實施了將近三年的《網絡產品和服務安全審查辦法(試行)》(以下簡稱“試行辦法”),正式被《網絡安全審查辦法》(以下簡稱“審查辦法”)所取代。從試行到成型,近三年間的實踐和摸索,最終揚棄、濃縮、升華于新的規章之中。本文將著重分析“審查辦法”與“試行辦法”相比的三大新特點,以揭示革新背后的思路和考慮。
一、審查目標更加具體
無論是“試行辦法”還是“審查辦法”,審查對象均是網絡產品和服務,這一點沒有變化。審查的原因均是采購了特定的網絡產品和服務,可能因此給網絡和信息系統帶來“脆弱性”,這一點也沒有發生變化。
發生變化的是如何看待上述“脆弱性”的標尺。“試行辦法”第一條提出:安全審查的目標是“提高網絡產品和服務安全可控水平”,因此審查聚焦于產品和服務本身的脆弱性。而在“審查辦法”中,安全審查的目標改成了“為了確保關鍵信息基礎設施供應鏈安全,維護國家安全”,將審查著眼于產品和服務在供應鏈安全方面給關鍵信息基礎設施帶來的安全風險。
上述變化體現了一種認識上的更新。正如習近平總書記所說:“網絡安全是相對的而不是絕對的”,同樣,產品和服務的安全性也是相對的。安不安全,很大程度上是依賴于該產品和服務的使用主體、使用目的、使用方式以及產品供應渠道的可靠程度等因素,并不存在衡量安全性的絕對、恒定的基準。
有了具體的場景限定,無論是申報網絡安全審查的運營者在準備相關材料時,還是網絡安全審查辦公室在核驗、測試時,方向更加明確,也更容易做到有的放矢。
二、審查重點更加明晰
審查目標的變化,必然帶來審查重點的更新。在“試行辦法”中,產品和服務本身的安全是首要的審查內容。“試行辦法”第四條前兩款:“產品和服務自身的安全風險,以及被非法控制、干擾和中斷運行的風險”指向的是產品和服務本身內在的脆弱性;“產品及關鍵部件生產、測試、交付、技術支持過程中的供應鏈安全風險”是指產品和服務的脆弱性從何而來。
“試行辦法”第四條的后兩款才是產品和服務給使用者帶來的脆弱性:“產品和服務提供者利用提供產品和服務的便利條件非法收集、存儲、處理、使用用戶相關信息的風險”指的是產品和服務除了“規定動作”之外,是否還會偷偷地進行“自選動作”;而“產品和服務提供者利用用戶對產品和服務的依賴,損害網絡安全和用戶利益的風險”是指提供者會不會“裹挾”使用者以謀取非法或不當利益。
在“審查辦法”第九條中,審查重點主要強調的是產品和服務“使用后”給關鍵信息基礎設施帶來的風險:首先是“關鍵信息基礎設施被非法控制、造成干擾或破壞”,以及“重要數據被竊取、泄露、損毀”;其次是“產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害”。
第九條第三款提到了網絡產品和服務本身的安全性,但更偏重產品和服務的“開放性、透明性”(即產品和服務的兼容度和可檢視度),以及產品和服務的“來源的多樣性”“供應渠道的可靠性”“因為政治、外交、貿易等因素導致供應中斷的風險”。不難看出,該款仍然把重心放在產品和服務對關鍵信息基礎設施的影響。
三、采購方的主體責任得以突出
在“試行辦法”中,采購特定產品和服務的主體,無論是“關系國家安全的網絡和信息系統”的運營者,還是關鍵信息基礎設施的運營者,其角色相對被動,主要是:申報審查和配合審查。而且,對于關鍵信息基礎設施運營者來說,甚至不需要自主判斷所采購的產品和服務是否影響國家安全,如“試行辦法”第十條規定:“產品和服務是否影響國家安全由關鍵信息基礎設施保護工作部門確定”。
在“審查辦法”中,首先,所適用的申報主體得到統一,明確為作為采購方的“關鍵信息基礎設施運營者”。其次,采購方主動“預判產品或服務可能帶來的國家安全風險”并據此決定是否申報審查,成為其法定義務之一。再次,采購方應主動通過法律工作管理自身的供應鏈風險,例如第六條所規定的:“應當通過采購文件、協議等要求產品和服務提供者配合網絡安全審查,包括承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備,無正當理由不中斷產品供應或必要的技術支持服務等”。
把上述法定義務結合起來看,可以看到“審查辦法”對采購方的角色定位——既然特定的產品和服務是采購方自主選擇的,那采購方應當成為責任主體(即所謂的權責一致原則),因此采購方應當在力所能及的范圍內,主動管理和降低供應鏈安全風險;只有當對安全風險的管控超出采購方的能力范圍,或安全風險的影響面超出采購方本身時,網絡安全審查方得介入,用國家力量來對沖特定產品和服務所帶來的安全風險。
四、總結
在筆者看來,以上三方面體現了網絡安全審查制度演進的主線。除此之外,“審查辦法”明確了“國家網絡安全審查工作機制”的成員單位,進一步細化了審查流程和程序,以及嚴格要求參與網絡安全審查的相關機構和人員保護商業秘密、知識產權以及其他未公開信息等,均是此次變革的亮點。“審查辦法”的生效和實施,標志著我國網絡安全基本制度的建設又朝前邁了一大步,維護國家安全特別是國家網絡空間安全有了重要的新抓手。(作者:洪延青,北京理工大學法學院研究員)