所在位置:大陸新聞 > 時政

黨政部門禁購未過審網絡産品 擬成立審查委員會

  自中國宣佈將實施網絡安全審查制度以來,國內外對此一直高度關注。昨日,國家互聯網信息辦公室在其官網公開《網絡産品和服務安全審查辦法(徵求意見稿)》(以下簡稱意見稿),明確將成立網絡安全審查委員會,負責審議網絡安全審查的重要政策,統一組織網絡安全審查工作。專家表示,網絡安全審查不是常態性的,法律明確的是“可能影響國家安全的,關鍵信息基礎設施運營者採購的網絡産品和服務”。

  關係國家安全的應通過安全審查

  2014年5月,國家互聯網信息辦公室宣佈,為維護國家網絡安全、保障中國用戶合法利益,中國將推出網絡安全審查制度。

  去年11月7日,第十二屆全國人大常委會第二十四次會議表決通過《網絡安全法》。該法明確,關鍵信息基礎設施的運營者採購網絡産品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。

  此次公佈的意見稿明確,關係國家安全和公共利益的信息系統使用的重要網絡産品和服務,應當經過網絡安全審查。並提出國家互聯網信息辦公室會同有關部門成立網絡安全審查委員會,負責審議網絡安全審查的重要政策,統一組織網絡安全審查工作,協調網絡安全審查相關重要問題。

  黨政部門不得採購未過審網絡産品

  此外,意見稿要求,黨政部門及重點行業優先採購通過審查的網絡産品和服務,不得採購審查未通過的網絡産品和服務。

  金融、電信、能源等重點行業主管部門,根據國家網絡安全審查工作要求,組織開展本行業、本領域網絡産品和服務安全審查工作。

  對於關鍵信息基礎設施運營者採購的網絡産品和服務可能影響國家安全的,意見稿要求,應當經過網絡安全審查。關鍵信息基礎設施運營者採購的網絡産品和服務是否影響國家安全,由關鍵信息基礎設施保護工作部門確定。

  安全審查非常態性、普世性

  中國信息安全研究院副院長左曉棟表示,網絡安全審查不是常態性的,法律明確的是“關鍵信息基礎設施的運營者採購網絡産品和服務,並且可能影響國家安全的”。這意味著不是天天去審查,也不是對什麼都要審查,更不是要去取代日常的産品安全測評。

  此前,國家網信辦網絡安全協調局局長趙澤良也曾表示,網絡安全審查不是普世性的,不是對任何産品和服務都進行審查,只是針對關係國家安全和國計民生的産品和服務進行審查。

  ■ 焦點

  1 誰來審查?

  成立跨部門的審查委員會

  第五條 國家互聯網信息辦公室會同有關部門成立網絡安全審查委員會,負責審議網絡安全審查的重要政策,統一組織網絡安全審查工作,協調網絡安全審查相關重要問題。

  網絡安全審查辦公室具體組織實施網絡安全審查。

  第六條 網絡安全審查委員會聘請相關專家組成網絡安全審查專家委員會,在第三方評價基礎上,對網絡産品和服務的安全風險及其提供者的安全可信狀況進行綜合評估。

  四川大學網絡空間安全研究院特聘副研究員洪延青表示,網絡安全審查工作的組織和領導工作,由網絡安全審查委員會承擔,該委員會由國家網信辦會同有關部門成立。委員會下設網絡安全審查辦公室。此外,委員會還組建網絡安全審查專家委員會。網絡安全審查委員會、辦公室、專家委員會一道,構成了網絡安全審查工作的頂層制度設計。

  中國信息安全研究院副院長左曉棟對記者表示,網絡安全審查制度是在開放環境中維護國家網絡安全的重要手段。現階段我國還沒突破核心技術,受制於人的局面要長期存在。我們要使用來自國外優秀的産品和服務,就必須確保其安全。

  左曉棟認為,網絡安全審查委員會將是網絡安全審查的領導機構,是一個跨部門的委員會。由於網絡安全審查涉及多個行業和多個部門,需要一個跨部門委員會在日常工作中起到協調和統籌的工作。這是網絡安全審查工作中的一個關鍵設計。

  2 審查什麼?

  重點審查“安全性、可控性”

  第二條 關係國家安全和公共利益的信息系統使用的重要網絡産品和服務,應當經過網絡安全審查。

  第四條 重點審查網絡産品和服務的安全性、可控性,主要包括:

  (一)産品和服務被非法控制、干擾和中斷運行的風險;

  (二)産品及關鍵部件研發、交付、技術支持過程中的風險;

  (三)産品和服務提供者利用提供産品和服務的便利條件非法收集、存儲、處理、利用用戶相關信息的風險;

  (四)産品和服務提供者利用用戶對産品和服務的依賴,實施不正當競爭或損害用戶利益的風險;

  (五)其他可能危害國家安全和公共利益的風險。

  此次意見稿明確“重點審查網絡産品和服務的安全性、可控性”。

  洪延青表示,意見稿第4條列舉了審查重點關注的四種風險:穩定性方面(被非法控制、干擾和中斷運行的風險)、供應鏈安全方面(研發、交付、技術支持過程中的風險)、用戶自主支配其信息方面(利用提供産品和服務的便利條件非法收集、存儲、處理、利用用戶相關信息的風險)、用戶保持獨立自主方面(利用用戶對産品和服務的依賴,實施不正當競爭或損害用戶利益的風險)。

  洪延青認為,網絡安全審查並非審查、評估産品和服務的業務性能,而是其在輸出功能的過程中(也就是規定動作),會不會擅自採取一些自選動作,以及有沒有可能被非法篡改、干擾、中斷等。

  他説,用更通俗的話來説,影響或可能影響國家安全的産品和服務必須絕對“忠於用戶”,至於産品和服務本身的功能、性能有多大或夠不夠用,不是安全審查的重點。

  左曉棟表示,傳統的安全測評更多是關注産品本身的安全性。而網絡安全審查和以前的産品測評是不衝突的,重點關注産品的安全性可控性,重點檢查其有沒有利用提供産品的便利,從事危害用戶利益的可能性。這些範圍歸根到底都是圍繞産品的“安全和可控”。

  3 怎麼審查?

  兩道審查為決策提供支撐

  第七條 國家統一認定網絡安全審查第三方機構,承擔網絡安全審查中的第三方評價工作。

  第八條 根據國家有關部門要求、全國性行業協會建議、市場反映和企業申請等,網絡安全審查辦公室組織第三方機構、專家對網絡産品和服務進行網絡安全審查,併發布或在一定範圍內通報審查結果。

  網絡安全審查制度如何實施?意見稿也給出了具體的路徑。

  洪延青表示,在啟動審查階段,意見稿規定了企業申請、主管機關和部門依職權申請、全國性行業協會建議、市場普遍反映等多種形式。

  他表示,在審查過程中,獨立的第三方機構形成第三方評價,專家在第三方評價的基礎上提出綜合評估後,上報網絡安全審查委員會,形成最終的審查結論。審查結論經由國家網信辦認可後,由網絡安全審查辦公室發佈或通報。

  意見稿中還明確,金融、電信、能源等重點行業主管部門,根據國家網絡安全審查工作要求,組織開展本行業、本領域網絡産品和服務安全審查工作。

  左曉棟表示,不管是誰組織的審查,最終需要第三方機構進行技術測評。在現在的制度設計中,所有的第三方機構都要網絡安全審查委員會認定。此外,第三方評價的結果只是一個重要的技術參考,獨立專家委員會在此基礎上再次進行技術研判。在兩道技術上的審查後,評價再提交給國家管理部門。(記者 李丹丹)

關鍵詞: