4月27日晚，复旦大学发展研究院、国际关系与公共事务学院教授沈逸在东方卫视《今晚60分》栏目中，与其同事、知名学者蒋昌建对话，分析《国家网络安全审查办法》出台动因及其对国家网络安全体系构建的作用。以下文字根据视频内容记录整理而成：

蒋昌建：

如何有效地保障国家网络安全？今天来到演播室参与这个话题讨论的是复旦大学网络空间国际治理研究基地主任沈逸先生。沈教授，目前我们也知道，网络安全的审查办法的推出是我们国家继网络安全法之后，在网安领域里又一个非常重要的动作。那么这一办法对于推进我们国家安全，特别是网络安全体系的构建有什么样的意义？

《网络安全审查办法》进一步健全和完善国家网络安全体系

沈   逸：

我们知道没有网络安全就没有国家安全，没有信息化就没有现代化。在这样一个体系当中进行治理的时候，我们有了《国家网络安全法》，我们有了《国家安全法》，但是《国家网络安全法》和《国家安全法》需要落地，在这个落地的过程当中，相当一件重要的事情是对解决对关键信息基础设施的安全保障。这个安全保障的一个重要办法，就是推行国家网络安全审查，这是在《国家网络安全法》里面已经写进去了的内容。今天这部《国家网络安全审查办法》的颁布，实际上就是解决了关键信息基础设施如何进行国家安全审查的这个法律依据的问题，包括如何在各个部门之间进行有效的协调、清晰各方面的职能、讲清楚我们搞这个国家网络审查的目标、涉及的对象、需要履行的义务以及最终希望达到怎样的目标等，这部法律里基本上都是很清楚的。

规避供应链风险是建立网络安全审查的主要目的之一

蒋昌建：

我在电脑上看到这部法律，比如说第2条：“关键信息基础设施的运营者采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。”那么其实我们知道，有很多的运营商或者运营者提供的一些产品和服务，可能会受制于比如说国外的一些的硬件或者软件的一些“卡脖子”的相关政策。所以这一次出台这样的一个法律，实际上是针对我们国家网络安全当中可能存在着怎样的一种风险而去的？

沈   逸：

简而言之就是我们这次主要应对的重大风险之一就是所谓的供应链风险。关键信息基础设施的运营者采购的产品跟服务本身可能就是一个集成的系统。它如果是一个软件，它包含了很多的代码，这些系统中的不同功能由不同的软件承担，这些软件由不同的厂商开发，然后有一个总集加以集成。硬件也是类似的情况，它有大量的集成电路、芯片、硬件、软件，中间每一个环节可能都蕴含了某种潜在的风险。当它被采购过来、运用并且部署到关键信息基础设施之前，就需要经过这样一个国家网络安全基础设施的审查，从而确保在最大限度上把风险的概率降到最低，确保整个关键信息基础设施在组成之后，能够正常地投入使用。

蒋昌建：

那么就像你刚才所说的，供应链的风险是这一部法比较关心的一个非常重要的方面。但是我们都知道，供应链的风险往往是没有前兆的，可能是突然的。所以我们在贯彻法律的同时，我们怎么考虑把这些风险的预估前置，避免造成更大的风险？

沈   逸：

我们处在一个风险社会，没有办法消除这个风险，所以我们可以把这个风险降低。我想大体上就是在事前、事中和事后三个过程当中都去关注这个风险：在事前我们强化网络安全的前置审查，在运行的过程当中我们强化自身的防御和监控能力，在事后一旦出现了风险，除了对风险进行管控之外，还要前向进行溯源和追责，从而通过这种三阶段的共同防御来把这个风险降到最低。我想这也是这部国家网络安全审查办法想达到的重要目的之一。

蒋昌建：

那很显然，刚才沈教授也谈到了事前、事中、事后，实际上它不是一个具体的某一个环节的某一个措施，而是一个成体系化的综合的考量，才有了今天的这样一个法律。

主持人：

事实上，这样的一部法律、这样的一个办法，对于我们网络安全建设来说，它是非常重要的。不光是中国这么做，放眼世界的话，会发现网络安全审查早已是国际潮流和通行的做法了。它在国家网络空间治理现代化的制度改革当中本来就占有极为重要的地位。

【美国网络安全审查制度由来已久】

新闻短片：美国早在2000年开始就率先在国家安全系统中对采购的产品进行安全审查，随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策，实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。此前华为要收购3Com公司和美国一家服务器技术研发公司特定资产的计划便因为无法通过美国外商投资委员会的审查而受阻。

【英国政府使用网络产品和服务需经安全认证】

英国的网络安全认证则由政府通信总部实施，只有通过其安全认证的产品和服务，才能够为英国政府机构信息系统所使用。

【印度网络安全策略旨在发展本土技术产品】

在印度，网络安全审查的重点主要是加强对通信产品以及关键核心设备运营商的管控。2011年印度就已经出台网络安全策略，强调发展本土信息技术产品，减少进口高科技产品对国家安全可能带来的威胁。

蒋昌建：

刚才其实从短片当中，我们也可以看到，对关键性的产品和服务，总体上来讲，各个国家都非常慎重，也相应出台了各有特色的法律。但是，进行治理和管理，这是大家共同的一个想法。所以，我接下来想问沈教授的就是：我们怎么做到两方面的平衡？一方面，当然是要管好网络安全，另一方面，就像你讲的，我们很多产品和服务实际上是集成的，又怎么能够保持一定的开放度？这个平衡怎么来拿捏或把握？这是一个问题。第二个问题就是怎么避免双重标准？因为各个国家都有相应的法律，但是有时候这个法律就变成了抑制其他国家正常的比如信息安全产品和信息服务产品的开发和发展，怎么避免这个双重标准？

沈   逸：

这两个问题，其实说起来可能是对同一个问题的不同角度的理解。2016年4月19日，习近平总书记主持召开了网络安全和信息化工作的座谈会。在这个会上他讲到这件事，有两种观点：一种观点认为网上都是别人的东西，用起来不怎么安全，互联网看着好像是个麻烦，关了算了，或者说在自己完整地拥有一套独立的体系之前，最好不要去碰它，然后有了之后再去弄。他认为这个肯定是不行的，这种观点肯定是有失偏颇的。另外一种观点认为就是这个世界是平的，放心用吧，没关系，我们可以用采购的方式去获得最大限度的效益，这个已经有无数的事实证明这也是不靠谱的。所以这个世界最终是辩证、平衡、均衡的。所以，我觉得大概是三个方面。

对外开放的同时也要构筑国家网络安全

第一，我们需要在制度、战略、理念、政策几个方面，保证安全和发展之间的均衡。比如说我们的安全不是说我们就切断，不要发展就去搞安全。实际上大家知道，最大的不安全就是不能发展，安全是为了实现安全的发展，发展是为了更好地促进这个东西的应用，所以这是一个均衡的问题。

网络安全审查不应成为打压他国先进企业的借口

第二，要有有效的制度的保障。这个制度保障就是我们建立一套法律的体系，相关的游戏规则放在那。包括在国家网络安全审查办法中，如果运营商认为这个审查是不对的，可以投诉，有救急机制。所以，从制度设计的时候就考虑了一种均衡的、开放的方式，因为归根结底中国是想向世界开放，不是想通过这个东西把门给关上。

捍卫国家网络安全的同时应摒弃双重标准

第三，双重标准，我个人觉得这事儿美国人干的比较多一点，所以我们不要跟他学就是了。我们不是那种霸权国家，也没有兴趣用国家网络安全审查去搞那种所谓的贸易保护。这种事情，其实你会发现很有趣，欧美对这个比较警惕，其实主要原因是因为他们做的比较多，所以他看谁可能都是。我个人对我们国家的这个东西不会沦为这种变相的贸易保护还是很有信心的。

蒋昌建：

沈教授其实讲了三个关键点。第一，网络安全体系的这个主动权是权操我手。第二，制度本身的完善，恰恰是为更安全地打开市场提供机遇。第三个方面，就是刚才讲的，所谓的“双重标准”，在某种程度上别人可能是以自己的心度别人的腹。但是作为中国人，只要行得正、端得正，我相信没有任何的顾虑。

主持人：

网络安全，特别是我们刚刚说到基础设施这方面的安全，其实是具有战略高度的一个问题，所以我们今天讨论的这部办法的出台，也是为落实这个战略高度，它有一套非常可操作性的办法和规则。也谢谢沈教授来到我们的节目当中！

文字整理 | 复旦发展研究院 Sally

微信编辑 | 苗凤荻

往期阅读