十九大報(bào)告在“堅(jiān)持和平發(fā)展道路,推動(dòng)構(gòu)建人類命運(yùn)共同體”中將“網(wǎng)絡(luò)安全”列為人類面臨許多共同挑戰(zhàn)之一。事實(shí)上,“沒有網(wǎng)絡(luò)安全就沒有國家安全”已成為世界各國安全戰(zhàn)略的共識(shí)。黨的十八屆四中全會(huì)通過的《中共中央關(guān)于全面推進(jìn)依法治國若干重大問題的決定》明確指出:“加強(qiáng)互聯(lián)網(wǎng)領(lǐng)域立法,完善網(wǎng)絡(luò)信息服務(wù)、網(wǎng)絡(luò)安全保護(hù)、網(wǎng)絡(luò)社會(huì)管理等方面的法律法規(guī),依法規(guī)范網(wǎng)絡(luò)行為?!边@一論述為依法治國背景下的網(wǎng)絡(luò)空間法治化建設(shè)開啟了新篇章。?
在網(wǎng)絡(luò)安全復(fù)雜化、網(wǎng)絡(luò)威脅全球化的今天,關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施已成為網(wǎng)絡(luò)攻擊的主要目標(biāo),并可能引發(fā)極為嚴(yán)重的災(zāi)難性后果。特別是網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)鏈風(fēng)險(xiǎn)是關(guān)鍵信息基礎(chǔ)設(shè)施面臨的主要安全風(fēng)險(xiǎn)之一。關(guān)鍵信息基礎(chǔ)設(shè)施所部署的信息技術(shù)產(chǎn)品和服務(wù)是否安全,將直接決定國家和社會(huì)能否良好運(yùn)行。為了防止關(guān)鍵信息基礎(chǔ)設(shè)施因使用的產(chǎn)品和服務(wù)存在安全缺陷或其他隱患而受到攻擊、破壞,或者其存儲(chǔ)、處理的數(shù)據(jù)資源被竊取、泄露,從而危害國家安全,《網(wǎng)絡(luò)安全法》根據(jù)世界貿(mào)易組織國家安全例外原則,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的國家安全審查做了規(guī)定,這也《國家安全法》確立的國家安全審查制度的一項(xiàng)重要法律制度。
“網(wǎng)絡(luò)安全審查”是一項(xiàng)具有中國特色的法律制度,國際上并沒有“網(wǎng)絡(luò)安全審查”的法律稱謂,但各國均有類似的法律實(shí)踐。參考國際實(shí)踐,若將安全審查相關(guān)的制度歸為廣義的“網(wǎng)絡(luò)安全審查”,其范圍要寬于國家安全審查。從各國的相關(guān)實(shí)踐來看,網(wǎng)絡(luò)安全審查是內(nèi)涵極為豐富的法律制度,涉及國家網(wǎng)絡(luò)安全保障中的技術(shù)、政策和管理多元要素,包括信息技術(shù)采購安全審查、云服務(wù)安全審查、網(wǎng)絡(luò)安全政策審查、網(wǎng)絡(luò)安全態(tài)勢或彈性審查等多種形式,其審查要素不局限于國家安全,而是涵蓋非常廣泛。
我國《國家安全法》規(guī)定了國家安全審查和監(jiān)管的基本制度和機(jī)制,其對(duì)象主要是“影響或者可能影響國家安全的外商投資、特定物項(xiàng)和關(guān)鍵技術(shù)、網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)、涉及國家安全事項(xiàng)的建設(shè)項(xiàng)目,以及其他重大事項(xiàng)和活動(dòng)”。我國《網(wǎng)絡(luò)安全法》確立的網(wǎng)絡(luò)安全審查制度,主要是指對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購使用的重要信息技術(shù)產(chǎn)品和服務(wù)的審查。這項(xiàng)審查制度是出于國家安全的整體需求,即只有在影響國家安全時(shí)方能啟動(dòng)審查,這點(diǎn)和國家安全審查是一脈相承的。
網(wǎng)絡(luò)安全審查制度是完善我國網(wǎng)絡(luò)安全體系的一項(xiàng)基礎(chǔ)性制度,我國《十三五國家信息化規(guī)劃》指出,要對(duì)網(wǎng)絡(luò)安全審查能力進(jìn)行全面的提升。2016年7月我國發(fā)布《國家信息化發(fā)展戰(zhàn)略綱要》(以下稱:《戰(zhàn)略》),《戰(zhàn)略》專門在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的章節(jié)中提出建立網(wǎng)絡(luò)安全審查制度,這項(xiàng)制度被列為《戰(zhàn)略》提出的建立國家三大層面的信息化發(fā)展戰(zhàn)略之一,即與關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)制度、大數(shù)據(jù)安全管理制度并列?!稇?zhàn)略》指出,要建立實(shí)施網(wǎng)絡(luò)安全審查制度,加強(qiáng)供應(yīng)鏈安全管理,對(duì)黨政機(jī)關(guān)、重點(diǎn)行業(yè)采購使用的重要信息技術(shù)產(chǎn)品和服務(wù)開展安全審查,提高產(chǎn)品和服務(wù)的安全性和可控性,防止產(chǎn)品服務(wù)提供者和其他組織利用信息技術(shù)優(yōu)勢實(shí)施不正當(dāng)競爭或損害用戶利益?!秶野踩ā返诙鍡l規(guī)定,國家建設(shè)網(wǎng)絡(luò)與信息安全保障體系,提升網(wǎng)絡(luò)與信息安全保護(hù)能力,加強(qiáng)網(wǎng)絡(luò)和信息技術(shù)的創(chuàng)新研究和開發(fā)應(yīng)用,實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控。
我國頒布的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》(試行)重點(diǎn)審查的是網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性和可控性,一是產(chǎn)品和服務(wù)自身的安全風(fēng)險(xiǎn),以及被非法控制、干擾和中斷運(yùn)行的風(fēng)險(xiǎn);二是產(chǎn)品及關(guān)鍵部件生產(chǎn)、測試、交付、技術(shù)支持過程中的供應(yīng)鏈安全風(fēng)險(xiǎn);三是產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件非法收集、存儲(chǔ)、處理、使用用戶相關(guān)信息的風(fēng)險(xiǎn);四是產(chǎn)品和服務(wù)提供者利用用戶對(duì)產(chǎn)品和服務(wù)的依賴,損害網(wǎng)絡(luò)安全和用戶利益的風(fēng)險(xiǎn),以及其他可能危害國家安全的風(fēng)險(xiǎn)。
網(wǎng)絡(luò)安全審查制度的出臺(tái)將原來的消極審計(jì)提升為積極主動(dòng)的審查制度,變被動(dòng)防御為主動(dòng)響應(yīng),這是確保國家安全的重要威懾手段,同時(shí)也是防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的一項(xiàng)重要舉措。當(dāng)然,有效的網(wǎng)絡(luò)安全審查應(yīng)當(dāng)是一個(gè)動(dòng)態(tài)的風(fēng)險(xiǎn)控制過程,貫穿于信息技術(shù)產(chǎn)品部署和使用的整個(gè)生命周期,能夠通過審查活動(dòng)提供必要的態(tài)勢感知的能力。為此,網(wǎng)絡(luò)安全審查應(yīng)當(dāng)具有足夠的覆蓋度,由“節(jié)點(diǎn)控制”轉(zhuǎn)變?yōu)椤斑^程控制”,將我國現(xiàn)有僅針對(duì)采購環(huán)節(jié)的審查延伸至整個(gè)產(chǎn)品和服務(wù)的應(yīng)用環(huán)節(jié),這對(duì)全面提升國家網(wǎng)絡(luò)空間治理體系和治理能力現(xiàn)代化具有重要意義。
?