自2020年6月1日起,《網路安全審查辦法》(以下簡稱《辦法》)正式施行。從法律效力上看,《辦法》是部門規章,是從屬於《網路安全法》的下位法,與其他相關法規制度共同服務於構建網路安全保障體系。
(一) 背景簡述:“卡脖子”之痛
《辦法》的釋出實施,從背景來看最主要就是解決國家關鍵資訊基礎設施供應鏈安全的需求和痛點。多年前,有學者用“玻璃龍”來形容我國的網路設施的狀況,現在來看仍然部分適用。受限於我國電子資訊和軟體產業發展起步晚等現實條件,我國資訊基礎設施建設長久以來存在基礎供應保障不足、網路和資訊保安潛在風險隱患大等突出問題,而這些問題更加突出的集中體現到關鍵資訊基礎設施上,安全亟待全面加強。關鍵資訊基礎設施安全風險歸納來看,主要有三類,即:系統完整性風險、業務連續性風險、供應可持續性風險。
系統完整性風險,主要是指關鍵資訊基礎設施被非法控制、遭受干擾或破壞,以及重要資料的完整性風險;
業務連續性風險,主要是指因突發事件、不當競爭、國際因素等而發生的業務系統執行和服務中斷的風險;
供應可持續性風險,主要是指關鍵資訊基礎設施所賴以執行的關鍵技術產品和服務受多種因素影響而發生的斷供風險。
這三類風險不能代表全部的風險,但卻是我國關鍵資訊基礎設施正常執行的“卡脖子”問題。因此亟待出臺專門法規,透過管理提升與約束,加以預防、直至消除風險。
(二) 內容的演進:六大變化透視四個趨勢
《辦法》的前身是《網路產品和服務安全審查辦法(試行)》(以下簡稱《試行辦法》)。《試行辦法》自2017年6月1日起實施,截至新法生效剛好滿三年。儘管名稱有所不同,但兩部規章立足點均為加強對採購網路產品和服務行為的監管。
從具體內容來看,區別主要如下表所示:
從這六個方面具體內容的變化,我們可以看出網路安全審查工作關注點的變化和趨勢,以下概括為“四個注重”。
一是注重審查物件的聚焦。從以前的“關係國家安全的網路和資訊系統採購的重要網路產品和服務”,聚焦到“關鍵資訊基礎設施運營者採購網路產品和服務,影響或可能影響國家安全的”。對於採購行為主體的限定,很大程度上反映了管理者突出和強化安全防護重點的思路,即:適度安全。這一思路也可以理解為習總書記“整體國家安全觀”中,關於安全和發展關係理論在網路安全審查工作中的具體體現。透過網路安全審查工作,在加強供應鏈安全管理的同時,更加註重效率的提升,注重以安全促發展,與《辦法》所秉承的“促進先進技術應用”等原則一脈相承。
二是注重審查工作權威性。這一點從審查主體的演變上反映的較為明顯。《試行辦法》施行期間由網路安全審查委員會及其辦公室具體組織網路安全審查,《辦法》釋出後,審查主體仍為網路安全審查委員會及其辦公室,但管理體系更加明確,即:“中央網信委統一領導網路安全審查工作,由國家網路安全審查辦公室會同11個國務院組成部門和直屬機構共同建立網路安全審查工作機制”。可見,在審查管理體系更加完善的同時,網路安全審查工作的重要性也得到空前凸顯,定位於黨和國家為強化網路安全保障體系而開展的一項具有重大戰略工作。
三是注重審查工作可操作性。這集中反映在審查方式的變化上。將網路安全審查的具體組織工作授權中國網路安全審查技術與認證中心來實施,體現了“專業的人做專業的事”這一分工思想。一方面,可以將國家相關職能部門從巨大的工作量中解脫出來,更專注於政策、標準和規劃等宏觀管理工作;另一方面,也能夠加快推進網路安全審查工作的專業化、規範化程式,進而提高我國網路安全審查工作的水平和能力。
四是注重審查工作的實效。這一特點和趨勢可以從網路安全發展的實際需求以及時代背景的演變兩個角度來分析。《辦法》在網路安全審查結果的運用方面,有一個較為明顯的變化,即審查結果的釋出範圍更加限定在特定範圍,更加註重審查結果與審查物件的相關性。換句話說,就是審查結果不再是“通報”而是“通知”。一字之差,其背後反映了我們的網路安全審查管理思路兼顧了國際、國內兩大背景。從國內來看就是解決現實的網路安全風險,直接“對症下藥”,而不是僅停留在技術宣示層面;從國際來看,強化自身關鍵資訊基礎設施的安全是各主權國家通行的做法,我們無需、也沒有必要刻意回應某些國家的旁敲側擊,“發展才是硬道理”。
(三) 主要內容回顧:五個重點+二類流程
《辦法》對於網路安全審查工作的重點內容和主要流程做出了相比之前更加明晰具體的規定。在此僅從審查物件、審查重點和審查流程三個方面作簡要回顧。
一是審查物件。《辦法》第二條明確規定了“關鍵資訊基礎設施運營者採購網路產品和服務,影響或可能影響國家安全的,應當按照本辦法進行網路安全審查”。 即,審查物件是“採購網路產品和服務”的行為,而這一行為需加以嚴格限定,即主體是“關鍵資訊基礎設施運營者”,條件是“影響或可能影響國家安全”。
二是審查重點。《辦法》第九條明確規定了五個方面的審查重點(具體內容見下圖)。可以歸納為“四性”,即關鍵資訊基礎設施系統完整性、關鍵資訊基礎設施業務連續性、關鍵資訊基礎設施供應可持續性、關鍵資訊基礎設施供應者守法合規性。
(圖片來自網路)
三是審查程式。《辦法》第六條至第十五條,按照啟動程式主體的不同,規定了網路安全審查的兩類程式。這種審查程式的設計,充分考慮了網路安全審查中不同安全發現機制的差異,並透過設定特別程式機制,對網路安全審查的審慎性給出了制度保障。具體流程如下圖所示。
(圖片來自網路)
(四) 影響分析:企業當自強
《辦法》的生效實施,將對我們當前社會發展的諸多方面產生不同影響。以下從國家、行業、企業三個層面加以分析。
國家層面。《辦法》的釋出實施,在國家層面將產生兩個方面的積極影響。
一是為我們信守的網際網路發展“四項原則”、“五點主張”增加有力註腳、注入新的活力。《辦法》規定了要審查的內容,從具體內容中可以明確看出,網路安全審查的目的是維護國家網路安全,而不是要限制或歧視國外產品和服務,這是對某些強權國家長久以來詆譭能事的有力回擊。
二是為加強和健全我國網路安全保障體系添磚加瓦,《辦法》的出臺將彌補我國在關鍵資訊基礎設施供應鏈安全方面的短板,並勢將成為構築網信供應鏈安全體系的重要基石。
行業層面。從網信行業的整體層面來看,《辦法》最大的影響就是如何貫徹實施,要首先搞清兩個合規前提。
一是要搞清作為需求側的“關鍵資訊基礎設施”的範圍。從目前的相關法規和規定來看,對關鍵資訊基礎設施範圍規定最明確的是《關於鍵資訊基礎設施安全保護工作有關事項的通知》(中央網資訊委): “電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等行業領域”。當然,這一範圍將隨著《關鍵資訊基礎設施保護條例》的最終定稿和實施,未來會有更加清晰。
二是要搞清作為供給側的“網路產品和服務”的範疇。《辦法》在第20條規定了“核心網路裝置、高效能運算機和伺服器、大容量儲存裝置、大型資料庫和應用軟體、網路安全裝置、雲端計算服務,以及其他對關鍵資訊基礎設施安全有重要影響的網路產品和服務”,其中的“網路安全裝置”可做廣義的理解,即《網路安全法》第23條所規定的“網路關鍵裝置和網路安全專用產品”。《網路關鍵裝置和網路安全專用產品目錄(第一批)》(2017年6月,國家網信辦會同工信部、公安部、國家認監委釋出)對於產品門類進行了細分:包括路由器、交換機、伺服器(機架式)、PLC裝置4種網路關鍵裝置,以及資料備份一體機、防火牆、入侵檢測系統等11種網路安全專用產品。需要尤其注意的一點就是,納入目錄的產品必須要依據相關強制標準透過安全認證或者安全檢測符合要求後,才可進入市場。
企業層面(供應商)。對於網路產品和服務供應商而言,《辦法》實施帶來的影響是多方面,我們這裡將從合同的簽署週期的角度,歸納為三個方面。一是合同簽署前,《辦法》規定了關鍵資訊基礎設施運營者要“預判”採購的安全風險,就具體的預判工作而言,或許對供應商是個新商機。供應商可以充分發揮自身在安全風險評估方面的能力,促進產品和服務銷售達成,也可以將安全風險評估能力作為獨立的產品服務模組推出。
二是合同簽署過程中,根據國家網信辦在《辦法》答記者問時的答覆,安全審查是否透過,是採購合同生效與否的前置條件。這樣一來,就會對合同的簽署帶來至少兩種可能性:一個是合同簽署前的投入存在歸零風險, 另一個是合同簽署時間遲延可能影響交付義務履行。
三是在合同簽署後的履約階段,《辦法》規定運營者應當督促產品和服務提供者履行網路安全審查中作出的承諾、並規定了網路安全審查辦公室加強事前事中事後監督的職責。由此可以看到,供應商在履約過程中,存在至少來自兩方面的監管:來自關鍵資訊基礎設施運營者的監管、來自主管部門的監管,第一種監管是直接監管,即監管本身就是履行協議內容或者協議的前提條件,第二種監管是間接監管,即是主管部門對運營者監管責任的向下傳遞,這兩種監管都會對供應商帶來切實的影響和風險。
《辦法》的正式生效實施,無疑將成為我國網路安全管理工作的一個新的里程碑,無論是管理者、運營者都會面臨發展變革。在這種背景下,作為最基礎保障支撐力量的網路安全企業,如何藉此契機,在大潮中謀求更大發展,值得我們深入探討和持續研究。