《电子技术应用》
您所在的位置:首页 > 其他 > 业界动态 > 《网络安全审查办法》6月1日起施行 维护关键信息基础设施供应链安全的里程碑

《网络安全审查办法》6月1日起施行 维护关键信息基础设施供应链安全的里程碑

2020-05-13
来源:法制日报

为了全面落实网络强国战略,预防和避免网络运营者采购产品和服务给关键信息基础设施运行带来风险和危害,确保关键信息基础设施的供应链安全,维护国家安全,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局于4月13日联合发布《网络安全审查办法》(以下简称《审查办法》),自6月1日起正式施行。
  《审查办法》确立了对影响或者可能影响国家安全的网络信息技术产品和服务,以及其他重大事项和活动,实施国家层面的安全审查制度。这是维护我国关键信息基础设施供应链安全的一项里程碑事件,对于保障和提升国家关键信息基础设施供应链安全,维护国家安全具有重大的推动作用。


国家安全审查是重要法律制度
  国家安全审查是我国国家安全法确立的一项重要法律制度。根据国家安全法第五十九条的规定,我国对影响或者可能影响国家安全的以下五种情形实施国家安全审查:一是外商投资;二是特定物项和关键技术;三是网络信息技术产品和服务;四是涉及国家安全事项的建设项目;五是法律法规规定的其他重大事项和活动。
  “网络信息技术产品和服务的安全审查”是国家安全法确立的一项重要法律制度,审查的内容包括但不限于核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务等。


不限制和歧视国外产品服务
  笔者注意到,《审查办法》发布后,一些国外媒体评论认为,我国将采取将外国企业与服务拒之门外的措施,并将《审查办法》与中美贸易谈判、华为公司相结合进行解读。实际上,美国及西方主要发达国家基于国家安全、网络信息安全、个人数据安全等,均已建立并实施了国家网络安全审查制度。
  从《审查办法》的立法目的、原则、审查内容和法律程序上看,我国对于内外资企业的产品和服务一视同仁,同等适用,且同等保护外资企业的商业秘密和知识产权。只要对中国国家安全不构成危害,外国产品和服务不会被限制,更不会被歧视,因为对外开放是中国的基本国策。


供应链安全是基础设施保护核心
  为了防止关键信息基础设施因使用的产品和服务存在安全缺陷或其他隐患而受到攻击、破坏,从而危害国家安全,我国网络安全法第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
  当今,全球网络安全形式极其复杂,网络威胁日趋严重,关键网络基础设施已成为网络攻击的主要目标,并可能引发极为严重的灾难性后果,尤其是产品和服务的供应链风险已成为关键信息基础设施面临的重要安全风险。对此,《审查办法》第一条开明宗义:“为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法”。


建立国家网络安全审查工作机制
  《审查办法》设立了国家网络安全审查工作机制,这是由网络安全审查工作程序、审查主体和审查规则共同构成的一个有机联系和有效运转的机制。我国网络安全审查机制是一个相辅相成的整体,贯穿于关键信息基础设施供应链安全审查工作的各个环节。
  根据《审查办法》第三条的规定,国家网络安全审查工作机制坚持“四个相结合”:一是防范网络安全风险与促进先进技术应用相结合;二是过程公正透明与知识产权保护相结合;三是事前审查与持续监管相结合;四是企业承诺与社会监督相结合,重点从产品和服务安全性、可能带来的国家安全风险等方面进行审查。
  《审查办法》第四条规定,在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。


关键信息基础设施的范围与申报
  《审查办法》第二条规定,关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。网络安全法第三章第二节用相当的篇幅规范了关键信息基础设施的安全与保护法律制度,范围涵盖了公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。网络安全法第三十一条规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护,关键信息基础设施的具体范围和安全保护办法由国务院制定。这是我国首次在法律层面提出关键信息基础设施的概念和重点保护范围。
  根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《审查办法》的要求自行预判该产品和服务投入使用后可能带来的国家安全风险。经过预判,认为该产品和服务在投入使用后影响或者可能影响国家安全,关键信息基础设施运营者均有义务向网络安全审查办公室申报网络安全审查。


网络安全审查主要考虑五大因素
  我国网络安全审查的重点是研判和评估网络运营者采购网络产品和服务可能带来的国家安全风险,根据《审查办法》第九条的规定,主要考虑以下五大因素:一是产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;二是产品和服务供应中断对关键信息基础设施业务连续性的危害;三是产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;四是产品和服务提供者遵守中国法律、行政法规、部门规章情况;五是其他可能危害关键信息基础设施安全和国家安全的因素。以上五大因素从关键信息基础设施供应链安全的“事先防范、事中控制、事后救济”的安全链角度出发,构建了立体式的网络安全审查机制。
                                                                            (来源:法制日报  作者分别系浙江大学教授,南京邮电大学教授)

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。