公司施加高端技術(shù)貿(mào)易禁令的制裁措施，并在中美貿(mào)易戰(zhàn)導(dǎo)致“技術(shù)脫鉤”風(fēng)險(xiǎn)加劇的背景下，要求他國就相關(guān)技術(shù)問題“選邊站隊(duì)”的行為，乃是通過供應(yīng)鏈綁架他國利益，迫使他國做出符合自身目標(biāo)的政策調(diào)整，不適當(dāng)?shù)赜绊懥怂麌闹鳈?quán)意愿，無疑具有明顯的強(qiáng)迫性因素，構(gòu)成經(jīng)濟(jì)干涉。早在2012年聯(lián)合國人權(quán)事務(wù)高級(jí)專員辦事處在關(guān)于單方面強(qiáng)制性措施對(duì)享受人權(quán)的影響的專題研究報(bào)告中即指出：“具有經(jīng)濟(jì)性質(zhì)的單方面強(qiáng)制性措施可能會(huì)構(gòu)成非法干涉的觀點(diǎn)已成為一種日益加強(qiáng)的趨勢，并為許多會(huì)員國所認(rèn)可。”(57)United Nations Human Rights Council, Thematic study of the Office of the United Nations High Commissioner for Human Rights on the impact of unilateral coercive measures on the enjoyment of human rights, including recommendations on actions aimed at ending such measures*, A/HRC/19/33, 11 January 2012, p.5, https://undocs.org/A/HRC/19/33，2020年9月19日最后訪問。

換一個(gè)角度來說，現(xiàn)代國際法對(duì)非強(qiáng)迫性干涉行為可以構(gòu)成國際法上禁止的非法干涉的觀點(diǎn)也持越來越開放的態(tài)度。這一派觀點(diǎn)認(rèn)為國際法禁止的干涉絕大多數(shù)都是強(qiáng)迫性干涉，但也存在極個(gè)別非強(qiáng)迫性干涉的情況。(58)參見陳一峰：《論當(dāng)代國際法上的不干涉原則》，北京大學(xué)出版社2013年版，第120頁。對(duì)于一個(gè)高度交融的國際經(jīng)濟(jì)體系，應(yīng)當(dāng)謹(jǐn)慎區(qū)分出非強(qiáng)迫性干涉與正常國際影響間的界限，此界限取決于干涉對(duì)象所涉及到的一國法律利益的重要性和敏感性程度。根據(jù)滑動(dòng)比例理論，當(dāng)干涉對(duì)象的重要性和敏感性程度越高，認(rèn)定其構(gòu)成非法干涉的手段之強(qiáng)迫性程度要求就越低。(59)參見陳一峰：《論當(dāng)代國際法上的不干涉原則》，北京大學(xué)出版社2013年版，第153-154頁。就“環(huán)境安全觀”下所感知的供應(yīng)鏈干預(yù)而言，干預(yù)行為的最終目的在于擾亂一國的戰(zhàn)略目標(biāo)，乃至在法律、政策和市場環(huán)境等方面的主權(quán)事務(wù)。對(duì)于5G等構(gòu)筑下一代關(guān)鍵基礎(chǔ)設(shè)施的新興技術(shù)而言，由于其關(guān)系到國家的長期重大戰(zhàn)略利益，關(guān)涉國家總體安全，重要性和敏感性程度顯著高于一般的經(jīng)濟(jì)活動(dòng)。(60)參見付玉輝：《從國家總體安全觀到5G產(chǎn)業(yè)安全戰(zhàn)略》，載《中國信息安全》2019年第7期。即便手段的強(qiáng)迫性特征不甚明顯，也使得此類干預(yù)行為更易落入非強(qiáng)迫性干涉的范圍之內(nèi)。

實(shí)踐中，西方發(fā)達(dá)國家利用自身作為供應(yīng)鏈頂端的優(yōu)勢推行對(duì)外政策的做法也由來已久?！半S著國際經(jīng)濟(jì)的一體化，企業(yè)社會(huì)責(zé)任運(yùn)動(dòng)已逐漸擴(kuò)展至跨國企業(yè)的供應(yīng)鏈上，并蔓延到非跨國企業(yè)的商業(yè)行為當(dāng)中，從而形成了普遍意義上的企業(yè)的社會(huì)責(zé)任”。(61)李雪平：《企業(yè)社會(huì)責(zé)任問題給國際法帶來的挑戰(zhàn)》，載《法學(xué)評(píng)論》2007年第5期，第85頁在這一進(jìn)程中，企業(yè)社會(huì)責(zé)任的國際標(biāo)準(zhǔn)化使得其效力超越了傳統(tǒng)的國際關(guān)系的范圍。“即使有主權(quán)國家對(duì)企業(yè)社會(huì)責(zé)任的國際標(biāo)準(zhǔn)‘拒之門外’，但其他國家國內(nèi)企業(yè)對(duì)該標(biāo)準(zhǔn)的適用及其在國際商業(yè)競爭中的要求，必然會(huì)導(dǎo)致該標(biāo)準(zhǔn)的域外效力，從而影響到該主權(quán)國家國內(nèi)的企業(yè)”。(62)李雪平：《企業(yè)社會(huì)責(zé)任問題給國際法帶來的挑戰(zhàn)》，載《法學(xué)評(píng)論》2007年第5期，第89頁。舉例而言，2010年剛果民主共和國發(fā)生了嚴(yán)重的內(nèi)亂，各方對(duì)礦產(chǎn)開采的爭奪明顯促進(jìn)了沖突的傳播。美國作為這類沖突礦產(chǎn)的最主要證券交易市場所在地，通過國內(nèi)出臺(tái)《多德—弗蘭克法案》，要求公司盡職調(diào)查是否有涉及到此類礦產(chǎn)的供應(yīng)鏈，并向美國證券交易委員會(huì)(SEC)做出披露報(bào)告，使得SEC逐漸成為了對(duì)證券交易所上市公司供應(yīng)鏈中涉及潛在沖突礦產(chǎn)的管理機(jī)構(gòu)。此舉迫使許多無論是否在美國上市的企業(yè)，都傾向于在自身商業(yè)行為準(zhǔn)則中規(guī)避對(duì)“沖突礦產(chǎn)”的采購。類似地，歐盟2016年通過的《沖突礦產(chǎn)法規(guī)》也承諾，錫、鉭、鎢、金四種金屬(3TG)的進(jìn)口商將以《OECD關(guān)于來自受沖突影響和高風(fēng)險(xiǎn)區(qū)域的礦產(chǎn)的負(fù)責(zé)任供應(yīng)鏈盡職調(diào)查指南》為指導(dǎo)，打破礦產(chǎn)品貿(mào)易為沖突提供資金的惡性循環(huán)。盡管此舉有助于平息紛爭保護(hù)人權(quán)，但也成功干預(yù)了國際供應(yīng)鏈對(duì)民主剛果礦物的采購，實(shí)現(xiàn)了國內(nèi)法/歐盟法的域外效力。

此外，美國近來通過對(duì)次級(jí)制裁方式日益廣泛且頻繁的使用，也在嚴(yán)重威脅著以主權(quán)平等原則為基礎(chǔ)的國際秩序?！巴ㄟ^對(duì)第三國及其個(gè)人和實(shí)體采取強(qiáng)制性懲罰措施，迫使其停止與被制裁國之間經(jīng)濟(jì)往來的方式，顯然違反了尊重他國主權(quán)的義務(wù)，違反了主權(quán)原則與不干涉他國內(nèi)政原則?！?63)楊永紅：《次級(jí)制裁及其反制》，載《法商研究》2019年第3期，第172頁。從美國單邊退出伊核協(xié)議后施壓歐盟的次級(jí)制裁威脅，到推出針對(duì)德國與俄羅斯間“北溪二號(hào)”項(xiàng)目的制裁法案，再到以國家安全為由肆意將中國科技公司列入“實(shí)體名單”，限制高端芯片及操作系統(tǒng)等軟硬件產(chǎn)品的供應(yīng)并制裁違規(guī)企業(yè)等，美國正以供應(yīng)鏈作為傳導(dǎo)，將施加次級(jí)制裁的能力和范圍推向新的高度。這不僅損害了國家間正常的經(jīng)貿(mào)關(guān)系，也給全球政治穩(wěn)定造成了極大破壞。

3.狹窄的“終端用戶”(end user)保護(hù)群體。根據(jù)GGE供應(yīng)鏈規(guī)范的表述，保護(hù)的對(duì)象被設(shè)定為終端用戶，終端用戶是指在ICT系統(tǒng)中所服務(wù)的最終受益者。無疑，西方國家作為世界上ICT產(chǎn)品與服務(wù)的主要消費(fèi)市場，具有明顯的終端用戶特征，也是許多供應(yīng)鏈攻擊所指向的對(duì)象。然而，整個(gè)ICT產(chǎn)品與服務(wù)的生命周期內(nèi)所涉供應(yīng)鏈環(huán)節(jié)眾多，任何一個(gè)節(jié)點(diǎn)的漏洞都可能給整條供應(yīng)鏈帶來安全威脅，受攻擊的目標(biāo)不只有終端用戶，還包括每一節(jié)點(diǎn)上的供應(yīng)商，因此GGE供應(yīng)鏈規(guī)范保護(hù)的覆蓋范圍并不全面。有調(diào)查顯示，企業(yè)對(duì)自身防范來自供應(yīng)鏈中商業(yè)伙伴威脅的能力同樣感到普遍焦慮。(64)2019 Global Cyber Risk Perception Survey, Marsh (Sep. 2019), p.18, https://www.microsoft.com/security/blog/wp-content/uploads/2019/09/Marsh-Microsoft-2019-Global-Cyber-Risk-Perception-Survey.pdf，2020年9月19日最后訪問。當(dāng)研發(fā)商惡意提供帶有缺陷的零部件設(shè)計(jì)圖紙給制造商，制造商按設(shè)計(jì)所指示之步驟進(jìn)行生產(chǎn)時(shí)導(dǎo)致設(shè)備毀損，此時(shí)便使得非終端用戶的制造商成為了供應(yīng)鏈攻擊的受害者。(65)參見John Villasenor, Compromised By Design? Securing the Defense Electronics Supply Chain, Center for Technology Innovation & Center for 21st Century Security and Intelligence, Brookings (Nov. 2013), https://www.brookings.edu/wp-content/uploads/2016/06/Villasenor_HW_Security_Nov7.pdf，2020年9月19日最后訪問。再如，終端用戶在沒有明顯證據(jù)的情況下，惡意排除特定企業(yè)對(duì)市場的參與，損害的恰恰是供應(yīng)商平等參與供應(yīng)鏈的權(quán)利。因此，良好的供應(yīng)鏈生態(tài)不僅需要供應(yīng)鏈上下游間的協(xié)同合作，也需要與終端用戶間培育良好的商業(yè)關(guān)系。

4.缺乏限制的安全“信心”(confidence)標(biāo)準(zhǔn)。GGE供應(yīng)鏈規(guī)范中將供應(yīng)鏈完整性所需達(dá)到的安全評(píng)估標(biāo)準(zhǔn)建立于高度不確定的主觀因素上，即達(dá)到終端用戶對(duì)“對(duì)信通技術(shù)產(chǎn)品的安全性有信心”。

對(duì)安全評(píng)估標(biāo)準(zhǔn)的如是設(shè)置，積極的一面在于：ICT產(chǎn)品與服務(wù)本就不具有絕對(duì)的安全性，科技發(fā)展使得產(chǎn)品和服務(wù)的安全性會(huì)隨著時(shí)間的流逝而改變，用戶的信心標(biāo)準(zhǔn)也會(huì)是一個(gè)相應(yīng)的動(dòng)態(tài)過程，信心標(biāo)準(zhǔn)相當(dāng)于否認(rèn)了絕對(duì)的安全觀。該過程中，不同的產(chǎn)品與服務(wù)視特性的不同將承諾不同的保障期限，在安全承諾期限內(nèi)，供應(yīng)商有必要以各種方式確保用戶維持必要的安全信心。比如產(chǎn)品硬件可通過部件升級(jí)來提升安全性，軟件服務(wù)則可通過及時(shí)的補(bǔ)丁更新以進(jìn)行修補(bǔ)，必要的風(fēng)險(xiǎn)提示與漏洞披露政策也都有助于維持用戶的安全信心。這也決定了供應(yīng)商不得利用用戶的依賴性，而強(qiáng)迫用戶采取不必要的升級(jí)或更新?lián)Q代等措施，因?yàn)檫@反倒有可能減損信任關(guān)系。

但同時(shí)，這一標(biāo)準(zhǔn)消極的一面在于：針對(duì)用戶經(jīng)供應(yīng)鏈獲取的產(chǎn)品和服務(wù)，信心不僅可以是源于對(duì)技術(shù)的信任，也可以是源于對(duì)法律、政策、市場等軟環(huán)境的寬泛的信任，(66)參見Paul Rosenzweig & Claire Vishik, Trusted Hardware and Software: An Annotated Bibliography, Lawfare (Oct. 2020), https://www.lawfareblog.com/trusted-hardware-and-software-annotated-bibliography，2020年12月15日最后訪問。然而這樣的模糊性卻缺乏必要的限制。從美國近來施壓中國企業(yè)的表態(tài)似乎可以看出，美國將自己的信心標(biāo)準(zhǔn)擴(kuò)張到一個(gè)非常寬泛的范圍，其對(duì)中國企業(yè)產(chǎn)品的不信任，并不直接來源于產(chǎn)品依賴的技術(shù)本身，而是來自于對(duì)中國軟環(huán)境的疑慮。據(jù)美中經(jīng)濟(jì)安全審查委員會(huì)2018年向國會(huì)提交的一份針對(duì)美國聯(lián)邦I(lǐng)CT系統(tǒng)中中國供應(yīng)鏈安全隱患的報(bào)告顯示，美國認(rèn)為中國的供應(yīng)鏈體系在很大程度上為中國的政治、經(jīng)濟(jì)利益服務(wù)。報(bào)告中提到：伴隨著政策引導(dǎo)，中國正在向產(chǎn)業(yè)鏈上游擴(kuò)張，擠壓了外資的生存空間，使得中國得以接觸更多的供應(yīng)鏈節(jié)點(diǎn)，而中國的《國家安全法》和《網(wǎng)絡(luò)安全法》賦予了政府以安全審查的名義，強(qiáng)迫外資提供知識(shí)產(chǎn)權(quán)或其他重要商業(yè)財(cái)產(chǎn)如源代碼以供審查的權(quán)限，嚴(yán)重威脅了美國聯(lián)邦政府的ICT系統(tǒng)安全。(67)參見Supply Chain Vulnerabilities from China in U.S. Federal Information and Communications Technology, U.S.-China Economic and Security Review Commission (Apr. 2018), pp.19-23. https://www.uscc.gov/sites/default/files/Research/Interos_Supply%20Chain%20Vulnerabilities%20from%20China%20in%20U.S.%20Federal%20ICT_final.pdf，2020年9月19日最后訪問。在當(dāng)前華為5G的問題上，美國同樣是基于對(duì)中國軟環(huán)境的指控來實(shí)施打壓，而非確鑿的技術(shù)證據(jù)。例如，一份來自北約合作網(wǎng)絡(luò)防御卓越中心(CCDCOE)的研究報(bào)告無端指稱：中國“具有深重的網(wǎng)絡(luò)間諜行為劣跡”，2015年頒布的《反恐怖主義法》以及2017年頒布的《國家情報(bào)法》為中國政府以國家安全的名義安插“后門”提供了授權(quán)。此外，報(bào)告還指出華為公司與中國軍方和情報(bào)部門間的關(guān)系，以及黨組織在公司中的作用總是不明確的。(68)參見Kadri Kaska, Henrik Beckvard & Tomas Minarik, Huawei, 5G and China as a Security Threat, CCDCOE (2019), p.11, https://ccdcoe.org/uploads/2019/03/CCDCOE-Huawei-2019-03-28-FINAL.pdf，2020年9月18日最后訪問。美國主導(dǎo)的《5G布拉格提案》同樣是將安全信心建立于寬泛的因素上，指出：“網(wǎng)絡(luò)安全不僅是純粹的技術(shù)問題，還在于充分的國家戰(zhàn)略、合理的政策、完善的法律框架、以及專職的人員保障上?！?69)The Prague Proposals, Government of the Czech Public, https://www.vlada.cz/en/media-centrum/aktualne/prague-5g-security-conference-announced-series-of-recommendations-the-prague-proposals-173422/，2020年9月19日最后訪問。相應(yīng)的，歐盟在其《5G網(wǎng)絡(luò)安全協(xié)調(diào)風(fēng)險(xiǎn)評(píng)估報(bào)告》中也強(qiáng)烈認(rèn)可非技術(shù)性漏洞威脅的存在。(70)參見EU Coordinated Risk Assessment of the Cybersecurity of 5G Networks, NIS Cooperation Group (Oct. 2019), p.22, https://g8fip1kplyr33r3krz5b97d1-wpengine.netdna-ssl.com/wp-content/uploads/2019/10/Report-EU-risk-assessment-final-October-9.pdf，2020年9月19日最后訪問。

然而，這樣寬泛的信心標(biāo)準(zhǔn)會(huì)給整個(gè)供應(yīng)鏈生態(tài)系統(tǒng)帶來巨大的負(fù)面影響。首先。一國的軟環(huán)境當(dāng)是國家主權(quán)范圍內(nèi)的保留事項(xiàng)，軟環(huán)境水平與各國國情息息相關(guān)，對(duì)于軟環(huán)境安全水平的評(píng)價(jià)并不存在統(tǒng)一的標(biāo)準(zhǔn)。其次，將軟環(huán)境安全水平納入信心標(biāo)準(zhǔn)，為行使對(duì)外干涉開辟了路徑。最后，供應(yīng)商的職責(zé)與目標(biāo)是提供安全的產(chǎn)品與服務(wù)，他們并無能力左右軟環(huán)境水平的高低。將不在供應(yīng)商能力范圍內(nèi)的因素納入對(duì)其的評(píng)判標(biāo)準(zhǔn)是不合理的，助長了泛安全化、經(jīng)貿(mào)問題政治化的實(shí)現(xiàn)路徑。軟環(huán)境因素只是對(duì)技術(shù)安全的支撐和保障，他們只能作為輔助判斷手段，最終還是得回歸以技術(shù)檢測所顯示的安全程度為準(zhǔn)。因而，正如華為公司在其網(wǎng)絡(luò)安全立場文件中所聲明：“華為始終提供安全的產(chǎn)品和服務(wù)，并愿意為此接受任何的第三方安全檢測。”(71)Huawei's Position Paper on Cyber Security, Huawei (Nov. 2019), http://www-file.huawei.com/-/media/corporate/pdf/public-policy/huaweis_position_paper_on_cybersecurity.pdf，2020年9月19日最后訪問。這樣一種以第三方安全評(píng)估為依據(jù)的安全驗(yàn)證方式才是符合邏輯與現(xiàn)實(shí)安全需要的，其合理性也在實(shí)踐中得到了一定程度上的認(rèn)同。(72)如華為已被接納于英國、德國、加拿大、比利時(shí)等國設(shè)立網(wǎng)絡(luò)安全中心，用以驗(yàn)證和核實(shí)相關(guān)產(chǎn)品與技術(shù)。特別是在英國，華為網(wǎng)絡(luò)安全評(píng)估中心監(jiān)督委員會(huì)(HCSEC)在設(shè)立后持續(xù)發(fā)布年度報(bào)告，起到了良好的監(jiān)督協(xié)調(diào)職能。美國東西方研究所2020年6月發(fā)布的《化解技術(shù)民族主義》研究報(bào)告也肯定了這一思路，并提出了建立區(qū)域和行業(yè)層級(jí)的安全測試與評(píng)估中心的建議方案。(73)參見Andreas Kuehn & Bruce McConnell, Weathering TechNationalism, EastWest Institute (Jun. 2020), https://www.eastwest.ngo/sites/default/files/ideas-files/weathering-technationalism.pdf, 2020年9月19日最后訪問。

5.無法協(xié)調(diào)的防擴(kuò)散機(jī)制。GGE供應(yīng)鏈規(guī)范要求“各國應(yīng)設(shè)法防止惡意信通技術(shù)工具和技術(shù)的擴(kuò)散”，但首先，不同國家對(duì)惡意信通技術(shù)工具和技術(shù)的理解上存在顯著差異。以網(wǎng)絡(luò)監(jiān)控技術(shù)為例，在西方特別是注重個(gè)人隱私的歐洲，更傾向于從保護(hù)人權(quán)的角度將此類技術(shù)視為惡意信通技術(shù)。(74)參見Kanetake Machiko, The EU’s dual-use export control and human rights risks: the case of cyber surveillance technology. Europe and the World: A law review, UCL Press, Vol. 3(1): 3, 2019,然而在中國、印度等人口規(guī)模龐大、社會(huì)成分復(fù)雜的國家，監(jiān)控技術(shù)可以很好地服務(wù)于社會(huì)穩(wěn)定與國家安全，并不當(dāng)然被視作是惡意的。此外，“防止惡意信通技術(shù)工具和技術(shù)擴(kuò)散”的規(guī)范當(dāng)前對(duì)中國而言是較為不利的。對(duì)于美國等西方國家來說，其早已開始關(guān)注通過對(duì)《瓦森納安排》的更新來納入對(duì)網(wǎng)絡(luò)技術(shù)的出口管制。英國和澳大利亞等國已相繼表態(tài)，以《瓦森納安排》納入對(duì)惡意信通技術(shù)工具的管控可視為是對(duì)GGE供應(yīng)鏈規(guī)范中防擴(kuò)散條款的有效執(zhí)行措施。(75)參見Non-Paper on Efforts to Implement Norms of Responsible State Behaviour in Cyberspace, as Agreed in UN Group of Government Expert Reports of 2010, 2013 and 2015, UK Submission to OEWG (Sep. 2019), p.14, https://s3.amazonaws.com/unoda-web/wp-content/uploads/2019/09/uk-un-norms-non-paper-oewg-submission-final.pdf，2020年9月20日最后訪問；Australian Paper - Open Ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security, Australian Submission to OEWG (Sep. 2019), https://unoda-web.s3.amazonaws.com/wp-content/uploads/2019/09/fin-australian-oewg-national-paper-Sept-2019.pdf，2020年9月20日最后訪問。然而，當(dāng)前中國并非《瓦森納安排》成員國，短期內(nèi)也無加入《瓦森納安排》之可能，國際上又尚缺乏其它類似的防擴(kuò)散控制體系。在西方國家看來，中國作為全球網(wǎng)絡(luò)設(shè)備等戰(zhàn)略物資的重要供應(yīng)商，若無針對(duì)其技術(shù)出口行為的國際規(guī)制，持續(xù)將其排除于多邊機(jī)制之外，無法真正意義上做到防止惡意信通技術(shù)和工具的擴(kuò)散。(76)參見Expanding and sustaining dialogue between China and the Wassenaar Arrangement, Saferworld (Jan. 2015), p.12, https://www.saferworld.org.uk/resources/publications/873-expanding-and-sustaining-dialogue-between-china-and-the-wassenaar-arrangement，2020年9月20日最后訪問。而GGE供應(yīng)鏈規(guī)范中防擴(kuò)散條款的設(shè)置，恰恰可用以彌補(bǔ)這一缺陷。此外，也正是由于《瓦森納安排》的存在，GGE供應(yīng)鏈規(guī)范在一定程度上授予了其控制向中國進(jìn)行技術(shù)轉(zhuǎn)讓的合法性。西方國家內(nèi)部針對(duì)《瓦森納安排》名單是否需納入入侵軟件工具的持續(xù)爭論已表明，大部分技術(shù)和工具本身并不具有與生俱來的善惡之分，是否為惡意在很大程度上依賴于使用者決定如何使用上(例如入侵軟件既可被用于反恐偵查，也可被用于破解用戶或他國政府、企業(yè)的機(jī)密文件)。故而對(duì)西方國家而言，在人工智能等伴隨倫理考驗(yàn)的新興科技不斷興起的當(dāng)下，若借以將芯片、系統(tǒng)等信通技術(shù)產(chǎn)品與服務(wù)以潛在的惡意為由納入更新后的《瓦森納安排》時(shí)，實(shí)施針對(duì)中國的技術(shù)禁運(yùn)措施便更具可操作性，(77)參見Brigitte Dekker & Maaike Okano-Heijmans, The US-China trade-tech stand-off and the need for EU action on export control, Clingendael (Aug. 2019), pp.9-10, https://www.clingendael.org/sites/default/files/2019-08/Report_US-China_stand-off.pdf，2020年9月20日最后訪問。同時(shí)從出于防止惡意信通技術(shù)和工具流入中國以避免其成為不受控制的擴(kuò)散源的目的而言，也更有利于占據(jù)道義制高點(diǎn)。

三、新供應(yīng)鏈規(guī)范體系建構(gòu)與總規(guī)范提議

盡管GGE供應(yīng)鏈規(guī)范作為指引性而非拘束性條款，對(duì)條文表述精確性上的挖掘難免顯得過于苛求，但上述分析也幫助我們看到可進(jìn)一步改進(jìn)的空間。本部分提出應(yīng)站在供應(yīng)鏈生態(tài)系統(tǒng)的高度，在兼顧各方利益關(guān)切的基礎(chǔ)上構(gòu)建總體安全觀，并在該安全觀的指引下提出一條總規(guī)范。以該總規(guī)范為出發(fā)點(diǎn)，未來應(yīng)努力就其中各項(xiàng)要件加以更為細(xì)致的解釋和補(bǔ)充，通過各種途徑逐步推動(dòng)其成為國際共識(shí)，進(jìn)而維護(hù)網(wǎng)絡(luò)空間的和諧秩序，構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體。

(一)確立供應(yīng)鏈生態(tài)系統(tǒng)總體安全觀

在結(jié)合技術(shù)安全與環(huán)境安全的基礎(chǔ)上，供應(yīng)鏈生態(tài)系統(tǒng)總體安全觀可簡要表示為圖1：

圖1：供應(yīng)鏈生態(tài)系統(tǒng)總體安全觀架構(gòu)圖

若以“一體四面”來形容，則該總體安全觀要求在確保供應(yīng)鏈生態(tài)系統(tǒng)之總體安全水平下，具體注重以下四個(gè)方面的區(qū)分與統(tǒng)一：

第一，對(duì)經(jīng)由供應(yīng)鏈產(chǎn)出的產(chǎn)品和服務(wù)的安全與供應(yīng)鏈生態(tài)系統(tǒng)的總體安全加以區(qū)分，強(qiáng)調(diào)二者屬于不同層面但又互相聯(lián)系：前者為用戶安全需求所直接指向的對(duì)象，是供應(yīng)鏈安全的關(guān)鍵一環(huán)；而后者才是國家戰(zhàn)略層面的關(guān)注焦點(diǎn)，是供應(yīng)鏈安全的全貌。產(chǎn)品和服務(wù)的技術(shù)安全對(duì)應(yīng)于總體安全觀中的“技術(shù)安全觀”，軟環(huán)境因素則對(duì)應(yīng)于總體安全觀中“環(huán)境安全觀”。二者之間在一般情況下存在明顯分野，不得互相干預(yù)。細(xì)言之，“技術(shù)安全觀”不能直接以軟環(huán)境因素作為衡量標(biāo)準(zhǔn)，須以技術(shù)本身之安全性為主進(jìn)行判斷。反之，以“技術(shù)安全觀”受損倒推回來要求軟環(huán)境的改變也是不合理的。同理，“環(huán)境安全觀”也不會(huì)因技術(shù)安全得到提升而自動(dòng)實(shí)現(xiàn)，必須促進(jìn)國際上穩(wěn)健的法律政策環(huán)境予以保障。若以中美圍繞5G安全紛爭作為分析，美國邏輯的內(nèi)在沖突是其對(duì)產(chǎn)品和服務(wù)安全水平標(biāo)準(zhǔn)上的寬泛性與供應(yīng)鏈總體安全觀下“技術(shù)安全觀”的狹隘性間的沖突。以中國的軟環(huán)境因素為理由聲稱本國的技術(shù)安全受到威脅，這突破了兩面間的分野，在該結(jié)構(gòu)中的邏輯是難以成立的。當(dāng)然，美國也可辯稱同樣有著基于“環(huán)境安全觀”的憂慮，但此時(shí)它便不能否認(rèn)有保障供應(yīng)鏈環(huán)境安全的必要性，針對(duì)華為等的政策打壓將是站不住腳的。

第二，在產(chǎn)品和服務(wù)安全項(xiàng)下，對(duì)技術(shù)安全與軟環(huán)境安全加以區(qū)分，二者對(duì)于用戶安全需求的重要性位階顯著不同。首先，技術(shù)安全作為終端用戶對(duì)所需產(chǎn)品和服務(wù)的核心需求，在可驗(yàn)證的情況下應(yīng)作為唯一衡量標(biāo)準(zhǔn)，可靠的方式如經(jīng)由可信第三方的驗(yàn)證。此舉是為了避免安全標(biāo)準(zhǔn)過于泛化和主觀化，導(dǎo)致供應(yīng)商處于不利地位而貶損商業(yè)信心，同時(shí)也是為了防止外來的不公平干預(yù)。其次，只有當(dāng)技術(shù)安全驗(yàn)證不可行的時(shí)候，才可以引用軟環(huán)境因素作為對(duì)技術(shù)安全能否達(dá)到終端用戶安全需求的補(bǔ)充衡量。

第三，對(duì)總體安全觀下發(fā)達(dá)國家關(guān)注的供應(yīng)鏈“技術(shù)安全觀”與發(fā)展中國家關(guān)注的供應(yīng)鏈“環(huán)境安全觀”加以區(qū)分，并強(qiáng)調(diào)二者在貢獻(xiàn)于供應(yīng)鏈生態(tài)系統(tǒng)總體安全時(shí)的統(tǒng)一性。通過本文分析已可得知，供應(yīng)鏈不僅會(huì)被用作實(shí)施惡意網(wǎng)絡(luò)攻擊的工具，也可被用于推行干涉政策的工具，無論是技術(shù)安全抑或是環(huán)境安全，都在供應(yīng)鏈不安全的威脅之下，因而為了確保供應(yīng)鏈總體安全，必須對(duì)二者予以同等兼顧，如此才能調(diào)和當(dāng)前不同陣營國家間的利益沖突。

第四，在各安全觀下進(jìn)一步區(qū)分出積極義務(wù)和消極義務(wù)。融合了積極義務(wù)與消極義務(wù)的規(guī)范不僅在內(nèi)容結(jié)構(gòu)上更為全面，同時(shí)由于積極義務(wù)能促成監(jiān)督消極義務(wù)執(zhí)行的機(jī)制，也更有利于規(guī)范的實(shí)施。(78)參見Oleg Demidov & Giacomo Persi Paoli, Supply Chain Security in the Cyber Age: Sector Trends, Current Threats and Multi-Stakeholder Responses, UNIDIR (2020) , https://css.ethz.ch/content/dam/ethz/special-interest/gess/cis/center-for-securities-studies/resources/docs/UNIDIR_Supply-Chain-Security-in-the-Cyber%20Age.pdf，2020年9月20日最后訪問。在“技術(shù)安全觀”下，積極義務(wù)要求國家應(yīng)采取合理措施保障供應(yīng)鏈安全。中國所提倡的當(dāng)發(fā)現(xiàn)產(chǎn)品存在嚴(yán)重安全缺陷或漏洞時(shí)，須及時(shí)通知的義務(wù)即在此限。(79)參見聯(lián)合國信息安全開放式工作組中方立場文件，https://www.un.org/disarmament/wp-content/uploads/2019/09/china-submissions-oewg-ch.pdf，2020年9月20日最后訪問。消極義務(wù)可涵蓋國家不得對(duì)供應(yīng)鏈產(chǎn)品和服務(wù)進(jìn)行干預(yù)，(80)參見Advancing Cyberstability: Final Report, Global Commission on the Stability of Cyberspace (Nov. 2019), https://cyberstability.org/wp-content/uploads/2019/11/Digital-GCSC-Final-Report-Nov-2019_LowRes.pdf，2020年9月20日最后訪問。避免在大眾市場的商業(yè)技術(shù)產(chǎn)品中插入或要求設(shè)置“后門”等。(81)參見Brad Smith, The need for a Digital Geneva Convention, Microsoft (Feb.2017), https://blogs.microsoft.com/on-the-issues/2017/02/14/need-digital-geneva-convention/，2020年9月20日最后訪問。在“環(huán)境安全觀”下，積極義務(wù)可囊括國家采取各種措施努力提升政策、法律、市場等軟環(huán)境安全水平，包括建立風(fēng)險(xiǎn)預(yù)警體系、產(chǎn)品認(rèn)證體系、咨詢決策體系等。(82)參見Ariel E. Levite, ICT Supply Chain Integrity: Principles for Governmental and Corporate Policies, Carnegie Endowment for International Peace (Oct. 2019), pp.3-4, https://carnegieendowment.org/files/Levite_SupplyChain_final.pdf，2020年9月20日最后訪問。而消極義務(wù)則可包含要求“各國不得營造不公平公正的歧視性營商環(huán)境，不得濫用‘國家安全’理由限制正常通信技術(shù)發(fā)展與合作，不得限制信息通信技術(shù)產(chǎn)品的市場準(zhǔn)入及高新技術(shù)產(chǎn)品的出口”等。(83)參見聯(lián)合國信息安全開放式工作組中方立場文件，https://www.un.org/disarmament/wp-content/uploads/2019/09/china-submissions-oewg-ch.pdf，2020年9月20日最后訪問。

(二)總規(guī)范之構(gòu)成要素與提議

在供應(yīng)鏈生態(tài)系統(tǒng)總體安全觀指引下構(gòu)建的總規(guī)范，應(yīng)具備哪些構(gòu)成要素？根據(jù)學(xué)者瑪莎·芬納莫爾等對(duì)網(wǎng)絡(luò)規(guī)范的解析，規(guī)范可具體解構(gòu)出四大要件，分別為：身份(identity)、行為(behavior)、適當(dāng)性(propriety)和集體期望(collective expectation)。(84)參見Martha Finnemore & Ducan B. Hollis, Constructing Norms for Global Cybersecurity, The American Journal of International Law, Vol.110: 3 (July 2016), p.438-439.

身份指的是該規(guī)范意圖規(guī)制的行為主體。對(duì)供應(yīng)鏈安全而言，其不僅受國家行為體的威脅，在很大程度上也受非國家行為體的威脅。盡管UN GGE與OEWG作為在聯(lián)合國下開展的進(jìn)程而使其討論的規(guī)制對(duì)象多局限于國家，但從保障供應(yīng)鏈總體安全的角度出發(fā)，新規(guī)范的調(diào)整范圍應(yīng)足夠囊括國家與非國家行為體。(85)參見呂晶華：《供應(yīng)鏈安全國際治理制度體系分析》，載《信息安全與通信保密》2020年第4期。正如GCSC在報(bào)告中所指出的：“非國家行為體也必須承擔(dān)在網(wǎng)絡(luò)空間中規(guī)范行為的責(zé)任，它們必須克制或采取積極措施，以確保網(wǎng)絡(luò)空間的穩(wěn)定?！?86)Advancing Cyberstability: Final Report, Global Commission on the Stability of Cyberspace (Nov. 2019), https://cyberstability.org/wp-content/uploads/2019/11/Digital-GCSC-Final-Report-Nov-2019_LowRes.pdf，2020年9月20日最后訪問。

行為指的是制定該規(guī)范之集體對(duì)成員如何行為的期望。從上一部分的分析可以得出，各方在供應(yīng)鏈生態(tài)系統(tǒng)總體安全觀下所期望的行為應(yīng)兼具“技術(shù)安全觀”與“環(huán)境安全觀”下的積極與消極義務(wù)。但具體而言有哪些義務(wù)應(yīng)以更為細(xì)致的新規(guī)范或其它形式的配套文件予以補(bǔ)充和明確。

適當(dāng)性指的是該規(guī)范所期望之行為的正當(dāng)性依據(jù)，即該規(guī)范為何可被集體成員接受為是恰當(dāng)?shù)?。前文已?jīng)指出，供應(yīng)鏈規(guī)范與國際法已有原則和規(guī)則間存在緊密聯(lián)系，國際法可為供應(yīng)鏈規(guī)范提供大量理論支撐。除了國際法外，供應(yīng)鏈規(guī)范還可從更廣范圍中獲取理論支持，包括社會(huì)道德、行業(yè)習(xí)慣等。

最后，集體期望指的是根據(jù)規(guī)范意圖爭取到的共識(shí)范圍，決定其在表述上的精細(xì)程度。一項(xiàng)表述模糊的規(guī)范無疑能兼顧更多成員的利益，從而擴(kuò)展規(guī)范獲得內(nèi)化(internalization)的范圍，(87)經(jīng)過“內(nèi)化”的規(guī)范才能真正起到行為指引作用，否則只能是還停留在所謂“Quasi-Norms”的倡議階段，盡管可能會(huì)被遵守，但缺乏對(duì)行為的預(yù)測和評(píng)價(jià)效力。參見Toni Erskine & Madeline Carr, Beyond ‘Quasi-Norms’: The Challenges and Potential of Engaging with Norms in Cyberspace, in Anna-Maria Osula & Henry R?igas ed., International Cyber Norms: Legal, Policy & Industry Perspectives, Tallinn: NATO CCD COE Publications, 2016, pp.87-109.但也存在成員基于理解上的偏差而在實(shí)踐中發(fā)生混亂的風(fēng)險(xiǎn)。一項(xiàng)表述精確的規(guī)范盡管能給各方提供明確的行為指引，但所能滿足的利益取向往往是特定的，能夠吸引的成員范圍有限，對(duì)該規(guī)范心懷不滿者便不會(huì)參與該規(guī)范。此外，就算心懷不滿者迫于被孤立的風(fēng)險(xiǎn)而參加該規(guī)范，也還存在表面上接受但不誠心遵守(insincere conformity)的現(xiàn)象。(88)如有學(xué)者指出中國對(duì)其所締結(jié)之中美網(wǎng)絡(luò)安全協(xié)議中有關(guān)網(wǎng)絡(luò)商業(yè)間諜行為之規(guī)則就是一種“不誠心遵守”的體現(xiàn)。參見Martha Finnemore & Ducan B. Hollis, Constructing Norms for Global Cybersecurity, The American Journal of International Law, Vol.110: 3 (July 2016), p.443.盡管此時(shí)該規(guī)范仍能起到較好的行為指引作用，但由于成員并無內(nèi)心的信服，分歧仍不可避免，并且由于缺少法律確信而阻礙了規(guī)范向國際習(xí)慣法的形成過渡。因此，就供應(yīng)鏈生態(tài)系統(tǒng)總體安全觀下的總規(guī)范而言，筆者傾向于取較為宏觀的表述，以圖兼顧各方利益，吸引最大共識(shí)，確保供應(yīng)鏈總體安全觀的實(shí)現(xiàn)。后期各方可在這一總規(guī)范指導(dǎo)下，結(jié)合最佳實(shí)踐細(xì)化出更多具體規(guī)范。

綜合以上分析，本文提出如下之總規(guī)范表述：“國家和非國家行為體應(yīng)當(dāng)秉持善意，積極采取合理措施，確保供應(yīng)鏈的(完整性與)安全性及其所依賴之軟環(huán)境的可靠性，同時(shí)避免采取措施干預(yù)供應(yīng)鏈的安全與穩(wěn)定，保障供應(yīng)鏈中各方主體可持續(xù)的安全需求?！?/p>

其中，“秉持善意”首先體現(xiàn)中國一貫的和平利用網(wǎng)絡(luò)空間的主張，是構(gòu)建持久和平的網(wǎng)絡(luò)空間命運(yùn)共同體的內(nèi)在要求。(89)參見世界互聯(lián)網(wǎng)大會(huì)組委會(huì)：《攜手構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體》，載中央網(wǎng)信辦網(wǎng)站，http://www.cac.gov.cn/2019-10/16/c_1572757003996520.htm，2020年9月20日最后訪問。意味著“在國際法的解釋和適用上，必須秉持善意，以有利于實(shí)現(xiàn)持久和平為出發(fā)點(diǎn)，準(zhǔn)確理解和切實(shí)貫徹主權(quán)平等、不干涉內(nèi)政、不使用武力、和平解決國際爭端等國際法原則”。(90)徐宏：《人類命運(yùn)共同體與國際法》，載《國際法研究》2018年第5期，第6頁。其次，“秉持善意”也是對(duì)國際法上善意原則的體現(xiàn)，提示行為者在國際法律生活的范圍內(nèi)善意行為。(91)參見[法]M·維拉利：《國際法上的善意原則》，劉昕生譯，載《國外法學(xué)》1984年第4期。善意原則要求國家禁止濫用自身權(quán)利，(92)參見Steven Reinhold, Good Faith in International Law, UCL Journal of Law and Jurisprudence, Vol.2 (2013), pp.40-63.因而可限制國家將對(duì)ICT供應(yīng)鏈必要的技術(shù)管制或國家安全審查濫用作政治工具，通過附加不公正條件而限制技術(shù)自由貿(mào)易的行為。

盡管“合理措施”的含義尚待明確，但相關(guān)爭議不適合也難以在一條總規(guī)范中予以解決。對(duì)合理措施的判定應(yīng)結(jié)合業(yè)界已有的供應(yīng)鏈安全風(fēng)險(xiǎn)管理實(shí)踐，并考慮不同平臺(tái)機(jī)制間的平衡協(xié)調(diào)。(93)參見Oleg Demidov & Giacomo Persi Paoli, Supply Chain Security in the Cyber Age: Sector Trends, Current Threats and Multi-Stakeholder Responses, UNIDIR (2020) , https://css.ethz.ch/content/dam/ethz/special-interest/gess/cis/center-for-securities-studies/resources/docs/UNIDIR_Supply-Chain-Security-in-the-Cyber%20Age.pdf，2020年9月18日最后訪問。同時(shí)，總規(guī)范中“確保供應(yīng)鏈的(完整性與)安全性及其所依賴之軟環(huán)境的可靠性”與“同時(shí)避免采取措施干預(yù)供應(yīng)鏈的安全與穩(wěn)定”作為分別對(duì)總體安全觀下積極義務(wù)和消極義務(wù)的提及，也可對(duì)未來合理措施的明確起到一定的指引作用。此外，對(duì)合理措施的判定還應(yīng)靈活考慮能力因素，“促進(jìn)規(guī)范實(shí)施的路線圖應(yīng)與各國家或區(qū)域自身的獨(dú)特處境和能力相適應(yīng)” 。(94)Canada’s response to questions in Chair’s paper: February 2020 OEWG meeting, https://unoda-web.s3.amazonaws.com/wp-content/uploads/2020/03/canada-responses-to-oewg-chair-questions-Feb-26.pdf，2020年9月16日最后訪問。因而，今后不僅需要增進(jìn)各方對(duì)負(fù)責(zé)任國家行為規(guī)范具體推進(jìn)措施的理解與適用，搭建由規(guī)則共識(shí)到行為共識(shí)之間的橋梁，還需就信任措施、能力建設(shè)等配套方面的最佳實(shí)踐加強(qiáng)溝通和交流。

“各方主體可持續(xù)的安全需求”將總規(guī)范對(duì)供應(yīng)鏈安全的保障范圍擴(kuò)展到所有參與方。以“安全需求”代替“安全信心”，目的是鼓勵(lì)開發(fā)更客觀的安全標(biāo)準(zhǔn)與認(rèn)證措施，避免導(dǎo)向主觀化與政治化。施加“可持續(xù)”一詞的限制是為了制約任何一方采取損害雙邊乃至多邊信任關(guān)系的單邊舉措，鼓勵(lì)合作而非對(duì)抗?！翱沙掷m(xù)”一詞也同時(shí)體現(xiàn)了安全需求的動(dòng)態(tài)性特征，意味著一段時(shí)期內(nèi)的安全性波動(dòng)是可接受的狀態(tài)，若有關(guān)方能及時(shí)采取糾正措施，持續(xù)的信賴關(guān)系仍可維系。

最后，由于總規(guī)范已經(jīng)突破了單純的完整性保障，并在技術(shù)安全外納入了環(huán)境安全，對(duì)于防止惡意信通技術(shù)和工具的擴(kuò)散，以及不得利用信通技術(shù)從事安置“后門”等有害隱蔽功能的具體行為，應(yīng)作為具體義務(wù)留待特殊規(guī)范去處理。現(xiàn)階段中國無需過度強(qiáng)調(diào)，以避免部分西方國家在圍繞《瓦森納安排》等推動(dòng)規(guī)范執(zhí)行的機(jī)制上快速結(jié)成“同理念國家”陣營。

結(jié)語

負(fù)責(zé)任國家行為規(guī)范作為網(wǎng)絡(luò)空間軟法治理的主要表現(xiàn)形式，在當(dāng)前各方對(duì)國際法具體規(guī)則的適用缺乏共識(shí)的背景下，正表現(xiàn)出強(qiáng)大的吸引力。這類規(guī)范靈活、自愿、非約束性的特點(diǎn)尤其適合解決由互聯(lián)網(wǎng)發(fā)展所帶來的新問題，以彌補(bǔ)現(xiàn)有國際法和國際機(jī)制在網(wǎng)絡(luò)空間發(fā)展中的滯后性。在以5G為代表的供應(yīng)鏈安全問題持續(xù)升溫的過程中，供應(yīng)鏈規(guī)范正是各方可賴以維護(hù)網(wǎng)絡(luò)空間秩序的有效治理途徑。盡管網(wǎng)絡(luò)領(lǐng)域的供應(yīng)鏈規(guī)范正呈現(xiàn)快速增長的態(tài)勢，國際共識(shí)仍僅局限于2015年UN GGE報(bào)告中達(dá)成的GGE供應(yīng)鏈規(guī)范，且其中仍不乏缺漏和隱患。對(duì)此，應(yīng)在結(jié)合美國等發(fā)達(dá)國家對(duì)技術(shù)安全的利益關(guān)切與中國等發(fā)展中國家對(duì)環(huán)境安全的利益關(guān)切的基礎(chǔ)上，構(gòu)建供應(yīng)鏈生態(tài)系統(tǒng)總體安全觀。在本文所提之總規(guī)范的指導(dǎo)下，各方可在未來的研究和談判中逐漸補(bǔ)充新的具體規(guī)則、規(guī)范、標(biāo)準(zhǔn)或指南，增強(qiáng)其指引性和可操作性，為安全穩(wěn)定的全球ICT供應(yīng)鏈提供制度保障。