什么样的网络产品和服务可能被要求进行网络安全审查?

发布时间:2017-05-09 作者:

  什么样的网络产品和服务可能被要求进行网络安全审查?

  《网络产品和服务安全审查办法(试行)》讨论之一

  《网络产品和服务安全审查办法(试行)》由网信办于2017年5月2日颁布,自2017年6月1日起实施。

  《网络安全法》首次正式规定了“网络安全审查”:“第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。” 一般来说,网络安全审查可以看作是《国家安全法》规定的“国家安全审查“在网络或网络安全领域的体现。(《国家安全法》:第五十九条 国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的……网络信息技术产品和服务……,进行国家安全审查……。)

  从《网络产品和服务安全审查办法(试行)》的全文看,网络安全审查的对象也是“网络产品和服务“,与《网络安全法》的规定相同。对网络安全审查对象的描述,主要体现在以下两条:

  第二条 关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。

  第十条 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过网络安全审查。产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定。

  可以看出,要经过或通过(姑且认为这里“经过“和”通过“为同义词)网络安全审查的网络产品和服务有两个条件:一是关系国家安全的信息系统(简化为)中的重要网络产品和服务,另一个是关键信息基础设施中可能影响国家安全的网络产品和服务。那么“关系国家安全的信息系统”和“关键信息基础设施”是个什么关系?大致看起来,可能有三种关系:

  一、关键信息基础设施属于关系国家安全的信息系统的一部分,或者说关系国家安全的信息系统包含了关键信息基础设施,或者说所有的关键信息基础设施都关系国家安全。这意味着,关键信息基础设施中“可能影响国家安全”的网络产品和服务与关系国家安全的信息系统中的“重要”网络产品和服务意义相同,都需要通过网络安全审查;而关键信息基础设施中“不”“可能影响国家安全”的网络产品和服务,就与关系国家安全的信息系统中的“非”“重要”网络产品和服务意义相同(尽管这种解释稍勉强),都不需要通过网络安全审查。另外还有一部分:关系国家安全的信息系统中不属于关键信息基础设施的部分中,非重要网络产品和服务也不需要通过网络安全审查。

  同时,这样可以认为《网络产品和服务安全审查办法(试行)》作为基于《网络安全法》的“实施细则”,实际上扩大了《网络安全法》对网络安全审查规定的范围。但是,《网络产品和服务安全审查办法(试行)》第一条又说:“依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。” 而《国家安全法》在提到对“网络信息技术产品和服务”进行国家安全审查时又没有限定于关键信息基础设施,因此《网络产品和服务安全审查办法(试行)》确定的范围又有法律依据。

  二、关系国家安全的信息系统和关键信息基础设施意思完全相同,是等同关系,仅是一个对象的两种表述方式而已。如此,关键信息基础设施中的可能影响国家安全的网络产品和服务就等同于关系国家安全的信息系统中的重要网络产品和服务,都需要通过网络安全审查;而其他的部分则不需要通过网络安全审查。并且,《网络产品和服务安全审查办法(试行)》确定的需要进行网络安全审查的网络产品和服务的范围就与《网络安全法》完全一致。

  三、关键信息基础设施包含了关系国家安全的信息系统,或者说关系国家安全的信息系统是关键信息基础设施的一部分。从《网络产品和服务安全审查办法(试行)》的上下文关系和各条的位置来看,这种解释的可能性较小,这里就不做讨论了。

  另一个问题,谁来定义或者确定网络产品和服务是否可能影响国家安全或者是否重要呢?

  按照《网络产品和服务安全审查办法(试行)》第十条的规定,关键信息基础设施中的网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定。对于这种安排,网信办或“网络安全审查委员会”或“网络安全审查办公室”或“网络安全审查专家委员会”可以制定可能影响国家安全网络产品和服务的判断指南,用于指导关键信息基础设施保护工作部门所负责的确定工作。也可以通过全国信息安全标准化技术委员会以国家标准的形式制订该指南。(关键信息基础设施的定义由《网络安全法》和正在起草的“关键信息基础设施保护条例”来完成。)这样的指南可能是公开的规定或标准,也可能作为保密的内部文件或规定来执行。

  目前,尚不清楚对于“关系国家安全的网络和信息系统”,应该由谁、如何判断是否“关系国家安全”,以及相关的网络产品和服务是否属于“重要”等。也许应该由网信办或网络安全审查委员会等来制定相关规定和具体判断。

  颁布的《网络产品和服务安全审查办法(试行)》比起之前的“征求意见稿”已经有了很大的改进;从以上讨论可以看出,该办法仍有一些方面需要有关主管部门进一步予以说明和完善,以利于办法的顺利实施。


返回上一级

400-622-8990