中国网络安全审查制度将出炉 专家吁纳入法制轨道
亚太网络法律研究中心主任、北京师范大学教授 刘德良
中国传媒大学教授、政治与法律学院副院长 王四新
《法制日报》记者 赵 丽 实习生 周 思
对话动机
来自国家互联网信息办公室的消息称,我国即将推出网络安全审查制度。这项制度规定,关系国家安全和公共利益的系统使用的重要信息技术产品和服务,应通过网络安全审查。为何要出台此项制度?网络安全的审查范围和标准是什么?对信息产业和个人信息安全将产生哪些影响?就这些问题,《法制日报》记者与领域内的专家学者展开了对话。
网络治理缺乏统一协调
记者:今年2月,中央网络安全和信息化领导小组成立,中共中央总书记、国家主席、中央军委主席习近平担任组长,在中央网信领导小组第一次会议上,习近平提出“没有网络安全就没有国家安全”,这标志着网络安全上升至国家战略高度。舆论普遍认为,网络安全审查制度的推出和中央对网络安全的重视有着密不可分的关系。
刘德良:从国家、国际以及个人层面上说,我们都将面临一个网络时代。从国际关系的角度上来讲,在互联网时代,一方面要保护狭义上的国家安全,比如国防、军事、政治、经济、文化等,同时在网络时代的国际秩序的构建中,我们国家不能让自己处于被动地位。从斯诺登事件所揭露的情况看,我国在网络安全上所面临的问题也越来越严重。在网络安全领域,美国无论是在技术上还是实际应用上,都比我们领先很多。这都要求我国政府重新评估和认识我国网络安全所面临的威胁。
记者:国家互联网信息办公室发言人姜军表示,近年来,我国政府部门、机构、企业、大学及电信主干网络遭受大规模的侵入、监听。去年6月初发生的“斯诺登事件”,为世界各国敲响了警钟,充分印证了“没有网络安全就没有国家安全”。
王四新:从互联网进入中国开始,中国政府在大力发展网络基础设施的同时,也比较重视互联网安全。政府制定的大量行政法规的相关规定,比如互联网接入机构有义务保证互联网通讯的安全,要将重要数据保存完整记录60天以上,供相关机关查证核实等,都体现了政府对网络安全的重视。
同时,中国在互联网安全问题上采取的措施,也存在一些需要完善的地方。比如,涉及互联网的立法普遍存在立法效力层级偏低和部门分割现象。我们的安全措施具有明显的局部性,互联网安全缺乏顶层设计,没有把互联网安全作为一个统一而庞大的系统工程来对待。虽然互联网涉及的一些安全问题在立法中有所涉及,但网络治理“九龙治水”和条块分割的职权划分,使得操作过程中各部分之间难以统一和有效协调,网络安全也没有上升到国家整体战略的角度进行治理。
系列行动提升网络安全保障
记者:虽然在过去的网络治理的过程中,我们存在一些不足,但值得注意的是,在近一两年,从中央到地方,在针对网络安全的法制保障方面有了令人耳目一新的举措。
王四新:的确是这样。
在立法上,我们以保护个人数据安全为切入口,开始推行网络实名制,目前保护个人数据也进入到了人大立法规划里。去年,我国开始在立法层面展开针对互联网信息管理立法的大量调研和论证工作。
在执法上,去年对网络散布谣言等行为采取了有针对性的措施,“两高”为此还专门出台了司法解释。这都可以看作是中国重构网络秩序的努力。
现在要推行的网络安全审查制度,就是在这个大背景下提出的。我们已意识到网络安全的重要性,开始认真梳理我国网络安全存在的问题,并且采取了一系列措施。实行网络安全审查制度,代表着我们的网络安全工作有了一个新的思路,开始从网络硬件、网络运营的基础软件来解决可能存在的安全问题。
记者:据了解,欧美国家针对信息安全的全链条建立了详尽的审查体系。以美国为例,安全审查不仅局限于产品安全性能指标,还要审查产品的研发过程、程序、步骤、方法、产品的交付方法等。以往我国只是对网络进行表层化管理,主要包括功能符合检测和低层面的安全审查。目前网络产品和服务逐渐向深层次发展,是否意味着对内容的审查也会更加彻底和严格?
刘德良:我们以往对基础设施的审查不够重视。事实上,国外的网络安全更强调基础设施的安全。所以我国在未来对构成网络安全的产品和服务,都应进行审查。美国在进行具体相关网络审查时,既包括产品的服务,也包括整个产业链,还包括主体,如企业的背景。我们未来的审查应比它更加严格,这既是为了保障我国的网络安全,也是为了保障我国的民族产业。
王四新:我们需要对构成网络运转的所有部分,包括主要的硬件设施和重要的软件设施,从总体上进行评估、审查,需要建立全国性的统一的、能够将各种产品、各个职能部门都统摄起来的平台。这些虽然不是信息,不是观念,不是意识形态,但对意识形态安全、对整个网络的平稳运行,都具有重要决定作用。
网络审查应纳入法制轨道
记者:有舆论认为,建设网络安全审查制度是网络安全法制保障的一项重要举措。在保护网络安全的过程中,法治在目前以及将来的作为应该还有很大的空间。
王四新:实行网络安全审查制度是告诉大家,出于对网络安全的考虑,今后我们要对网络产品进行评估和审查。但是,具体怎么操作,目前还没有太明确的流程和太具体的要求。要想使之成为长久发挥作用的制度,就必须逐步将其纳入法制轨道。
刘德良:作为法治国家的中国,站在WTO的机制上来看,要依法进行网络安全的保障,就要在立法上建立相应的保障网络安全的法律制度。
以往的审查主要是针对防火墙、杀毒软件等,没有对硬件甚至是更底层的操作系统进行审查,所以未来对网络安全的审查对象、范围,审查程序以及未来的惩罚制裁的措施,要做到有法可依。
有了明确的法律依据后才能有法必依执法必严,一旦违反中国法律就要进行制裁,除了要求他们退出中国市场之外,还要追究他的法律责任,如起诉,司法介入等。
我们国家要大力鼓励技术产业的发展,在技术上奋发进取,从观念和意识上要重视,建立安全的意识,公民也要有网络安全的忧患意识,但这一切的根本是要以法治为根基。
链接 美国的网络安全审查
网络安全审查,就是对关系国家安全和社会稳定信息系统中使用的信息技术产品与服务进行测试评估、监测分析、持续监督的过程。
2000年,美国率先在国家安全系统中对采购的产品进行安全审查,随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策,实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。审查对象不仅涉及产品和服务,还会针对产品和服务提供商。随后,美国等西方国家为保障国家安全、防范供应链安全风险,逐步建立了多种形式的网络安全审查制度,将全方位、综合性的供应链安全审查对策上升至国家战略高度。
美国网络安全审查标准和过程是不公开的。美国对供应链安全审查的过程、标准、机制完全封闭,不披露原因和理由,不接受供应方申诉,主要考虑对国家安全、司法和公共利益的潜在影响,且其审查没有明确的时间限制。
美国网络安全审查的内容不局限于技术。美国联邦政府要求,不仅要审查产品安全性能指标,还要审查产品的研发过程、程序、步骤、方法、产品的交付方法等,要求企业自己证明产品已经达到了规定的安全强度。
美国要求被审查企业签署网络安全协议,协议通常包括:通信基础设施必须位于美国境内;通信数据、交易数据、用户信息等仅存储在美国境内;若外国政府要求访问通信数据必须获得美国司法部、国防部、国土安全部的批准;配合美国政府对员工实施背景调查等。