我国网络安全审查制度走向前台
对我国将施行网络安全审查,国际、坊间存在着这样那样的误解,甚至于曲解。而随着《国家安全法》、《网络安全法》、《国家网络空间安全战略》等法律、战略的相继出台,以及《网络产品和服务安全审理办法(征求意见稿)》对外公开征求意见,网络安全审查的价值取向、目标定位以及制度框架等越来越清晰。
一、网络安全审查的价值取向——维护国家安全
按照《国家安全法》第59条的规定,在信息技术领域,国家安全审查针的对象是“影响或者可能影响国家安全的”事项和活动,包括网络信息技术产品和服务,目的在于“有效预防和化解国家安全风险”。《网络安全法》第35条规定,“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的”,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
与两部法律一脉相承,《国家网络空间安全战略》在“保护关键信息基础设施”一节中提出对“党政机关、重点行业采购使用的重要信息技术产品和服务”,“建立实施网络安全审查制度”;界定关键信息基础设施的标准,正是“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”。
因此,网络安全审查的价值取向,在于发挥国家公权力的权威性、强制性,维护国家、社会整体层面的主权、安全和发展利益。办法的出台,使得“两法、一战略”的理念得以充分地贯彻和执行。
二、网络安全审查的目标定位——保障安全可控
着眼于国家安全的一项重要制度,网络安全审查的对象非常聚焦——“关系国家安全和公共利益的信息系统使用的重要网络产品和服务”,且根本目标在于“提高网络产品和服务的安全可控水平,防范供应链安全风险”。而对“安全可控”和“供应链安全风险”,可以从以下“不是什么”和“是什么”两个角度来理解:
一是与业务性能的区别。网络安全审查并非审查、评估产品和服务的业务性能,而是其在输出功能的过程中(也就是规定动作),会不会擅自采取一些自选动作,以及有没有可能被非法篡改、干扰、中断等。用更通俗的话来说,影响或可能影响国家安全的产品和服务必须绝对“忠于用户”,至于产品和服务本身的功能、性能有多大或够不够用,不是安全审查的重点。
二是安全可控的具体内涵。对此,办法第4条列举了审查重点关注的四种风险:稳定性方面(被非法控制、干扰和中断运行的风险)、供应链安全方面(研发、交付、技术支持过程中的风险)、用户自主支配其信息方面(利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险)、用户保持独立自主方面(利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险)。
当然,安全可控的内涵应当随着形势的变化而获得新的内涵,因此第4条最后一款进行了兜底。
三、网络安全审查的制度框架——吸纳多方参与
在“4·19”讲话中,习近平总书记提出“网络安全为人民,网络安全靠人民”的精辟论断。《国家安全法》第9条也要求,“维护国家安全,应当坚持预防为主、标本兼治,专门工作与群众路线相结合,充分发挥专门机关和其他有关机关维护国家安全的职能作用,广泛动员公民和组织,防范、制止和依法惩治危害国家安全的行为”。因此,网络安全审查工作绝非某一单独部门的事,而是大家的事。具体来说,网络安全审查吸纳多方参与的特色体现于以下几个方面:
首先,网络安全审查工作的组织和领导工作,由网络安全审查委员会承担,该委员会由国家网信办会同有关部门成立。委员会下设网络安全审查办公室。此外,委员会还组建网络安全审查专家委员会。网络安全审查委员会、办公室、专家委员会一道,构成了网络安全审查工作的顶层制度设计。
在启动审查阶段,办法第8条规定了企业申请、主管机关和部门依职权申请、全国性行业协会建议、市场普遍反映等多种形式。
在审查过程中,独立的第三方机构形成第三方评价,专家在第三方评价的基础上提出综合评估后,上报网络安全审查委员会,形成最终的审查结论。审查结论经由国家网信办认可后,由网络安全审查办公室发布或通报。