关系国家安全的应通过安全审查

2014年5月，国家互联网信息办公室宣布，为维护国家网络安全、保障中国用户合法利益，中国将推出网络安全审查制度。

去年11月7日，第十二届全国人大常委会第二十四次会议表决通过《网络安全法》。该法明确，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

此次公布的意见稿明确，关系国家安全和公共利益的信息系统使用的重要网络产品和服务，应当经过网络安全审查。并提出国家互联网信息办公室会同有关部门成立网络安全审查委员会，负责审议网络安全审查的重要政策，统一组织网络安全审查工作，协调网络安全审查相关重要问题。

党政部门不得采购未过审网络产品

此外，意见稿要求，党政部门及重点行业优先采购通过审查的网络产品和服务，不得采购审查未通过的网络产品和服务。

金融、电信、能源等重点行业主管部门，根据国家网络安全审查工作要求，组织开展本行业、本领域网络产品和服务安全审查工作。

对于关键信息基础设施运营者采购的网络产品和服务可能影响国家安全的，意见稿要求，应当经过网络安全审查。关键信息基础设施运营者采购的网络产品和服务是否影响国家安全，由关键信息基础设施保护工作部门确定。

安全审查非常态性、普世性

中国信息安全研究院副院长左晓栋表示，网络安全审查不是常态性的，法律明确的是“关键信息基础设施的运营者采购网络产品和服务，并且可能影响国家安全的”。这意味着不是天天去审查，也不是对什么都要审查，更不是要去取代日常的产品安全测评。

此前，国家网信办网络安全协调局局长赵泽良也曾表示，网络安全审查不是普世性的，不是对任何产品和服务都进行审查，只是针对关系国家安全和国计民生的产品和服务进行审查。

■ 焦点

1 谁来审查？

成立跨部门的审查委员会

第五条 国家互联网信息办公室会同有关部门成立网络安全审查委员会，负责审议网络安全审查的重要政策，统一组织网络安全审查工作，协调网络安全审查相关重要问题。

网络安全审查办公室具体组织实施网络安全审查。

第六条 网络安全审查委员会聘请相关专家组成网络安全审查专家委员会，在第三方评价基础上，对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。

四川大学网络空间安全研究院特聘副研究员洪延青表示，网络安全审查工作的组织和领导工作，由网络安全审查委员会承担，该委员会由国家网信办会同有关部门成立。委员会下设网络安全审查办公室。此外，委员会还组建网络安全审查专家委员会。网络安全审查委员会、办公室、专家委员会一道，构成了网络安全审查工作的顶层制度设计。

中国信息安全研究院副院长左晓栋对记者表示，网络安全审查制度是在开放环境中维护国家网络安全的重要手段。现阶段我国还没突破核心技术，受制于人的局面要长期存在。我们要使用来自国外优秀的产品和服务，就必须确保其安全。

左晓栋认为，网络安全审查委员会将是网络安全审查的领导机构，是一个跨部门的委员会。由于网络安全审查涉及多个行业和多个部门，需要一个跨部门委员会在日常工作中起到协调和统筹的工作。这是网络安全审查工作中的一个关键设计。

2 审查什么？

重点审查“安全性、可控性”

第二条 关系国家安全和公共利益的信息系统使用的重要网络产品和服务，应当经过网络安全审查。

第四条 重点审查网络产品和服务的安全性、可控性，主要包括：

(一)产品和服务被非法控制、干扰和中断运行的风险；

(二)产品及关键部件研发、交付、技术支持过程中的风险；

(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险；

(四)产品和服务提供者利用用户对产品和服务的依赖，实施不正当竞争或损害用户利益的风险；

(五)其他可能危害国家安全和公共利益的风险。

此次意见稿明确“重点审查网络产品和服务的安全性、可控性”。

洪延青表示，意见稿第4条列举了审查重点关注的四种风险：稳定性方面(被非法控制、干扰和中断运行的风险)、供应链安全方面(研发、交付、技术支持过程中的风险)、用户自主支配其信息方面(利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险)、用户保持独立自主方面(利用用户对产品和服务的依赖，实施不正当竞争或损害用户利益的风险)。

洪延青认为，网络安全审查并非审查、评估产品和服务的业务性能，而是其在输出功能的过程中(也就是规定动作)，会不会擅自采取一些自选动作，以及有没有可能被非法篡改、干扰、中断等。

他说，用更通俗的话来说，影响或可能影响国家安全的产品和服务必须绝对“忠于用户”，至于产品和服务本身的功能、性能有多大或够不够用，不是安全审查的重点。

左晓栋表示，传统的安全测评更多是关注产品本身的安全性。而网络安全审查和以前的产品测评是不冲突的，重点关注产品的安全性可控性，重点检查其有没有利用提供产品的便利，从事危害用户利益的可能性。这些范围归根到底都是围绕产品的“安全和可控”。

3 怎么审查？

两道审查为决策提供支撑

第七条 国家统一认定网络安全审查第三方机构，承担网络安全审查中的第三方评价工作。

第八条 根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等，网络安全审查办公室组织第三方机构、专家对网络产品和服务进行网络安全审查，并发布或在一定范围内通报审查结果。

网络安全审查制度如何实施？意见稿也给出了具体的路径。

洪延青表示，在启动审查阶段，意见稿规定了企业申请、主管机关和部门依职权申请、全国性行业协会建议、市场普遍反映等多种形式。

他表示，在审查过程中，独立的第三方机构形成第三方评价，专家在第三方评价的基础上提出综合评估后，上报网络安全审查委员会，形成最终的审查结论。审查结论经由国家网信办认可后，由网络安全审查办公室发布或通报。

意见稿中还明确，金融、电信、能源等重点行业主管部门，根据国家网络安全审查工作要求，组织开展本行业、本领域网络产品和服务安全审查工作。

左晓栋表示，不管是谁组织的审查，最终需要第三方机构进行技术测评。在现在的制度设计中，所有的第三方机构都要网络安全审查委员会认定。此外，第三方评价的结果只是一个重要的技术参考，独立专家委员会在此基础上再次进行技术研判。在两道技术上的审查后，评价再提交给国家管理部门。