独家:网络产品和服务安全审查办法专家解读

2月4日,国家网信办发布《网络产品和服务安全审查办法(征求意见稿)》(以下简称《办法》),对网络产品与服务提出了具体的安全审查意见。《办法》作为第一部国家层面的安全审查规则,对为什么审查、如何审查以及谁来审查提出了明确的意见。

事实上,自2014年2月中央网信办成立后,国家在网络安全领域的顶层设计引人注目。其中,2016年8月,中央网信办、质检总局、国家标准委联合制定的《关于加强国家网络安全标准化工作的若干意见》发布;同年11月7日,人大常委会表决通过《网络安全法》,并将于今年6月1日实施;年末的12月27日,国家互联网信息办公室发布了《国家网络空间安全战略》。可以看到,网络安全的顶层设计渐趋完善。

那么,作为中国首部网络产品与服务的安全审查办法,它与以上提到的顶层设计有何延续性?不同点在哪里?如何理解其边界?重点又是什么?针对这些问题,DOIT传媒采访了中国网络安全产业联盟战略与政策委员会副主任李刚,请其对《办法》进行了全面解读。

李刚0

Q:从顶层设计与政策角度,2月4日的《网络产品和服务安全审查办法(征求意见稿)》是政策的延续,那么如何正确理解其定位?特别是,审查办法是《网络安全法》的某个执行细则吗?

A:我觉得,可以从以下三个维度来理解《办法》的定位:

一是国家高度定位。《办法》从组织架构和执行定位来看,无疑是国家层面主导、国家统一组织、适用于全国范围的一个针对网络产品和服务安全保障的重要的执行纲领性文件和指南。

二是目的内容定位。《办法》目标性定位很明确,首先是制定办法的原因明确,《办法》指出“为提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益”;其次是《办法》制定的法律依据很明确,依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》制定了本《办法》;再次是审查对象和审查内容非常明确,对象是“关系国家安全和公共利益的信息系统使用的重要网络产品和服务”,内容是产品和服务的“安全性、可控性”;最后是组织架构和相关执行线路明确,例如《办法》明确执行部门为“国家互联网信息办公室会同有关部门成立网络安全审查委员会”。

三是纲要文件定位。对《办法》另外一个定位维度解读,就是该《办法》是纲领文件,而不是执行细则,所以,对某些内容,后续还需要很多的规则内容细化,还需要一段时间去合理化制定及完善一些规则定义、执行细则,以及组织机构的组建等。

针对第二个问题,显然提法不够准确。应该说,《网络安全法》作为我国网络安全大领域的根本性大法,其包含了全部网络安全的各项规则规定和内容,网络安全审查仅仅是其很小的一个方面。所以说,准确的理解应该是,《网络安全法》是本《办法》制定的法律依据。

Q:“网络产品与服务”主要指什么?如何确定边界?

A:《办法》第二条,已经明确指出了“关系国家安全和公共利益的信息系统使用的重要网络产品和服务”。那么从两个方面,可以正确理解这个含义的界定。

一是抓住两个关键词,我们就能正确理解基本概念和确定边界。两个关键词是“信息系统”和“重要”,即不是所有的信息系统,而是关系到国家安全和公共利益的信息系统;在这些信息系统上,不是所有的网络产品和服务,而是“重要”的网络产品和服务。

二是具体产品明细。正如前面对《办法》定位的理解,这是一个纲领性规定和指导性文件,因此,还需要执行细化的内容,包括具体信息系统、产品和服务列表等。

我相信两点,一是该列表肯定会随着《办法》执行推进而明确推出,就像政府采购的产品目录一样;二是该列表将是一个动态变化的列表,因为正如问题所说,新科技网络产品的不断推陈出新和变化,该列表也将是与时俱进地动态变化。

Q:在此之前,党政部门有没有相关的网络产品与服务的安全审查?在金融、电信、能源等行业呢?

A:准确地说,党政部门此前没有专门专业的针对网络产品和服务的安全审查,但是,其在构建信息系统或采购信息产品的过程中,按照之前既有的相关法规和文件要求,其采用的某些方式方法,其实也达到一定的安全审查效果和作用。例如,国家规定了十大重要行业基础信息系统,那么他们在构建信息系统或采购产品时,按照要求和需要,会邀请国家级安全测评机构,对其系统和产品进行漏洞测试、风险评估等手段。

对于以前的网络产品与服务来讲,由于没有专门专业的国家统一的安全审查制度和标准,其采购标准主要还是两个层面,一是国家既有的质量标准、销售许可证、企业资质等;二是行业或企业自己规定的相关功能需求和安全要求等标准,某些行业还有自己的安全评测机构,来进行相应的招标要求和审核评测。

应该说,之前行业或企业自行的办法和标准,与本次《办法》没有执行或逻辑上的必然联系,但是对于某些网络产品与服务的安全审查手段、技术和标准等,从科学的角度,正确的方法内容,肯定是一样的。

Q:《办法》提出“坚持企业承诺与社会监督相结合,第三方评价与政府监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其提供者进行网络安全审查”,如何正确理解?

A:重点是“结合”这个关键词。既然是结合,就说明前者和后者同样重要,不可偏废。其原因,我认为这反映了《办法》或者《办法》的制订部门,在三个方向上的正确性。

一是全面合理。网络科技,日新月异,网络空间的治理,是当今时代的一个既新又难的大命题,尤其网络安全问题,更是重中之重,也是难上加难。那么,不可能一把快刀,斩断乱麻,解决问题。所以,更加全面的手段,各方力量的结合,综合评估,才是合理的方法。

二是科学正确。《办法》列出来的这些方法,都不是完全创新,而是分别在之前的行业应用中,经过验证,行之有效的方法,那么,《办法》综合了当前最为行之有效的方法,让它们综合发挥作用,这就是一定要走科学发展的道路。

三是公正法治。虽然《办法》是事关国家安全的文件,但是,从审查方法以及全文来看,我们发现,《办法》并不是一味强调政府权威,而是强调政府监管只是审查方法的其中一部分,充分反映了《办法》完全遵循了当前我国政府提倡的依法治国、简政放权等“小政府,大社会”的执政思路。

Q:《办法》第四条提出“重点审查网络产品和服务的安全性、可控性”,怎么理解?

A:第四条主要提出了四点意见,前三点,是最基本的网络安全威胁,这是最基本的、必须要保障的用户权益。而第四点,它虽然可能不是直接的网络安全威胁,但它会成为在网络空间违反《国家反垄断法》的根源,同时,有可能造成进一步的,对于用户信息系统和现实利益的威胁和损害。

Q:如何界定安全审查与网络产品性能或功能的区别?由于网络产品与数据安全、信息安全的融合,这种审查在技术层面面临一定的挑战?

A:首先,网络安全审查,重点是审查网络产品与服务的安全性、可控性。这一点来讲,与网络产品本身的性能或功能没有关系。换句话说,安全审查不管你性能是否优良,也不管你是实现什么样的功能。

当然,我个人认为,由于网络空间的日新月异,网络科技的高速发展,毫无疑问,作为全新的机制,网络安全审查不仅在技术层面,在执行层面,在各个环节落实层面,都会面临一定的新难题、新挑战。但是,作为世界主要大国都已经在实施的政策,作为事关网络时代国家安全的重要举措,不管有任何难题,网络安全审查都势在必行,必须推进。

Q:“国家统一认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作”,您认为,这个第三方机构将如何组成?如何工作?如何确保可控、透明、可信?

A:目前来说,没有确切的第三方机构的具体组成信息。但是毫无疑问,不管怎么组成,确保可控、可信和公正,一定是第三方机构的基本属性和必须属性。

我个人感觉,未来第三方机构,一定要满足三大可信,一是主体可信,该机构主体应该具备普遍公信力,不能是“既当运动员,又当裁判员”等等;二是资质可信,该机构要有国家认可的资质和技术水平,否则你凭什么给别人测评;三是机制可信,测评的流程、机制和标准,首先要按照国家规定,同时作为机构本身,也应当实现机制流程的可控、透明和公正。

Q:《办法》对网络、安全产业的影响有哪些?

A:个人认为,有三大影响:

一是安全意识提升。《办法》推出后,对于广大网络产品与服务提供商来说,通过法规撬动市场的杠杆,让他们会更加关注对自身产品与服务的安全性考虑,和对用户网络安全保障的服务力度;而不是像以前,主要关心产品性能、功能、模式和便捷,而对产品安全和产品使用导致用户的隐患,不够重视。那么,只要全体网络产品企业,都重视网络安全(而不是仅仅网络安全厂商跟在后面“擦屁股”)的话,毫无疑问,我们国家整体网络空间安全和清朗的环境指数,将大幅提升。

二是国内产业机遇。对于如何更加贴近中国用户,如何更加对用户有本地化安全服务,如何更加满足《办法》的审查要求,毫无疑问,国内企业会比外企做得更好。以前如果做得好,没有明确评测反映,没有市场杠杆的反馈,而现在如果做得好,国内市场的用户们,可以看得到,国家法规有明确规定,市场自然有反馈。

所以,从这点来说,无论国内的互联网企业、网络产品企业,还是安全企业,都有了更大的机遇,尤其是核心科技领域的国内企业,更需抓住机遇,让“中国造”不仅仅是低级的机箱机壳,而是市场利润更高更多是芯片内核。

三是推动国际融合。《办法》出台,对国内、国际企业一视同仁,政府市场的杠杆,将随着《办法》的推行而移动。那么,不能满足安全标准的外国企业,《办法》将刺激和推动他们去想办法保住,甚至提升在中国这个大市场的份额,无论是按照中国市场要求,弥补自身产品安全缺陷,还是按照中国市场要求创新自身产品安全性能,或是与中国本土企业合作,放低身价,进一步融入中国市场,符合本地化国情……总之,《办法》出台,对于外国网络企业,进一步创新完善,融入中国市场,是一个巨大的推动力。