近期,國家互聯(lián)網(wǎng)信息辦公室公布了《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(征求意見稿)》(以下簡稱“審查辦法”),明確指出將成立網(wǎng)絡(luò)安全審查委員會,統(tǒng)一組織網(wǎng)絡(luò)安全審查工作。開展網(wǎng)絡(luò)安全審查是落實《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱“《網(wǎng)絡(luò)安全法》”)的重要舉措,標志著我國在重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全管理方面向前邁進了堅實的一步。
有關(guān)背景:
立足國情,順勢而為
當前,網(wǎng)絡(luò)空間已經(jīng)成為網(wǎng)絡(luò)戰(zhàn)、情報戰(zhàn)的主戰(zhàn)場,國家間網(wǎng)絡(luò)攻防對抗日趨激烈,關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全威脅更加嚴峻復(fù)雜。2015年,美國發(fā)布《網(wǎng)絡(luò)威懾戰(zhàn)略》,進一步明確將攻防并舉轉(zhuǎn)化為主動進攻的戰(zhàn)略基調(diào),2016年奧巴馬在G20峰會上公開宣稱美國擁有全球最大的數(shù)字軍火庫,網(wǎng)絡(luò)戰(zhàn)威脅加劇。網(wǎng)絡(luò)產(chǎn)品和服務(wù)是構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施的基礎(chǔ),其安全性、可控性直接影響關(guān)鍵信息基礎(chǔ)設(shè)施的安全穩(wěn)定運行,關(guān)系用戶利益,關(guān)系國家安全。
縱觀全球,世界主要國家均將網(wǎng)絡(luò)安全威脅視為國家安全和經(jīng)濟社會發(fā)展面臨的嚴重挑戰(zhàn),普遍針對信息技術(shù)產(chǎn)品和提供商開展了不同形式的安全審查,網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查已經(jīng)成為國際慣例。例如,美國《國家信息安全保障采購政策》等規(guī)定優(yōu)先采購?fù)ㄟ^評估的產(chǎn)品,美國國防部針對信息技術(shù)產(chǎn)品實施供應(yīng)鏈安全審查等;英國要求國外通信設(shè)備供應(yīng)商簽訂書面協(xié)議,進行專門的測試評估、人員審查等。國際主要國家的網(wǎng)絡(luò)安全審查工作呈現(xiàn)審查范圍逐步擴大、審查內(nèi)容不斷擴展、審查形式趨向豐富、審查層次上升至國家安全高度等特征。
我國作為網(wǎng)絡(luò)大國,也是面臨網(wǎng)絡(luò)安全威脅最嚴重的國家之一。習(xí)近平總書記指出,沒有網(wǎng)絡(luò)安全,就沒有國家安全。而維護網(wǎng)絡(luò)安全,首先要保障網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全。在此背景下,2014年5月22日國家互聯(lián)網(wǎng)信息辦公室宣布,為維護國家網(wǎng)絡(luò)安全、保障中國用戶合法利益,中國即將推出網(wǎng)絡(luò)安全審查制度。這是我國首次正式提出建立國家網(wǎng)絡(luò)安全審查制度。2014年12月,中央網(wǎng)信辦《加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全的管理意見》明確提出統(tǒng)一組織黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查,次年6月,黨政部門云計算服務(wù)網(wǎng)絡(luò)審查正式展開。作為國家網(wǎng)絡(luò)安全審查的重要組成部分,黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查的有關(guān)工作經(jīng)驗為審查辦法的出臺和后續(xù)工作的開展奠定了重要實踐基礎(chǔ)。2017年2月,“審查辦法”首次面向社會公開征求意見。推行網(wǎng)絡(luò)安全審查制度既是新形勢下我國網(wǎng)絡(luò)安全保障的現(xiàn)實需要,也是順應(yīng)國際趨勢、符合國際慣例的正確選擇。
行業(yè)認識:
統(tǒng)籌兼顧、不可或缺
網(wǎng)絡(luò)安全審查是“依法治網(wǎng)”的重要舉措
黨的十八屆四中全會以來,中國網(wǎng)絡(luò)空間法制化進程加快,《中華人民共和國國家安全法》《網(wǎng)絡(luò)安全法》《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》相繼發(fā)布?!毒W(wǎng)絡(luò)安全法》第三十五條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。制定并實施網(wǎng)絡(luò)安全審查制度是落實《國家安全法》《網(wǎng)絡(luò)安全法》的重要舉措,將進一步規(guī)范和提升關(guān)系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性,從而更好地維護和保障國家安全和公共利益。
審查實施有助于提高關(guān)鍵信息基礎(chǔ)設(shè)施安全能力
《網(wǎng)絡(luò)安全法》對關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全進行了專門規(guī)定,實行重點保護。“審查辦法”的第二條、第十一條內(nèi)容與《網(wǎng)絡(luò)安全法》直接呼應(yīng)。實施網(wǎng)絡(luò)安全審查制度,將進一步明確并強化關(guān)鍵信息基礎(chǔ)設(shè)施運營者、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的責(zé)任義務(wù)。關(guān)鍵信息基礎(chǔ)設(shè)施運營者在采購時,需審慎對待擬采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當經(jīng)過網(wǎng)絡(luò)安全審查。網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者則要及時向用戶告知安全缺陷、漏洞等風(fēng)險,持續(xù)提供安全維護服務(wù),不可利用提供產(chǎn)品和服務(wù)的便利條件非法獲取或利用用戶信息,不可利用系統(tǒng)漏洞或設(shè)置惡意程序非法控制和操縱用戶的系統(tǒng)和設(shè)備,不可通過用戶對補丁升級等服務(wù)的依賴實施不正當競爭等。此外,“審查辦法”還將網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的安全可信情況、供應(yīng)鏈安全情況納入審查范疇,體現(xiàn)出逐漸向深層次發(fā)展,而非停留在產(chǎn)品或技術(shù)的表層。網(wǎng)絡(luò)安全審查制度的實施,將極大地促進網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性的提升,對于加強關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全保護、提升關(guān)鍵信息基礎(chǔ)設(shè)施安全可控水平具有重要意義。
審查辦法堅持國家總體統(tǒng)籌,兼顧行業(yè)需求
“審查辦法”指出,金融、電信、能源等重點行業(yè)主管部門,根據(jù)國家審查工作要求,組織開展本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)產(chǎn)品和服務(wù)審查工作,充分體現(xiàn)了堅持國家總體統(tǒng)籌、兼顧重點行業(yè)特色特點的中國模式。以電信和互聯(lián)網(wǎng)行業(yè)為例,網(wǎng)絡(luò)基礎(chǔ)設(shè)施承載著大量的重要信息系統(tǒng)和用戶數(shù)據(jù),其安全穩(wěn)定運行事關(guān)國家安全、經(jīng)濟發(fā)展、社會穩(wěn)定,事關(guān)人民群眾的切身利益。隨著“互聯(lián)網(wǎng)”、大數(shù)據(jù)等網(wǎng)絡(luò)強國戰(zhàn)略的推進實施,網(wǎng)絡(luò)基礎(chǔ)設(shè)施的基礎(chǔ)性、全局性地位更加突出,構(gòu)建網(wǎng)絡(luò)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性至關(guān)重要。當前,我國核心技術(shù)和關(guān)鍵設(shè)備依然處于追趕狀態(tài),部分高端產(chǎn)品和核心部件仍然依賴國外,網(wǎng)絡(luò)基礎(chǔ)設(shè)施供應(yīng)鏈安全問題不斷凸顯。“棱鏡”事件充分暴露出美國情報機關(guān)將我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施作為攻擊控制的重點目標。為提升網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可行性,防范供應(yīng)鏈安全風(fēng)險,根據(jù)國家網(wǎng)絡(luò)安全審查工作要求,開展電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查,實為勢在必行。
幾點思考與建議
積極妥善應(yīng)對國際輿論壓力
“審查辦法”公布后,國外媒體密集報道引發(fā)輿論熱議。路透社以中國將進一步強化互聯(lián)網(wǎng)監(jiān)管為題發(fā)表評論,受到多家媒體轉(zhuǎn)載。長期以來,國外媒體和西方國家高層高度關(guān)注我國網(wǎng)絡(luò)安全相關(guān)政策舉措,并通過媒體報道評議、政府官員表態(tài)、致電致信交涉等方式予以施壓。早在2015年2月,路透社就曾發(fā)表題為“中國將領(lǐng)先科技品牌剔除在政府采購之外”的文章,質(zhì)疑我國政策違反國際貿(mào)易準則?!秶野踩ā贰毒W(wǎng)絡(luò)安全法》出臺時,國外媒體同樣激烈評議。因此,在戰(zhàn)略層面,針對未來“審查辦法”正式出臺、審查工作正式實施過程中可能遇到的輿論焦點和爭議,建議相關(guān)部門前瞻考慮,做好應(yīng)對,積極回應(yīng),爭取輿論主導(dǎo)權(quán)。
盡快明確關(guān)鍵信息基礎(chǔ)設(shè)施的范圍
按照《網(wǎng)絡(luò)安全法》和“審查辦法”規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),影響國家安全的,應(yīng)當通過國家網(wǎng)絡(luò)安全審查??梢?,關(guān)鍵信息基礎(chǔ)設(shè)施運營者在網(wǎng)絡(luò)安全審查的完整流程中扮演重要角色。目前《網(wǎng)絡(luò)安全法》已經(jīng)建立起關(guān)鍵信息基礎(chǔ)設(shè)施的有關(guān)概念,但仍缺乏明確的關(guān)鍵信息基礎(chǔ)設(shè)施名錄或清單,建議盡快明確關(guān)鍵信息基礎(chǔ)設(shè)施范疇,推動“審查辦法”落地實施。
正確認識和把握網(wǎng)絡(luò)安全審查與安全測評、認證的差異
根據(jù)“審查辦法”,網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全審查將堅持第三方評價與政府監(jiān)管相結(jié)合的方式,第三方評價可能采取實驗室檢測、現(xiàn)場檢查、在線監(jiān)測等形式。僅從第三方評價這一形式看,與我國現(xiàn)有的網(wǎng)絡(luò)安全評測、網(wǎng)絡(luò)安全認證等存在相似之處。但從本質(zhì)上,必須牢牢把握審查與測評、認證的出發(fā)點及落腳點之間的差異,把握國家安全要求與基線性安全要求的差異,把握預(yù)防與威懾的差異。開展網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查的目的是為了維護國家安全和公共利益,在實際實施中務(wù)必堅持審查的力度、深度和遠度,將立足于國家安全的高度、緊密圍繞國家安全和公共利益需求作為網(wǎng)絡(luò)安全審查工作的基本遵循。