2022年1月4日,国家互联网信息办公室会同国家发展改革委、工业和信息化部等多个部门联合发布了新的《网络安全审查办法》(以下简称《办法》)。此次新修订的《办法》共23条,对2020年4月13日公布的原版内容作出了修订。《办法》坚持以关键信息基础设施的供应链安全为核心,重点加强对数据安全的关注和规范,聚焦网络产品和服务以及数据处理活动,助推关键信息基础设施和网络平台高质量发展,对于进一步深化落实总体国家安全观、强化重点行业领域网络安全风险防范、维护企业合法权益和业务连续性具有重要意义。
一、《办法》是进一步深化落实统筹国内国际两个大局,统筹发展和安全两件大事的重要体现
《办法》以促进网络安全产品和服务高质量发展、实现高水平安全为导向,以保障网络安全和数据安全为出发点和落脚点,坚持防范网络安全风险与促进先进技术应用相结合,充分发挥网络安全审查基础保障作用,服务国家网络安全重大战略布局,有效利用法制手段推进国家网络安全治理体系和治理能力现代化建设,推动实现关键信息基础设施运营者采购网络安全产品和服务,网络平台运营者开展数据处理活动的安全性、开放性、透明性、来源的多样性,以及供应渠道的可靠性,防范因政治、外交、贸易等因素导致供应链被迫中断的风险,切实为国家安全、数字经济发展和社会稳定运行筑牢网络安全防线。
《办法》的出台是提升网络空间治理能力、推进国家治理体系和治理能力现代化的必然要求,是用法制手段保障网络安全的重要举措。网络安全审查工作有利于推动安全和发展双轮并进,以安全保发展、以发展促安全,树立底线思维,加强安全可靠产业链供应链建设;有利于促进网络安全供给侧、需求侧协同发展,将网络安全更好的融入国内国际双循环新发展格局,推动实现网络安全技术、产品和服务的协调发展,强化网络安全产业供给能力,助力数字经济稳步发展。
二、《办法》有利于提升相关行业和领域供应链安全及数据安全风险防范能力
《办法》在第五条和第十六条中提出“关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。”“关键信息基础设施安全保护工作部门可以指定本行业、本领域预判指南。”“为了预防风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。”这些要求为我国关键信息基础设施运营者建立了采购及使用网络产品和服务引入安全风险的预判及审查机制。近年来,全球关键信息基础设施网络安全事件层出不穷,涉及能源、医疗、制造等国计民生领域,对当地社会发展与稳定造成严重影响。其中针对系统中第三方产品或服务安全漏洞及脆弱性的恶意利用是破坏关键信息基础设施的重要手段,可能造成设备损坏、系统失效、重要数据泄露等后果。《办法》的实施,有利于关键信息基础设施运营者和网络平台运营者进一步强化网络安全和数据安全意识,引导关键信息基础设施运营者和网络平台运营者将风险保障工作关口前移,防范网络产品及服务供应链中引入安全漏洞、恶意后门,从源头消解安全风险,为关键信息基础设施防范供应链安全和数据安全风险提供保障。
三、《办法》有助于推动实现“高质量+高可靠”发展
《办法》第三条中明确“网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合”。《办法》建立了完整的网络安全审查组织架构、规范的网络安全审查流程、公正的网络安全审查机制,可有效引导相关主体落实网络安全责任,推动网络产品及服务市场健康有序发展。网络安全审查工作充分考虑了当事人建设、生产、服务、研发及投融资等各方面发展需求,构建了中央网信委领导下完整的网络安全审查组织架构,保证网络安全审查活动公正性和透明度。审查重点为产品或服务用于相关场景下可能引入的脆弱性问题以及数据处理活动安全性或对国家安全的影响。《办法》的公开性、规范性、客观性可有效推动关键信息基础设施运营者、网络平台运营者根据要求主动申报网络安全审查,消解供应链安全风险;有效推动网络产品及服务供应商追求“高质量+高可靠”的良性方向发展。
此外,《办法》中对网络平台运营者数据处理活动提出了更加明确的要求:“掌握超过100万用户个人信息并赴国外上市的网络平台运营者必须申报网络安全审查”。当前众多科技、消费及金融公司借助互联网平台已经掌握了大量我国基础资源数据、公民个人数据及行为数据,该类平台企业在开展国外上市融资过程中,针对国外金融监管要求,将大量可能带来国家安全风险的数据提供出国,这一问题已成为国家的重大隐患、企业的巨大风险,已经严重影响企业的正常生产经营活动,威胁国家安全。《办法》的实施有助于消除数据安全监管“灰色地带”,将风险防范控制在事前,防止相关主体出现数据安全风险后“补救困难”的情况出现,让相关主体在安全框架下稳步发展。(作者:张格,国家工业信息安全发展研究中心首席专家、检查评估所所长)