2月4日，国家网信办发布《网络产品和服务安全审查办法（征求意见稿）》（以下简称《办法》），对网络产品与服务提出了具体的安全审查意见。《办法》作为第一部国家层面的安全审查规则，对为什么审查、如何审查以及谁来审查提出了明确的意见。

事实上，自2014年2月中央网信办成立后，国家在网络安全领域的顶层设计引人注目。其中，2016年8月，中央网信办、质检总局、国家标准委联合制定的《关于加强国家网络安全标准化工作的若干意见》发布；同年11月7日，人大常委会表决通过《网络安全法》，并将于今年6月1日实施；年末的12月27日，国家互联网信息办公室发布了《国家网络空间安全战略》。可以看到，网络安全的顶层设计渐趋完善。

那么，作为中国首部网络产品与服务的安全审查办法，它与以上提到的顶层设计有何延续性？不同点在哪里？如何理解其边界？重点又是什么？针对这些问题，DOIT传媒采访了中国网络安全产业联盟战略与政策委员会副主任李刚，请其对《办法》进行了全面解读。

Q：从顶层设计与政策角度，2月4日的《网络产品和服务安全审查办法（征求意见稿）》是政策的延续，那么如何正确理解其定位？特别是，审查办法是《网络安全法》的某个执行细则吗？

A：我觉得，可以从以下三个维度来理解《办法》的定位：

一是国家高度定位。《办法》从组织架构和执行定位来看，无疑是国家层面主导、国家统一组织、适用于全国范围的一个针对网络产品和服务安全保障的重要的执行纲领性文件和指南。

二是目的内容定位。《办法》目标性定位很明确，首先是制定办法的原因明确，《办法》指出“为提高网络产品和服务安全可控水平，防范供应链安全风险，维护国家安全和公共利益”；其次是《办法》制定的法律依据很明确，依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》制定了本《办法》；再次是审查对象和审查内容非常明确，对象是“关系国家安全和公共利益的信息系统使用的重要网络产品和服务”，内容是产品和服务的“安全性、可控性”；最后是组织架构和相关执行线路明确，例如《办法》明确执行部门为“国家互联网信息办公室会同有关部门成立网络安全审查委员会”。

三是纲要文件定位。对《办法》另外一个定位维度解读，就是该《办法》是纲领文件，而不是执行细则，所以，对某些内容，后续还需要很多的规则内容细化，还需要一段时间去合理化制定及完善一些规则定义、执行细则，以及组织机构的组建等。

针对第二个问题，显然提法不够准确。应该说，《网络安全法》作为我国网络安全大领域的根本性大法，其包含了全部网络安全的各项规则规定和内容，网络安全审查仅仅是其很小的一个方面。所以说，准确的理解应该是，《网络安全法》是本《办法》制定的法律依据。

Q：“网络产品与服务”主要指什么？如何确定边界？

A：《办法》第二条，已经明确指出了“关系国家安全和公共利益的信息系统使用的重要网络产品和服务”。那么从两个方面，可以正确理解这个含义的界定。

一是抓住两个关键词，我们就能正确理解基本概念和确定边界。两个关键词是“信息系统”和“重要”，即不是所有的信息系统，而是关系到国家安全和公共利益的信息系统；在这些信息系统上，不是所有的网络产品和服务，而是“重要”的网络产品和服务。

二是具体产品明细。正如前面对《办法》定位的理解，这是一个纲领性规定和指导性文件，因此，还需要执行细化的内容，包括具体信息系统、产品和服务列表等。

我相信两点，一是该列表肯定会随着《办法》执行推进而明确推出，就像政府采购的产品目录一样；二是该列表将是一个动态变化的列表，因为正如问题所说，新科技网络产品的不断推陈出新和变化，该列表也将是与时俱进地动态变化。

Q：在此之前，党政部门有没有相关的网络产品与服务的安全审查？在金融、电信、能源等行业呢？

A：准确地说，党政部门此前没有专门专业的针对网络产品和服务的安全审查，但是，其在构建信息系统或采购信息产品的过程中，按照之前既有的相关法规和文件要求，其采用的某些方式方法，其实也达到一定的安全审查效果和作用。例如，国家规定了十大重要行业基础信息系统，那么他们在构建信息系统或采购产品时，按照要求和需要，会邀请国家级安全测评机构，对其系统和产品进行漏洞测试、风险评估等手段。

对于以前的网络产品与服务来讲，由于没有专门专业的国家统一的安全审查制度和标准，其采购标准主要还是两个层面，一是国家既有的质量标准、销售许可证、企业资质等；二是行业或企业自己规定的相关功能需求和安全要求等标准，某些行业还有自己的安全评测机构，来进行相应的招标要求和审核评测。

应该说，之前行业或企业自行的办法和标准，与本次《办法》没有执行或逻辑上的必然联系，但是对于某些网络产品与服务的安全审查手段、技术和标准等，从科学的角度，正确的方法内容，肯定是一样的。

Q：《办法》提出“坚持企业承诺与社会监督相结合，第三方评价与政府监管相结合，实验室检测、现场检查、在线监测、背景调查相结合，对网络产品和服务及其提供者进行网络安全审查”，如何正确理解？

A：重点是“结合”这个关键词。既然是结合，就说明前者和后者同样重要，不可偏废。其原因，我认为这反映了《办法》或者《办法》的制订部门，在三个方向上的正确性。

一是全面合理。网络科技，日新月异，网络空间的治理，是当今时代的一个既新又难的大命题，尤其网络安全问题，更是重中之重，也是难上加难。那么，不可能一把快刀，斩断乱麻，解决问题。所以，更加全面的手段，各方力量的结合，综合评估，才是合理的方法。

二是科学正确。《办法》列出来的这些方法，都不是完全创新，而是分别在之前的行业应用中，经过验证，行之有效的方法，那么，《办法》综合了当前最为行之有效的方法，让它们综合发挥作用，这就是一定要走科学发展的道路。

三是公正法治。虽然《办法》是事关国家安全的文件，但是，从审查方法以及全文来看，我们发现，《办法》并不是一味强调政府权威，而是强调政府监管只是审查方法的其中一部分，充分反映了《办法》完全遵循了当前我国政府提倡的依法治国、简政放权等“小政府，大社会”的执政思路。

Q：《办法》第四条提出“重点审查网络产品和服务的安全性、可控性”，怎么理解？

A：第四条主要提出了四点意见，前三点，是最基本的网络安全威胁，这是最基本的、必须要保障的用户权益。而第四点，它虽然可能不是直接的网络安全威胁，但它会成为在网络空间违反《国家反垄断法》的根源，同时，有可能造成进一步的，对于用户信息系统和现实利益的威胁和损害。

Q：如何界定安全审查与网络产品性能或功能的区别？由于网络产品与数据安全、信息安全的融合，这种审查在技术层面面临一定的挑战？

A：首先，网络安全审查，重点是审查网络产品与服务的安全性、可控性。这一点来讲，与网络产品本身的性能或功能没有关系。换句话说，安全审查不管你性能是否优良，也不管你是实现什么样的功能。

当然，我个人认为，由于网络空间的日新月异，网络科技的高速发展，毫无疑问，作为全新的机制，网络安全审查不仅在技术层面，在执行层面，在各个环节落实层面，都会面临一定的新难题、新挑战。但是，作为世界主要大国都已经在实施的政策，作为事关网络时代国家安全的重要举措，不管有任何难题，网络安全审查都势在必行，必须推进。

Q：“国家统一认定网络安全审查第三方机构，承担网络安全审查中的第三方评价工作”，您认为，这个第三方机构将如何组成？如何工作？如何确保可控、透明、可信？

A：目前来说，没有确切的第三方机构的具体组成信息。但是毫无疑问，不管怎么组成，确保可控、可信和公正，一定是第三方机构的基本属性和必须属性。

我个人感觉，未来第三方机构，一定要满足三大可信，一是主体可信，该机构主体应该具备普遍公信力，不能是“既当运动员，又当裁判员”等等；二是资质可信，该机构要有国家认可的资质和技术水平，否则你凭什么给别人测评；三是机制可信，测评的流程、机制和标准，首先要按照国家规定，同时作为机构本身，也应当实现机制流程的可控、透明和公正。

Q：《办法》对网络、安全产业的影响有哪些？

A：个人认为，有三大影响：

一是安全意识提升。《办法》推出后，对于广大网络产品与服务提供商来说，通过法规撬动市场的杠杆，让他们会更加关注对自身产品与服务的安全性考虑，和对用户网络安全保障的服务力度；而不是像以前，主要关心产品性能、功能、模式和便捷，而对产品安全和产品使用导致用户的隐患，不够重视。那么，只要全体网络产品企业，都重视网络安全（而不是仅仅网络安全厂商跟在后面“擦屁股”）的话，毫无疑问，我们国家整体网络空间安全和清朗的环境指数，将大幅提升。

二是国内产业机遇。对于如何更加贴近中国用户，如何更加对用户有本地化安全服务，如何更加满足《办法》的审查要求，毫无疑问，国内企业会比外企做得更好。以前如果做得好，没有明确评测反映，没有市场杠杆的反馈，而现在如果做得好，国内市场的用户们，可以看得到，国家法规有明确规定，市场自然有反馈。

所以，从这点来说，无论国内的互联网企业、网络产品企业，还是安全企业，都有了更大的机遇，尤其是核心科技领域的国内企业，更需抓住机遇，让“中国造”不仅仅是低级的机箱机壳，而是市场利润更高更多是芯片内核。

三是推动国际融合。《办法》出台，对国内、国际企业一视同仁，政府市场的杠杆，将随着《办法》的推行而移动。那么，不能满足安全标准的外国企业，《办法》将刺激和推动他们去想办法保住，甚至提升在中国这个大市场的份额，无论是按照中国市场要求，弥补自身产品安全缺陷，还是按照中国市场要求创新自身产品安全性能，或是与中国本土企业合作，放低身价，进一步融入中国市场，符合本地化国情……总之，《办法》出台，对于外国网络企业，进一步创新完善，融入中国市场，是一个巨大的推动力。

而作为站在企业网络安全应用第一线的安全厂商们，自然关注着顶层设计的一举一动。面对这份意见征集稿，他们也表达了自己的看法。存储在线主编王珂玥第一时间联系了一些从事网络产品和服务安全的厂商负责人，期望听听他们的一些意见。

英方云：新规对领先企业的影响不大

英方云可为为企业数据安全与业务连续性提供灾备服务，在去年实现上市并成为腾讯云的合作伙伴。英方股份CEO胡军擎向记者表示，国家网信办将网络产品的自主可控性纳入重点，肯定对于规范日益增长的国内网络安全市场是个利好因素。“但是，这种政策性引导对于希望投身该市场的领先服务提供者来说，影响不大。这类厂商的技术服务已实现与全球同步，在商业合规性上已经做得很好，甚至远高于市场准入标准。”

HanSight：拥有核心技术、自主源代码的国内安全公司会凸显

瀚思 ( HanSight ) 成立于2014年是一家基于大数据的安全技术服务商，去年完成了A轮融资3000万人民币。其联合创始人董昕表示，这种审查办法的出台，对市场无疑是一大利好因素，“尤其是，拥有核心技术、自主源代码的国内安全公司将更有优势。”

董昕还表示，该审查办法的出台，其实是反映出国家对网络空间安全治理的连续性重视，“无论是《国家信息化发展战略纲要》、《国家网络空间安全战略》等长期纲要的发布，还是《网络安全法》的立法通过，无不反映出国家对网络空间安全治理的重视程度。《网络安全审查意见稿》也是在这一大背景下诞生的落地文件之一。” 另外，董昕介绍，HanSight瀚思自成立之日起，就专注于政府、金融、电信等特大型行业，并掌握着核心专利和全部源代码。随着《网络安全法》、《审查意见稿》等法律法规的出台、落地，瀚思还会加大对合规性的研发、咨询、产品投入，力争成为云、大数据时代新安全战略的“标配”。

深信服：审查规定利于市场规范，客户需求推动市场创新

作为中国网络安全领域的资深玩家，深信服也在时刻关注着这样动态。深信服产品副总裁张开翼表示，这一征求意见稿的发布，对于党政部门及重点行业的网络安全产品和服务采购会有很大的影响，也势必会引起为用户提供网络安全相关产品和服务供应商的密切关注。“首先，作为审查办法，对规范市场肯定有积极作用，能够提高各类网络安全产品和服务自身的安全性和可控性，改善关系国家安全和公共利益的信息系统的安全性。

当然，这也在一定程度上提高了市场的准入门槛，由于安全需求更加多样化，客户需求对技术创新的推动作用仍然存在，网络安全相关产品和服务的市场机会一定会催生更多的厂商和服务商进入这个市场，对于这类创业型供应商的具体影响还要看审查办法的实施细则情况。”

杰思安全：很多基础性的技术工作有了可量化的验证办法

杰思安全CEO蒋波向记者表示：“意见稿的出台会对未来的安全建设有深远的影响，未来各企事业单位在采用网络产品和服务时，会更加全面重视其IT环境的安全风险。更重要的是，给出了具体的执行和操作保障，更加有利于网络安全法的全面贯彻和实施。假以时日必将大大改善我国的网络安全状况。对杰思安全而言，此次意见稿的出台对我们有非常正面的影响，我们做的很多基础性的技术工作有了可量化的验证办法。”