十九大报告在“坚持和平发展道路,推动构建人类命运共同体”中将“网络安全”列为人类面临许多共同挑战之一。事实上,“没有网络安全就没有国家安全”已成为世界各国安全战略的共识。党的十八届四中全会通过的《中共中央关于全面推进依法治国若干重大问题的决定》明确指出:“加强互联网领域立法,完善网络信息服务、网络安全保护、网络社会管理等方面的法律法规,依法规范网络行为。”这一论述为依法治国背景下的网络空间法治化建设开启了新篇章。
在网络安全复杂化、网络威胁全球化的今天,关键网络基础设施已成为网络攻击的主要目标,并可能引发极为严重的灾难性后果。特别是网络产品和服务的供应链风险是关键信息基础设施面临的主要安全风险之一。关键信息基础设施所部署的信息技术产品和服务是否安全,将直接决定国家和社会能否良好运行。为了防止关键信息基础设施因使用的产品和服务存在安全缺陷或其他隐患而受到攻击、破坏,或者其存储、处理的数据资源被窃取、泄露,从而危害国家安全,《网络安全法》根据世界贸易组织国家安全例外原则,对关键信息基础设施运营者采购网络产品或者服务的国家安全审查做了规定,这也《国家安全法》确立的国家安全审查制度的一项重要法律制度。
“网络安全审查”是一项具有中国特色的法律制度,国际上并没有“网络安全审查”的法律称谓,但各国均有类似的法律实践。参考国际实践,若将安全审查相关的制度归为广义的“网络安全审查”,其范围要宽于国家安全审查。从各国的相关实践来看,网络安全审查是内涵极为丰富的法律制度,涉及国家网络安全保障中的技术、政策和管理多元要素,包括信息技术采购安全审查、云服务安全审查、网络安全政策审查、网络安全态势或弹性审查等多种形式,其审查要素不局限于国家安全,而是涵盖非常广泛。
我国《国家安全法》规定了国家安全审查和监管的基本制度和机制,其对象主要是“影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动”。我国《网络安全法》确立的网络安全审查制度,主要是指对关键信息基础设施运营者采购使用的重要信息技术产品和服务的审查。这项审查制度是出于国家安全的整体需求,即只有在影响国家安全时方能启动审查,这点和国家安全审查是一脉相承的。
网络安全审查制度是完善我国网络安全体系的一项基础性制度,我国《十三五国家信息化规划》指出,要对网络安全审查能力进行全面的提升。2016年7月我国发布《国家信息化发展战略纲要》(以下称:《战略》),《战略》专门在关键信息基础设施保护的章节中提出建立网络安全审查制度,这项制度被列为《战略》提出的建立国家三大层面的信息化发展战略之一,即与关键信息基础设施的保护制度、大数据安全管理制度并列。《战略》指出,要建立实施网络安全审查制度,加强供应链安全管理,对党政机关、重点行业采购使用的重要信息技术产品和服务开展安全审查,提高产品和服务的安全性和可控性,防止产品服务提供者和其他组织利用信息技术优势实施不正当竞争或损害用户利益。《国家安全法》第二十五条规定,国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。
我国颁布的《网络产品和服务安全审查办法》(试行)重点审查的是网络产品和服务的安全性和可控性,一是产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;二是产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;三是产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;四是产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险,以及其他可能危害国家安全的风险。
网络安全审查制度的出台将原来的消极审计提升为积极主动的审查制度,变被动防御为主动响应,这是确保国家安全的重要威慑手段,同时也是防范网络安全风险的一项重要举措。当然,有效的网络安全审查应当是一个动态的风险控制过程,贯穿于信息技术产品部署和使用的整个生命周期,能够通过审查活动提供必要的态势感知的能力。为此,网络安全审查应当具有足够的覆盖度,由“节点控制”转变为“过程控制”,将我国现有仅针对采购环节的审查延伸至整个产品和服务的应用环节,这对全面提升国家网络空间治理体系和治理能力现代化具有重要意义。