實施了將近三年的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》(以下簡稱“試行辦法”),正式被《網(wǎng)絡(luò)安全審查辦法》(以下簡稱“審查辦法”)所取代,。從試行到成型,近三年間的實踐和摸索,,最終揚(yáng)棄、濃縮,、升華于新的規(guī)章之中,。本文將著重分析“審查辦法”與“試行辦法”相比的三大新特點,以揭示革新背后的思路和考慮,。
一,、審查目標(biāo)更加具體
無論是“試行辦法”還是“審查辦法”,審查對象均是網(wǎng)絡(luò)產(chǎn)品和服務(wù),,這一點沒有變化,。審查的原因均是采購了特定的網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能因此給網(wǎng)絡(luò)和信息系統(tǒng)帶來“脆弱性”,,這一點也沒有發(fā)生變化,。
發(fā)生變化的是如何看待上述“脆弱性”的標(biāo)尺?!霸囆修k法”第一條提出:安全審查的目標(biāo)是“提高網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可控水平”,,因此審查聚焦于產(chǎn)品和服務(wù)本身的脆弱性。而在“審查辦法”中,,安全審查的目標(biāo)改成了“為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,,維護(hù)國家安全”,將審查著眼于產(chǎn)品和服務(wù)在供應(yīng)鏈安全方面給關(guān)鍵信息基礎(chǔ)設(shè)施帶來的安全風(fēng)險,。
上述變化體現(xiàn)了一種認(rèn)識上的更新,。正如習(xí)近平總書記所說:“網(wǎng)絡(luò)安全是相對的而不是絕對的”,同樣,,產(chǎn)品和服務(wù)的安全性也是相對的,。安不安全,很大程度上是依賴于該產(chǎn)品和服務(wù)的使用主體,、使用目的,、使用方式以及產(chǎn)品供應(yīng)渠道的可靠程度等因素,并不存在衡量安全性的絕對,、恒定的基準(zhǔn),。
有了具體的場景限定,無論是申報網(wǎng)絡(luò)安全審查的運(yùn)營者在準(zhǔn)備相關(guān)材料時,,還是網(wǎng)絡(luò)安全審查辦公室在核驗、測試時,方向更加明確,,也更容易做到有的放矢,。
二、審查重點更加明晰
審查目標(biāo)的變化,,必然帶來審查重點的更新,。在“試行辦法”中,產(chǎn)品和服務(wù)本身的安全是首要的審查內(nèi)容,?!霸囆修k法”第四條前兩款:“產(chǎn)品和服務(wù)自身的安全風(fēng)險,以及被非法控制,、干擾和中斷運(yùn)行的風(fēng)險”指向的是產(chǎn)品和服務(wù)本身內(nèi)在的脆弱性,;“產(chǎn)品及關(guān)鍵部件生產(chǎn)、測試,、交付,、技術(shù)支持過程中的供應(yīng)鏈安全風(fēng)險”是指產(chǎn)品和服務(wù)的脆弱性從何而來。
“試行辦法”第四條的后兩款才是產(chǎn)品和服務(wù)給使用者帶來的脆弱性:“產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件非法收集,、存儲,、處理、使用用戶相關(guān)信息的風(fēng)險”指的是產(chǎn)品和服務(wù)除了“規(guī)定動作”之外,,是否還會偷偷地進(jìn)行“自選動作”,;而“產(chǎn)品和服務(wù)提供者利用用戶對產(chǎn)品和服務(wù)的依賴,損害網(wǎng)絡(luò)安全和用戶利益的風(fēng)險”是指提供者會不會“裹挾”使用者以謀取非法或不當(dāng)利益,。
在“審查辦法”第九條中,,審查重點主要強(qiáng)調(diào)的是產(chǎn)品和服務(wù)“使用后”給關(guān)鍵信息基礎(chǔ)設(shè)施帶來的風(fēng)險:首先是“關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、造成干擾或破壞”,,以及“重要數(shù)據(jù)被竊取,、泄露、損毀”,;其次是“產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害”,。
第九條第三款提到了網(wǎng)絡(luò)產(chǎn)品和服務(wù)本身的安全性,但更偏重產(chǎn)品和服務(wù)的“開放性,、透明性”(即產(chǎn)品和服務(wù)的兼容度和可檢視度),,以及產(chǎn)品和服務(wù)的“來源的多樣性”“供應(yīng)渠道的可靠性”“因為政治、外交,、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險”,。不難看出,該款仍然把重心放在產(chǎn)品和服務(wù)對關(guān)鍵信息基礎(chǔ)設(shè)施的影響,。
三,、采購方的主體責(zé)任得以突出
在“試行辦法”中,,采購特定產(chǎn)品和服務(wù)的主體,無論是“關(guān)系國家安全的網(wǎng)絡(luò)和信息系統(tǒng)”的運(yùn)營者,,還是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者,,其角色相對被動,主要是:申報審查和配合審查,。而且,,對于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者來說,甚至不需要自主判斷所采購的產(chǎn)品和服務(wù)是否影響國家安全,,如“試行辦法”第十條規(guī)定:“產(chǎn)品和服務(wù)是否影響國家安全由關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門確定”,。
在“審查辦法”中,首先,,所適用的申報主體得到統(tǒng)一,,明確為作為采購方的“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”。其次,,采購方主動“預(yù)判產(chǎn)品或服務(wù)可能帶來的國家安全風(fēng)險”并據(jù)此決定是否申報審查,,成為其法定義務(wù)之一。再次,,采購方應(yīng)主動通過法律工作管理自身的供應(yīng)鏈風(fēng)險,,例如第六條所規(guī)定的:“應(yīng)當(dāng)通過采購文件、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查,,包括承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶數(shù)據(jù),、非法控制和操縱用戶設(shè)備,無正當(dāng)理由不中斷產(chǎn)品供應(yīng)或必要的技術(shù)支持服務(wù)等”,。
把上述法定義務(wù)結(jié)合起來看,,可以看到“審查辦法”對采購方的角色定位——既然特定的產(chǎn)品和服務(wù)是采購方自主選擇的,那采購方應(yīng)當(dāng)成為責(zé)任主體(即所謂的權(quán)責(zé)一致原則),,因此采購方應(yīng)當(dāng)在力所能及的范圍內(nèi),,主動管理和降低供應(yīng)鏈安全風(fēng)險;只有當(dāng)對安全風(fēng)險的管控超出采購方的能力范圍,,或安全風(fēng)險的影響面超出采購方本身時,,網(wǎng)絡(luò)安全審查方得介入,用國家力量來對沖特定產(chǎn)品和服務(wù)所帶來的安全風(fēng)險,。
四,、總結(jié)
在筆者看來,以上三方面體現(xiàn)了網(wǎng)絡(luò)安全審查制度演進(jìn)的主線,。除此之外,,“審查辦法”明確了“國家網(wǎng)絡(luò)安全審查工作機(jī)制”的成員單位,進(jìn)一步細(xì)化了審查流程和程序,,以及嚴(yán)格要求參與網(wǎng)絡(luò)安全審查的相關(guān)機(jī)構(gòu)和人員保護(hù)商業(yè)秘密,、知識產(chǎn)權(quán)以及其他未公開信息等,,均是此次變革的亮點?!皩彶檗k法”的生效和實施,,標(biāo)志著我國網(wǎng)絡(luò)安全基本制度的建設(shè)又朝前邁了一大步,維護(hù)國家安全特別是國家網(wǎng)絡(luò)空間安全有了重要的新抓手,。(作者:洪延青,北京理工大學(xué)法學(xué)院研究員)