AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
媒體報道
解讀 | 我國網絡安全審查制度的建立與實踐
網絡安全審查是國際通行做法
網絡安全審查制度的建立與實踐
上世紀80年代,美國加強國家安全審查,出臺《信息設備政府采購法》,并制定信息安全測試評估的技術標準,授權國家安全局等部門聯合執行。在信息技術全球化推動之下,供應鏈安全問題凸顯,美國開始建立安全審查制度,對產品安全、技術轉移、企業并購和敏感投資實施安全測試、風險評估等涉及國家安全事項的調查。2000 年,美國率先在國家安全系統中對采購的產品進行安全審查,隨后陸續針對聯邦政府云計算服務、國防供應鏈等出臺了安全審查政策。“911”事件后,美國擴大了對政府采購信息設備審核監督的權力及范圍,形成了一套嚴格的國家安全審查制度。國會授權美國總統設立外國投資委員會(CFIUS)負責國家安全審查工作,并充分發揮美國信息安全行業和專業測試機構的力量,憑借經濟、技術優勢,跟蹤相關國家標準化戰略和政策動向,控制國際標準主導權,確保本國企業及其技術的國際競爭力。包括俄羅斯、澳大利亞、日本、加拿大、印度在內的其他國家紛紛效仿,建立了多層次、多領域的安全審查制度,以“國家利益”為核心,技術測評與行政管理相結合,靈活性強。多數國家對涉及本國關鍵行業的外資活動進行重點審查,重點控制外資及信息技術產品進入金融、能源、交通等基礎設施領域,避免因此帶來安全隱患和漏洞,危及國家安全。有的國家,外資進入初期看似無強制性要求,一旦涉及國家安全領域則啟動嚴格的審查,且審查時間曠日持久不可預控。
我國適時建立了行之有效的
網絡安全審查制度
網絡安全審查制度的建立與實踐
加強網絡安全審查制度建設,是貫徹習近平總書記推進治理體系和治理能力現代化重要思想的具體體現。建立網絡安全審查制度,是一件維護國家主權、安全和發展利益的戰略行為,是我國國家治理體系不可缺少的重要一環。隨著我國網絡空間安全戰略的構建與實施,網絡安全審查法制化建設也走上了快車道。2014 年,中央網信辦發布《關于加強黨政部門云計算服務網絡安全管理的意見》,明確中央網信辦會同有關部門建立云計算服務安全審查機制。強調“安全性”與“可控性”并重。2017 年 6 月實施的《中華人民共和國網絡安全法》第三十五條規定:“關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查”,標注了網絡安全審查法治化建設的“零公里”。2017 年 5 月國家互聯網信息辦公室印發了《網絡產品和服務安全審查辦法(試行)》,從 2017 年 6 月 1 號開始試行。在此基礎上,2020 年 4 月,國家互聯網信息辦公室聯合國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局 12 家部委發布了《網絡安全審查辦法》并于 2020 年 6 月 1 日正式實施。
我國網絡安全審查制度的
出發點與目標
網絡安全審查制度的建立與實踐
《網絡安全審查辦法》的第一條明確指出“為了確保關鍵信息基礎設施供應鏈安全,維護國家安全,依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》,制定本辦法”。既有明確的保護對象和范圍,也有非常寬泛的適用原則。可以說,在網絡與信息技術領域“維護國家安全”,是網絡安全審查制度的出發點,確保關鍵信息基礎設施和供應鏈安全是審查主要目標。
我國網絡安全審查制度的
實踐與特色
網絡安全審查制度的建立與實踐
《網絡安全審查辦法》的第九條,列出了關鍵信息基礎設施安全、數據安全、業務連續性安全、供應渠道安全以及合規合法等 5 類安全風險考慮因素,本質上,5 類風險要素的存在就是啟動“審查”的條件,對五類風險要素的評估也是進行網絡安全審查的重點 。在審查對象層面,國家互聯網信息辦公室發言人姜軍公開表示,我國網絡安全審查制度“不針對任何國家和地區”。對發現存在安全隱患的網絡產品和服務,不論是外國企業還是中國境內企業,都一視同仁,都要遵從、適應這一管理制度的實施,在保障安全的前提下實現良性發展。實踐證明,對網絡產品和服務的提供商、運營商和服務商進行審查,根本目的是保證產品和服務的安全性,為國家重要數據,為公眾網絡用戶信息提供更深層次的保障。在操作層面,我國網絡安全審查制度設計的一般程序是被審查對象的主動申報機制,并規定了審查的申報、啟動、處理流程及時間要求,而針對涉及國家安全的嚴重隱患情況,則明確了審查機構的主動發起機制。《網絡安全審查辦法》第十五條規定“網絡安全審查工作機制成員單位認為影響或可能影響國家安全的網絡產品和服務,由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后,依照本辦法的規定進行審查。”因此,在我國網絡安全審查制度的實際執行當中,一方面,網絡安全審查工作的常態化主動申報機制和針對重大安全隱患的審查機構主動發起機制,確保了網絡安全審查對安全事態的全面覆蓋和靈活運用,另一方面”事前審查、事中監測以及事后懲處相結合的全方位的安全審查治理方式,增強網絡安全審查制度的威懾力和強制力。
網絡安全審查制度
對數據安全保護的要求
網絡安全審查制度的建立與實踐
目前,在網絡安全審查制度實施過程中,對數據的保護引起廣泛關注。在現行《網絡安全審查辦法》第9條中將“重要數據被竊取、泄露、毀損的風險”列為重點考慮的安全風險要素。針對數據安全的審查制度,在即將于2021年9月1日生效的《數據安全法》第24條中,進行了明確規定,即“國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。”由此確立數據安全審查制度。而依法作出的數據安全審查決定為最終決定,意味著數據安全審查的決定一經作出即告生效,不會進入行政復議或行政訴訟程序。《數據安全法》的發布實施,是網絡安全審查制度的重要依托和實施依據。一方面,在重要數據、個人數據跨境傳輸過程中,成為維護國家安全,保護個人權益的重要保護屏障。另一方面,強有力地規范了國內外企業在我國境內合法合規利用數據要素,保障數字經濟的健康發展。
