《网络安全审查办法》将于今年6月1日正式实施,这是网络空间安全形势日益复杂、对抗性加剧的国际环境下,进一步完善我国网络安全体系建设,落实习近平总书记“加快构建关键信息基础设施安全保障体系”的重大举措,是加固我国网络空间安全的一道独特有效屏障。
一、《办法》出台具有重大现实意义
随着我国网络空间安全战略的构建与实施,网络安全审查法制化建设也走上了快车道。2015年7月通过的《中华人民共和国国家安全法》第五十九条规定:“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险”。该法明确提出对网络信息技术产品和服务等进行国家安全审查,成为《网络安全审查办法》(以下简称《办法》)的基础。2016年11月通过的《中华人民共和国网络安全法》第二节“关键信息基础设施的运行安全”中的第三十五条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”,标注了网络安全审查法治化建设的“零公里”。
2017年5月,国家互联网信息办公室发布《网络产品和服务安全审查办法(试行)》(以下简称《试行办法》),可以视为我国网络安全审查制度1.0版。2020年4月13日,国家互联网信息办公室等十二部委以部委令方式公布新《办法》,是在2017年《试行办法》的基础上,结合网络空间安全形势制定的网络安全审查制度的2.0版,标志着我国网络安全审查法治建设进入新时代,意义重大。
一是应对当前网络空间日益复杂安全形势的需要。据国家互联网应急中心(CNCERT)公布的《2019年我国互联网安全态势综述》报告,2019年,我国持续遭受来自“方程式组织”“APT28”“蔓灵花”“海莲花”“黑店”“白金”等30余个APT组织网络窃密攻击,我国党政机关、国防军工和科研院所,以及通信、外交、能源、商务、金融、军工、海洋等行业、物联网和供应链等领域成为重点攻击对象,国家网络空间安全受到严重威胁。而这类攻击都是通过利用第三方产品和安全漏洞或薄弱环节入侵关键信息系统的,供应链安全风险十分突出。据国家信息安全漏洞库(CNNVD)报告,2019年,新增通用软硬件漏洞数量16374条,达到历年最高点,其中,高危漏洞首次达到近一半的占比,且国外厂商漏洞数量占较大比重,输入型漏洞带来的风险加大。这些漏洞影响范围从主流操作系统到最常见的应用产品,广泛影响我国基础软硬件安全及其应用安全,危及我国家安全,因此,加强网络安全审查十分必要与迫切。
二是防范我网络产品和服务市场快速增长面临风险的需要。我国拥有规模庞大的信息基础设施,是网络产品和服务市场增长速度最快的国家。仅以网络安全领域市场为例,据国际数据公司(IDC)数据显示,2019年,全球网络安全相关硬件、软件、服务投资约为1066.3亿美元;2019年至2023年,全球网络安全相关支出复合年均增长率约9.44%;2023年,将达到1512.3亿美元。2019年,中国网络安全市场总体支出约为73.5亿美元;2019年至2023年,中国网络相关支出复合年均增长率为25.1%,增速领跑全球,2023年,支出将达到179亿美元。虽然我国占全球网络安全市场份额仅10%多一点,但是增长速度领跑世界,潜力巨大。我国基础设施的供应商主要来自国外,一些核心产品如芯片、高科技材料、关键部件仍大量依赖进口。因此,网络产品和服务的供应链安全与否,供应渠道的可靠与否,直接关系到我网络安全,特别是在推进“新基建”的关键时期,《办法》的出台恰逢其时,是对诚信守法供应商的保护,更是对网络攻击等非法行为的威慑。
三是完善我国网络空间安全治理体系和治理能力现代化的重要举措。加强网络安全审查制度建设,全面提升网络安全审查能力,是贯彻习近平总书记推进治理体系和治理能力现代化重要思想的具体体现。建立网络安全审查制度,是我国国家治理体系不可缺少的重要一环,目的是及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全。《办法》的出台,为我国开展网络安全审查工作提供了重要的制度保障,是我国网络空间安全积极防御,推进实施网络强国战略的重大举措。
四是和平利用网络空间、坚定维护网络空间安全战略的体现。《办法》借鉴了美西方发达国家网络安全审查制度,并结合了自身实际和我国网络空间安全“新理念”而制定。美国、英国、德国、澳大利亚、俄罗斯等国已先后建立网络安全审查制度,通过设立专门的审查机构,制定审查标准,委托第三方认证等措施,对关键基础设施的产品和服务开展安全审查,包括对供应商的背景进行审查,排除安全风险和漏洞。我国制定网络安全审查制度,是通过法制手段保障国家安全,减少网络空间技术对抗与冲突的有力措施,是推动构建网络空间命运共同体的具体举措。
二、网络安全审查工作的法律保障大大增强
《办法》第一条明确《国家安全法》《网络安全法》是上位法,据此制定的《办法》具有强有力的法律约束,体现在如下几点:
一是审查对象法定化。《办法》第二条规定:“关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查”,定义了直接审查对象为关键信息基础设施运营者对网络产品和服务的采购行为;第六条“对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查”,明确了产品和服务的提供者是间接审查对象,使审查对象鲜明清晰法定。《办法》第二十条强调了“关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者”,根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查。较《试行办法》直接针对“网络产品与服务”的审查,该《办法》将审查对象聚焦在运营者,其采购行为主体更加鲜明突出,防止被外国厂商误读。
二是审查工作主体法定化。《办法》第四条首先明确了网络安全审查工作是在中央网络安全和信息化委员会领导下,由国家互联网信息办公室及发改委、工信部、公安部、国家安全部、财政部、商务部、人民银行、国家市场监督管理总局、广播广电总局、保密局、密码管理局12个部委建立国家网络安全审查工作机制,网络安全审查办公室设在国家互联网信息办公室,负责制定审查制度规范,组织网络安全审查。将审查工作的主体通过行政法规确定下来,较《试行办法》更加透明、清晰、规范。
《办法》第十条规定:“网络安全审查办公室在规定时间内对运营者的申请进行初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见”,该表述除明确了开展审查工作的主体单位是12个部委外,还有“相关关键信息基础设施保护工作部门”,强调了审查机制中各部委和关键信息基础设施保护工作部门依法行政的主体责任。
三、网络安全审查工作更聚焦核心安全利益
《办法》在审查工作内容上体现了新的网络安全观,审查重点更加清晰,操作性更强。
一是审查目标的调整是践行习近平总书记“树立正确的网络安全观”的体现。《办法》第一条审查目标强调的是“为了确保关键信息基础设施供应链安全”,将关键信息基础设施供应链安全作为审查目标的关注重点,更看重的是产品和服务的使用主体、使用目的、使用方式以及产品供应渠道的可靠程度等综合因素,深入贯彻了习总书记关于“网络安全是整体的而不是割裂的”“是相对的而不是绝对的”理念。《办法》较《试行办法》将安全审查目标放在“网络产品和服务的安全可控水平”等脆弱性上,不仅是着眼点的调整,也是对网络安全理念认识的提升。
二是审查重点更加明晰。《办法》第九条明确了重点评估采购网络产品和服务可能带来的国家安全风险的5个主要考虑因素。首先,将“产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险”作为第一项评估的风险因素,突出体现了当前网络安全面临的风险和隐患的实质和鲜明特点。其次,考虑了产品和服务供应一旦中断对关键信息基础设施业务连续性带来的危害。第三,强调了“产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”,突出体现了对网络空间安全属性的把握,开放、透明、多样性符合国际贸易规则,对国内供应商和国外供应商一视同仁,有利于推进构建网络空间命运共同体。第四,新增加了“产品和服务提供者遵守中国法律、行政法规、部门规章情况”等非技术性因素,取代了《试行办法》中的背景审查的表述,符合依法审查的理念,更显国际通用性,审查重点更加突出清晰。
三是审查工作更具操作性。《办法》较《试行办法》新增了6条,在操作程序和时限、知识产权保护、保密、监督问责等方面都有更加明确的表述。首先,调整了网络安全审查的启动机制,由《试行办法》中根据国家有关部门的要求、全国性行业协会建议、市场反映和企业申请四种启动方式,调整为由运营者申报和“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查”,可见,启动审查的环节虽然减少了,相关部委可提出审查要求,但是审批权限上调了,启动条件更加严格。其次,增加了风险预判机制,要求运营者采购网络产品和服务时,应预判安全风险,对影响或可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查,将安全关口前移至初始和前端。第三,操作程序更加清晰透明,对安全审查运营者所需提交的四项申请材料做了明确规定;对网络安全审查办公室的初步审查、征求意见、启动特别审查程序做了清晰规定,特别是新增加了不同阶段审查工作的时限等。第四,对保密、监督、问责等事宜做了明确规定。
四、《办法》落地实施亟待配套规程
《办法》尽管已具有较强的操作性,但毕竟是原则性的,在具体实施中,仍需要更详细的操作规程支撑。因此,一是建议国家互联网信息办公室尽快出台网络安全审查工作实施细则,进一步优化审查工作流程;制定风险预判标准等,让审查机构、运营者、产品和服务提供者有规可依,操作便利。二是建议国家互联网信息办公室牵头建立部级联席会议机制,确定一批具有信息安全检验检测资质、国内外普遍认可、不以赢利为目的的国家级测评机构作为第三方机构,提供网络安全审查技术支持。三是建议提高审查工作信息化水平,共享审查项目信息,让数据多跑路,让审查机构、运营者、供应商少跑腿,提高效率。使网络安全审查工作真正做到防范网络安全风险与促进先进技术应用相结合,过程公正透明与知识产权保护相结合,事前审查与持续监管相结合,企业承诺与社会监督相结合,充分发挥好网络安全审查制度的独特安全屏障作用。(冯白宇)
(本文刊登于《中国信息安全》杂志2020年第5期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。