引用本文:吴卫明.《网络安全审查办法》与“新网络安全观”的构建[J].信息安全与通信保密,2020(06):5-10.

摘 要

《网络安全审查办法》正式发布,相比《网络产品和服务安全审查办法(试行)》提供了更具针对性、更为详细明确的审查制度规定,从适用范围,到审查对象、审查机构、审查流程等方面出发构建了偏重供应链自主可控的“新网络安全观”。针对这一审查制度, 网络产品和服务供应链各个环节中符合审查适用范围的企业,从供应商到运营商,如何从自身角度出发把控合规风险和保障网络安全尤为重要。

关键词:网络安全审查;网络安全观;供应链安全;关键信息基础设施

内容目录:

0 引 言

1 制度价值目标的完善与“新网络安全观”的构建

2 审查对象的安全判断维度清晰、聚焦

2.1 审查对象的主体维度

2.2 审查对象的产品维度

3 审查主体全面覆盖

4 “多样、可控”新理念

5 不同主体面的合规策略选择

5.1 关键信息基础设施运营者

5.2 网络产品与服务的供应商

6 结 论

引 言

2020年4月27日,国家互联网信息办公室、国家发改委等12个部门联合发布了《网络安全审查办法》(以下简称“《办法》”),确认国家互联网信息办公室下设的网络安全审查办公室作为网络安全审查的监管部门,负责制定网络安全审查相关制度规范,组织网络安全审查,而被审查主体关键信息基础设施运营者(以下简称“运营者”)则对其采购网络产品和服务负有预判风险、提前申报审查的义务。《办法》于2020年6月1日正式实施,《网络产品和服务安全审查办法(试行)》(以下简称“《试行办法》”)同时废止。

《办法》与《试行办法》相比,针对性更为突出,也更具有操作性。从适用范围,到审查对象、审查机构、审查流程等,都有更加明确和详细的规定。

然而, 笔者认为,《办法》最大的价值在于塑造一种新的网络安全观。在复杂的国际大背景下,规范关键信息基础设施运营者采购网络产品和服务,维护网络空间的基础安全架构。

制度价值目标的完善与“新网络安全观”的构建

在《试行办法》中,核心的价值观念目标侧重于技术安全,而《办法》则更加侧重供应链安全和关键网络设备的自主可控。

《试行办法》第一条开宗明义规定“为提高网络产品和服务安全可控水平,防范网络安全风险……制定本办法。”《试行办法》虽然提到了“全面安全”的观念,但在更加偏重技术风险和信息安全风险,对供应链安全风险规定较为简单。如《试行办法》第四条规定:网络安全审查重点审查网络产品和服务的安全性、可控性,主要包括:

(一)产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;

(二)产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;

(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;

(四)产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险。

其中仅有第二项涉及供应链安全。与美国参议院于2020年2月27日批准的《安全和可信电信网络法》(Secure and Trusted Telecommunications Networks Act)相比,技术性更强,而保护供应链安全的属性则偏弱。《试行办法》与美国《安全和可信电信网络法》对于电信及网络产品准入安全审查采用的价值判断标准是不同的,中国偏重于从技术标准认定准入标准,客观性更强;而美国则以认定企业是否威胁国家安全作为准入标准,主观性更强。

《办法》对于《试行办法》的上述局限性做出了修正。《办法》第一条开宗明义的规定:“为了确保关键信息基础设施供应链安全……制定本办法。”与《试行办法》相比,表述有明显差异,从“提高网络产品和服务安全可控水平,防范网络安全风险”到“关键信息基础设施供应链安全”,其所展现的价值目标差异显而易见。

在《办法》第九条则规定,网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况。

《办法》在进行国家安全风险审查时,将“产品和服务供应中断对关键信息基础设施业务连续性的危害”以及“供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”, 作为安全风险审查的重要内容,特别强调对于产品与服务“供应中断”风险的审查。而《办法》对于“供应渠道的可靠性”规定,应该是与商务部的 “不可靠实体清单”制度相对应的。

从上述规定可以看出,《办法》的颁布,意味着网络安全观从更加侧重技术性规则到更加侧重核心供应链“自主可控”。

审查对象的安全判断维度清晰、聚焦

与《试行办法》相比,《办法》所涉及的审查维度更加清晰聚焦。两个办法对于安全的审查,都涉及“主体”和“网络产品与服务(简称“产品”)”两个安全判断维度。《试行办法》对于这两个维度的界定不够清晰,操作性和针对性均较差。

2.1 审查对象的主体维度

《办法》第二条明确了被审查的主体为关键信息基础设施运营者,第二十条确认了关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

《试行办法》对于被审查主体的界定不够清晰,有被扩大理解的空间。如《试行办法》第二条规定:“关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。”在这一规定中,由于“国家安全”这一界定缺乏必要的标准,似乎所有的信息系统的采购,无论采购方是否属于关键信息基础设施运营者,都需要实施网络安全审查。《试行办法》第十条规定:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过网络安全审查。产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定。”该条规定提出了“重要行业和领域”以及“其他关键信息基础设施的运营者”,这两个表述是否具有同一性?《试行办法》的界定并不清晰。

《办法》将审查的对象明确界定为“关键信息技术设施运营者”,有利于在执法中统一标准,也有利于相关主体对于规则的准确理解。

鉴于《网络安全法》第三十一条规定关键基础设施的具体范围和安全保护办法由国务院制定,且目前尚未正式发布关键信息基础设施的具体认定细则,对于《办法》中关键信息基础设施运营者范围的界定尚未有明确的法规规定。针对这一问题,国家互联网信息办公室有关负责人在就《办法》答记者问中,明确了《办法》中规定的应当预判风险申报网络安全审查的义务主体为“电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者”。在关键信息基础设施的具体认定细则正式出台之前,上述范围内的运营者将作为《办法》的被审查主体承担申报审查的义务。

2.2 审查对象的产品维度

对于纳入安全审查的网络产品和服务,《办法》的规定也更加突出网络基础安全层面。《办法》第二十条规定:“本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。”

《试行办法》对于纳入安全审查的产品和服务的规定则较为笼统,仅规定“重要网络安全与服务”。该界定不够清晰和具体,可能会产生扩大适用的情况,从而影响正常的网络产品及服务采购。

从《办法》的规定可以看出,纳入产品审查范围的设施界定更加清晰,从网络结构角度看,涉及到了网络系统的物理层、数据链路层、网络层、传输层等基础层面。从功能角度看,涉及到了信息传输、运算、存储、网络安全、数据库、云计算等各个重要方面。

《办法》在我国开启“新基建”的关键时期发布,具有积极的规范意义。从“新基建”的角度看,毫无疑问,关键信息基础设施运营者将成为“新基建”的主要建设任务承担者,而对关键信息基础设施安全有重要影响的网络产品和服务,无疑是保障“新基建”基础设施安全、可控的基础。因此,将安全审查聚焦于“关键信息基础设施运营者”采购“对安全有重要影响的网络产品和服务”,在“新基建”与国际上围绕信息网络安全所展开的大博弈背景下, 其意义可谓深远。

主体与产品两个维度,其关系具体如图1所示:

图 1 “主体”和“网络产品与服务”关系图

审查主体全面覆盖

《办法》第四条规定:“在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。”

由上述规定可以看出,网络安全审查机制中,中央网络安全和信息化委员会是领导机构, 但并不直接参与审核,而是领导和协调审查机制的建立。参与审查机制的机构则包括国家互联网信息办公室,以及十一个中央政府职能部门,参与主体职能分布相当广泛。

为什么要这样设立审查机制呢?其核心仍是“新网络安全观”的体现。网络产品和服务的采购,必然涉及国家产业政策、网络系统维护与管理、网络系统的信息安全、国家安全、财政资金的使用和划拨、对外贸易政策的制定与调整、金融安全与金融支持、市场秩序的维护与清理、新闻发布与传播、保守国家秘密、以及密码体系的安全与可靠。这些功能,任何一个部门均无法单独完成,为了避免在安全审查上的漏洞和标准不一,需要建立多部门的强力协同机制。

相较之下,《试行办法》的规定过于简单, 仅在第五条规定,国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。该规定对于如何形成安全审查委员会,并没有制度性的安排,不利于发挥审查制度的作用。

“多样、可控”新理念

具体而言,《办法》第九条规定了网络安全审查过程中,对于国家安全影响的重要考量因素。其中第三款的规定特别值得关注,“产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”。该条款的关键词包括“来源的多样性”以及“供应渠道的可靠性”。应该说,这一规则有深刻的国际信息技术博弈的大背景。近几年来,中国的网络设备与服务领域面临巨大的不确定性,对于国家安全形成一定压力。如美国政府对于纳入“实体清单”的中国企业或其他机构,在采购美国相关网络产品或服务时, 设置了诸多审查或限制,而这些限制往往与政治、外交、贸易冲突等背景紧密相关。同时,由于在诸多核心技术领域,中国对于境外供应商的依赖度较高,来源过于集中。一旦受到其他因素影响“断供”,对于网络安全与正常运营将带来巨大冲击。

“渠道单一化”,一旦遭遇“供应渠道的不可靠”,其叠加效果将会非常巨大。因此,通过对“来源的多样性”以及“供应渠道的可靠性”进行规定,并作为审查的重要内容,有利于促成企业选择多元产品和更为“可靠”的渠道。通过企业的选择,可以进一步培育“多元化”的供应链。

从某种意义上讲,“来源的多样性”以及“供应渠道的可靠性”并不是一个传统意义上的网络安全技术审核标准,而是一个供应链安全的标准。这一标准的设立,不仅有利于国际间网络信息技术的均衡分布与合理流动,也有利于国内相关网络产品及服务提供者的长期发展。

不同主体面的合规策略选择

总体而言,《办法》是一部体现全面网络安全观的规范。在强调技术带来的网络安全风险的同时,对于产品与服务来源单一、供应渠道不可靠性等供应链安全风险也提升到了重要的位置。对于《办法》,企业也应顺势而为。

5.1 关键信息基础设施运营者

关键信息基础设施运营者,应充分读懂《办法》所蕴含的深层含义与审查措施,并积极规划自身的合规方案,在源头采购环节就应采用全面安全观指导自己的采购行为。简单的技术风险容易解决,而产品组合不合理带来的供应链风险,则不仅难以解决,而且成本巨大。

5.2 网络产品与服务的供应商

除常规的技术能力外,供应商需要考虑的是,如何证明“供应渠道的可靠性”以及如何避免被纳入“因为政治、外交、贸易等因素导致供应中断的风险”中。

境外供应商,对于可靠性问题的考量通常更为复杂,因为不仅要受制于中国的法律规范, 还要受制于其所在国的法律规范。如何减少所在国法律、政治、贸易政策对于设备与服务出口造成影响,成为其首先应考量的合规策略。

结 论

习近平总书记在谈到网络安全观的时候提到,没有网络安全就没有国家安全,网络安全和信息化应当是一体之两翼、驱动之双轮,在加强信息化建设的同时,要加快构建关键信息基础设施安全保障体系,从而为国民经济和信息化建设打造一个安全、可信的网络环境。《办法》提供了关键信息基础设施安全保障体系中的制度保障,是网络安全观内涵的全面体现,关键信息基础设施运营者和供应商应当培养自身网络安全意识,从降低自身合规风险和维护国家网络安全的角度出发,将《办法》提出的规定和要求落到实处。

作者简介 

吴卫明(1973—),男,博士,上海市锦天城律师事务所高级合伙人,上海律师协会互联网业务委员会主任,主要研究方向为电子商务、金融科技、信息经济学、大数据相关法律理论及实践。

选自《信息安全与通信保密》2020年第六期 (为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。