实施了将近三年的《网络产品和服务安全审查办法(试行)》(以下简称“试行办法”),正式被《网络安全审查办法》(以下简称“审查办法”)所取代。从试行到成型,近三年间的实践和摸索,最终扬弃、浓缩、升华于新的规章之中。
一、审查目标更加具体
无论是“试行办法”还是“审查办法”,审查对象均是网络产品和服务,这一点没有变化。审查的原因均是采购了特定的网络产品和服务,可能因此给网络和信息系统带来“脆弱性”,这一点也没有发生变化。
发生变化的是如何看待上述“脆弱性”的标尺。“试行办法”第一条提出:安全审查的目标是“提高网络产品和服务安全可控水平”,因此审查聚焦于产品和服务本身的脆弱性。而在“审查办法”中,安全审查的目标改成了“为了确保关键信息基础设施供应链安全,维护国家安全”,将审查着眼于产品和服务在供应链安全方面给关键信息基础设施带来的安全风险。
二、审查重点更加明晰
审查目标的变化,必然带来审查重点的更新。在“试行办法”中,产品和服务本身的安全是首要的审查内容。“试行办法”第四条前两款:“产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险”指向的是产品和服务本身内在的脆弱性;“产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险”是指产品和服务的脆弱性从何而来。
“试行办法”第四条的后两款才是产品和服务给使用者带来的脆弱性:“产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险”指的是产品和服务除了“规定动作”之外,是否还会偷偷地进行“自选动作”;而“产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险”是指提供者会不会“裹挟”使用者以谋取非法或不当利益。
三、采购方的主体责任得以突出
在“试行办法”中,采购特定产品和服务的主体,无论是“关系国家安全的网络和信息系统”的运营者,还是关键信息基础设施的运营者,其角色相对被动,主要是:申报审查和配合审查。而且,对于关键信息基础设施运营者来说,甚至不需要自主判断所采购的产品和服务是否影响国家安全,如“试行办法”第十条规定:“产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定”。
在“审查办法”中,首先,所适用的申报主体得到统一,明确为作为采购方的“关键信息基础设施运营者”。其次,采购方主动“预判产品或服务可能带来的国家安全风险”并据此决定是否申报审查,成为其法定义务之一。再次,采购方应主动通过法律工作管理自身的供应链风险,例如第六条所规定的:“应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等”。
四、网络安全审查制度设计的初衷
网络安全审查属于国家安全审查的一种,是重要的国家网络安全保障制度,其通过识别和防范关键信息基础设施在采购网络产品和服务过程中可能引入的国家安全风险,能够在源头上缓解和控制网络风险对国家安全和社会福祉构成的潜在威胁。毫无疑问,这些不安全的网络产品和服务正在成为针对关键信息基础设施实施网络间谍和网络破坏活动的主要媒介。国家必须更为审慎地对待通过供应链渗透引入的国家安全风险,建立并实施有效的网络安全审查制度意义重大。
五、审查办法体现出诸多制度亮点
此次国家互联网信息办公室等12个部门颁布的《网络安全审查办法》无论在制度设计还是规范内容方面都更具科学性和合理性,体现出诸多制度亮点。首先,确立了兼顾“安全”和“发展”的审查理念,明确提出坚持防范网络安全风险与促进先进技术利用相结合;其次,将单一机构审查模式转变为审查联席机制,将发改、工信、公安、国安、财政、商务等重要的国家部委纳入审查工作机制,更有助于国家安全风险的识别和判断;再次,明确规定了运营者的申报义务,确立了“依申请”的审查启动方式,保证了网络安全审查的有效性。同时,充分尊重运营者对自身安全状况判断的专业性,在运营者预判采购活动影响或可能影响国家安全的情况下,才要求予以申报。这在一定程度上也避免了安全审查可能对关键信息基础设施正常运维进行的非必要干预;最后,明确了审查期限,使运营者对未来的审查流程有确定性的时间预估,对暂停采购可能产生的网络产品和服务部署中断情况进行事先保障。
在全球范围内,网络安全审查尚属新兴法律制度,各国均处于初步的制度探索阶段。落实网络安全审查法律制度,既是践行总体国家安全观,维护国家网络安全的客观要求,又是增强国家网络安全治理话语权,实现国际网络安全保障引领示范作用的有利基础。因此,应把不断探索和完善网络安全审查制度建设和促进制度实践,作为国家网络安全保障的一项重点工作大力持续推进。
晋公网安备 14010002001550号 