《網(wǎng)絡產品和服務安全審查辦法》征求意見稿出臺后，作為網(wǎng)絡安全行業(yè)的從業(yè)者之一，我看到大家給的關鍵詞是意義深遠，但我并沒有聽到全行業(yè)的歡呼雀躍。

中國的網(wǎng)絡安全市場大不大？目前大概每年只有200億，從2016年的復合增長率來看，不僅沒有增量，還趨于下降；此外，整個市場七零八落，同業(yè)競爭嚴重，尚未形成具有較強壟斷能力的廠商。

中國的網(wǎng)絡安全市場準入難不難？對從事企業(yè)級服務的企業(yè)來說，生產并提供終端安全產品、網(wǎng)關安全設備，均需得到產品應用功能、技術方案、產品效能等多個維度的檢測；進入不同行業(yè)，還需得到相關行業(yè)的準入放行。大家都知道行業(yè)中有“宮保雞丁”安全檢測慣例，更有部分行業(yè)還自行制定了產品準入的標準和方法。

為什么在這樣的一個小市場，還需要在原有的產品檢測和行業(yè)準入的模式外，另行制定并執(zhí)行《網(wǎng)絡產品和服務安全的審查辦法》？

我個人的理解是：首先網(wǎng)絡產品和服務，其安全性、可控性確實關乎用戶利益，關系國家安全；其次是原有的產品和服務的檢測和審查模式不完善，更偏事前的基于產品應用功能的準入審查；第三是可能會在原來分散在不同部門的產品與服務的檢測之上，形成“最高檢”、“最終檢”。如果站在上述角度，推行《網(wǎng)絡產品和服務安全審查辦法》很有必要。

為什么沒有出現(xiàn)全行業(yè)的歡呼雀躍？我判斷是因為大家還沒有看到操作細則。事實上，網(wǎng)絡產品和服務的安全審查將面對多個挑戰(zhàn)。首先是誰來審查。從《辦法》征求意見稿來看，將成立網(wǎng)絡安全審查委員會。但這一委員會的專家來源及構成還需要細化，這一委員會的權力更需要明確約束；其次是如何審查。審查的流程、工具、方法等是否科學？是否能秉持客觀、公正、公平、專業(yè)等原則？不同類別的產品和服務千差萬別，審查的具體標準又該如何制定？審查發(fā)現(xiàn)出現(xiàn)問題的企業(yè)及產品與服務，如何處理處罰？誰具有執(zhí)法權？這些都是極其具體，但是又牽一發(fā)而又動全身的關鍵點。

金山在網(wǎng)絡安全行業(yè)耕耘的時間已有20年以上。從之前的終端反病毒軟件，一路發(fā)展出了基于云安全能力的檢測防御的軟硬件產品體系和服務能力，在中國的網(wǎng)絡安全行業(yè)具有很高的知名度和影響力。但中國的網(wǎng)絡安全行業(yè)更多的企業(yè)還偏小偏弱，更多的企業(yè)處于創(chuàng)業(yè)階段。我呼吁：在國家相關部門推動頂層設計并出臺相關制度及辦法的同時，能否推出更多的“扶持”和“服務”政策。比如：是否可以取消或者降低各級主管單位現(xiàn)行的產品與服務檢測的收費？是否可以向中國政府學習，借鑒其推行的“行政服務大廳”的模式，將各類檢測放在一個平臺上，以服務的模式面向所有安全廠商提供綜合服務？“最低價中標”正在制約網(wǎng)絡安全行業(yè)的產品創(chuàng)新和服務創(chuàng)新，是否可以研究并推行一套全新的模式，讓上述現(xiàn)象得到緩解或根治？

在熱烈歡迎《網(wǎng)絡產品和服務安全審查辦法》的盡快出臺的同時，金山安全也在靜待操作細則的形成，更在期盼網(wǎng)絡安全行業(yè)更好的產業(yè)發(fā)展環(huán)境的形成！

本文作者：金山安全首席運營官 張旭東

附：網(wǎng)絡產品和服務安全審查辦法（征求意見稿）

第一條 網(wǎng)絡產品和服務的安全性、可控性直接影響用戶利益、關系國家安全。為提高網(wǎng)絡產品和服務安全可控水平，防范供應鏈安全風險，維護國家安全和公共利益，依據(jù)《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡安全法》，制定本辦法。

第二條 關系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡產品和服務，應當經過網(wǎng)絡安全審查。

第三條 堅持企業(yè)承諾與社會監(jiān)督相結合，第三方評價與政府監(jiān)管相結合，實驗室檢測、現(xiàn)場檢查、在線監(jiān)測、背景調查相結合，對網(wǎng)絡產品和服務及其提供者進行網(wǎng)絡安全審查。

第四條 重點審查網(wǎng)絡產品和服務的安全性、可控性，主要包括：

（一）產品和服務被非法控制、干擾和中斷運行的風險；
（二）產品及關鍵部件研發(fā)、交付、技術支持過程中的風險；
（三）產品和服務提供者利用提供產品和服務的便利條件非法收集、存儲、處理、利用用戶相關信息的風險；
（四）產品和服務提供者利用用戶對產品和服務的依賴，實施不正當競爭或損害用戶利益的風險；
（五）其他可能危害國家安全和公共利益的風險。

第五條 國家互聯(lián)網(wǎng)信息辦公室會同有關部門成立網(wǎng)絡安全審查委員會，負責審議網(wǎng)絡安全審查的重要政策，統(tǒng)一組織網(wǎng)絡安全審查工作，協(xié)調網(wǎng)絡安全審查相關重要問題。

網(wǎng)絡安全審查辦公室具體組織實施網(wǎng)絡安全審查。

第六條 網(wǎng)絡安全審查委員會聘請相關專家組成網(wǎng)絡安全審查專家委員會，在第三方評價基礎上，對網(wǎng)絡產品和服務的安全風險及其提供者的安全可信狀況進行綜合評估。

第七條 國家統(tǒng)一認定網(wǎng)絡安全審查第三方機構，承擔網(wǎng)絡安全審查中的第三方評價工作。

第八條 根據(jù)國家有關部門要求、全國性行業(yè)協(xié)會建議、市場反映和企業(yè)申請等，網(wǎng)絡安全審查辦公室組織第三方機構、專家對網(wǎng)絡產品和服務進行網(wǎng)絡安全審查，并發(fā)布或在一定范圍內通報審查結果。

第九條 金融、電信、能源等重點行業(yè)主管部門，根據(jù)國家網(wǎng)絡安全審查工作要求，組織開展本行業(yè)、本領域網(wǎng)絡產品和服務安全審查工作。

第十條 黨政部門及重點行業(yè)優(yōu)先采購通過審查的網(wǎng)絡產品和服務，不得采購審查未通過的網(wǎng)絡產品和服務。

第十一條 關鍵信息基礎設施運營者采購的網(wǎng)絡產品和服務，可能影響國家安全的，應當經過網(wǎng)絡安全審查。

關鍵信息基礎設施運營者采購的網(wǎng)絡產品和服務是否影響國家安全，由關鍵信息基礎設施保護工作部門確定。

第十二條 承擔網(wǎng)絡安全審查的第三方機構，應堅持客觀、公正、公平的原則，參照有關標準，重點從可控性、透明性、可信性等方面，對網(wǎng)絡產品和服務及提供者進行評價，并對評價結果負責。

第十三條 網(wǎng)絡產品和服務提供者應對網(wǎng)絡安全審查工作予以配合。

第三方機構等相關單位和人員對審查工作中獲悉的信息等承擔安全保密義務，不得用于網(wǎng)絡安全審查以外的目的。

第十四條 網(wǎng)絡安全審查辦公室不定期發(fā)布對網(wǎng)絡產品和服務提供者的安全評估報告。

第十五條 本辦法由國家互聯(lián)網(wǎng)信息辦公室負責解釋。

第十六條 本辦法自2017年 月 日起實施。

附2：幫你預習“網(wǎng)絡安檢”須知——聚焦《網(wǎng)絡產品和服務安全審查辦法（征求意見稿）》

新華社記者李亞紅、施雨岑

國家互聯(lián)網(wǎng)信息辦公室近日公布的《網(wǎng)絡產品和服務安全審查辦法（征求意見稿）》提出，我國將成立網(wǎng)絡安全審查委員會，統(tǒng)一組織網(wǎng)絡安全審查工作等。“網(wǎng)絡安檢”有哪些須知項？新華社記者采訪了國家網(wǎng)信辦和網(wǎng)絡安全領域專家。

焦點一：誰來審查，是什么性質的審查？

【意見稿】國家互聯(lián)網(wǎng)信息辦公室會同有關部門成立網(wǎng)絡安全審查委員會，負責審議網(wǎng)絡安全審查的重要政策，協(xié)調網(wǎng)絡安全審查相關重要問題。

【解讀】國家網(wǎng)信辦相關負責人表示，中國借鑒國外做法，建立網(wǎng)絡安全審查制度。網(wǎng)絡安全審查委員會聘請相關專家組成網(wǎng)絡安全審查專家委員會，對網(wǎng)絡產品和服務的安全風險及其提供者的安全可信狀況進行綜合評估。網(wǎng)絡安全審查不是行政審批，是對重要網(wǎng)絡產品和服務采取的事中、事后監(jiān)管，堅持實驗室檢測、現(xiàn)場檢查、在線監(jiān)測、背景調查相結合的原則。

焦點二：哪些產品和服務需審查？

【意見稿】關系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡產品和服務，應當經過網(wǎng)絡安全審查。

【解讀】國家網(wǎng)信辦相關負責人介紹，并非所有網(wǎng)絡產品和服務都需要審查，是有條件的。而且，重點審查的是網(wǎng)絡產品和服務的安全性、可控性。判定是否影響國家安全和公共利益，主要看產品和服務使用后，是否會危害國家政權和主權安全，是否會危害廣大人民群眾利益，是否會影響國家經濟可持續(xù)發(fā)展及國家其他重大利益。

焦點三：黨政部門所用產品都要審查？

【意見稿】黨政部門及重點行業(yè)優(yōu)先采購通過審查的網(wǎng)絡產品和服務，不得采購審查未通過的網(wǎng)絡產品和服務。

【解讀】中國信息安全研究院副院長左曉棟說，這個規(guī)定的意思是，如果某個網(wǎng)絡產品和服務可能會影響國家安全，在進行安全審查后沒能通過審查，被列入“黑名單”后不能采購，并不是說黨政部門及重點行業(yè)采購的所有網(wǎng)絡產品和服務都要進行審查。

焦點四：是在搞貿易保護壁壘嗎？

【意見稿】關鍵信息基礎設施運營者采購的網(wǎng)絡產品和服務，可能影響國家安全的，應當經過網(wǎng)絡安全審查。

【解讀】國家網(wǎng)信辦相關負責人介紹，網(wǎng)絡安全審查制度的實施是企業(yè)證明產品安全性，提高用戶對產品信心的機會。網(wǎng)絡安全審查不但不會對國外產品進入中國市場造成障礙，反而會因審查制度的實施提高用戶對產品安全性的信心，促進企業(yè)產品市場的擴大。網(wǎng)絡安全審查將對國內外企業(yè)和產品平等對待，不針對特定國家和地區(qū)的產品和服務，不會限制國外產品進入中國市場。

焦點五：網(wǎng)絡安全審查和網(wǎng)民有什么關系？

【意見稿】重點審查網(wǎng)絡產品和服務的安全性、可控性，主要包括：產品和服務被非法控制、干擾和中斷運行的風險；產品和服務提供者利用提供產品和服務的便利條件非法收集、存儲、處理、利用用戶相關信息的風險；產品和服務提供者利用用戶對產品和服務的依賴，實施不正當競爭或損害用戶利益的風險等。

【解讀】國家網(wǎng)信辦相關負責人介紹，重點審查網(wǎng)絡產品和服務的安全性、可控性，產品和服務提供者不得利用提供產品和服務的便利條件非法獲取用戶的信息，不能損害用戶對自己信息的自主權、支配權；不得非法控制、操縱用戶的系統(tǒng)或設備，用戶自己的系統(tǒng)要用戶自己控制；不得利用廣大用戶對產品和服務的依賴搞不正當競爭，謀取不正當利益，比如停止必要的安全服務、搞壟斷經營等。目的是維護用戶信息安全，維護國家安全和廣大人民群眾的合法權益。

焦點六：審查如何才會啟動？

【意見稿】根據(jù)國家有關部門要求、全國性行業(yè)協(xié)會建議、市場反映和企業(yè)申請等，網(wǎng)絡安全審查辦公室組織第三方機構、專家對網(wǎng)絡產品和服務進行網(wǎng)絡安全審查。

【解讀】國家網(wǎng)信辦相關負責人介紹，網(wǎng)絡安全審查辦公室根據(jù)國家有關部門要求、全國性行業(yè)協(xié)會建議、市場反映和企業(yè)申請啟動網(wǎng)絡安全審查。同時，金融、電信、能源等重點行業(yè)主管部門，根據(jù)國家網(wǎng)絡安全審查工作要求，組織開展本行業(yè)、本領域網(wǎng)絡產品和服務安全審查工作。

左曉棟解釋，比如某網(wǎng)絡產品和服務，全國性行業(yè)協(xié)會經過研究認為這款產品和服務存在巨大網(wǎng)絡安全漏洞，可能影響國家安全，就可以向審查委員會反映這個問題，審查委員會認為這種情況可能存在，就可以對該產品和服務在特定領域使用時進行安全審查。