近期，國家互聯網信息辦公室公布了《網絡產品和服務安全審查辦法（征求意見稿）》（以下簡稱“審查辦法”），明確指出將成立網絡安全審查委員會，統一組織網絡安全審查工作。開展網絡安全審查是落實《中華人民共和國國家安全法》《中華人民共和國網絡安全法》（以下簡稱“《網絡安全法》”）的重要舉措，標志著我國在重要網絡產品和服務的安全管理方面向前邁進了堅實的一步。

有關背景：

立足國情，順勢而為

當前，網絡空間已經成為網絡戰、情報戰的主戰場，國家間網絡攻防對抗日趨激烈，關鍵信息基礎設施面臨的網絡安全威脅更加嚴峻復雜。2015年，美國發布《網絡威懾戰略》，進一步明確將攻防并舉轉化為主動進攻的戰略基調，2016年奧巴馬在G20峰會上公開宣稱美國擁有全球最大的數字軍火庫，網絡戰威脅加劇。網絡產品和服務是構建關鍵信息基礎設施的基礎，其安全性、可控性直接影響關鍵信息基礎設施的安全穩定運行，關系用戶利益，關系國家安全。

縱觀全球，世界主要國家均將網絡安全威脅視為國家安全和經濟社會發展面臨的嚴重挑戰，普遍針對信息技術產品和提供商開展了不同形式的安全審查，網絡產品和服務安全審查已經成為國際慣例。例如，美國《國家信息安全保障采購政策》等規定優先采購通過評估的產品，美國國防部針對信息技術產品實施供應鏈安全審查等；英國要求國外通信設備供應商簽訂書面協議，進行專門的測試評估、人員審查等。國際主要國家的網絡安全審查工作呈現審查范圍逐步擴大、審查內容不斷擴展、審查形式趨向豐富、審查層次上升至國家安全高度等特征。

我國作為網絡大國，也是面臨網絡安全威脅最嚴重的國家之一。習近平總書記指出，沒有網絡安全，就沒有國家安全。而維護網絡安全，首先要保障網絡產品和服務的安全。在此背景下，2014年5月22日國家互聯網信息辦公室宣布，為維護國家網絡安全、保障中國用戶合法利益，中國即將推出網絡安全審查制度。這是我國首次正式提出建立國家網絡安全審查制度。2014年12月，中央網信辦《加強黨政部門云計算服務網絡安全的管理意見》明確提出統一組織黨政部門云計算服務網絡安全審查，次年6月，黨政部門云計算服務網絡審查正式展開。作為國家網絡安全審查的重要組成部分，黨政部門云計算服務網絡安全審查的有關工作經驗為審查辦法的出臺和后續工作的開展奠定了重要實踐基礎。2017年2月，“審查辦法”首次面向社會公開征求意見。推行網絡安全審查制度既是新形勢下我國網絡安全保障的現實需要，也是順應國際趨勢、符合國際慣例的正確選擇。

行業認識：

統籌兼顧、不可或缺

網絡安全審查是“依法治網”的重要舉措

黨的十八屆四中全會以來，中國網絡空間法制化進程加快，《中華人民共和國國家安全法》《網絡安全法》《國家網絡空間安全戰略》相繼發布。《網絡安全法》第三十五條規定，關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。制定并實施網絡安全審查制度是落實《國家安全法》《網絡安全法》的重要舉措，將進一步規范和提升關系國家安全和公共利益的信息系統使用的重要網絡產品和服務的安全性、可控性，從而更好地維護和保障國家安全和公共利益。

審查實施有助于提高關鍵信息基礎設施安全能力

《網絡安全法》對關鍵信息基礎設施的運行安全進行了專門規定，實行重點保護。“審查辦法”的第二條、第十一條內容與《網絡安全法》直接呼應。實施網絡安全審查制度，將進一步明確并強化關鍵信息基礎設施運營者、網絡產品和服務提供者的責任義務。關鍵信息基礎設施運營者在采購時，需審慎對待擬采購的網絡產品和服務，可能影響國家安全的，應當經過網絡安全審查。網絡產品和服務提供者則要及時向用戶告知安全缺陷、漏洞等風險，持續提供安全維護服務，不可利用提供產品和服務的便利條件非法獲取或利用用戶信息，不可利用系統漏洞或設置惡意程序非法控制和操縱用戶的系統和設備,不可通過用戶對補丁升級等服務的依賴實施不正當競爭等。此外，“審查辦法”還將網絡產品和服務提供者的安全可信情況、供應鏈安全情況納入審查范疇，體現出逐漸向深層次發展，而非停留在產品或技術的表層。網絡安全審查制度的實施，將極大地促進網絡產品和服務的安全性、可控性的提升，對于加強關鍵信息基礎設施的網絡安全保護、提升關鍵信息基礎設施安全可控水平具有重要意義。

審查辦法堅持國家總體統籌，兼顧行業需求

“審查辦法”指出，金融、電信、能源等重點行業主管部門，根據國家審查工作要求，組織開展本行業、本領域網絡產品和服務審查工作，充分體現了堅持國家總體統籌、兼顧重點行業特色特點的中國模式。以電信和互聯網行業為例，網絡基礎設施承載著大量的重要信息系統和用戶數據，其安全穩定運行事關國家安全、經濟發展、社會穩定，事關人民群眾的切身利益。隨著“互聯網”、大數據等網絡強國戰略的推進實施，網絡基礎設施的基礎性、全局性地位更加突出，構建網絡基礎設施的網絡產品和服務的安全性、可控性至關重要。當前，我國核心技術和關鍵設備依然處于追趕狀態，部分高端產品和核心部件仍然依賴國外，網絡基礎設施供應鏈安全問題不斷凸顯。“棱鏡”事件充分暴露出美國情報機關將我國網絡基礎設施作為攻擊控制的重點目標。為提升網絡產品和服務的安全性、可行性，防范供應鏈安全風險，根據國家網絡安全審查工作要求，開展電信和互聯網行業網絡產品和服務安全審查，實為勢在必行。

幾點思考與建議

積極妥善應對國際輿論壓力

“審查辦法”公布后，國外媒體密集報道引發輿論熱議。路透社以中國將進一步強化互聯網監管為題發表評論，受到多家媒體轉載。長期以來，國外媒體和西方國家高層高度關注我國網絡安全相關政策舉措，并通過媒體報道評議、政府官員表態、致電致信交涉等方式予以施壓。早在2015年2月，路透社就曾發表題為“中國將領先科技品牌剔除在政府采購之外”的文章，質疑我國政策違反國際貿易準則。《國家安全法》《網絡安全法》出臺時，國外媒體同樣激烈評議。因此，在戰略層面，針對未來“審查辦法”正式出臺、審查工作正式實施過程中可能遇到的輿論焦點和爭議，建議相關部門前瞻考慮，做好應對，積極回應，爭取輿論主導權。

盡快明確關鍵信息基礎設施的范圍

按照《網絡安全法》和“審查辦法”規定，關鍵信息基礎設施運營者采購網絡產品和服務，影響國家安全的，應當通過國家網絡安全審查。可見，關鍵信息基礎設施運營者在網絡安全審查的完整流程中扮演重要角色。目前《網絡安全法》已經建立起關鍵信息基礎設施的有關概念，但仍缺乏明確的關鍵信息基礎設施名錄或清單，建議盡快明確關鍵信息基礎設施范疇，推動“審查辦法”落地實施。

正確認識和把握網絡安全審查與安全測評、認證的差異

根據“審查辦法”，網絡產品和服務的安全審查將堅持第三方評價與政府監管相結合的方式，第三方評價可能采取實驗室檢測、現場檢查、在線監測等形式。僅從第三方評價這一形式看，與我國現有的網絡安全評測、網絡安全認證等存在相似之處。但從本質上，必須牢牢把握審查與測評、認證的出發點及落腳點之間的差異，把握國家安全要求與基線性安全要求的差異，把握預防與威懾的差異。開展網絡產品和服務安全審查的目的是為了維護國家安全和公共利益，在實際實施中務必堅持審查的力度、深度和遠度，將立足于國家安全的高度、緊密圍繞國家安全和公共利益需求作為網絡安全審查工作的基本遵循。