网络安全审查制度利刃出鞘

　　无论是“试行办法”还是“审查办法”，审查对象均是网络产品和服务，这一点没有变化。审查的原因均是采购了特定的网络产品和服务，可能因此给网络和信息系统带来“脆弱性”，这一点也没有发生变化。

　　发生变化的是如何看待上述“脆弱性”的标尺。“试行办法”第一条提出：安全审查的目标是“提高网络产品和服务安全可控水平”，因此审查聚焦于产品和服务本身的脆弱性。而在“审查办法”中，安全审查的目标改成了“为了确保关键信息基础设施供应链安全，维护国家安全”，将审查着眼于产品和服务在供应链安全方面给关键信息基础设施带来的安全风险。

　　上述变化体现了一种认识上的更新。正如习近平总书记所说：“网络安全是相对的而不是绝对的”，同样，产品和服务的安全性也是相对的。安不安全，很大程度上是依赖于该产品和服务的使用主体、使用目的、使用方式以及产品供应渠道的可靠程度等因素，并不存在衡量安全性的绝对、恒定的基准。

　　有了具体的场景限定，无论是申报网络安全审查的运营者在准备相关材料时，还是网络安全审查办公室在核验、测试时，方向更加明确，也更容易做到有的放矢。

　　审查目标的变化，必然带来审查重点的更新。在“试行办法”中，产品和服务本身的安全是首要的审查内容。“试行办法”第四条前两款：“产品和服务自身的安全风险，以及被非法控制、干扰和中断运行的风险”指向的是产品和服务本身内在的脆弱性；“产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险”是指产品和服务的脆弱性从何而来。

　　“试行办法”第四条的后两款才是产品和服务给使用者带来的脆弱性：“产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险”指的是产品和服务除了“规定动作”之外，是否还会偷偷地进行“自选动作”；而“产品和服务提供者利用用户对产品和服务的依赖，损害网络安全和用户利益的风险”是指提供者会不会“裹挟”使用者以谋取非法或不当利益。

　　在“审查办法”第九条中，审查重点主要强调的是产品和服务“使用后”给关键信息基础设施带来的风险：首先是“关键信息基础设施被非法控制、造成干扰或破坏”，以及“重要数据被窃取、泄露、损毁”；其次是“产品和服务供应中断对关键信息基础设施业务连续性的危害”。

　　第九条第三款提到了网络产品和服务本身的安全性，但更偏重产品和服务的“开放性、透明性”（即产品和服务的兼容度和可检视度），以及产品和服务的“来源的多样性”“供应渠道的可靠性”“因为政治、外交、贸易等因素导致供应中断的风险”。不难看出，该款仍然把重心放在产品和服务对关键信息基础设施的影响。

　　在“试行办法”中，采购特定产品和服务的主体，无论是“关系国家安全的网络和信息系统”的运营者，还是关键信息基础设施的运营者，其角色相对被动，主要是：申报审查和配合审查。而且，对于关键信息基础设施运营者来说，甚至不需要自主判断所采购的产品和服务是否影响国家安全，如“试行办法”第十条规定：“产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定”。

　　在“审查办法”中，首先，所适用的申报主体得到统一，明确为作为采购方的“关键信息基础设施运营者”。其次，采购方主动“预判产品或服务可能带来的国家安全风险”并据此决定是否申报审查，成为其法定义务之一。再次，采购方应主动通过法律工作管理自身的供应链风险，例如第六条所规定的：“应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等”。

　　把上述法定义务结合起来看，可以看到“审查办法”对采购方的角色定位——既然特定的产品和服务是采购方自主选择的，那采购方应当成为责任主体（即所谓的权责一致原则），因此采购方应当在力所能及的范围内，主动管理和降低供应链安全风险；只有当对安全风险的管控超出采购方的能力范围，或安全风险的影响面超出采购方本身时，网络安全审查方得介入，用国家力量来对冲特定产品和服务所带来的安全风险。

　　在笔者看来，以上三方面体现了网络安全审查制度演进的主线。除此之外，“审查办法”明确了“国家网络安全审查工作机制”的成员单位，进一步细化了审查流程和程序，以及严格要求参与网络安全审查的相关机构和人员保护商业秘密、知识产权以及其他未公开信息等，均是此次变革的亮点。“审查办法”的生效和实施，标志着我国网络安全基本制度的建设又朝前迈了一大步，维护国家安全特别是国家网络空间安全有了重要的新抓手。（原文刊载于中国网信网，作者为洪延青）