Q:從頂層設計與政策角度�,2月4日的《網(wǎng)絡產(chǎn)品和服務安全審查辦法(征求意見稿)》是政策的延續(xù),那么如何正確理解其定位?特別是,審查辦法是《網(wǎng)絡安全法》的某個執(zhí)行細則嗎�����?
A:我覺得�����,可以從以下三個維度來理解《辦法》的定位:
一是國家高度定位��。《辦法》從組織架構和執(zhí)行定位來看����,無疑是國家層面主導、國家統(tǒng)一組織�、適用于全國范圍的一個針對網(wǎng)絡產(chǎn)品和服務安全保障的重要的執(zhí)行綱領性文件和指南。
二是目的內容定位��。《辦法》目標性定位很明確����,首先是制定辦法的原因明確,《辦法》指出“為提高網(wǎng)絡產(chǎn)品和服務安全可控水平��,防范供應鏈安全風險�,維護國家安全和公共利益”;其次是《辦法》制定的法律依據(jù)很明確�,依據(jù)《中華人民共和國國家安全法》、《中華人民共和國網(wǎng)絡安全法》制定了本《辦法》��;再次是審查對象和審查內容非常明確,對象是“關系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡產(chǎn)品和服務”�����,內容是產(chǎn)品和服務的“安全性����、可控性”;最后是組織架構和相關執(zhí)行線路明確����,例如《辦法》明確執(zhí)行部門為“國家互聯(lián)網(wǎng)信息辦公室會同有關部門成立網(wǎng)絡安全審查委員會”。
三是綱要文件定位�����。對《辦法》另外一個定位維度解讀���,就是該《辦法》是綱領文件�,而不是執(zhí)行細則���,所以,對某些內容����,后續(xù)還需要很多的規(guī)則內容細化����,還需要一段時間去合理化制定及完善一些規(guī)則定義��、執(zhí)行細則�,以及組織機構的組建等。
針對第二個問題�����,顯然提法不夠準確�。應該說,《網(wǎng)絡安全法》作為我國網(wǎng)絡安全大領域的根本性大法����,其包含了全部網(wǎng)絡安全的各項規(guī)則規(guī)定和內容,網(wǎng)絡安全審查僅僅是其很小的一個方面�����。所以說����,準確的理解應該是�,《網(wǎng)絡安全法》是本《辦法》制定的法律依據(jù)��。
Q:“網(wǎng)絡產(chǎn)品與服務”主要指什么����?如何確定邊界?
A:《辦法》第二條���,已經(jīng)明確指出了“關系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡產(chǎn)品和服務”���。那么從兩個方面,可以正確理解這個含義的界定���。
一是抓住兩個關鍵詞����,我們就能正確理解基本概念和確定邊界����。兩個關鍵詞是“信息系統(tǒng)”和“重要”,即不是所有的信息系統(tǒng)�,而是關系到國家安全和公共利益的信息系統(tǒng);在這些信息系統(tǒng)上��,不是所有的網(wǎng)絡產(chǎn)品和服務�,而是“重要”的網(wǎng)絡產(chǎn)品和服務。
二是具體產(chǎn)品明細�。正如前面對《辦法》定位的理解,這是一個綱領性規(guī)定和指導性文件�����,因此����,還需要執(zhí)行細化的內容,包括具體信息系統(tǒng)���、產(chǎn)品和服務列表等��。
我相信兩點�����,一是該列表肯定會隨著《辦法》執(zhí)行推進而明確推出�,就像政府采購的產(chǎn)品目錄一樣���;二是該列表將是一個動態(tài)變化的列表���,因為正如問題所說�����,新科技網(wǎng)絡產(chǎn)品的不斷推陳出新和變化�����,該列表也將是與時俱進地動態(tài)變化���。
Q:在此之前,黨政部門有沒有相關的網(wǎng)絡產(chǎn)品與服務的安全審查����?在金融、電信���、能源等行業(yè)呢�����?
A:準確地說�����,黨政部門此前沒有專門專業(yè)的針對網(wǎng)絡產(chǎn)品和服務的安全審查��,但是����,其在構建信息系統(tǒng)或采購信息產(chǎn)品的過程中��,按照之前既有的相關法規(guī)和文件要求����,其采用的某些方式方法,其實也達到一定的安全審查效果和作用����。例如,國家規(guī)定了十大重要行業(yè)基礎信息系統(tǒng)�,那么他們在構建信息系統(tǒng)或采購產(chǎn)品時,按照要求和需要�����,會邀請國家級安全測評機構����,對其系統(tǒng)和產(chǎn)品進行漏洞測試���、風險評估等手段。
對于以前的網(wǎng)絡產(chǎn)品與服務來講����,由于沒有專門專業(yè)的國家統(tǒng)一的安全審查制度和標準,其采購標準主要還是兩個層面���,一是國家既有的質量標準��、銷售許可證�、企業(yè)資質等�;二是行業(yè)或企業(yè)自己規(guī)定的相關功能需求和安全要求等標準,某些行業(yè)還有自己的安全評測機構����,來進行相應的招標要求和審核評測。
應該說��,之前行業(yè)或企業(yè)自行的辦法和標準��,與本次《辦法》沒有執(zhí)行或邏輯上的必然聯(lián)系����,但是對于某些網(wǎng)絡產(chǎn)品與服務的安全審查手段��、技術和標準等��,從科學的角度�����,正確的方法內容,肯定是一樣的����。
Q:《辦法》提出“堅持企業(yè)承諾與社會監(jiān)督相結合,第三方評價與政府監(jiān)管相結合�,實驗室檢測、現(xiàn)場檢查�、在線監(jiān)測、背景調查相結合��,對網(wǎng)絡產(chǎn)品和服務及其提供者進行網(wǎng)絡安全審查”��,如何正確理解�����?
A:重點是“結合”這個關鍵詞。既然是結合��,就說明前者和后者同樣重要���,不可偏廢�����。其原因����,我認為這反映了《辦法》或者《辦法》的制訂部門��,在三個方向上的正確性��。
一是全面合理��。網(wǎng)絡科技����,日新月異,網(wǎng)絡空間的治理�,是當今時代的一個既新又難的大命題,尤其網(wǎng)絡安全問題��,更是重中之重,也是難上加難����。那么,不可能一把快刀�����,斬斷亂麻���,解決問題���。所以��,更加全面的手段��,各方力量的結合���,綜合評估�,才是合理的方法���。
二是科學正確�����。《辦法》列出來的這些方法�����,都不是完全創(chuàng)新�,而是分別在之前的行業(yè)應用中,經(jīng)過驗證����,行之有效的方法,那么�,《辦法》綜合了當前最為行之有效的方法,讓它們綜合發(fā)揮作用��,這就是一定要走科學發(fā)展的道路���。
三是公正法治�。雖然《辦法》是事關國家安全的文件��,但是����,從審查方法以及全文來看����,我們發(fā)現(xiàn)�,《辦法》并不是一味強調政府權威,而是強調政府監(jiān)管只是審查方法的其中一部分���,充分反映了《辦法》完全遵循了當前我國政府提倡的依法治國��、簡政放權等“小政府���,大社會”的執(zhí)政思路。
Q:《辦法》第四條提出“重點審查網(wǎng)絡產(chǎn)品和服務的安全性���、可控性”����,怎么理解�����?
A:第四條主要提出了四點意見��,前三點����,是最基本的網(wǎng)絡安全威脅,這是最基本的����、必須要保障的用戶權益。而第四點�,它雖然可能不是直接的網(wǎng)絡安全威脅,但它會成為在網(wǎng)絡空間違反《國家反壟斷法》的根源�,同時,有可能造成進一步的�����,對于用戶信息系統(tǒng)和現(xiàn)實利益的威脅和損害���。
Q:如何界定安全審查與網(wǎng)絡產(chǎn)品性能或功能的區(qū)別���?由于網(wǎng)絡產(chǎn)品與數(shù)據(jù)安全、信息安全的融合�����,這種審查在技術層面面臨一定的挑戰(zhàn)?
A:首先����,網(wǎng)絡安全審查,重點是審查網(wǎng)絡產(chǎn)品與服務的安全性����、可控性。這一點來講�����,與網(wǎng)絡產(chǎn)品本身的性能或功能沒有關系�����。換句話說�,安全審查不管你性能是否優(yōu)良,也不管你是實現(xiàn)什么樣的功能��。
當然�,我個人認為,由于網(wǎng)絡空間的日新月異�����,網(wǎng)絡科技的高速發(fā)展��,毫無疑問��,作為全新的機制�����,網(wǎng)絡安全審查不僅在技術層面��,在執(zhí)行層面�����,在各個環(huán)節(jié)落實層面����,都會面臨一定的新難題、新挑戰(zhàn)�。但是,作為世界主要大國都已經(jīng)在實施的政策����,作為事關網(wǎng)絡時代國家安全的重要舉措,不管有任何難題���,網(wǎng)絡安全審查都勢在必行���,必須推進�。
Q:“國家統(tǒng)一認定網(wǎng)絡安全審查第三方機構�����,承擔網(wǎng)絡安全審查中的第三方評價工作”�����,您認為���,這個第三方機構將如何組成�����?如何工作�?如何確?�?煽?��、透明��、可信���?
A:目前來說,沒有確切的第三方機構的具體組成信息��。但是毫無疑問�,不管怎么組成,確?���?煽亍⒖尚藕凸?�,一定是第三方機構的基本屬性和必須屬性���。
我個人感覺���,未來第三方機構,一定要滿足三大可信�����,一是主體可信�����,該機構主體應該具備普遍公信力,不能是“既當運動員��,又當裁判員”等等���;二是資質可信��,該機構要有國家認可的資質和技術水平���,否則你憑什么給別人測評;三是機制可信��,測評的流程���、機制和標準����,首先要按照國家規(guī)定�����,同時作為機構本身,也應當實現(xiàn)機制流程的可控��、透明和公正�。
Q:《辦法》對網(wǎng)絡、安全產(chǎn)業(yè)的影響有哪些���?
A:個人認為,有三大影響:
一是安全意識提升����。《辦法》推出后,對于廣大網(wǎng)絡產(chǎn)品與服務提供商來說��,通過法規(guī)撬動市場的杠桿�����,讓他們會更加關注對自身產(chǎn)品與服務的安全性考慮�����,和對用戶網(wǎng)絡安全保障的服務力度����;而不是像以前,主要關心產(chǎn)品性能�、功能�、模式和便捷�����,而對產(chǎn)品安全和產(chǎn)品使用導致用戶的隱患����,不夠重視。那么��,只要全體網(wǎng)絡產(chǎn)品企業(yè)����,都重視網(wǎng)絡安全(而不是僅僅網(wǎng)絡安全廠商跟在后面“擦屁股”)的話,毫無疑問���,我們國家整體網(wǎng)絡空間安全和清朗的環(huán)境指數(shù)�����,將大幅提升�����。
二是國內產(chǎn)業(yè)機遇�����。對于如何更加貼近中國用戶���,如何更加對用戶有本地化安全服務��,如何更加滿足《辦法》的審查要求���,毫無疑問���,國內企業(yè)會比外企做得更好�。以前如果做得好�����,沒有明確評測反映�,沒有市場杠桿的反饋,而現(xiàn)在如果做得好��,國內市場的用戶們��,可以看得到,國家法規(guī)有明確規(guī)定�����,市場自然有反饋����。
所以,從這點來說��,無論國內的互聯(lián)網(wǎng)企業(yè)�����、網(wǎng)絡產(chǎn)品企業(yè)�����,還是安全企業(yè)�,都有了更大的機遇,尤其是核心科技領域的國內企業(yè)��,更需抓住機遇�,讓“中國造”不僅僅是低級的機箱機殼,而是市場利潤更高更多是芯片內核�����。
三是推動國際融合。《辦法》出臺����,對國內、國際企業(yè)一視同仁���,政府市場的杠桿���,將隨著《辦法》的推行而移動。那么��,不能滿足安全標準的外國企業(yè)�����,《辦法》將刺激和推動他們去想辦法保住��,甚至提升在中國這個大市場的份額�����,無論是按照中國市場要求���,彌補自身產(chǎn)品安全缺陷��,還是按照中國市場要求創(chuàng)新自身產(chǎn)品安全性能����,或是與中國本土企業(yè)合作��,放低身價�,進一步融入中國市場,符合本地化國情……總之���,《辦法》出臺���,對于外國網(wǎng)絡企業(yè),進一步創(chuàng)新完善���,融入中國市場�,是一個巨大的推動力���。
