中共成立“网络安全审查委员会”官方大解讀(附成立意見稿草案)
|【博聞社】2月4日,中國国家互联网信息办公室(国家网信办,即中央网信办)在其官网公开《网络产品和服务安全审查办法(征求意见稿)》(以下简称意见稿),明确将成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作。這是中共對互聯網管理又一個重大的舉措,勢將對中國的網絡發展構成重大影響。
以下為綜合內地媒體的有關報道,對這個新的網絡政策進行解讀。當然由於媒體所站立場,解讀全是維護中共政策的,讀者可以透過這些解讀,一窺當局的用苦良心。
4日公布的意见稿明确指出,网络产品和服务的安全性、可控性直接影响用户利益、关系国家安全。为提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。
关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查。
专家表示,网络安全审查不是常态性的,法律明确的是“可能影响国家安全的,关键信息基础设施运营者采购的网络产品和服务”。
没有网络安全就没有国家安全
有关专家指出,国家网络空间治理现代化的实质是一场制度革命。其中,网络安全审查制度占有极其重要的地位。纵观世界,网络安全审查早已是国际潮流和通行做法,美英俄印等大国早已出台相关规定与办法。
而美国总统特朗普在上任前也宣布,由于“网络入侵”对美国国家安全构成“重大威胁”,将就网络安全组建一个由企业家组成的团队,定期召开会议,向特朗普介绍网络安全问题和解决方案。
中国的网络安全审查工作机构三年前即已提上议事日程。
2014年2月,中央网络安全和信息化领导小组成立,在第一次小组会议上,习近平即提出“没有网络安全就没有国家安全”。
3个月后,国家互联网信息办公室宣布,为维护国家网络安全、保障中国用户合法利益,中国将推出网络安全审查制度。
据当时国信办负责人介绍,网络安全审查制度审查的对象为进入中国市场的重要信息技术产品及其提供者,审查的标准为是否关系国家安全和公共利益,审查重点在于上述产品的安全性和可控性,并不针对个人信息。
之后在6月1日,国家网信办网络安全协调局局长赵泽良在2014年“网络安全周”启动仪式上就表示,网络安全审查未来或有工作机构。
赵泽良说,中央网信办成立后,在网络安全上着力颇多:加快了国家网络安全战略的起草;相关部门正在加强网络安全立法工作;一如既往地推动网络安全检查工作,对政府部门、党政机关开展审查。
2016年4月19日,中共总书记、中央网络安全和信息化领导小组组长习近平在网信座谈会上强调:构建关键信息基础设施安全保障体系。
关系国家安全的应通过安全审查
2016年8月,中央有关部门已提出加快网络安全审查等领域标准制定工作。中央网信办、质检总局、国家标准委联合制定的《关于加强国家网络安全标准化工作的若干意见》当时在中央网信办发布。
其中就提出要“推进急需重点标准制定”,加快开展关键信息基础设施保护、网络安全审查、网络空间可信身份等领域的标准研究和制定工作。
去年11月7日,第十二届全国人大常委会第二十四次会议表决通过《网络安全法》。该法明确,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
2月4日公布的意见稿明确,关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查。
并提出国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。
党政部门不得采购未过审网络产品
此外,意见稿要求,党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务。
金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。
对于关键信息基础设施运营者采购的网络产品和服务可能影响国家安全的,意见稿要求,应当经过网络安全审查。
关键信息基础设施运营者采购的网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定。
安全审查非常态性、普世性
中国信息安全研究院副院长左晓栋表示,网络安全审查不是常态性的,法律明确的是“关键信息基础设施的运营者采购网络产品和服务,并且可能影响国家安全的”。
这意味着不是天天去审查,也不是对什么都要审查,更不是要去取代日常的产品安全测评。
此前,国家网信办网络安全协调局局长赵泽良也曾表示,网络安全审查不是普世性的,不是对任何产品和服务都进行审查,只是针对关系国家安全和国计民生的产品和服务进行审查。
■ 焦点
1 谁来审查?
成立跨部门的审查委员会
第五条 国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。
网络安全审查办公室具体组织实施网络安全审查。
第六条 网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。
四川大学网络空间安全研究院特聘副研究员洪延青表示,网络安全审查工作的组织和领导工作,由网络安全审查委员会承担,该委员会由国家网信办会同有关部门成立。
委员会下设网络安全审查办公室。此外,委员会还组建网络安全审查专家委员会。网络安全审查委员会、办公室、专家委员会一道,构成了网络安全审查工作的顶层制度设计。
中国信息安全研究院副院长左晓栋对记者表示,网络安全审查制度是在开放环境中维护国家网络安全的重要手段。现阶段我国还没突破核心技术,受制于人的局面要长期存在。我们要使用来自国外优秀的产品和服务,就必须确保其安全。
左晓栋认为,网络安全审查委员会将是网络安全审查的领导机构,是一个跨部门的委员会。由于网络安全审查涉及多个行业和多个部门,需要一个跨部门委员会在日常工作中起到协调和统筹的工作。这是网络安全审查工作中的一个关键设计。
2 审查什么?
重点审查“安全性、可控性”
第二条 关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查。
第四条 重点审查网络产品和服务的安全性、可控性,主要包括:
(一)产品和服务被非法控制、干扰和中断运行的风险;
(二)产品及关键部件研发、交付、技术支持过程中的风险;
(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;
(四)产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;
(五)其他可能危害国家安全和公共利益的风险。
此次意见稿明确“重点审查网络产品和服务的安全性、可控性”。
洪延青表示,意见稿第4条列举了审查重点关注的四种风险:稳定性方面(被非法控制、干扰和中断运行的风险)、供应链安全方面(研发、交付、技术支持过程中的风险)、用户自主支配其信息方面(利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险)、用户保持独立自主方面(利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险)。
洪延青认为,网络安全审查并非审查、评估产品和服务的业务性能,而是其在输出功能的过程中(也就是规定动作),会不会擅自采取一些自选动作,以及有没有可能被非法篡改、干扰、中断等。
他说,用更通俗的话来说,影响或可能影响国家安全的产品和服务必须绝对“忠于用户”,至于产品和服务本身的功能、性能有多大或够不够用,不是安全审查的重点。
左晓栋表示,传统的安全测评更多是关注产品本身的安全性。而网络安全审查和以前的产品测评是不冲突的,重点关注产品的安全性可控性,重点检查其有没有利用提供产品的便利,从事危害用户利益的可能性。这些范围归根到底都是围绕产品的“安全和可控”。
3 怎么审查?
两道审查为决策提供支撑
第七条 国家统一认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。
第八条 根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等,网络安全审查办公室组织第三方机构、专家对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果。
网络安全审查制度如何实施?意见稿也给出了具体的路径。
洪延青表示,在启动审查阶段,意见稿规定了企业申请、主管机关和部门依职权申请、全国性行业协会建议、市场普遍反映等多种形式。
他表示,在审查过程中,独立的第三方机构形成第三方评价,专家在第三方评价的基础上提出综合评估后,上报网络安全审查委员会,形成最终的审查结论。审查结论经由国家网信办认可后,由网络安全审查办公室发布或通报。
意见稿中还明确,金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。
左晓栋表示,不管是谁组织的审查,最终需要第三方机构进行技术测评。在现在的制度设计中,所有的第三方机构都要网络安全审查委员会认定。
此外,第三方评价的结果只是一个重要的技术参考,独立专家委员会在此基础上再次进行技术研判。在两道技术上的审查后,评价再提交给国家管理部门。
征求意见稿全文:
国家互联网信息办公室关于《网络产品和服务安全审查办法(征求意见稿)》公开征求意见的通知
为提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益,依据《中华人民共和国网络安全法》,我办起草了《网络产品和服务安全审查办法(征求意见稿)》,现向社会公开征求意见。有关单位和各界人士可以在2017年3月4日前,通过以下方式提出意见:
一、通过信函方式将意见寄至:北京市东城区朝阳门内大街225号国家互联网信息办公室网络安全协调局,邮编:100010,并在信封上注明“征求意见”。
二、通过电子邮件方式发送至:[email protected]。
附件:网络产品和服务安全审查办法(征求意见稿)
国家互联网信息办公室
2017年2月4日
附件
网络产品和服务安全审查办法
(征求意见稿)
第一条 网络产品和服务的安全性、可控性直接影响用户利益、关系国家安全。为提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。
第二条 关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查。
第三条 坚持企业承诺与社会监督相结合,第三方评价与政府监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其提供者进行网络安全审查。
第四条 重点审查网络产品和服务的安全性、可控性,主要包括:
(一)产品和服务被非法控制、干扰和中断运行的风险;
(二)产品及关键部件研发、交付、技术支持过程中的风险;
(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;
(四)产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;
(五)其他可能危害国家安全和公共利益的风险。
第五条 国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。
网络安全审查办公室具体组织实施网络安全审查。
第六条 网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。
第七条 国家统一认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。
第八条 根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等,网络安全审查办公室组织第三方机构、专家对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果。
第九条 金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。
第十条 党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务。
第十一条 关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,应当经过网络安全审查。
关键信息基础设施运营者采购的网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定。
第十二条 承担网络安全审查的第三方机构,应坚持客观、公正、公平的原则,参照有关标准,重点从可控性、透明性、可信性等方面,对网络产品和服务及提供者进行评价,并对评价结果负责。
第十三条 网络产品和服务提供者应对网络安全审查工作予以配合。
第三方机构等相关单位和人员对审查工作中获悉的信息等承担安全保密义务,不得用于网络安全审查以外的目的。
第十四条 网络安全审查办公室不定期发布对网络产品和服务提供者的安全评估报告。
第十五条 本办法由国家互联网信息办公室负责解释。
第十六条 本办法自2017年 月 日起实施。
观察者网/博聞社 综合报道