自中國宣布將實施網(wǎng)絡安全審查制度以來，國內外對此一直高度關注。昨日，國家互聯(lián)網(wǎng)信息辦公室在其官網(wǎng)公開《網(wǎng)絡產(chǎn)品和服務安全審查辦法（征求意見稿）》（以下簡稱意見稿），明確將成立網(wǎng)絡安全審查委員會，負責審議網(wǎng)絡安全審查的重要政策，統(tǒng)一組織網(wǎng)絡安全審查工作。專家表示，網(wǎng)絡安全審查不是常態(tài)性的，法律明確的是“可能影響國家安全的，關鍵信息基礎設施運營者采購的網(wǎng)絡產(chǎn)品和服務”。

關系國家安全的應通過安全審查

2014年5月，國家互聯(lián)網(wǎng)信息辦公室宣布，為維護國家網(wǎng)絡安全、保障中國用戶合法利益，中國將推出網(wǎng)絡安全審查制度。

去年11月7日，第十二屆全國人大常委會第二十四次會議表決通過《網(wǎng)絡安全法》。該法明確，關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，應當通過國家網(wǎng)信部門會同國務院有關部門組織的國家安全審查。

此次公布的意見稿明確，關系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡產(chǎn)品和服務，應當經(jīng)過網(wǎng)絡安全審查。并提出國家互聯(lián)網(wǎng)信息辦公室會同有關部門成立網(wǎng)絡安全審查委員會，負責審議網(wǎng)絡安全審查的重要政策，統(tǒng)一組織網(wǎng)絡安全審查工作，協(xié)調網(wǎng)絡安全審查相關重要問題。

黨政部門不得采購未過審網(wǎng)絡產(chǎn)品

此外，意見稿要求，黨政部門及重點行業(yè)優(yōu)先采購通過審查的網(wǎng)絡產(chǎn)品和服務，不得采購審查未通過的網(wǎng)絡產(chǎn)品和服務。

金融、電信、能源等重點行業(yè)主管部門，根據(jù)國家網(wǎng)絡安全審查工作要求，組織開展本行業(yè)、本領域網(wǎng)絡產(chǎn)品和服務安全審查工作。

對于關鍵信息基礎設施運營者采購的網(wǎng)絡產(chǎn)品和服務可能影響國家安全的，意見稿要求，應當經(jīng)過網(wǎng)絡安全審查。關鍵信息基礎設施運營者采購的網(wǎng)絡產(chǎn)品和服務是否影響國家安全，由關鍵信息基礎設施保護工作部門確定。

安全審查非常態(tài)性、普世性

中國信息安全研究院副院長左曉棟表示，網(wǎng)絡安全審查不是常態(tài)性的，法律明確的是“關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，并且可能影響國家安全的”。這意味著不是天天去審查，也不是對什么都要審查，更不是要去取代日常的產(chǎn)品安全測評。

此前，國家網(wǎng)信辦網(wǎng)絡安全協(xié)調局局長趙澤良也曾表示，網(wǎng)絡安全審查不是普世性的，不是對任何產(chǎn)品和服務都進行審查，只是針對關系國家安全和國計民生的產(chǎn)品和服務進行審查。

■焦點

1 誰來審查？

成立跨部門的審查委員會

第五條 國家互聯(lián)網(wǎng)信息辦公室會同有關部門成立網(wǎng)絡安全審查委員會，負責審議網(wǎng)絡安全審查的重要政策，統(tǒng)一組織網(wǎng)絡安全審查工作，協(xié)調網(wǎng)絡安全審查相關重要問題。

網(wǎng)絡安全審查辦公室具體組織實施網(wǎng)絡安全審查。

第六條 網(wǎng)絡安全審查委員會聘請相關專家組成網(wǎng)絡安全審查專家委員會，在第三方評價基礎上，對網(wǎng)絡產(chǎn)品和服務的安全風險及其提供者的安全可信狀況進行綜合評估。

四川大學網(wǎng)絡空間安全研究院特聘副研究員洪延青表示，網(wǎng)絡安全審查工作的組織和領導工作，由網(wǎng)絡安全審查委員會承擔，該委員會由國家網(wǎng)信辦會同有關部門成立。委員會下設網(wǎng)絡安全審查辦公室。此外，委員會還組建網(wǎng)絡安全審查專家委員會。網(wǎng)絡安全審查委員會、辦公室、專家委員會一道，構成了網(wǎng)絡安全審查工作的頂層制度設計。

中國信息安全研究院副院長左曉棟對記者表示，網(wǎng)絡安全審查制度是在開放環(huán)境中維護國家網(wǎng)絡安全的重要手段。現(xiàn)階段我國還沒突破核心技術，受制于人的局面要長期存在。我們要使用來自國外優(yōu)秀的產(chǎn)品和服務，就必須確保其安全。

左曉棟認為，網(wǎng)絡安全審查委員會將是網(wǎng)絡安全審查的領導機構，是一個跨部門的委員會。由于網(wǎng)絡安全審查涉及多個行業(yè)和多個部門，需要一個跨部門委員會在日常工作中起到協(xié)調和統(tǒng)籌的工作。這是網(wǎng)絡安全審查工作中的一個關鍵設計。

2 審查什么？

重點審查“安全性、可控性”

第二條 關系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡產(chǎn)品和服務，應當經(jīng)過網(wǎng)絡安全審查。

第四條 重點審查網(wǎng)絡產(chǎn)品和服務的安全性、可控性，主要包括：

（一）產(chǎn)品和服務被非法控制、干擾和中斷運行的風險；

（二）產(chǎn)品及關鍵部件研發(fā)、交付、技術支持過程中的風險；

（三）產(chǎn)品和服務提供者利用提供產(chǎn)品和服務的便利條件非法收集、存儲、處理、利用用戶相關信息的風險；

（四）產(chǎn)品和服務提供者利用用戶對產(chǎn)品和服務的依賴，實施不正當競爭或損害用戶利益的風險；

（五）其他可能危害國家安全和公共利益的風險。

此次意見稿明確“重點審查網(wǎng)絡產(chǎn)品和服務的安全性、可控性”。

洪延青表示，意見稿第4條列舉了審查重點關注的四種風險：穩(wěn)定性方面（被非法控制、干擾和中斷運行的風險）、供應鏈安全方面（研發(fā)、交付、技術支持過程中的風險）、用戶自主支配其信息方面（利用提供產(chǎn)品和服務的便利條件非法收集、存儲、處理、利用用戶相關信息的風險）、用戶保持獨立自主方面（利用用戶對產(chǎn)品和服務的依賴，實施不正當競爭或損害用戶利益的風險）。

洪延青認為，網(wǎng)絡安全審查并非審查、評估產(chǎn)品和服務的業(yè)務性能，而是其在輸出功能的過程中（也就是規(guī)定動作），會不會擅自采取一些自選動作，以及有沒有可能被非法篡改、干擾、中斷等。

他說，用更通俗的話來說，影響或可能影響國家安全的產(chǎn)品和服務必須絕對“忠于用戶”，至于產(chǎn)品和服務本身的功能、性能有多大或夠不夠用，不是安全審查的重點。

左曉棟表示，傳統(tǒng)的安全測評更多是關注產(chǎn)品本身的安全性。而網(wǎng)絡安全審查和以前的產(chǎn)品測評是不沖突的，重點關注產(chǎn)品的安全性可控性，重點檢查其有沒有利用提供產(chǎn)品的便利，從事危害用戶利益的可能性。這些范圍歸根到底都是圍繞產(chǎn)品的“安全和可控”。

3 怎么審查？

兩道審查為決策提供支撐

第七條 國家統(tǒng)一認定網(wǎng)絡安全審查第三方機構，承擔網(wǎng)絡安全審查中的第三方評價工作。

第八條 根據(jù)國家有關部門要求、全國性行業(yè)協(xié)會建議、市場反映和企業(yè)申請等，網(wǎng)絡安全審查辦公室組織第三方機構、專家對網(wǎng)絡產(chǎn)品和服務進行網(wǎng)絡安全審查，并發(fā)布或在一定范圍內通報審查結果。

網(wǎng)絡安全審查制度如何實施？意見稿也給出了具體的路徑。

洪延青表示，在啟動審查階段，意見稿規(guī)定了企業(yè)申請、主管機關和部門依職權申請、全國性行業(yè)協(xié)會建議、市場普遍反映等多種形式。

他表示，在審查過程中，獨立的第三方機構形成第三方評價，專家在第三方評價的基礎上提出綜合評估后，上報網(wǎng)絡安全審查委員會，形成最終的審查結論。審查結論經(jīng)由國家網(wǎng)信辦認可后，由網(wǎng)絡安全審查辦公室發(fā)布或通報。

意見稿中還明確，金融、電信、能源等重點行業(yè)主管部門，根據(jù)國家網(wǎng)絡安全審查工作要求，組織開展本行業(yè)、本領域網(wǎng)絡產(chǎn)品和服務安全審查工作。

左曉棟表示，不管是誰組織的審查，最終需要第三方機構進行技術測評。在現(xiàn)在的制度設計中，所有的第三方機構都要網(wǎng)絡安全審查委員會認定。此外，第三方評價的結果只是一個重要的技術參考，獨立專家委員會在此基礎上再次進行技術研判。在兩道技術上的審查后，評價再提交給國家管理部門。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。