近日,国家互联网信息办公室等12部门正式发布了《网络安全审查办法》(以下简称《办法》)。与2017年5月发布的《网络产品和服务安全审查办法(试行)》相比,新的《办法》在适用范围、审查主体及判定因素等方面都有显著变化,更具战略性、优先性和针对性,开启了我国网络安全审查的新篇章。
一、明确审查重点,适用范围聚焦国家安全优先事项
作为网络安全审查制度实施的基础,《办法》开篇即明确网络安全审查制度是依据《国家安全法》第五十九条和《网络安全法》第三十五条而建立的一项国家安全审查,对网络安全审查工作定位的表述更准确。《办法》从适应国际网络安全新形势、满足维护国家安全新需要的角度出发,聚焦“确保关键信息基础设施供应链安全”,对关键信息基础设施运营者采购网络产品和服务时影响或可能影响国家安全的风险进行审查。
《办法》对审查的适用范围进行了再聚焦,其中,第二十条对涉及的“关键信息基础设施运营者”和当前重点关注的“网络产品和服务”范围给出了清晰界定,使网络安全审查工作更具可操作性,既符合当前我国维护国家安全自身利益的需求,也符合WTO安全例外原则。
二、健全长效机制,审查主体调整突出关键信息基础设施运营者的主体责任
《办法》的一个重要变化是审查主体由原来的“网络产品和服务提供者”调整为“关键信息基础设施运营者”,将“关键信息基础设施运营者”作为整个审查流程中连接各方的核心节点,承担着“预判风险”、“通过采购文件等要求产品和服务提供者配合审查”“申报”“配合提供补充材料”“督促产品和服务提供者履行承诺”等责任。这一变化抓住了要害,厘清了整个审查机制和流程中各方的责任和义务,突出了审查工作需要各方协同配合、群策群力的特点,有助于健全网络安全审查长效机制。其中,关键信息基础设施运营者作为审查主体:
1.在采购网络产品和服务时,将根据产品和服务的使用环境、场景等判断其投入使用后可能带来的国家安全风险,使得预判分析更科学、准确;
2.通过采购文件等要求产品和服务提供者配合网络安全审查、做出相关承诺的要求,更具可行性;
3.负责申报,“运营者在采购产品和服务时,预判风险后对于影响或可能影响国家安全的情况应向网络安全审查办公室进行申报”是审查的主要启动方式。
除应尽的责任外,关键信息基础设施运营者也应积极参与关键信息基础设施保护工作部门制定本行业、本领域预判指南的过程,结合自身关键功能、业务和场景的特点,为预判指南的制定提供参考,提高预判指南的适用性和针对性。
三、借鉴国际做法,判定因素新增非技术性因素考量
《办法》在判定因素中增加了“供应商来源的多样性和供应商的可靠性等非技术性因素导致供应中断的风险”,是一个突出变化。
纵观国际形势,2018年以来,网络空间风云变幻,很多国家纷纷出台、修订政策法规加强供应链安全的审查、评估,其中也不乏以国家安全为由实施商业禁令的例子。政治、外交、贸易等非技术因素导致供应中断的可能性增强,供应商的来源和供应商的可靠性等非技术性因素,已经成为多个国家评估供应链安全风险的重要方面。与发达国家相比,我国的供应链安全面临着更加严峻的风险挑战,因此《办法》在判定因素中增加了这方面的规定,体现了我国对国家安全新形势、新问题与时俱进的考虑。
网络安全审查制度的实施需要审查工作机制成员单位、关键信息基础设施保护工作部门、关键信息基础设施运营者的协同配合,需要企业、社会组织和广大网民的共同参与,也需要在实践中总结经验和问题,适应维护国家安全的形势需要,不断完善审查制度。
作者:王凤娇 中国网络安全审查技术与认证中心副处长
声明:本文来自网信中国,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。