解读 | 我国网络安全审查制度的建立与实践
网络安全审查是国际通行做法
网络安全审查制度的建立与实践
上世纪80年代,美国加强国家安全审查,出台《信息设备政府采购法》,并制定信息安全测试评估的技术标准,授权国家安全局等部门联合执行。在信息技术全球化推动之下,供应链安全问题凸显,美国开始建立安全审查制度,对产品安全、技术转移、企业并购和敏感投资实施安全测试、风险评估等涉及国家安全事项的调查。2000 年,美国率先在国家安全系统中对采购的产品进行安全审查,随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策。“911”事件后,美国扩大了对政府采购信息设备审核监督的权力及范围,形成了一套严格的国家安全审查制度。国会授权美国总统设立外国投资委员会(CFIUS)负责国家安全审查工作,并充分发挥美国信息安全行业和专业测试机构的力量,凭借经济、技术优势,跟踪相关国家标准化战略和政策动向,控制国际标准主导权,确保本国企业及其技术的国际竞争力。包括俄罗斯、澳大利亚、日本、加拿大、印度在内的其他国家纷纷效仿,建立了多层次、多领域的安全审查制度,以“国家利益”为核心,技术测评与行政管理相结合,灵活性强。多数国家对涉及本国关键行业的外资活动进行重点审查,重点控制外资及信息技术产品进入金融、能源、交通等基础设施领域,避免因此带来安全隐患和漏洞,危及国家安全。有的国家,外资进入初期看似无强制性要求,一旦涉及国家安全领域则启动严格的审查,且审查时间旷日持久不可预控。
我国适时建立了行之有效的
网络安全审查制度
网络安全审查制度的建立与实践
加强网络安全审查制度建设,是贯彻习近平总书记推进治理体系和治理能力现代化重要思想的具体体现。建立网络安全审查制度,是一件维护国家主权、安全和发展利益的战略行为,是我国国家治理体系不可缺少的重要一环。随着我国网络空间安全战略的构建与实施,网络安全审查法制化建设也走上了快车道。2014 年,中央网信办发布《关于加强党政部门云计算服务网络安全管理的意见》,明确中央网信办会同有关部门建立云计算服务安全审查机制。强调“安全性”与“可控性”并重。2017 年 6 月实施的《中华人民共和国网络安全法》第三十五条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”,标注了网络安全审查法治化建设的“零公里”。2017 年 5 月国家互联网信息办公室印发了《网络产品和服务安全审查办法(试行)》,从 2017 年 6 月 1 号开始试行。在此基础上,2020 年 4 月,国家互联网信息办公室联合国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局 12 家部委发布了《网络安全审查办法》并于 2020 年 6 月 1 日正式实施。
我国网络安全审查制度的
出发点与目标
网络安全审查制度的建立与实践
《网络安全审查办法》的第一条明确指出“为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法”。既有明确的保护对象和范围,也有非常宽泛的适用原则。可以说,在网络与信息技术领域“维护国家安全”,是网络安全审查制度的出发点,确保关键信息基础设施和供应链安全是审查主要目标。
我国网络安全审查制度的
实践与特色
网络安全审查制度的建立与实践
《网络安全审查办法》的第九条,列出了关键信息基础设施安全、数据安全、业务连续性安全、供应渠道安全以及合规合法等 5 类安全风险考虑因素,本质上,5 类风险要素的存在就是启动“审查”的条件,对五类风险要素的评估也是进行网络安全审查的重点 。在审查对象层面,国家互联网信息办公室发言人姜军公开表示,我国网络安全审查制度“不针对任何国家和地区”。对发现存在安全隐患的网络产品和服务,不论是外国企业还是中国境内企业,都一视同仁,都要遵从、适应这一管理制度的实施,在保障安全的前提下实现良性发展。实践证明,对网络产品和服务的提供商、运营商和服务商进行审查,根本目的是保证产品和服务的安全性,为国家重要数据,为公众网络用户信息提供更深层次的保障。在操作层面,我国网络安全审查制度设计的一般程序是被审查对象的主动申报机制,并规定了审查的申报、启动、处理流程及时间要求,而针对涉及国家安全的严重隐患情况,则明确了审查机构的主动发起机制。《网络安全审查办法》第十五条规定“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。”因此,在我国网络安全审查制度的实际执行当中,一方面,网络安全审查工作的常态化主动申报机制和针对重大安全隐患的审查机构主动发起机制,确保了网络安全审查对安全事态的全面覆盖和灵活运用,另一方面”事前审查、事中监测以及事后惩处相结合的全方位的安全审查治理方式,增强网络安全审查制度的威慑力和强制力。
网络安全审查制度
对数据安全保护的要求
网络安全审查制度的建立与实践
目前,在网络安全审查制度实施过程中,对数据的保护引起广泛关注。在现行《网络安全审查办法》第9条中将“重要数据被窃取、泄露、毁损的风险”列为重点考虑的安全风险要素。针对数据安全的审查制度,在即将于2021年9月1日生效的《数据安全法》第24条中,进行了明确规定,即“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”由此确立数据安全审查制度。而依法作出的数据安全审查决定为最终决定,意味着数据安全审查的决定一经作出即告生效,不会进入行政复议或行政诉讼程序。《数据安全法》的发布实施,是网络安全审查制度的重要依托和实施依据。一方面,在重要数据、个人数据跨境传输过程中,成为维护国家安全,保护个人权益的重要保护屏障。另一方面,强有力地规范了国内外企业在我国境内合法合规利用数据要素,保障数字经济的健康发展。