信息来源：中国信息产业网

近期，国家互联网信息办公室公布了《网络产品和服务安全审查办法（征求意见稿）》（以下简称“审查办法”），明确指出将成立网络安全审查委员会，统一组织网络安全审查工作。开展网络安全审查是落实《中华人民共和国国家安全法》《中华人民共和国网络安全法》（以下简称“《网络安全法》”）的重要举措，标志着我国在重要网络产品和服务的安全管理方面向前迈进了坚实的一步。

有关背景：

立足国情，顺势而为

当前，网络空间已经成为网络战、情报战的主战场，国家间网络攻防对抗日趋激烈，关键信息基础设施面临的网络安全威胁更加严峻复杂。2015年，美国发布《网络威慑战略》，进一步明确将攻防并举转化为主动进攻的战略基调，2016年奥巴马在G20峰会上公开宣称美国拥有全球最大的数字军火库，网络战威胁加剧。网络产品和服务是构建关键信息基础设施的基础，其安全性、可控性直接影响关键信息基础设施的安全稳定运行，关系用户利益，关系国家安全。

纵观全球，世界主要国家均将网络安全威胁视为国家安全和经济社会发展面临的严重挑战，普遍针对信息技术产品和提供商开展了不同形式的安全审查，网络产品和服务安全审查已经成为国际惯例。例如，美国《国家信息安全保障采购政策》等规定优先采购通过评估的产品，美国国防部针对信息技术产品实施供应链安全审查等；英国要求国外通信设备供应商签订书面协议，进行专门的测试评估、人员审查等。国际主要国家的网络安全审查工作呈现审查范围逐步扩大、审查内容不断扩展、审查形式趋向丰富、审查层次上升至国家安全高度等特征。

我国作为网络大国，也是面临网络安全威胁最严重的国家之一。习近平总书记指出，没有网络安全，就没有国家安全。而维护网络安全，首先要保障网络产品和服务的安全。在此背景下，2014年5月22日国家互联网信息办公室宣布，为维护国家网络安全、保障中国用户合法利益，中国即将推出网络安全审查制度。这是我国首次正式提出建立国家网络安全审查制度。2014年12月，中央网信办《加强党政部门云计算服务网络安全的管理意见》明确提出统一组织党政部门云计算服务网络安全审查，次年6月，党政部门云计算服务网络审查正式展开。作为国家网络安全审查的重要组成部分，党政部门云计算服务网络安全审查的有关工作经验为审查办法的出台和后续工作的开展奠定了重要实践基础。2017年2月，“审查办法”首次面向社会公开征求意见。推行网络安全审查制度既是新形势下我国网络安全保障的现实需要，也是顺应国际趋势、符合国际惯例的正确选择。

行业认识：

统筹兼顾、不可或缺

网络安全审查是“依法治网”的重要举措

党的十八届四中全会以来，中国网络空间法制化进程加快，《中华人民共和国国家安全法》《网络安全法》《国家网络空间安全战略》相继发布。《网络安全法》第三十五条规定，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。制定并实施网络安全审查制度是落实《国家安全法》《网络安全法》的重要举措，将进一步规范和提升关系国家安全和公共利益的信息系统使用的重要网络产品和服务的安全性、可控性，从而更好地维护和保障国家安全和公共利益。

审查实施有助于提高关键信息基础设施安全能力

《网络安全法》对关键信息基础设施的运行安全进行了专门规定，实行重点保护。“审查办法”的第二条、第十一条内容与《网络安全法》直接呼应。实施网络安全审查制度，将进一步明确并强化关键信息基础设施运营者、网络产品和服务提供者的责任义务。关键信息基础设施运营者在采购时，需审慎对待拟采购的网络产品和服务，可能影响国家安全的，应当经过网络安全审查。网络产品和服务提供者则要及时向用户告知安全缺陷、漏洞等风险，持续提供安全维护服务，不可利用提供产品和服务的便利条件非法获取或利用用户信息，不可利用系统漏洞或设置恶意程序非法控制和操纵用户的系统和设备,不可通过用户对补丁升级等服务的依赖实施不正当竞争等。此外，“审查办法”还将网络产品和服务提供者的安全可信情况、供应链安全情况纳入审查范畴，体现出逐渐向深层次发展，而非停留在产品或技术的表层。网络安全审查制度的实施，将极大地促进网络产品和服务的安全性、可控性的提升，对于加强关键信息基础设施的网络安全保护、提升关键信息基础设施安全可控水平具有重要意义。

审查办法坚持国家总体统筹，兼顾行业需求

“审查办法”指出，金融、电信、能源等重点行业主管部门，根据国家审查工作要求，组织开展本行业、本领域网络产品和服务审查工作，充分体现了坚持国家总体统筹、兼顾重点行业特色特点的中国模式。以电信和互联网行业为例，网络基础设施承载着大量的重要信息系统和用户数据，其安全稳定运行事关国家安全、经济发展、社会稳定，事关人民群众的切身利益。随着“互联网 ”、大数据等网络强国战略的推进实施，网络基础设施的基础性、全局性地位更加突出，构建网络基础设施的网络产品和服务的安全性、可控性至关重要。当前，我国核心技术和关键设备依然处于追赶状态，部分高端产品和核心部件仍然依赖国外，网络基础设施供应链安全问题不断凸显。“棱镜”事件充分暴露出美国情报机关将我国网络基础设施作为攻击控制的重点目标。为提升网络产品和服务的安全性、可行性，防范供应链安全风险，根据国家网络安全审查工作要求，开展电信和互联网行业网络产品和服务安全审查，实为势在必行。

几点思考与建议

积极妥善应对国际舆论压力

“审查办法”公布后，国外媒体密集报道引发舆论热议。路透社以中国将进一步强化互联网监管为题发表评论，受到多家媒体转载。长期以来，国外媒体和西方国家高层高度关注我国网络安全相关政策举措，并通过媒体报道评议、政府官员表态、致电致信交涉等方式予以施压。早在2015年2月，路透社就曾发表题为“中国将领先科技品牌剔除在政府采购之外”的文章，质疑我国政策违反国际贸易准则。《国家安全法》《网络安全法》出台时，国外媒体同样激烈评议。因此，在战略层面，针对未来“审查办法”正式出台、审查工作正式实施过程中可能遇到的舆论焦点和争议，建议相关部门前瞻考虑，做好应对，积极回应，争取舆论主导权。

尽快明确关键信息基础设施的范围

按照《网络安全法》和“审查办法”规定，关键信息基础设施运营者采购网络产品和服务，影响国家安全的，应当通过国家网络安全审查。可见，关键信息基础设施运营者在网络安全审查的完整流程中扮演重要角色。目前《网络安全法》已经建立起关键信息基础设施的有关概念，但仍缺乏明确的关键信息基础设施名录或清单，建议尽快明确关键信息基础设施范畴，推动“审查办法”落地实施。

正确认识和把握网络安全审查与安全测评、认证的差异

根据“审查办法”，网络产品和服务的安全审查将坚持第三方评价与政府监管相结合的方式，第三方评价可能采取实验室检测、现场检查、在线监测等形式。仅从第三方评价这一形式看，与我国现有的网络安全评测、网络安全认证等存在相似之处。但从本质上，必须牢牢把握审查与测评、认证的出发点及落脚点之间的差异，把握国家安全要求与基线性安全要求的差异，把握预防与威慑的差异。开展网络产品和服务安全审查的目的是为了维护国家安全和公共利益，在实际实施中务必坚持审查的力度、深度和远度，将立足于国家安全的高度、紧密围绕国家安全和公共利益需求作为网络安全审查工作的基本遵循。