《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》征求意見稿出臺(tái)后，作為網(wǎng)絡(luò)安全行業(yè)的從業(yè)者之一，我看到大家給的關(guān)鍵詞是意義深遠(yuǎn)，但我并沒有聽到全行業(yè)的歡呼雀躍。

中國(guó)的網(wǎng)絡(luò)安全市場(chǎng)大不大？目前大概每年只有200億，從2016年的復(fù)合增長(zhǎng)率來看，不僅沒有增量，還趨于下降；此外，整個(gè)市場(chǎng)七零八落，同業(yè)競(jìng)爭(zhēng)嚴(yán)重，尚未形成具有較強(qiáng)壟斷能力的廠商。

中國(guó)的網(wǎng)絡(luò)安全市場(chǎng)準(zhǔn)入難不難？對(duì)從事企業(yè)級(jí)服務(wù)的企業(yè)來說，生產(chǎn)并提供終端安全產(chǎn)品、網(wǎng)關(guān)安全設(shè)備，均需得到產(chǎn)品應(yīng)用功能、技術(shù)方案、產(chǎn)品效能等多個(gè)維度的檢測(cè)；進(jìn)入不同行業(yè)，還需得到相關(guān)行業(yè)的準(zhǔn)入放行。大家都知道行業(yè)中有“宮保雞丁”安全檢測(cè)慣例，更有部分行業(yè)還自行制定了產(chǎn)品準(zhǔn)入的標(biāo)準(zhǔn)和方法。

為什么在這樣的一個(gè)小市場(chǎng)，還需要在原有的產(chǎn)品檢測(cè)和行業(yè)準(zhǔn)入的模式外，另行制定并執(zhí)行《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全的審查辦法》？

我個(gè)人的理解是：首先網(wǎng)絡(luò)產(chǎn)品和服務(wù)，其安全性、可控性確實(shí)關(guān)乎用戶利益，關(guān)系國(guó)家安全；其次是原有的產(chǎn)品和服務(wù)的檢測(cè)和審查模式不完善，更偏事前的基于產(chǎn)品應(yīng)用功能的準(zhǔn)入審查；第三是可能會(huì)在原來分散在不同部門的產(chǎn)品與服務(wù)的檢測(cè)之上，形成“最高檢”、“最終檢”。如果站在上述角度，推行《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》很有必要。

為什么沒有出現(xiàn)全行業(yè)的歡呼雀躍？我判斷是因?yàn)榇蠹疫€沒有看到操作細(xì)則。事實(shí)上，網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全審查將面對(duì)多個(gè)挑戰(zhàn)。首先是誰(shuí)來審查。從《辦法》征求意見稿來看，將成立網(wǎng)絡(luò)安全審查委員會(huì)。但這一委員會(huì)的專家來源及構(gòu)成還需要細(xì)化，這一委員會(huì)的權(quán)力更需要明確約束；其次是如何審查。審查的流程、工具、方法等是否科學(xué)？是否能秉持客觀、公正、公平、專業(yè)等原則？不同類別的產(chǎn)品和服務(wù)千差萬(wàn)別，審查的具體標(biāo)準(zhǔn)又該如何制定？審查發(fā)現(xiàn)出現(xiàn)問題的企業(yè)及產(chǎn)品與服務(wù)，如何處理處罰？誰(shuí)具有執(zhí)法權(quán)？這些都是極其具體，但是又牽一發(fā)而又動(dòng)全身的關(guān)鍵點(diǎn)。

金山在網(wǎng)絡(luò)安全行業(yè)耕耘的時(shí)間已有20年以上。從之前的終端反病毒軟件，一路發(fā)展出了基于云安全能力的檢測(cè)防御的軟硬件產(chǎn)品體系和服務(wù)能力，在中國(guó)的網(wǎng)絡(luò)安全行業(yè)具有很高的知名度和影響力。但中國(guó)的網(wǎng)絡(luò)安全行業(yè)更多的企業(yè)還偏小偏弱，更多的企業(yè)處于創(chuàng)業(yè)階段。我呼吁：在國(guó)家相關(guān)部門推動(dòng)頂層設(shè)計(jì)并出臺(tái)相關(guān)制度及辦法的同時(shí)，能否推出更多的“扶持”和“服務(wù)”政策。比如：是否可以取消或者降低各級(jí)主管單位現(xiàn)行的產(chǎn)品與服務(wù)檢測(cè)的收費(fèi)？是否可以向中國(guó)政府學(xué)習(xí)，借鑒其推行的“行政服務(wù)大廳”的模式，將各類檢測(cè)放在一個(gè)平臺(tái)上，以服務(wù)的模式面向所有安全廠商提供綜合服務(wù)？“最低價(jià)中標(biāo)”正在制約網(wǎng)絡(luò)安全行業(yè)的產(chǎn)品創(chuàng)新和服務(wù)創(chuàng)新，是否可以研究并推行一套全新的模式，讓上述現(xiàn)象得到緩解或根治？

在熱烈歡迎《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》的盡快出臺(tái)的同時(shí)，金山安全也在靜待操作細(xì)則的形成，更在期盼網(wǎng)絡(luò)安全行業(yè)更好的產(chǎn)業(yè)發(fā)展環(huán)境的形成！

本文作者：金山安全首席運(yùn)營(yíng)官 張旭東

附：網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（征求意見稿）

第一條 網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性直接影響用戶利益、關(guān)系國(guó)家安全。為提高網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可控水平，防范供應(yīng)鏈安全風(fēng)險(xiǎn)，維護(hù)國(guó)家安全和公共利益，依據(jù)《中華人民共和國(guó)國(guó)家安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，制定本辦法。

第二條 關(guān)系國(guó)家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)經(jīng)過網(wǎng)絡(luò)安全審查。

第三條 堅(jiān)持企業(yè)承諾與社會(huì)監(jiān)督相結(jié)合，第三方評(píng)價(jià)與政府監(jiān)管相結(jié)合，實(shí)驗(yàn)室檢測(cè)、現(xiàn)場(chǎng)檢查、在線監(jiān)測(cè)、背景調(diào)查相結(jié)合，對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)及其提供者進(jìn)行網(wǎng)絡(luò)安全審查。

第四條 重點(diǎn)審查網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性，主要包括：

（一）產(chǎn)品和服務(wù)被非法控制、干擾和中斷運(yùn)行的風(fēng)險(xiǎn)；
（二）產(chǎn)品及關(guān)鍵部件研發(fā)、交付、技術(shù)支持過程中的風(fēng)險(xiǎn)；
（三）產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件非法收集、存儲(chǔ)、處理、利用用戶相關(guān)信息的風(fēng)險(xiǎn)；
（四）產(chǎn)品和服務(wù)提供者利用用戶對(duì)產(chǎn)品和服務(wù)的依賴，實(shí)施不正當(dāng)競(jìng)爭(zhēng)或損害用戶利益的風(fēng)險(xiǎn)；
（五）其他可能危害國(guó)家安全和公共利益的風(fēng)險(xiǎn)。

第五條 國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同有關(guān)部門成立網(wǎng)絡(luò)安全審查委員會(huì)，負(fù)責(zé)審議網(wǎng)絡(luò)安全審查的重要政策，統(tǒng)一組織網(wǎng)絡(luò)安全審查工作，協(xié)調(diào)網(wǎng)絡(luò)安全審查相關(guān)重要問題。

網(wǎng)絡(luò)安全審查辦公室具體組織實(shí)施網(wǎng)絡(luò)安全審查。

第六條 網(wǎng)絡(luò)安全審查委員會(huì)聘請(qǐng)相關(guān)專家組成網(wǎng)絡(luò)安全審查專家委員會(huì)，在第三方評(píng)價(jià)基礎(chǔ)上，對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全風(fēng)險(xiǎn)及其提供者的安全可信狀況進(jìn)行綜合評(píng)估。

第七條 國(guó)家統(tǒng)一認(rèn)定網(wǎng)絡(luò)安全審查第三方機(jī)構(gòu)，承擔(dān)網(wǎng)絡(luò)安全審查中的第三方評(píng)價(jià)工作。

第八條 根據(jù)國(guó)家有關(guān)部門要求、全國(guó)性行業(yè)協(xié)會(huì)建議、市場(chǎng)反映和企業(yè)申請(qǐng)等，網(wǎng)絡(luò)安全審查辦公室組織第三方機(jī)構(gòu)、專家對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)進(jìn)行網(wǎng)絡(luò)安全審查，并發(fā)布或在一定范圍內(nèi)通報(bào)審查結(jié)果。

第九條 金融、電信、能源等重點(diǎn)行業(yè)主管部門，根據(jù)國(guó)家網(wǎng)絡(luò)安全審查工作要求，組織開展本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查工作。

第十條 黨政部門及重點(diǎn)行業(yè)優(yōu)先采購(gòu)?fù)ㄟ^審查的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，不得采購(gòu)審查未通過的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。

第十一條 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的，應(yīng)當(dāng)經(jīng)過網(wǎng)絡(luò)安全審查。

關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)是否影響國(guó)家安全，由關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門確定。

第十二條 承擔(dān)網(wǎng)絡(luò)安全審查的第三方機(jī)構(gòu)，應(yīng)堅(jiān)持客觀、公正、公平的原則，參照有關(guān)標(biāo)準(zhǔn)，重點(diǎn)從可控性、透明性、可信性等方面，對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)及提供者進(jìn)行評(píng)價(jià)，并對(duì)評(píng)價(jià)結(jié)果負(fù)責(zé)。

第十三條 網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng)對(duì)網(wǎng)絡(luò)安全審查工作予以配合。

第三方機(jī)構(gòu)等相關(guān)單位和人員對(duì)審查工作中獲悉的信息等承擔(dān)安全保密義務(wù)，不得用于網(wǎng)絡(luò)安全審查以外的目的。

第十四條 網(wǎng)絡(luò)安全審查辦公室不定期發(fā)布對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的安全評(píng)估報(bào)告。

第十五條 本辦法由國(guó)家互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)解釋。

第十六條 本辦法自2017年 月 日起實(shí)施。

附2：幫你預(yù)習(xí)“網(wǎng)絡(luò)安檢”須知——聚焦《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（征求意見稿）》

新華社記者李亞紅、施雨岑

國(guó)家互聯(lián)網(wǎng)信息辦公室近日公布的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（征求意見稿）》提出，我國(guó)將成立網(wǎng)絡(luò)安全審查委員會(huì)，統(tǒng)一組織網(wǎng)絡(luò)安全審查工作等。“網(wǎng)絡(luò)安檢”有哪些須知項(xiàng)？新華社記者采訪了國(guó)家網(wǎng)信辦和網(wǎng)絡(luò)安全領(lǐng)域?qū)＜摇?/p>

焦點(diǎn)一：誰(shuí)來審查，是什么性質(zhì)的審查？

【意見稿】國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同有關(guān)部門成立網(wǎng)絡(luò)安全審查委員會(huì)，負(fù)責(zé)審議網(wǎng)絡(luò)安全審查的重要政策，協(xié)調(diào)網(wǎng)絡(luò)安全審查相關(guān)重要問題。

【解讀】國(guó)家網(wǎng)信辦相關(guān)負(fù)責(zé)人表示，中國(guó)借鑒國(guó)外做法，建立網(wǎng)絡(luò)安全審查制度。網(wǎng)絡(luò)安全審查委員會(huì)聘請(qǐng)相關(guān)專家組成網(wǎng)絡(luò)安全審查專家委員會(huì)，對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全風(fēng)險(xiǎn)及其提供者的安全可信狀況進(jìn)行綜合評(píng)估。網(wǎng)絡(luò)安全審查不是行政審批，是對(duì)重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)采取的事中、事后監(jiān)管，堅(jiān)持實(shí)驗(yàn)室檢測(cè)、現(xiàn)場(chǎng)檢查、在線監(jiān)測(cè)、背景調(diào)查相結(jié)合的原則。

焦點(diǎn)二：哪些產(chǎn)品和服務(wù)需審查？

【意見稿】關(guān)系國(guó)家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)經(jīng)過網(wǎng)絡(luò)安全審查。

【解讀】國(guó)家網(wǎng)信辦相關(guān)負(fù)責(zé)人介紹，并非所有網(wǎng)絡(luò)產(chǎn)品和服務(wù)都需要審查，是有條件的。而且，重點(diǎn)審查的是網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性。判定是否影響國(guó)家安全和公共利益，主要看產(chǎn)品和服務(wù)使用后，是否會(huì)危害國(guó)家政權(quán)和主權(quán)安全，是否會(huì)危害廣大人民群眾利益，是否會(huì)影響國(guó)家經(jīng)濟(jì)可持續(xù)發(fā)展及國(guó)家其他重大利益。

焦點(diǎn)三：黨政部門所用產(chǎn)品都要審查？

【意見稿】黨政部門及重點(diǎn)行業(yè)優(yōu)先采購(gòu)?fù)ㄟ^審查的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，不得采購(gòu)審查未通過的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。

【解讀】中國(guó)信息安全研究院副院長(zhǎng)左曉棟說，這個(gè)規(guī)定的意思是，如果某個(gè)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能會(huì)影響國(guó)家安全，在進(jìn)行安全審查后沒能通過審查，被列入“黑名單”后不能采購(gòu)，并不是說黨政部門及重點(diǎn)行業(yè)采購(gòu)的所有網(wǎng)絡(luò)產(chǎn)品和服務(wù)都要進(jìn)行審查。

焦點(diǎn)四：是在搞貿(mào)易保護(hù)壁壘嗎？

【意見稿】關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的，應(yīng)當(dāng)經(jīng)過網(wǎng)絡(luò)安全審查。

【解讀】國(guó)家網(wǎng)信辦相關(guān)負(fù)責(zé)人介紹，網(wǎng)絡(luò)安全審查制度的實(shí)施是企業(yè)證明產(chǎn)品安全性，提高用戶對(duì)產(chǎn)品信心的機(jī)會(huì)。網(wǎng)絡(luò)安全審查不但不會(huì)對(duì)國(guó)外產(chǎn)品進(jìn)入中國(guó)市場(chǎng)造成障礙，反而會(huì)因?qū)彶橹贫鹊膶?shí)施提高用戶對(duì)產(chǎn)品安全性的信心，促進(jìn)企業(yè)產(chǎn)品市場(chǎng)的擴(kuò)大。網(wǎng)絡(luò)安全審查將對(duì)國(guó)內(nèi)外企業(yè)和產(chǎn)品平等對(duì)待，不針對(duì)特定國(guó)家和地區(qū)的產(chǎn)品和服務(wù)，不會(huì)限制國(guó)外產(chǎn)品進(jìn)入中國(guó)市場(chǎng)。

焦點(diǎn)五：網(wǎng)絡(luò)安全審查和網(wǎng)民有什么關(guān)系？

【意見稿】重點(diǎn)審查網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性，主要包括：產(chǎn)品和服務(wù)被非法控制、干擾和中斷運(yùn)行的風(fēng)險(xiǎn)；產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件非法收集、存儲(chǔ)、處理、利用用戶相關(guān)信息的風(fēng)險(xiǎn)；產(chǎn)品和服務(wù)提供者利用用戶對(duì)產(chǎn)品和服務(wù)的依賴，實(shí)施不正當(dāng)競(jìng)爭(zhēng)或損害用戶利益的風(fēng)險(xiǎn)等。

【解讀】國(guó)家網(wǎng)信辦相關(guān)負(fù)責(zé)人介紹，重點(diǎn)審查網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性，產(chǎn)品和服務(wù)提供者不得利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶的信息，不能損害用戶對(duì)自己信息的自主權(quán)、支配權(quán)；不得非法控制、操縱用戶的系統(tǒng)或設(shè)備，用戶自己的系統(tǒng)要用戶自己控制；不得利用廣大用戶對(duì)產(chǎn)品和服務(wù)的依賴搞不正當(dāng)競(jìng)爭(zhēng)，謀取不正當(dāng)利益，比如停止必要的安全服務(wù)、搞壟斷經(jīng)營(yíng)等。目的是維護(hù)用戶信息安全，維護(hù)國(guó)家安全和廣大人民群眾的合法權(quán)益。

焦點(diǎn)六：審查如何才會(huì)啟動(dòng)？

【意見稿】根據(jù)國(guó)家有關(guān)部門要求、全國(guó)性行業(yè)協(xié)會(huì)建議、市場(chǎng)反映和企業(yè)申請(qǐng)等，網(wǎng)絡(luò)安全審查辦公室組織第三方機(jī)構(gòu)、專家對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)進(jìn)行網(wǎng)絡(luò)安全審查。

【解讀】國(guó)家網(wǎng)信辦相關(guān)負(fù)責(zé)人介紹，網(wǎng)絡(luò)安全審查辦公室根據(jù)國(guó)家有關(guān)部門要求、全國(guó)性行業(yè)協(xié)會(huì)建議、市場(chǎng)反映和企業(yè)申請(qǐng)啟動(dòng)網(wǎng)絡(luò)安全審查。同時(shí)，金融、電信、能源等重點(diǎn)行業(yè)主管部門，根據(jù)國(guó)家網(wǎng)絡(luò)安全審查工作要求，組織開展本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查工作。

左曉棟解釋，比如某網(wǎng)絡(luò)產(chǎn)品和服務(wù)，全國(guó)性行業(yè)協(xié)會(huì)經(jīng)過研究認(rèn)為這款產(chǎn)品和服務(wù)存在巨大網(wǎng)絡(luò)安全漏洞，可能影響國(guó)家安全，就可以向?qū)彶槲瘑T會(huì)反映這個(gè)問題，審查委員會(huì)認(rèn)為這種情況可能存在，就可以對(duì)該產(chǎn)品和服務(wù)在特定領(lǐng)域使用時(shí)進(jìn)行安全審查。