对涉及国家安全的网络产品和服务进行网络安全审查已成为国际通行做法,也是国际社会所普遍接受的保障国家网络安全的正当措施。作为网络空间法治化的重要一环,网络安全审查制度对维护我国国家安全,推进国家治理体系和治理能力现代化可谓意义深远。实践证明,网络安全审查是保障关键信息基础设施供应链安全、捍卫我国网络空间主权、保障国家安全与核心利益的基础性制度。在建设网络强国、数字中国和智慧社会的过程中,网络安全审查制度必将发挥其重要作用。
一、我国网络安全审查制度的发展历程
2014年5月,我国正式宣布将推出网络安全审查制度。2015年7月通过的《国家安全法》第五十九条规定的国家安全审查制度,成为网络安全审查的上位制度。2016年7月,《国家信息化发展战略纲要》明确我国要建立实施网络安全审查制度。2016年11月通过的《网络安全法》第三十五条规定,“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”,正式开启了网络安全审查制度法治化的历程。
为贯彻落实《网络安全法》规定的网络安全审查制度,2017年5月22日,国家互联网信息办公室发布《网络产品和服务安全审查办法(试行)》(以下简称“试行办法”)。试行办法规定了网络安全审查的内容、审查机构和审查程序等核心制度,确保了网络安全审查的标准公开、程序透明、结论公正。
通过试行办法的实施,国家对构建网络安全审查制度进行了大量有益的探索。同时,随着物联网、区块链、人工智能、量子计算等新技术和新应用的出现,网络空间的大国博弈日趋激烈,网络安全形势发生了重大变化。为应对新的网络安全威胁和风险,同时修正试行办法的不足之处,国家互联网信息办公室等12个部门2020年4月13日印发《网络安全审查办法》(以下简称审查办法),开启了我国网络安全审查制度的新时代。
二、我国网络安全审查制度的基本定位
网络产品和服务,不能存在危及网民合法权益、公共安全的缺陷,更不能存在危及国家安全的隐患,这是对网络产品和服务的基本要求。为了应对日益严峻、复杂的网络安全威胁,有必要通过网络安全审查制度,评估和审核网络产品或者服务是否存在危害关键信息基础设施安全和国家安全的可能或者风险。网络安全审查不同于测评、认证,也不同于通用性审查、外商投资国家安全审查,重点审查网络产品或者服务是否存在影响关键信息基础设施安全和国家安全的威胁或者风险。
我国的网络安全审查制度,是在准确理解网络安全的本质,深刻认识所面临的国内外网络安全形势的基础上,坚持总体国家安全观以及整体、动态、开放、相对、共同网络安全观,正确处理安全与发展关系的前提下,确立的在开放环境下应对网络安全威胁与风险的基础性制度,是维护国家安全、社会公共利益,保护公民、法人和其他组织的合法权益的“底层”制度,是我国掌握网络空间防御主动权的重要利器。
三、我国网络安全审查制度的四大特色
作为保障国家安全的重要制度设计,网络安全审查是我国和平利用网络空间、坚定维护网络空间安全战略理念的体现。以法律的形式确立网络安全审查制度,通过法制手段保障国家安全,是减少网络空间技术对抗与冲突的有益尝试,这是我国网络安全审查制度最大的亮点。作为防范网络空间新型国家安全风险的重要手段,我国网络安全审查制度在广泛借鉴国际通行做法的基础上,重点考虑了我国网络安全所面临的一般风险和特殊风险,制度设计具有以下特色:
(一)将关键信息基础设施供应链安全作为关注重点
美国的网络安全审查具体覆盖国家安全系统、国防系统、联邦政府系统。英国网络安全审查的重点是外国公司在英国关键基础设施的投资是否会影响国家安全。我国的审查办法聚焦于关键信息基础设施供应链安全,旨在避免可能对关键信息基础设施的保密性、完整性和可用性构成威胁而引发国家安全风险。
(二)对国内外供应商一视同仁
美国2013年颁布的《综合持续拨款法案》中针对特定国家的产品和服务进行网络安全审查的规定,严重违背国际贸易的“非歧视性”原则,引发了各方激烈的抨击。2010年印度电信部以安全为由禁止本国运营商在敏感区域购买中国电信设备,但允许向欧美厂商采购,并向运营商发出通知明确在采购信息产品时,印度本地人控股或者所有的企业免于网络安全审查。反观我国网络安全审查制度的设计,对国内供应商和国外供应商一视同仁。只要符合网络安全基线的产品或者服务,都可以在关键信息基础设施中使用,而不论供应商国籍和产品来源地,这为全球网络产品和服务市场创造了一个公平竞争的场所和环境。
(三)坚持公开透明的原则
与美国、印度等国家的网络安全审查相比,我国网络安全审查做到了最大限度的公开透明。我国的审查办法明确了审查主要考虑的五方面因素,能够最大限度保证审查活动的公正性和透明度,有利于消除各方将网络安全审查制度作为“政策工具”的顾虑。审查标准公开透明,使供应商能够依照审查标准准确判断自身产品或者服务的安全状况,为供应商提供了明确的行为指引和预期。同时,为审查机构提供明确的工作指引和依据,避免了审查权的滥用,有利于实现风险控制的目的。
(四)持续进行风险监督
审查办法要求运营者督促供应商履行网络安全审查中作出的承诺,同时,网络安全审查办公室通过接受举报等形式加强事前事中事后监督。这一规定使网络安全审查由“节点控制”转变为“过程控制”,网络安全审查源于采购阶段,但监督拓展至网络产品和服务的整个生命周期。风险的持续性监控,有利于全面提升关键信息基础设施的安全保障能力。(作者:崔聪聪,北京邮电大学互联网治理与法律研究中心副主任)