2月4日,国家互联网信息办公室在其官网公开《网络产品和服务安全审查办法(征求意见稿)》(以下简称意见稿),明确将成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作。专家表示,网络安全审查针对的是“可能影响国家安全的,关键信息基础设施运营者采购的网络产品和服务”。关键信息基础设施运营者采购的网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定。
意见稿开篇明确指出,网络产品和服务的安全审查法律依据来自《中华人民共和国国家安全法》《中华人民共和国网络安全法》。审查对象也是“关系国家安全和公共利益的信息系统使用的重要网络产品和服务”。审查机构由国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。
意见稿要求,党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务。金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。对此,中国信息安全研究院副院长左晓栋表示,网络安全审查不是常态性的,法律明确的是“关键信息基础设施的运营者采购网络产品和服务,并且可能影响国家安全的”。这意味着不是天天去审查,也不是对什么都要审查,更不是要去取代日常的产品安全测评。
此前,国家网信办网络安全协调局局长赵泽良也曾表示,网络安全审查不是普世性的,不是对任何产品和服务都进行审查,只是针对关系国家安全和国计民生的产品和服务进行审查。
有关专家指出,国家网络空间治理现代化的实质是一场制度革命。其中,网络安全审查制度占有极其重要的地位。纵观世界,网络安全审查早已是国际潮流和通行做法,美英俄印等大国早已出台相关规定与办法。
征求意见稿第六条规定:网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。对此,四川大学网络空间安全研究院特聘副研究员洪延青告诉媒体,网络安全审查工作的组织和领导工作,由网络安全审查委员会承担,该委员会由国家网信办会同有关部门成立。委员会下设网络安全审查办公室。此外,委员会还组建网络安全审查专家委员会。网络安全审查委员会、办公室、专家委员会一道,构成了网络安全审查工作的顶层制度设计。
左晓栋认为,网络安全审查委员会将是网络安全审查的领导机构,是一个跨部门的委员会。由于网络安全审查涉及多个行业和多个部门,需要一个跨部门委员会在日常工作中起到协调和统筹的工作。这是网络安全审查工作中的一个关键设计。
针对网络安全审查内容的问题,征求意见稿中列出了五方面内容,主要包括:(一)产品和服务被非法控制、干扰和中断运行的风险;(二)产品及关键部件研发、交付、技术支持过程中的风险;(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;(四)产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;(五)其他可能危害国家安全和公共利益的风险。此次意见稿明确“重点审查网络产品和服务的安全性、可控性”。
专家指出,传统的安全测评更多是关注产品本身的安全性。而网络安全审查和以前的产品测评是不冲突的,重点关注产品的安全性可控性,重点检查其有没有利用提供产品的便利,从事危害用户利益的可能性。这些范围归根到底都是围绕产品的“安全和可控”。
针对具体的审查程序与办法,征求意见稿也提出明确要求,其中第八条指出:根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等,网络安全审查办公室组织第三方机构、专家对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果。
在启动审查阶段,意见稿规定了企业申请、主管机关和部门依职权申请、全国性行业协会建议、市场普遍反映等多种形式。
本文转自d1net(转载)