2020 年 4 月 27 日,国家互联网信息办公室、国家发展改革委等 12 个部门,联合印发了《网络安全审查办法》(以下简称《办法》)。《办法》是落实《网络安全法》要求、构建国家网络安全审查工作机制的重要举措,是确保关键信息基础设施供应链安全的关键手段。《办法》在境内外引起不同舆情,为我国在具体实施过程中带来启示。同时,《办法》对国内外相关产业造成潜在影响,具体包括:在制度层面形成稳定保障,为我国营造良好的产业环境;国内产业在客观上得到扶持,部分领域获自主研发契机;国外产业短期受困,长期有望形成良好的合作机制。在现如今中美经贸关系紧张的大背景下,《办法》的出台将为我国带来一系列机遇与挑战,一方面为中国的网络安全体系奠定基础,增加我国应对美国贸易制裁的反制手段,推动我国国内的网络信息产业环境进一步与国际接轨。另一方面,我国也面临着网络安全监管体系有待完善,美国等西方国家或将开展舆论攻击,推进初期产业发展受阻等挑战。
关键词:网络安全审查办法;舆情;产业发展;中美关系
内容目录
0 引言
1 境内外舆情动向
1.1 境外舆情动向
1.1.1 《办法》执行过程中或将存在透明度问题
1.1.2 《办法》是针对国外供应商的政策工具
1.1.3 《办法》背后存在长期规划和相对应的脉络
1.2 境内舆情动向
1.2.1 强化关键信息基础设施安全防护的适时之举
1.2.2 基于此前的试行办法实现完善与革新
1.2.3 加强供应链安全管理已成为国际社会共识
2 对国内外相关产业的影响
2.1 在制度层面形成稳定保障,为我国营造良好的产业环境
2.2 国内产业在客观上得到扶持,部分领域获自主研发契机
2.3 国外产业短期受困,长期有望形成良好的合作机制
3 实施过程中的注意点
3.1 坚持公开透明的原则
3.2 持续进行风险监督管理
3.3 创造公平竞争的供应链环境
3.4 积极引导舆论发展态势
4 在中美经贸关系紧张背景下的机遇与挑战
4.1 《办法》带来的机遇
4.1.1 为中国的网络安全体系奠定基础
4.1.2 增加应对美国贸易制裁的反制手段
4.1.3 我国国内的网络信息产业环境进一步与国际接轨
4.2 《办法》带来的挑战
4.2.1 中国网络安全监管体系有待完善
4.2.2 西方国家对我国或将开展舆论攻击
4.2.3 推进初期面临产业发展阻碍
5 结 语
0 引 言
2020 年 4 月 27 日,国家互联网信息办公室、国家发展改革委等 12 个部门,联合印发了《网络安全审查办法》(以下简称《办法》), 要求关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。《办法》是落实《网络安全法》要求、构建国家网络安全审查工作机制的重要举措,是确保关键信息基础设施供应链安全的关键手段。
1 境内外舆情动向
1.1 境外舆情动向
1.1.1 《办法》执行过程中或将存在透明度问题
有境外舆论认为,《办法》部分定义不明晰,为政府保留“黑匣子”审查程序。新美国基金会 4 月 27 日发表文章《中国网络安全审查关注关键行业的供应链安全》。文章指出,《办法》在定义方面存在诸多不确定性,比如对于“关键信息基础设施”和“网络产品和服务”的定义过于广泛和开放,针对各种网络安全功能的要求或标准都处于悬而未决的状态,甚至对国家安全造成不可接受风险的界定也保留了很大的余地。多数外国供应商认为中国政府保留了使用这种“黑匣子”审查程序来收紧市场准入的自由,或者根据政策目标或政治风向开放市场,为后续执行操作提供了较大的灵活空间。
也有一些境外舆论指出,存在知识产权被窃取的隐患。美国之音 4 月 29 日发表文章《中国网络安全审查办法或将限制外国产品和服务进入》,认为《办法》加剧外国供应商对窃取知识产权的担忧。《办法》中要求网络服务和产品的供应商必须向运行关键信息基础架构的客户提供文档以供审核,外商担忧中国政府可能借此提出代码审查、详细的产品规格等包含知识产权的材料,以此窃取互联网产品和服务提供者的商业秘密和知识产权。
1.1.2 《办法》是针对国外供应商的政策工具
有境外舆论提出,《办法》变相提高外国供应商进入中国市场的门槛。英国媒体 The Register4 月 28 日发表文章《中国加强官僚主义障碍使企业采购本地技术》,报道指出,该审查的一种明显后果是,中国公司为避免面临冗长审查的风险,可能会购买本地产品。如果许多企业这样做,对外国科技公司而言将会是不利消息。
中国香港媒体《南华早报》4 月 28 日发表文章《中国新的网络安全规则可能会打击外国服务提供商》,文章指出,如果公司预期将会有更严格或更长时间的审查,那么这些标准可能会迫使公司远离那些可能被视为对中国国家安全构成高风险的跨国提供商。此外, 文章认为,该《办法》是此前强调“信息技术自主可控”的升级版,此次规定出台相当于给予关键信息基础设施运营商联手网信办等审查部门“师出有名”限制外商产品的机会,以使国产化产品达到一定比重 。
一些境外舆论认为,《办法》是针对美国强硬立场所开展的反制措施。《办法》的发布时机正值中美关系紧张之际,在过去的一年中, 美国以“国家安全”为由禁止或者威胁封锁华为、中兴通讯、中国电信、中国联通和中国移动等多家中国公司的产品和服务。有舆论认为此次《办法》出台是对于美国的直接回应。虽然《办法》删除了意见稿中直接提及供应商与外国政府潜在关系的内容,但是强调供应链“安全” 实质包含了这些担忧。
1.1.3 《办法》背后存在长期规划和相对应的脉络
部分境外观点认为《办法》出台与削减外国供应商之间的关联度低。《办法》是 2019 年征求意见稿的最终版本,符合中国 2017 年网络安全法中国家安全规定的步骤。化险(Control Risks)网络咨询总监 Jim Fitzsimmons 认为,中国出台《网络安全审查办法》表明,政府已将网络安全状况视为战略风险,而这也是其为解决该问题所采取的所有措施。中国的政策与其他国家没有太大不同。
“任何国家在考虑自己的关键信息基础设施时,都希望确保自己在保护和评估方面做得正确,从而不会给系统带来风险。”大成(Dentons) 律师事务所的网络安全专家 Robyn Chatwood 认为,在与美国的贸易局势紧张之前,中国就在加强网络安全。该法规并非针对某些群体,只是美国在该领域占主导地位,因此受到的影响最为显著。
1.2 境内舆情动向
1.2.1 强化关键信息基础设施安全防护的适时之举
国内有观点认为《办法》是强化关键信息基础设施安全防护的适时之举。尹丽波在《开展网络安全审查 保障关键信息基础设施安全》一文中指出,伴随5G、工业互联网、大数据中心、云计算等新一代数字基础设施规模化建设和应用,越来越多重要信息系统将承载与国家安全和经济发展密切相关的核心业务和海量数据, 但目前关键领域系统设备的网络安全状况仍有待改善。面对日益严峻的网络安全形势,开展严格的安全审查防堵安全漏洞和隐患,是现阶段防范安全风险的适时之举。
1.2.2 基于此前的试行办法实现完善与革新
国内舆论认为,与 2017 年 5 月发布的《网络产品和服务安全审查办法(试行)》相比, 新的《办法》更加完善成熟。洪延青在《网络安全审查制度利刃出鞘》一文中指出,“审查办法”与“试行办法”相比的三大新特点,具体包括:
(1)审查目标更加具体,将审查着眼于产品和服务在供应链安全方面给关键信息基础设施带来的安全风险;
(2)审查重点更加明晰, 聚焦“确保关键信息基础设施供应链安全”;
(3)突出关键信息基础设施运营者的主体责任,将“关键信息基础设施运营者”作为整个审查流程中连接各方的核心节点。
《办法》在适用范围、审查主体及判定因素等方面都有显著变化, 更具战略性、优先性和针对性。
1.2.3 加强供应链安全管理已成为国际社会共识
国内有舆论认为《办法》的出台顺应国际大环境。胡影在《网络安全审查视角下的供应链安全风险分析》中指出,近年来,很多国家纷纷出台国家供应链安全政策,采取测评认证、供应商安全评估、安全审查等多种手段加强供应链安全管理。王凤娇在《< 网络安全审查办法 > 开启我国网络安全审查新篇章》中表示, 判定因素中增加了非技术性因素考量体现了我国对国家安全新形势、新问题与时俱进的考虑。
2 对国内外相关产业的影响
2.1 在制度层面形成稳定保障,为我国营造良好的产业环境
《办法》对国内产业而言形成一种良性约束。网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险。作为在开放环境下应对网络安全威胁与风险的基础性制度,对网络产品与服务的基本要求,《办法》的法律属性和强大约束力将进一步规范我国的产业发展。
2.2 国内产业在客观上得到扶持,部分领域获自主研发契机
针对审查主体,《办法》突出了关键信息基础设施运营者的主体责任。我国企业为规避严苛的政府审查可能更倾向于购买国内产品, 加之国产化产品的比重要求,从而使外国供应商在中国市场处于劣势。此外,在保证国家安全的前提下,部分高新科技产品和服务可能无法进入关键信息基础设施领域,这为我国的自主研发提供了契机。
2.3 国外产业短期受困,长期有望形成良好的合作机制
从目前舆情来看,外国供应商对未来在中国市场处于劣势的担忧进一步增加。此外,国外对于知识产权问题的判断可能也在一定程度上阻碍相关供应商进入中国市场。从短期来看,国外相关产业的中国市场份额可能遭到削弱,但是从长期来看,《办法》所营造的良好制度环境和公平的营商环境将为我国的关键基础设施领域吸纳合规安全的产品和服务,形成良好的合作关系。
3 实施过程中的注意点
3.1 坚持公开透明的原则
鉴于外国供应商对于知识产权和商业秘密的担忧,我国在落实《办法》过程中,需要最大限度地实现公开透明,为供应商提供明确的行为指引和预期,使其能够依照审查标准准确判断自身产品或者服务的安全状况。
从客观上看,《办法》明确了审查主要考虑的五方面因素, 能够最大限度保证审查活动的公正性和透明度, 有利于消除各方将网络安全审查制度作为“政策工具”的顾虑,同时为审查机构提供明确的工作指引和依据,避免审查权的滥用,实现风险控制的目的。
3.2 持续进行风险监督管理
网络安全审查源于采购阶段,但监督管理拓展至网络产品和服务的整个生命周期。相关主管部门需有效落实运营者主体责任,督促供应商履行网络安全审查中作出的承诺,同时网络安全审查办公室将通过接受举报等形式加强事前、事中、事后监督。通过将网络安全审查的“节点控制”转变为“过程控制”,全面提升关键信息基础设施的安全保障能力。
3.3 创造公平竞争的供应链环境
我国网络安全审查在制度设计上,对国内外供应商采取一视同仁的态度。对于符合网络安全基线的产品或者服务,不论供应商国籍和产品来源地,均可在关键信息基础设施中使用。在《办法》的具体实施过程中,需要破除外国供应商将其作为“保护政策”和反制举措的错误认知和判断,为全球网络产品和服务市场创造了一个公平竞争的场所和环境。
3.4 积极引导舆论发展态势
我国需密切并长期关注《办法》实施初期的境内外舆情动向,加强网络舆情态势感知和研判,警惕与之相关的政治、经济与社会等方面的次生舆论事件与舆论“漩涡”。将《办法》置于各国加强供应链审查、防范国家安全风险的大背景下,显示出其是与国际接轨的普遍做法,对国际社会的质疑和错误认知进行有力回应,主动引导境内外舆论向积极正面方向发展。
4 在中美经贸关系紧张背景下的机遇与挑战
4.1 《办法》带来的机遇
4.1.1 为中国的网络安全体系奠定基础
基础设施的供应链安全问题是我国网络安全的根本性问题。《办法》为我国的供应链安全提供制度保障,降低对供应链完整性、数据安全性、供应链中断造成的威胁,减轻可能导致的关键信息基础设施被非法控制、重要数据被泄露、关键信息基础设施业务连续性危害等风险。
4.1.2 增加应对美国贸易制裁的反制手段
《办法》在判定因素中增加了“供应商来源的多样性和供应商的可靠性等非技术性因素导致供应中断的风险”。政治、外交、贸易等非技术因素导致供应中断的可能性增强。如果部分国家对我国采取恶意制裁措施,我国政府可以依据此法,以网络安全的名义对国际供应链施加影响。
4.1.3 我国国内的网络信息产业环境进一步与国际接轨
随着经济全球化和信息技术的快速发展, 网络产品和服务供应链已发展为遍布全球的复杂系统。美国、英国、德国、澳大利亚、俄罗斯等国已纷纷建立网络安全审查制度。我国的网络信息产业环境在安全审查过程中将与国际网络信息产业环境进一步进行对接。
4.2 《办法》带来的挑战
4.2.1 中国网络安全监管体系有待完善
网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范, 组织网络安全审查。具体执行关键基础设施供应链安全审查工作时,网信主管部门需要统筹协调商务、国家安全、工信、财政等机构,构建多部门协同配合的组织体系。对此,我国需加快制度落地的实施规则和支撑力量建设,建立相关职能部门信息沟通和会商机制。
4.2.2 西方国家对我国或将开展舆论攻击
美国以及其他国家的政界、产业界对于我国的《网络安全审查办法》可能进行断章取义或者污名化处理,制造并带动消极舆论,例如抨击中国营商环境恶化、国内监控和控制更严格等。对此,我国应加强网络舆情态势感知和研判,有理有据进行积极回应,并借此宣传推广我国的网络安全审查制度,主动引导社会舆论向积极正面发展。
4.2.3 推进初期面临产业发展阻碍
《办法》于 2020 年 6 月 1 日开始实施,届时国内外供应链商或将经历一段适应过程,因此短期内可能对国内外原先的产业链带来波动和调整,对相关产业发展构成一定阻碍。对此, 我国需抓紧制定审查工作的操作规范,对实施审查的程序、步骤、规范等做出具体明确规定, 全面提升审查工作的综合能力,加快推进《办法》顺利落地实施。
5 结 语
目前来看,境外相对负面的舆情主要集中在《办法》执行的透明度问题、将《办法》视作针对国外供应商的反制措施等方面;境内舆情态势基本向好,认可《办法》作为制度保障所承载的重要意义。《办法》在具体实施过程中需密切结合境内外舆情,统筹考虑国内外相关产业所受影响,整体把握中美经贸关系紧张背景下的机遇与挑战,保障关键信息基础设施供应链安全,维护国家安全。
引用本文:上海赛博网络安全产业创新研究院.《网络安全审查办法》的境内外舆情及应对措施综合分析[J].信息安全与通信保密,2020(06):16-21.
作者简介 :
上海赛博网络安全产业创新研究院,国内专业从事网络空间政策和产业研究的重要智库, 为各级党政部门和各类企事业单位提供高质量的研究咨询与综合服务,打造网络空间政、产、学、研、用、投的协同创新平台,推动我国数字经济发展和网络强国建设。
选自《信息安全与通信保密》2020年第六期 (为便于排版,已省去原文参考文献)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。