网络安全审查制度吹响了向网络安全强国迈进的号角

经过向社会公开征求意见并修改完善后，《网络产品和服务安全审查办法（试行）》（以下简称《审查办法》）正式对外公布，并将于2017年6月1日与《网络安全法》一道生效。

至此，《国家安全法》第59条提出的针对“影响或者可能影响国家安全的……网络信息技术产品和服务”的“国家安全审查制度”，《国家网络空间安全战略》中提出的为“保护关键信息基础设施”而“建立实施网络安全审查制度”，以及《网络安全法》第35条提出的“国家安全审查”均借由《审查办法》的颁布而实现了落地。这标志着我国网络安全基本制度的建设又朝前迈了一大步，维护国家安全特别是国家网络空间安全有了重要的新抓手。

与之前发布的征求意见稿相比，正式发布的《审查办法》文本更加聚焦，重点更加明晰。网络安全审查制度保护什么、关注什么一目了然。

首先，网络安全审查保护的是国家安全。《审查办法》第2条规定，“关系国家安全的网络和信息系统采购的重要网络产品和服务，应当经过网络安全审查”；第10条规定，“关键信息基础设施运营者采购网络产品和服务，可能影响国家安全的，应当通过网络安全审查。”贯彻了《国家安全法》提出的“维护国家安全，应当坚持预防为主”的基本思路。

其次，网络安全审查关注的是安全可控。何为“安全可控”？对此，中央网信办有关负责同志在多个场合反复强调了三方面要求：一是产品和服务提供者不应该利用提供产品和服务的便利条件来非法获取用户的信息，不应该损害用户对自己信息的自主权、支配权；二是产品和服务提供者不能利用提供产品和服务的便利条件来非法控制、非法操纵用户的系统、用户的设备，损害用户对自己系统、设备的控制权；三是产品和服务提供者不能利用广大用户对产品和服务的依赖搞不正当竞争，谋取不正当利益。

上述三方面要求，充分体现于《审查办法》第4条规定的审查重点之中。无论是“自身的安全风险”、“供应链安全风险”、“非法收集、存储、处理、使用用户相关信息的风险”，还是“利用用户对产品和服务的依赖，损害网络安全和用户利益的风险”，都表明网络安全审查并非审查、评估产品和服务的业务性能，而是其在输出功能的过程中，会不会擅自采取一些自选动作，以及有没有可能被非法篡改、干扰、中断等。用通俗的话来说，影响或可能影响国家安全的网络产品和服务必须固若金汤、坚如磐石，还必须忠于用户；至于产品和服务的功能、性能，不是安全审查的重点。

最后，还有一个更为基本的问题需要突出强调：即为什么维护国家网络空间安全，需要重点解决关系国家安全的网络产品和服务的安全性和可控性。对这个问题的回答，不仅关系到上述两点之间的逻辑关系，更直接关乎网络安全审查制度是否采取了正确的设计思路，换句话说，就是网络安全审查制度是否“抓住了牛鼻子”？

我们知道，现如今的网络和系统，不可能从零开始都由自己设计、开发，必然要使用、集成或者整合“别人”提供的各种产品或服务。而将一个外部产生的事物，吸纳于自身，不可避免要解决信任的问题。如果进一步探究信任，可大概作出如下划分：

一是技术层面的信任，即确保“别人”提供的产品或服务会在特定的环境下按照预期正常的运转；

二是策略层面的信任，即根据“别人”过往的行为模式、意图、能力等因素判断在多大程度上能信任其言和行，乃至于其提供的产品和服务。

从这样的划分来看，安全性和可控性恰恰对应的是上述两个层面的信任问题。事实上，不仅普通的网络和信息系统需要其组成部分的安全可控，事关国家安全的网络和信息系统更是如此。因此，网络安全审查的总体设计思路在于通过确保局部，进而起到保障整体的效果。当然，我们也应该认识到，从局部的安全可控到整体的安全可控，绝非网络安全审查一项制度所能够全部解决的。例如就关键信息基础设施来说，还需要人员的安全背景审查、培训教育考核、数据的容灾备份、应急预案和演练等一系列措施。

当前，网络安全审查制度已经“吹响了号角”，《个人信息和重要数据出境安全评估办法》开始公开征求意见；在未来，与《国家网络空间安全战略》和《网络安全法》配套的各项措施也将陆续“揭开帷幕”。这一切既彰显了我国维护网络安全以及向网络安全强国迈进的决心和信心，还表明习近平总书记提出的“网络安全为人民”的理念正在通过这一项项实实在在的举措得到了切实体现。