2014年5月�����,國家互聯(lián)網(wǎng)信息辦公室宣布��,為維護國家網(wǎng)絡安全�、保障中國用戶合法利益,中國將推出網(wǎng)絡安全審查制度。
去年11月7日����,第十二屆全國人大常委會第二十四次會議表決通過《網(wǎng)絡安全法》�����。該法明確����,關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務,可能影響國家安全的����,應當通過國家網(wǎng)信部門會同國務院有關部門組織的國家安全審查。
此次公布的意見稿明確,關系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡產(chǎn)品和服務,應當經(jīng)過網(wǎng)絡安全審查��。并提出國家互聯(lián)網(wǎng)信息辦公室會同有關部門成立網(wǎng)絡安全審查委員會�����,負責審議網(wǎng)絡安全審查的重要政策,統(tǒng)一組織網(wǎng)絡安全審查工作,協(xié)調(diào)網(wǎng)絡安全審查相關重要問題��。
黨政部門不得采購未過審網(wǎng)絡產(chǎn)品
此外�����,意見稿要求,黨政部門及重點行業(yè)優(yōu)先采購通過審查的網(wǎng)絡產(chǎn)品和服務��,不得采購審查未通過的網(wǎng)絡產(chǎn)品和服務��。
金融、電信���、能源等重點行業(yè)主管部門�,根據(jù)國家網(wǎng)絡安全審查工作要求,組織開展本行業(yè)����、本領域網(wǎng)絡產(chǎn)品和服務安全審查工作��。
對于關鍵信息基礎設施運營者采購的網(wǎng)絡產(chǎn)品和服務可能影響國家安全的��,意見稿要求��,應當經(jīng)過網(wǎng)絡安全審查���。關鍵信息基礎設施運營者采購的網(wǎng)絡產(chǎn)品和服務是否影響國家安全,由關鍵信息基礎設施保護工作部門確定���。
那么由誰來審查���?
第五條 國家互聯(lián)網(wǎng)信息辦公室會同有關部門成立網(wǎng)絡安全審查委員會,負責審議網(wǎng)絡安全審查的重要政策���,統(tǒng)一組織網(wǎng)絡安全審查工作��,協(xié)調(diào)網(wǎng)絡安全審查相關重要問題�����。
網(wǎng)絡安全審查辦公室具體組織實施網(wǎng)絡安全審查���。
第六條 網(wǎng)絡安全審查委員會聘請相關專家組成網(wǎng)絡安全審查專家委員會,在第三方評價基礎上����,對網(wǎng)絡產(chǎn)品和服務的安全風險及其提供者的安全可信狀況進行綜合評估。
四川大學網(wǎng)絡空間安全研究院特聘副研究員洪延青表示,網(wǎng)絡安全審查工作的組織和領導工作,由網(wǎng)絡安全審查委員會承擔,該委員會由國家網(wǎng)信辦會同有關部門成立�。委員會下設網(wǎng)絡安全審查辦公室。此外,委員會還組建網(wǎng)絡安全審查專家委員會���。網(wǎng)絡安全審查委員會、辦公室�、專家委員會一道��,構成了網(wǎng)絡安全審查工作的頂層制度設計��。
重點審查“安全性����、可控性”
第二條 關系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡產(chǎn)品和服務����,應當經(jīng)過網(wǎng)絡安全審查��。
第四條 重點審查網(wǎng)絡產(chǎn)品和服務的安全性、可控性���,主要包括:
(一)產(chǎn)品和服務被非法控制��、干擾和中斷運行的風險����;
(二)產(chǎn)品及關鍵部件研發(fā)���、交付�、技術支持過程中的風險;
����。ㄈ┊a(chǎn)品和服務提供者利用提供產(chǎn)品和服務的便利條件非法收集、存儲���、處理���、利用用戶相關信息的風險;
�����。ㄋ模┊a(chǎn)品和服務提供者利用用戶對產(chǎn)品和服務的依賴�,實施不正當競爭或損害用戶利益的風險;
�����。ㄎ澹┢渌赡芪:野踩凸怖娴娘L險���。
此次意見稿明確“重點審查網(wǎng)絡產(chǎn)品和服務的安全性���、可控性”���。
怎么審查?
兩道審查為決策提供支撐
第七條 國家統(tǒng)一認定網(wǎng)絡安全審查第三方機構���,承擔網(wǎng)絡安全審查中的第三方評價工作����。
第八條 根據(jù)國家有關部門要求��、全國性行業(yè)協(xié)會建議���、市場反映和企業(yè)申請等,網(wǎng)絡安全審查辦公室組織第三方機構��、專家對網(wǎng)絡產(chǎn)品和服務進行網(wǎng)絡安全審查���,并發(fā)布或在一定范圍內(nèi)通報審查結果���。
網(wǎng)絡安全審查制度如何實施?意見稿也給出了具體的路徑��。洪延青表示���,在審查過程中��,獨立的第三方機構形成第三方評價��,專家在第三方評價的基礎上提出綜合評估后�����,上報網(wǎng)絡安全審查委員會����,形成最終的審查結論。審查結論經(jīng)由國家網(wǎng)信辦認可后�����,由網(wǎng)絡安全審查辦公室發(fā)布或通報���。
意見稿中還明確�,金融��、電信���、能源等重點行業(yè)主管部門�����,根據(jù)國家網(wǎng)絡安全審查工作要求�����,組織開展本行業(yè)���、本領域網(wǎng)絡產(chǎn)品和服務安全審查工作�。
左曉棟表示�,不管是誰組織的審查,最終需要第三方機構進行技術測評��。在現(xiàn)在的制度設計中��,所有的第三方機構都要網(wǎng)絡安全審查委員會認定�����。此外�,第三方評價的結果只是一個重要的技術參考����,獨立專家委員會在此基礎上再次進行技術研判����。在兩道技術上的審查后�,評價再提交給國家管理部門。
