一年之計(jì)在于春。2017年2月4日,也就是立春的第二天,國(guó)家互聯(lián)網(wǎng)信息辦公室正式將起草的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(征求意見稿)》(以下簡(jiǎn)稱《審查辦法》)掛在官網(wǎng)上,公開征求意見。共有16項(xiàng)條款的《審查辦法》對(duì)為什么審查、如何審查以及誰來審查提出了明確的意見,這引起了業(yè)界極大關(guān)注。
2016年11月出臺(tái)的《網(wǎng)絡(luò)安全法》是我國(guó)網(wǎng)絡(luò)安全領(lǐng)域一部基礎(chǔ)性法律,它的出臺(tái)具有里程碑式的意義。當(dāng)時(shí)業(yè)界專家就預(yù)測(cè),2017年,隨著《網(wǎng)絡(luò)安全法》的落地,從頂層到中觀再到執(zhí)行層面的體系將加速成長(zhǎng)。本次《審查辦法》征求意見稿的發(fā)布,正是《網(wǎng)絡(luò)安全法》進(jìn)一步落地的表現(xiàn)。中國(guó)信息通信研究院安全研究所副所長(zhǎng)謝瑋在接受《中國(guó)電子報(bào)》記者采訪時(shí)表示,《審查辦法》明確指出將成立網(wǎng)絡(luò)安全審查委員會(huì),統(tǒng)一組織網(wǎng)絡(luò)安全審查工作,是落實(shí)《國(guó)家安全法》《國(guó)家網(wǎng)絡(luò)安全法》《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》的重要舉措,標(biāo)志著我國(guó)在關(guān)系國(guó)家安全和公共利益的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全管理方面向前邁進(jìn)了堅(jiān)實(shí)的一步。
三年磨一劍
沒有網(wǎng)絡(luò)安全,就沒有國(guó)家安全。維護(hù)網(wǎng)絡(luò)安全,首先要保障網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全。國(guó)家互聯(lián)網(wǎng)信息辦公室明確表示,起草制定《審查辦法》目的就是為提高網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可控水平,防范供應(yīng)鏈安全風(fēng)險(xiǎn),維護(hù)國(guó)家安全和公共利益。
2014年5月,國(guó)家互聯(lián)網(wǎng)信息辦公室對(duì)外宣布,為維護(hù)國(guó)家網(wǎng)絡(luò)安全、保障中國(guó)用戶合法利益,中國(guó)將推出網(wǎng)絡(luò)安全審查制度。2014年12月30日,中央網(wǎng)信辦發(fā)布《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》,明確提出統(tǒng)一組織黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查。2016年9月,中央網(wǎng)信辦在其官網(wǎng)公布了首批通過網(wǎng)絡(luò)安全審查的黨政部門云計(jì)算服務(wù)名單。2017年2月,《審查辦法》首次面向社會(huì)公開征求意見,其出臺(tái)可謂三年磨一劍。
謝瑋表示,從法律角度看,《審查辦法》是《國(guó)家安全法》《網(wǎng)絡(luò)安全法》的具體落實(shí)?!秶?guó)家安全法》明確提出,國(guó)家建立國(guó)家安全審查和監(jiān)管的制度和機(jī)制,對(duì)影響或者可能影響國(guó)家安全的外商投資、特定物項(xiàng)和關(guān)鍵技術(shù)、網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)、涉及國(guó)家安全事項(xiàng)的建設(shè)項(xiàng)目,以及其他重大事項(xiàng)和活動(dòng),進(jìn)行國(guó)家安全審查,有效預(yù)防和化解國(guó)家安全風(fēng)險(xiǎn)?!毒W(wǎng)絡(luò)安全法》則規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國(guó)家安全的,應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查。
重點(diǎn)領(lǐng)域?qū)彶榧谙疑?/p>
在現(xiàn)階段,網(wǎng)絡(luò)安全審查制度是維護(hù)國(guó)家網(wǎng)絡(luò)安全的必要手段,滿足國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全性能要求,在保障安全的前提下實(shí)現(xiàn)經(jīng)濟(jì)發(fā)展。當(dāng)前,一些國(guó)家主要基于維護(hù)網(wǎng)絡(luò)安全和社會(huì)穩(wěn)定,針對(duì)信息技術(shù)產(chǎn)品和提供商已開展了不同形式的網(wǎng)絡(luò)安全審查。美國(guó)、英國(guó)等國(guó)家均出臺(tái)了網(wǎng)絡(luò)安全審查相關(guān)的政策法規(guī)文件,網(wǎng)絡(luò)安全審查已經(jīng)成為國(guó)際慣例。例如,美國(guó)《國(guó)家信息安全保障采購政策》等規(guī)定,優(yōu)先采購?fù)ㄟ^評(píng)估的產(chǎn)品,美國(guó)國(guó)防部針對(duì)信息技術(shù)產(chǎn)品實(shí)施供應(yīng)鏈安全審查等,英國(guó)要求國(guó)外通信設(shè)備供應(yīng)商簽訂書面協(xié)議、進(jìn)行專門的測(cè)試評(píng)估、人員審查等。
《審查辦法》提出,國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同有關(guān)部門成立網(wǎng)絡(luò)安全審查委員會(huì),負(fù)責(zé)審議網(wǎng)絡(luò)安全審查的重要政策,統(tǒng)一組織網(wǎng)絡(luò)安全審查工作,協(xié)調(diào)網(wǎng)絡(luò)安全審查相關(guān)重要問題?!秾彶檗k法》還提出要由網(wǎng)絡(luò)安全審查委員會(huì)、網(wǎng)絡(luò)安全審查辦公室以及網(wǎng)絡(luò)安全審查專家委員會(huì)共同組織對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)進(jìn)行網(wǎng)絡(luò)安全審查,從而確定了網(wǎng)絡(luò)安全產(chǎn)品的審查機(jī)構(gòu)設(shè)置。
值得一提的是,《審查辦法》規(guī)定,黨政部門及重點(diǎn)行業(yè)不得采購審查未通過的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。金融、電信、能源等重點(diǎn)行業(yè)都要開展本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查工作。對(duì)此,賽迪顧問資深分析師劉娟在接受《中國(guó)電子報(bào)》記者采訪時(shí)表示,此規(guī)定明確了各重點(diǎn)行業(yè)必須將網(wǎng)絡(luò)安全審查制度提上日程,尤其是黨政部門不得采購進(jìn)入網(wǎng)絡(luò)安全“黑名單”的產(chǎn)品和服務(wù)。網(wǎng)絡(luò)安全審查制度是保證企業(yè)產(chǎn)品的安全性,保護(hù)公民個(gè)人信息安全,讓用戶對(duì)企業(yè)產(chǎn)品的安全性放心,增強(qiáng)用戶對(duì)產(chǎn)品的信心。
另外,《網(wǎng)絡(luò)安全法》對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全進(jìn)行了專門規(guī)定,實(shí)行重點(diǎn)保護(hù),提出關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國(guó)家安全的,應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查?!秾彶檗k法》第二條、第十一條內(nèi)容與《網(wǎng)絡(luò)安全法》直接呼應(yīng)。關(guān)系國(guó)家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)經(jīng)過網(wǎng)絡(luò)安全審查,對(duì)于加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、提升關(guān)鍵信息基礎(chǔ)設(shè)施安全水平具有重要意義。
將促進(jìn)安全生態(tài)建立
很明顯,《審查辦法》是綱領(lǐng)性文件,而不是執(zhí)行細(xì)則。因此其作為“燈塔”的作用非常突出。隨著未來《審查辦法》的實(shí)施和更多細(xì)則的出臺(tái),將進(jìn)一步提升廣大網(wǎng)絡(luò)產(chǎn)品與服務(wù)提供商以及用戶的安全意識(shí),促進(jìn)行業(yè)自律的同時(shí)也將促進(jìn)行業(yè)安全生態(tài)的建立,而這些對(duì)國(guó)內(nèi)安全產(chǎn)業(yè)來說是重大利好。
“在現(xiàn)階段,很多企業(yè)對(duì)產(chǎn)品的安全性沒有得到應(yīng)有的關(guān)注,《審查辦法》提出建立網(wǎng)絡(luò)安全審查制度,將提升產(chǎn)品與服務(wù)提供商對(duì)網(wǎng)絡(luò)安全性方面的重視程度,并將其作為產(chǎn)品出廠的必要條件,保障用戶的使用安全。對(duì)國(guó)內(nèi)的安全企業(yè)而言則帶來了更大的機(jī)遇,網(wǎng)絡(luò)安全意識(shí)的提升,必然會(huì)帶來很多安全方面的需求,讓更多的網(wǎng)絡(luò)產(chǎn)品提供商與安全企業(yè)合作,提供安全服務(wù)。當(dāng)然,也帶來了一定的挑戰(zhàn),在保證安全技術(shù)的先進(jìn)性方面也提出了更高的要求,要求安全企業(yè)在保證網(wǎng)絡(luò)產(chǎn)品安全運(yùn)行的情況下更多地考慮用戶體驗(yàn),提升產(chǎn)品性能。”劉娟表示。
中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟戰(zhàn)略與政策委員會(huì)副主任李剛也認(rèn)為,《審查辦法》的出臺(tái)不僅將提高行業(yè)安全意識(shí),也將為國(guó)內(nèi)產(chǎn)業(yè)帶來機(jī)遇。“對(duì)于如何更加貼近中國(guó)用戶,如何更加對(duì)用戶有本地化安全服務(wù),如何更加滿足《審查辦法》的審查要求,毫無疑問,國(guó)內(nèi)企業(yè)會(huì)比外企做得更好。以前如果做得好,沒有明確評(píng)測(cè)反映,沒有市場(chǎng)杠桿的反饋,而現(xiàn)在如果做得好,國(guó)內(nèi)市場(chǎng)的用戶們,可以看得到,國(guó)家法規(guī)有明確規(guī)定,市場(chǎng)自然有反饋。所以,從這點(diǎn)來說,無論國(guó)內(nèi)的互聯(lián)網(wǎng)企業(yè)、網(wǎng)絡(luò)產(chǎn)品企業(yè),還是安全企業(yè),都有了更大的機(jī)遇,尤其是核心科技領(lǐng)域的國(guó)內(nèi)企業(yè),更需抓住機(jī)遇。”李剛表示。