《网络产品和服务安全审查办法(征求意见稿)》虽然到目前为止办法还仅仅处于征求意见阶段,但是也可以一窥制度的设计思想、原则和实施思路。以下简要谈谈对于网络安全审查制度的理解,同时提出一些意见,希望对于制度的实施具有借鉴意义。
一、网络安全审查制度的定位
准确理解网络安全审查制度的定位对于更好地认识制度的实施体制具有重要的意义。简而言之,网络安全审查是一种威慑性的、基于相对主观标准的审核和调查制度。网络安全审查制度不是传统的市场准入或采购认证制度,是具有中国特色的、以国家安全和公共利益为目标的产品和服务审查制度。
1.网络安全审查与信息安全产品认证制度的区别
二十多年以来,随着信息和通信技术的发展,特别是互联网技术的普及和应用,国家网络安全主管部门相继出台过一些包括信息安全产品测评认证的标准和政策。例如,根据1994年《计算机信息系统安全保护条例》规定,销售计算机信息系统安全专用产品须通过公安部批准的安全功能检测机构检测并取得公安机关核发的销售许可证;根据1999年《商用密码管理条例》的规定,商用密码需要经过测试和认证,生产和销售由国家密码管理局许可的单位负责;以及2008年根据《认证认可条例》规定的强制性认证制度,将十三种信息安全产品纳入强制性认证目录,实现了政府部门采购十三种信息安全产品必须通过认证的强制性要求。可以看出以上的信息安全产品和认证机制一方面都是针对类似防病毒、密码技术、入侵检测、防火墙等“信息安全产品”,另一方面都是市场准入或某个特殊领域的采购要求。信息安全产品测评认证都是事前管理的行政许可制度。“由于《行政许可法》对可以撤销行政许可的情形进行了严格限制,根据现有制度予以审批通过的产品、服务,即使事后发现存在危害国家网络安全的情形,也难以依法予以叫停。”
由于网络安全的风险已经不限于安全类产品,而是经常出现于非安全类信息产品技术、系统和服务的运行状态之中,因此网络安全审查不仅摆脱了仅仅针对信息安全产品的限制,而且在制度设计中强调事中和事后的监管,保证网络产品和服务的采购和运营安全,同时可以随时叫停可能存在安全风险的产品和服务,提供全面、动态的网络安全制度保障。
2.网络安全审查与美国国家信息保障采购政策的差异
2002年,美国国家安全电信和信息系统安全委员会在国家安全系统中强制使用由国家安全局(National Security Agency)、美国国家标准技术研究所(NationalInstitute of Standards and Technology,NIST)共同成立的美国国家信息安全保障合作组织(National Information Assurance Partnership,NIAP)所认证的信息技术产品。NIAP采用信息技术安全评估通用准则(Common Criteria,CC,ISO/IEC15408)主要关注产品非密码的安全功能及其保障,采用NIST FIPS 140-2主要关注商用密码模块的安全性,与CC互为补充。NIAP的标准是公开的,不仅为国家网络安全审查活动提供指引,又可以为企业的法规遵从提供参考框架。
网络安全审查与美国国家信息保障采购政策的差异体现在适用范围和标准的开放性两个方面。美国国家信息保障采购政策适用的范围很窄,仅仅是与国家安全密切相关的领域,所采用的标准是公开的;网络安全审查覆盖的范围不仅包括一般意义上的国家安全相关系统,还会涉及到“党政部门”、“重点行业”以及关键信息基础设施,采用的标准是不公开的,是一个相对封闭的体系。
应当说作为一个体制,至少目前在美国还没有一个类似于网络安全审查同等的制度,这包括美国众议院专责情报委员会对于华为和中兴的非法律意义上的排斥报告以及中国移动在获取214经营牌照规程中遭遇的障碍,都是与网络安全审查制度在法律授权、制度建设和具体操作方面不相同的。
3.网络安全审查与外商投资安全审查制度的不同
网络安全审查与外商投资安全审查制度的相似之处在于标准和流程方面的封闭性,但是两者不同也是明显的,即外商投资安全审查制度只是发生在外资控股的交易审查,而网络安全审查是针对网络产品和服务的审查。
二、网络安全审查制度的特点
通过网络安全审查制度定位的分析,可以发现该制度与现有的安全管理体制有很大的差异,有其独特的部分。
1.审查范围超越“关键信息基础设施”涉及广泛的领域
《网络安全法》第三十五条提出“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”,因此“国家安全审查”一度被认为局限在“关键信息基础设施”的采购中。但是办法第二条指出“关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查”,并在第十一条再次强调“关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,应当经过网络安全审查”。
不难看出,网络安全审查的范围已经超越了“关键信息基础设施”,而更接近于《国家安全法》第五十九条“对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查”的要求。由此可见,网络安全审查应当是同时实施《国家安全法》和《网络安全法》的要求,审查的领域范围很广。
2.多种方式启动网络安全审查
办法第八条描述了审查的启动机制,即“根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等,网络安全审查办公室组织第三方机构、专家对网络产品和服务进行网络安全审查”,可以认为网络安全审查启动方式有四种,包括“国家有关部门的主动要求”、“行业协会的建议”、“市场反映”以及“企业的申请”。
通过启动机制可见网络安全审查制度不应当是针对市场所有产品的安全审查机制,也不是市场准入机制,而是威慑性的审核和检查制度,理论上应该是小范围的、由特定的启动机制引发的。
3.网络安全审查没有公开的标准
办法第十二条指出安全审查的第三方机构“参照有关标准”对网络产品和服务及提供者进行评价”。所谓“参照”,可以理解网络安全审查可能是不基于特定公开标准的,审查的原则是由内部掌握、可能更多地具有主观性。
4.网络安全审查的目标包括保护公共利益
办法多次强调“国家安全和公共利益”,并且在第四条第四款中指出要重点审查“产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险”。
虽然保护公共利益是国家安全的一部分,但是实质上与一般而言的安全还是有相当的差距,因此会导致审查机制考虑的内容更加复杂,如果处理不好还可能导致迷失关注的重点,影响审查的效果和效率。另外所谓的“不正当竞争”一般理解会由《反不正当竞争法》调整,如何建立两个体制的关系也是需要考虑的问题。
5.网络安全审查的过程包括供应链审查
办法的第一条指出“防范供应链安全风险”,第四条又指出重点审查“产品及关键部件研发、交付、技术支持过程中的风险”,提出了供应链审查的要求。
应当说供应链审查的是网络安全测评中的合理要求,包括支持美国国家信息保障采购政策所采用的由NIST发布的SP 800-53《信息系统和组织的安全和隐私控制》也将供应链保护作为要求之一,并提出原则性的审查方法。
网络安全审查应当为供应链审查设立公开的、以保障网络安全为基础的准则,以免产生不合理的歧视,导致与政策目标的偏离。
6.双层架构的、基于第三方评价的网络安全审查体制
办法的第五条指出“国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。网络安全审查办公室具体组织实施网络安全审查”,在第九条又指出“金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作”,第十一条再指出“关键信息基础设施运营者采购的网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定。”
可以理解网络安全审查委员会是具体政策的制定机构,网络安全审查办公室是除了“金融、电信、能源等重点行业主管部门”以及“关键信息基础设施保护工作部门”之外的产品和服务,具体行业或关键基础设施由主管部分负责。为了保证安全审查的结果能够在不同行业和部门共享,网络安全审查委员会应当制定相应的规则,保证发起审查具有统一入口,减少同一产品在不同行业或部门使用时可能遇到重复安全审查的可能性。
另外,办法指出,网络安全审查的具体实施过程体现“第三方评价与政府监管相结合”(第二条)、“在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估”(第六条)、以及“国家统一认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作”(第七条)。一般来说,采用第三方机构的介入提高审查效率,但是鉴于安全审查可能不会采用认监委的认证体系,那么如何能够保证第三方机构的资质对社会开放申请将是需要考虑的、保证工作效率的重要机制问题。
三、关于网络安全审查体制的建议
办法的发布为业界理解审查体制提供了线索,但是由于内容过于简单,其中仍然有模糊和需要确认的地方。除了以上在分析体制特点的时候提出的一些想法之外,此处就其他几个关键问题提出以下意见,希望对审查体制的有效实施提供帮助。
1.防止网络安全审查成为企业恶性竞争的工具
办法第十条指出“党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务。”鼓励采购通过安全审查的产品和服务当然是本办法的目的所在,但是简单的优先采购鼓励可能会导致产品和服务提供商企业积极主动申请审查,而同时导致客户视其作为采购的基础,这样会导致过多的审查要求,产生恶性竞争,也会改变网安审查作为威慑的性质,成为另一种类似的认证体系,违背了制度设计的初衷。
因此建议应当把优先采购的鼓励性语言删除,仅强调“不得采购审查未通过的网络产品和服务”的黑名单制度,应该更加接近本制度的所希望达到的目标。
2.在审查体制内建立适当的沟通和申诉机制
设计为黑箱的网络安全审查制度如果没有建立与被审查者的沟通制度,以及被审查者就不合理的结果提出的申诉机制,可能会导致安全审查过程中对于具体技术问题的误解,影响审查的客观性。因此建议应当在审查体制内建立沟通和申诉机制,以便及时解决可能的误解、尽快更正可能的错误,以更好地实现审查体制保障网络安全的最终目标。
3.网络安全审查结果和安全评估报告的发布
办法第八条指出会将审查结果“发布或在一定范围内通报审查结果”。此处在“一定范围内通报”一般认为是在可能受到影响的行业或部门内通报。如果这样的话,希望产品和服务厂商也应当在被通报之列,帮助厂商了解产品或服务的安全缺陷,以便及时修正,同时对商务方面的影响有正确的预期。
办法第十四条提出“网络安全审查办公室不定期发布对网络产品和服务提供者的安全评估报告”。安全评估报告的公开发表需要遵循一定的标准和原则,不应当公开企业产品的技术细节、知识产权或者相关安全脆弱性的细节部分,因为这种公开可能会影响企业的实际利益,同时会在安全脆弱性尚未解决之前增加现有用户的用户风险。
网络安全审查是具有中国特色的网络安全保障制度,在具体的实施过程中可能会遇到形形色色的问题和挑战。希望整个体制能够保持对于意见的开放性,就可能遇到的问题及时做出调整,以期建立一个逐步完善的审查制度,为保卫国家网络安全做出的重要贡献。
| 
