我國確立網(wǎng)絡安全審查制度的背景與意義
作者:王春暉
評論: 更新日期:2018年01月18日
十九大報告在“堅持和平發(fā)展道路,推動構建人類命運共同體”中將“網(wǎng)絡安全”列為人類面臨許多共同挑戰(zhàn)之一�����。事實上�����,“沒有網(wǎng)絡安全就沒有國家安全”已成為世界各國安全戰(zhàn)略的共識����。黨的十八屆四中全會通過的《中共中央關于全面推進依法治國若干重大問題的決定》明確指出:“加強互聯(lián)網(wǎng)領域立法��,完善網(wǎng)絡信息服務�����、網(wǎng)絡安全保護����、網(wǎng)絡社會管理等方面的法律法規(guī),依法規(guī)范網(wǎng)絡行為��?���!边@一論述為依法治國背景下的網(wǎng)絡空間法治化建設開啟了新篇章。?
在網(wǎng)絡安全復雜化�����、網(wǎng)絡威脅全球化的今天,關鍵網(wǎng)絡基礎設施已成為網(wǎng)絡攻擊的主要目標����,并可能引發(fā)極為嚴重的災難性后果。特別是網(wǎng)絡產品和服務的供應鏈風險是關鍵信息基礎設施面臨的主要安全風險之一�����。關鍵信息基礎設施所部署的信息技術產品和服務是否安全��,將直接決定國家和社會能否良好運行��。為了防止關鍵信息基礎設施因使用的產品和服務存在安全缺陷或其他隱患而受到攻擊����、破壞,或者其存儲�����、處理的數(shù)據(jù)資源被竊取����、泄露,從而危害國家安全�����,《網(wǎng)絡安全法》根據(jù)世界貿易組織國家安全例外原則,對關鍵信息基礎設施運營者采購網(wǎng)絡產品或者服務的國家安全審查做了規(guī)定�����,這也《國家安全法》確立的國家安全審查制度的一項重要法律制度����。
“網(wǎng)絡安全審查”是一項具有中國特色的法律制度�����,國際上并沒有“網(wǎng)絡安全審查”的法律稱謂��,但各國均有類似的法律實踐��。參考國際實踐��,若將安全審查相關的制度歸為廣義的“網(wǎng)絡安全審查”�����,其范圍要寬于國家安全審查�����。從各國的相關實踐來看,網(wǎng)絡安全審查是內涵極為豐富的法律制度�����,涉及國家網(wǎng)絡安全保障中的技術����、政策和管理多元要素,包括信息技術采購安全審查��、云服務安全審查��、網(wǎng)絡安全政策審查����、網(wǎng)絡安全態(tài)勢或彈性審查等多種形式,其審查要素不局限于國家安全����,而是涵蓋非常廣泛。
我國《國家安全法》規(guī)定了國家安全審查和監(jiān)管的基本制度和機制��,其對象主要是“影響或者可能影響國家安全的外商投資����、特定物項和關鍵技術�����、網(wǎng)絡信息技術產品和服務��、涉及國家安全事項的建設項目,以及其他重大事項和活動”����。我國《網(wǎng)絡安全法》確立的網(wǎng)絡安全審查制度,主要是指對關鍵信息基礎設施運營者采購使用的重要信息技術產品和服務的審查��。這項審查制度是出于國家安全的整體需求����,即只有在影響國家安全時方能啟動審查,這點和國家安全審查是一脈相承的�����。
網(wǎng)絡安全審查制度是完善我國網(wǎng)絡安全體系的一項基礎性制度��,我國《十三五國家信息化規(guī)劃》指出��,要對網(wǎng)絡安全審查能力進行全面的提升。2016年7月我國發(fā)布《國家信息化發(fā)展戰(zhàn)略綱要》(以下稱:《戰(zhàn)略》)����,《戰(zhàn)略》專門在關鍵信息基礎設施保護的章節(jié)中提出建立網(wǎng)絡安全審查制度,這項制度被列為《戰(zhàn)略》提出的建立國家三大層面的信息化發(fā)展戰(zhàn)略之一��,即與關鍵信息基礎設施的保護制度��、大數(shù)據(jù)安全管理制度并列��?�!稇?zhàn)略》指出��,要建立實施網(wǎng)絡安全審查制度����,加強供應鏈安全管理,對黨政機關��、重點行業(yè)采購使用的重要信息技術產品和服務開展安全審查�����,提高產品和服務的安全性和可控性�����,防止產品服務提供者和其他組織利用信息技術優(yōu)勢實施不正當競爭或損害用戶利益?�!秶野踩ā返诙鍡l規(guī)定��,國家建設網(wǎng)絡與信息安全保障體系��,提升網(wǎng)絡與信息安全保護能力�����,加強網(wǎng)絡和信息技術的創(chuàng)新研究和開發(fā)應用�����,實現(xiàn)網(wǎng)絡和信息核心技術��、關鍵基礎設施和重要領域信息系統(tǒng)及數(shù)據(jù)的安全可控�����。
我國頒布的《網(wǎng)絡產品和服務安全審查辦法》(試行)重點審查的是網(wǎng)絡產品和服務的安全性和可控性�����,一是產品和服務自身的安全風險�����,以及被非法控制�����、干擾和中斷運行的風險�����;二是產品及關鍵部件生產�����、測試�����、交付����、技術支持過程中的供應鏈安全風險;三是產品和服務提供者利用提供產品和服務的便利條件非法收集��、存儲、處理�����、使用用戶相關信息的風險�����;四是產品和服務提供者利用用戶對產品和服務的依賴����,損害網(wǎng)絡安全和用戶利益的風險,以及其他可能危害國家安全的風險����。
網(wǎng)絡安全審查制度的出臺將原來的消極審計提升為積極主動的審查制度��,變被動防御為主動響應�����,這是確保國家安全的重要威懾手段��,同時也是防范網(wǎng)絡安全風險的一項重要舉措����。當然����,有效的網(wǎng)絡安全審查應當是一個動態(tài)的風險控制過程�����,貫穿于信息技術產品部署和使用的整個生命周期�����,能夠通過審查活動提供必要的態(tài)勢感知的能力�����。為此��,網(wǎng)絡安全審查應當具有足夠的覆蓋度����,由“節(jié)點控制”轉變?yōu)椤斑^程控制”,將我國現(xiàn)有僅針對采購環(huán)節(jié)的審查延伸至整個產品和服務的應用環(huán)節(jié)����,這對全面提升國家網(wǎng)絡空間治理體系和治理能力現(xiàn)代化具有重要意義����。
?
