中國將成立網路安全審查委員會未審產品不得采購

自中國宣佈將實施網路安全審查制度以來，國內外對此一直高度關注。2月4日，國家網際網路資訊辦公室（國家網信辦，即中央網信辦）在其官網公開《網路產品和服務安全審查辦法（徵求意見稿）》（以下簡稱意見稿），明確將成立網路安全審查委員會，負責審議網路安全審查的重要政策，統一組織網路安全審查工作。專家表示，網路安全審查不是常態性的，法律明確的是“可能影響國家安全的,關鍵資訊基礎設施運營者採購的網路產品和服務”。

4日公佈的意見稿開篇明確指出，網路產品和服務的安全性、可控性直接影響使用者利益、關係國家安全。為提高網路產品和服務安全可控水平，防範供應鏈安全風險，維護國家安全和公共利益，依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》，制定本辦法。關係國家安全和公共利益的資訊系統使用的重要網路產品和服務，應當經過網路安全審查。

沒有網路安全就沒有國家安全

有關專家指出，國家網路空間治理現代化的實質是一場制度革命。其中，網路安全審查制度佔有極其重要的地位。縱觀世界，網路安全審查早已是國際潮流和通行做法，美英俄印等大國早已出臺相關規定與辦法。而美國總統川普在上任前也宣佈，由於“網路入侵”對美國國家安全構成“重大威脅”，將就網路安全組建一個由企業家組成的團隊，定期召開會議，向川普介紹網路安全問題和解決方案。

我國的網路安全審查工作機構三年前即已提上議事日程。

2014年2月，中央網路安全和資訊化領導小組成立，在第一次小組會議上，習近平即提出“沒有網路安全就沒有國家安全”。

3個月後，國家網際網路資訊辦公室宣佈，為維護國家網路安全、保障中國使用者合法利益，中國將推出網路安全審查制度。據當時國信辦負責人介紹，網路安全審查制度審查的物件為進入中國市場的重要資訊科技產品及其提供者，審查的標準為是否關係國家安全和公共利益，審查重點在於上述產品的安全性和可控性，並不針對個人資訊。

之後在6月1日，國家網信辦網路安全協調局局長趙澤良在2014年“網路安全周”啟動儀式上就表示，網路安全審查未來或有工作機構。趙澤良說，中央網信辦成立後，在網路安全上著力頗多：加快了國家網路安全戰略的起草；相關部門正在加強網路安全立法工作；一如既往地推動網路安全檢查工作，對政府部門、黨政機關開展審查。

2016年4月19日，中共中央總書記、國家主席、中央軍委主席、中央網路安全和資訊化領導小組組長習近平在網信座談會上強調：構建關鍵資訊基礎設施安全保障體系。

關係國家安全的應通過安全審查

2016年8月，中央有關部門已提出加快網路安全審查等領域標準制定工作。中央網信辦、質檢總局、國家標準委聯合制定的《關於加強國家網路安全標準化工作的若干意見》當時在中央網信辦釋出。其中就提出要“推進急需重點標準制定”，加快開展關鍵資訊基礎設施保護、網路安全審查、網路空間可信身份等領域的標準研究和制定工作。

去年11月7日，第十二屆全國人大常委會第二十四次會議表決通過《網路安全法》。該法明確，關鍵資訊基礎設施的運營者採購網路產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。

2月4日公佈的意見稿明確，關係國家安全和公共利益的資訊系統使用的重要網路產品和服務，應當經過網路安全審查。並提出國家網際網路資訊辦公室會同有關部門成立網路安全審查委員會，負責審議網路安全審查的重要政策，統一組織網路安全審查工作，協調網路安全審查相關重要問題。

黨政部門不得采購未過審網路產品

此外，意見稿要求，黨政部門及重點行業優先採購通過審查的網路產品和服務，不得采購審查未通過的網路產品和服務。

金融、電信、能源等重點行業主管部門，根據國家網路安全審查工作要求，組織開展本行業、本領域網路產品和服務安全審查工作。

對於關鍵資訊基礎設施運營者採購的網路產品和服務可能影響國家安全的，意見稿要求，應當經過網路安全審查。關鍵資訊基礎設施運營者採購的網路產品和服務是否影響國家安全，由關鍵資訊基礎設施保護工作部門確定。

安全審查非常態性、普世性

中國資訊保安研究院副院長左曉棟表示，網路安全審查不是常態性的，法律明確的是“關鍵資訊基礎設施的運營者採購網路產品和服務，並且可能影響國家安全的”。這意味著不是天天去審查，也不是對什麼都要審查，更不是要去取代日常的產品安全測評。

此前，國家網信辦網路安全協調局局長趙澤良也曾表示，網路安全審查不是普世性的，不是對任何產品和服務都進行審查，只是針對關係國家安全和國計民生的產品和服務進行審查。

■焦點

1誰來審查？

成立跨部門的審查委員會

第五條國家網際網路資訊辦公室會同有關部門成立網路安全審查委員會，負責審議網路安全審查的重要政策，統一組織網路安全審查工作，協調網路安全審查相關重要問題。

網路安全審查辦公室具體組織實施網路安全審查。

第六條網路安全審查委員會聘請相關專家組成網路安全審查專家委員會，在第三方評價基礎上，對網路產品和服務的安全風險及其提供者的安全可信狀況進行綜合評估。

四川大學網路空間安全研究院特聘副研究員洪延青表示，網路安全審查工作的組織和領導工作，由網路安全審查委員會承擔，該委員會由國家網信辦會同有關部門成立。委員會下設網路安全審查辦公室。此外，委員會還組建網路安全審查專家委員會。網路安全審查委員會、辦公室、專家委員會一道，構成了網路安全審查工作的頂層制度設計。

中國資訊保安研究院副院長左曉棟對記者表示，網路安全審查制度是在開放環境中維護國家網路安全的重要手段。現階段我國還沒突破核心技術，受制於人的局面要長期存在。我們要使用來自國外優秀的產品和服務，就必須確保其安全。

左曉棟認為，網路安全審查委員會將是網路安全審查的領導機構，是一個跨部門的委員會。由於網路安全審查涉及多個行業和多個部門，需要一個跨部門委員會在日常工作中起到協調和統籌的工作。這是網路安全審查工作中的一個關鍵設計。

2審查什麼？

重點審查“安全性、可控性”

第二條關係國家安全和公共利益的資訊系統使用的重要網路產品和服務，應當經過網路安全審查。

第四條重點審查網路產品和服務的安全性、可控性，主要包括：

（一）產品和服務被非法控制、干擾和中斷執行的風險；

（二）產品及關鍵部件研發、交付、技術支援過程中的風險；

（三）產品和服務提供者利用提供產品和服務的便利條件非法收集、儲存、處理、利用使用者相關資訊的風險；

（四）產品和服務提供者利用使用者對產品和服務的依賴，實施不正當競爭或損害使用者利益的風險；

（五）其他可能危害國家安全和公共利益的風險。

此次意見稿明確“重點審查網路產品和服務的安全性、可控性”。

洪延青表示，意見稿第4條列舉了審查重點關注的四種風險：穩定性方面（被非法控制、干擾和中斷執行的風險）、供應鏈安全方面（研發、交付、技術支援過程中的風險）、使用者自主支配其資訊方面（利用提供產品和服務的便利條件非法收集、儲存、處理、利用使用者相關資訊的風險）、使用者保持獨立自主方面（利用使用者對產品和服務的依賴，實施不正當競爭或損害使用者利益的風險）。

洪延青認為，網路安全審查並非審查、評估產品和服務的業務效能，而是其在輸出功能的過程中（也就是規定動作），會不會擅自採取一些自選動作，以及有沒有可能被非法篡改、干擾、中斷等。

他說，用更通俗的話來說，影響或可能影響國家安全的產品和服務必須絕對“忠於使用者”，至於產品和服務本身的功能、效能有多大或夠不夠用，不是安全審查的重點。

左曉棟表示，傳統的安全測評更多是關注產品本身的安全性。而網路安全審查和以前的產品測評是不衝突的，重點關注產品的安全性可控性，重點檢查其有沒有利用提供產品的便利，從事危害使用者利益的可能性。這些範圍歸根到底都是圍繞產品的“安全和可控”。

3怎麼審查？

兩道審查為決策提供支撐

第七條國家統一認定網路安全審查第三方機構，承擔網路安全審查中的第三方評價工作。

第八條根據國家有關部門要求、全國性行業協會建議、市場反映和企業申請等，網路安全審查辦公室組織第三方機構、專家對網路產品和服務進行網路安全審查，併發布或在一定範圍內通報審查結果。

網路安全審查制度如何實施？意見稿也給出了具體的路徑。

洪延青表示，在啟動審查階段，意見稿規定了企業申請、主管機關和部門依職權申請、全國性行業協會建議、市場普遍反映等多種形式。

他表示，在審查過程中，獨立的第三方機構形成第三方評價，專家在第三方評價的基礎上提出綜合評估後，上報網路安全審查委員會，形成最終的審查結論。審查結論經由國家網信辦認可後，由網路安全審查辦公室釋出或通報。

意見稿中還明確，金融、電信、能源等重點行業主管部門，根據國家網路安全審查工作要求，組織開展本行業、本領域網路產品和服務安全審查工作。

左曉棟表示，不管是誰組織的審查，最終需要第三方機構進行技術測評。在現在的制度設計中，所有的第三方機構都要網路安全審查委員會認定。此外，第三方評價的結果只是一個重要的技術參考，獨立專家委員會在此基礎上再次進行技術研判。在兩道技術上的審查後，評價再提交給國家管理部門。

翻頁請看徵求意見稿全文：

國家網際網路資訊辦公室關於《網路產品和服務安全審查辦法（徵求意見稿）》公開徵求意見的通知

為提高網路產品和服務安全可控水平，防範供應鏈安全風險，維護國家安全和公共利益，依據《中華人民共和國網路安全法》，我辦起草了《網路產品和服務安全審查辦法（徵求意見稿）》，現向社會公開徵求意見。有關單位和各界人士可以在2017年3月4日前，通過以下方式提出意見：

一、通過信函方式將意見寄至：北京市東城區朝陽門內大街225號國家網際網路資訊辦公室網路安全協調局，郵編：100010，並在信封上註明“徵求意見”。

二、通過電子郵件方式傳送至：zhangheng@cac.gov.cn。

附件：網路產品和服務安全審查辦法（徵求意見稿）

國家網際網路資訊辦公室

2017年2月4日

附件

網路產品和服務安全審查辦法

（徵求意見稿）

第一條網路產品和服務的安全性、可控性直接影響使用者利益、關係國家安全。為提高網路產品和服務安全可控水平，防範供應鏈安全風險，維護國家安全和公共利益，依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》，制定本辦法。

第二條關係國家安全和公共利益的資訊系統使用的重要網路產品和服務，應當經過網路安全審查。

第三條堅持企業承諾與社會監督相結合，第三方評價與政府監管相結合，實驗室檢測、現場檢查、線上監測、背景調查相結合，對網路產品和服務及其提供者進行網路安全審查。

第四條重點審查網路產品和服務的安全性、可控性，主要包括：

（一）產品和服務被非法控制、干擾和中斷執行的風險；

（二）產品及關鍵部件研發、交付、技術支援過程中的風險；

（三）產品和服務提供者利用提供產品和服務的便利條件非法收集、儲存、處理、利用使用者相關資訊的風險；

（四）產品和服務提供者利用使用者對產品和服務的依賴，實施不正當競爭或損害使用者利益的風險；

（五）其他可能危害國家安全和公共利益的風險。

第五條國家網際網路資訊辦公室會同有關部門成立網路安全審查委員會，負責審議網路安全審查的重要政策，統一組織網路安全審查工作，協調網路安全審查相關重要問題。

網路安全審查辦公室具體組織實施網路安全審查。

第六條網路安全審查委員會聘請相關專家組成網路安全審查專家委員會，在第三方評價基礎上，對網路產品和服務的安全風險及其提供者的安全可信狀況進行綜合評估。

第七條國家統一認定網路安全審查第三方機構，承擔網路安全審查中的第三方評價工作。

第八條根據國家有關部門要求、全國性行業協會建議、市場反映和企業申請等，網路安全審查辦公室組織第三方機構、專家對網路產品和服務進行網路安全審查，併發布或在一定範圍內通報審查結果。

第九條金融、電信、能源等重點行業主管部門，根據國家網路安全審查工作要求，組織開展本行業、本領域網路產品和服務安全審查工作。

第十條黨政部門及重點行業優先採購通過審查的網路產品和服務，不得采購審查未通過的網路產品和服務。

第十一條關鍵資訊基礎設施運營者採購的網路產品和服務，可能影響國家安全的，應當經過網路安全審查。

關鍵資訊基礎設施運營者採購的網路產品和服務是否影響國家安全，由關鍵資訊基礎設施保護工作部門確定。

第十二條承擔網路安全審查的第三方機構，應堅持客觀、公正、公平的原則，參照有關標準，重點從可控性、透明性、可信性等方面，對網路產品和服務及提供者進行評價，並對評價結果負責。

第十三條網路產品和服務提供者應對網路安全審查工作予以配合。

第三方機構等相關單位和人員對審查工作中獲悉的資訊等承擔安全保密義務，不得用於網路安全審查以外的目的。

第十四條網路安全審查辦公室不定期釋出對網路產品和服務提供者的安全評估報告。

第十五條本辦法由國家網際網路資訊辦公室負責解釋。

第十六條本辦法自2017年月日起實施。

本文出處：暢享網
本文來自雲棲社群合作伙伴暢享網，瞭解相關資訊可以關注vsharing.com網站。