网络安全审查制度设计的初衷
网络安全审查属于国家安全审查的一种,是重要的国家网络安全保障制度,其通过识别和防范关键信息基础设施在采购网络产品和服务过程中可能引入的国家安全风险,能够在源头上缓解和控制网络风险对国家安全和社会福祉构成的潜在威胁。
网络安全审查以保障国家安全为制度功能,是在网络产品和服务安全风险泛化态势下提升国家网络安全能力的必要方法和手段。近年来,网络空间博弈趋于复杂。全球化的网络产品和服务采购活动不可避免地将面临更为开放且缺乏安全控制的外部环境,逐步层次化和复杂化的供应链势必导致不安全的网络产品和服务拥有更为便利的渗透机会。毫无疑问,这些不安全的网络产品和服务正在成为针对关键信息基础设施实施网络间谍和网络破坏活动的主要媒介。国家必须更为审慎地对待通过供应链渗透引入的国家安全风险,建立并实施有效的网络安全审查制度意义重大。
网络安全审查是国际通行做法
迫于全球网络安全的严峻态势,建立并适用网络安全审查制度开始逐步成为国际通行做法。
美国开展了多种形式的网络安全审查。例如,2000年,美国率先在国家安全系统中对采购的产品进行安全审查;2013年11月,美国国防部规定国防系统及其合同商采购的产品和服务要经过供应链安全审查;2014年《综合持续拨款法案》规定商务部、司法部、国家宇航局和国家科学基金会采购高影响或中度影响的信息技术系统之前,必须进行供应链安全审查,并评估可能出现的网络间谍或破坏行为。美国商务部在发布的2015-08号采购政策中明确了部门内部供应链安全审查的内容和程序,落实《综合持续拨款法案》的强制性要求。2019年美总统令《确保信息通信技术与服务供应链安全》、2020年《安全和可信通信网络法》都建立了相应的审查制度。
英国内阁办公室在颁布的09/14号行动公告中同样规定,自2014年10月1日开始,中央政府信息技术采购特定信息技术产品和服务之前,例如采购参与处理个人信息和提供特定信息通信技术产品和服务,信息技术产品和服务的提供商应接受必要的安全审查。
审查办法体现出诸多制度亮点
此次国家互联网信息办公室等12个部门颁布的《网络安全审查办法》无论在制度设计还是规范内容方面都更具科学性和合理性,体现出诸多制度亮点。首先,确立了兼顾“安全”和“发展”的审查理念,明确提出坚持防范网络安全风险与促进先进技术利用相结合。在保障国家安全的同时,也兼顾到经济和产业发展;其次,将单一机构审查模式转变为审查联席机制,将发改、工信、公安、国安、财政、商务等重要的国家部委纳入审查工作机制,更有助于国家安全风险的识别和判断;再次,明确规定了运营者的申报义务,确立了“依申请”的审查启动方式,保证了网络安全审查的有效性。同时,充分尊重运营者对自身安全状况判断的专业性,在运营者预判采购活动影响或可能影响国家安全的情况下,才要求予以申报。这在一定程度上也避免了安全审查可能对关键信息基础设施正常运维进行的非必要干预;最后,明确了审查期限,使运营者对未来的审查流程有确定性的时间预估,对暂停采购可能产生的网络产品和服务部署中断情况进行事先保障。
在全球范围内,网络安全审查尚属新兴法律制度,各国均处于初步的制度探索阶段。我国是较早制定国家网络安全审查法律制度的国家之一,有能力也有机会在网络产品和服务的安全保障问题上建立具有国际示范效应的规则体系。落实网络安全审查法律制度,既是践行总体国家安全观,维护国家网络安全的客观要求,又是增强国家网络安全治理话语权,实现国际网络安全保障引领示范作用的有利基础。因此,应把不断探索和完善网络安全审查制度建设和促进制度实践,作为国家网络安全保障的一项重点工作大力持续推进。(作者:马宁,西北政法大学行政与监察法学院讲师)