编者按
6月1日,《网络产品和服务安全审查办法(试行)》将开始实施。为提高网络产品和服务安全可控水平,防范网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。
为了让大家对中国首部网络产品与服务的安全审查办法有一个基本认识,界小编特请《网安视界》总编辑李刚对《网络产品和服务安全审查办法(试行)》(以下简称《办法》)进行解读。
《网安视界》总编辑李刚
焦点一
从顶层设计与政策角度来正确理解《办法》的定位。
解读
对于《办法》的定位,可以从三个维度来理解:
一是国家高度定位。
《办法》从组织架构和执行定位来看,无疑是国家层面主导、国家统一组织、适用于全国范围的一个针对网络产品和服务安全保障的重要的执行纲领性文件和指南。
二是目的内容定位。
《办法》目标性定位很明确,首先是制定办法的原因明确,《办法》指出“为提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益”;其次是《办法》制定的法律依据很明确,依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》制定了本《办法》;再次是审查对象和审查内容非常明确,对象是“关系国家安全和公共利益的信息系统使用的重要网络产品和服务”,内容是产品和服务的“安全性、可控性”;最后是组织架构和相关执行线路明确,例如《办法》明确执行部门为“国家互联网信息办公室会同有关部门成立网络安全审查委员会”。
三是纲要文件定位。
对《办法》另外一个定位维度解读,就是该《办法》是纲领文件,而不是执行细则,所以,对某些内容,后续还需要很多的规则内容细化,还需要一段时间去合理化制定及完善一些规则定义、执行细则,以及组织机构的组建等。
焦点二
关于“网络产品与服务”及边界确定。
解读
《办法》第二条,明确指出“关系国家安全和公共利益的信息系统使用的重要网络产品和服务”。因此,可以通过以下两个方面来正确理解其边界。
一是抓住两个关键词。
即“信息系统”和“重要”,不是所有的信息系统,而是关系到国家安全和公共利益的信息系统;在这些信息系统上,不是所有的网络产品和服务,而是“重要”的网络产品和服务。
二是具体产品明细。
正如前面对《办法》定位的理解,这是一个纲领性规定和指导性文件,因此,还需要执行细化的内容,包括具体信息系统、产品和服务列表等。
焦点三
在此之前,是否有相关的网络产品与服务的安全审查?
解读
准确地说,此前并没有专门专业针对网络产品和服务的安全审查。但是,其在构建信息系统或采购信息产品的过程中,按照之前既有的相关法规和文件要求,其采用的某些方式方法,其实也达到一定的安全审查效果和作用。例如,国家规定了十大重要行业基础信息系统,在构建信息系统或采购产品时,按照要求和需要,会邀请国家级安全测评机构,对其系统和产品进行漏洞测试、风险评估等手段。
对于以前的网络产品与服务来讲,由于没有专门专业的国家统一的安全审查制度和标准。其采购标准主要还是两个层面,一是国家既有的质量标准、销售许可证、企业资质等;二是行业或企业自己规定的相关功能需求和安全要求等标准,某些行业还有自己的安全评测机构,来进行相应的招标要求和审核评测。
之前行业或企业自行的办法和标准,与本次《办法》没有执行或逻辑上的必然联系,但是对于某些网络产品与服务的安全审查手段、技术和标准等,从科学的角度来看,正确的方法内容,肯定是一样的。
焦点四
正确理解“坚持企业承诺与社会监督相结合,第三方评价与政府监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其提供者进行网络安全审查”。
解读
本条款中重点是“结合”这个关键词,它说明前者和后者同样重要,不可偏废。同时也反映了《办法》或者《办法》的制订部门,在以下三个方向上的正确性。
一是全面合理。
网络科技,日新月异,网络空间的治理,是当今时代的一个既新又难的大命题,尤其网络安全问题,更是重中之重,也是难上加难。那么,不可能一把快刀,斩断乱麻,解决问题。所以,更加全面的手段,各方力量的结合,综合评估,才是合理的方法。
二是科学正确。
《办法》列出来的这些方法,都不是完全创新,而是分别在之前的行业应用中,经过验证,行之有效的方法,那么,《办法》综合了当前最为行之有效的方法,让它们综合发挥作用,这就是一定要走科学发展的道路。
三是公正法治。
虽然《办法》是事关国家安全的文件,但是,从审查方法以及全文来看,我们发现,《办法》并不是一味强调政府权威,而是强调政府监管只是审查方法的其中一部分,充分反映了《办法》完全遵循了当前我国政府提倡的依法治国、简政放权等“小政府,大社会”的执政思路。
焦点五
安全审查与网络产品的性能或功能的区别,以及面临的挑战。
解读
首先,网络安全审查,重点是审查网络产品与服务的安全性、可控性。它与网络产品本身的性能或功能没有关系。
当然,由于网络空间的日新月异,网络科技的高速发展,毫无疑问,作为全新的机制,网络安全审查不仅在技术层面,在执行层面,在各个环节落实层面,都会面临一定的新难题、新挑战。但是,作为世界主要大国都已经在实施的政策,作为事关网络时代国家安全的重要举措,不管有任何难题,网络安全审查都势在必行,必须推进。
焦点六
关于“国家统一认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作” 。
解读
目前来说,没有确切的第三方机构的具体组成信息。但是毫无疑问,不管怎么组成,确保可控、可信和公正,一定是第三方机构的基本属性和必须属性。
未来第三方机构,一定要满足三大可信。一是主体可信,该机构主体应该具备普遍公信力,不能是“既当运动员,又当裁判员”等等;二是资质可信,该机构要有国家认可的资质和技术水平;三是机制可信,测评的流程、机制和标准,首先要按照国家规定,同时作为机构本身,也应当实现机制流程的可控、透明和公正。
焦点七
《办法》对网络、安全产业的影响。
解读
主要有三大影响,即安全意识提升、国内产业机遇,以及推动国际融合。
安全意识提升。
《办法》推出后,对于广大网络产品与服务提供商来说,通过法规撬动市场的杠杆,让他们会更加关注对自身产品与服务的安全性考虑,和对用户网络安全保障的服务力度;而不是像以前,主要关心产品性能、功能、模式和便捷,而对产品安全和产品使用导致用户的隐患,不够重视。那么,只要全体网络产品企业,都重视网络安全的话,毫无疑问,我们国家整体网络空间安全和清朗的环境指数,将大幅提升。
国内产业机遇。
对于如何更加贴近中国用户,如何更加对用户有本地化安全服务,如何更加满足《办法》的审查要求,毫无疑问,国内企业会比外企做得更好。以前如果做得好,没有明确评测反映,没有市场杠杆的反馈,而现在如果做得好,国内市场的用户可以看到,国家法规有明确规定,市场自然有反馈。
所以,从这点来说,无论国内的互联网企业、网络产品企业,还是安全企业,都有了更大的机遇,尤其是核心科技领域的国内企业,更需抓住机遇,让“中国造”不仅仅是低级的机箱机壳,而是市场利润更高更多的芯片内核。
推动国际融合。
《办法》出台,对国内、国际企业一视同仁,政府市场的杠杆,将随着《办法》的推行而移动。那么,不能满足安全标准的外国企业,《办法》将刺激和推动他们去想办法保住,甚至提升在中国这个大市场的份额,无论是按照中国市场要求,弥补自身产品的安全缺陷,还是按照中国市场要求创新自身产品安全性能,或是与中国本土企业合作,放低身价,进一步融入中国市场,符合本地化国情……总之,《办法》出台,对于外国网络企业,进一步创新完善,融入中国市场,是一个巨大的推动力。
-END-
