近日,国家互联网信息办公室发布了《网络产品和服务安全审查办法(征求意见稿)》(以下简称意见稿),向社会公开征求意见。意见稿明确提出,党政部门及重点行业须优先采购通过网络安全审查的网络产品和服务,不得采购审查未通过的网络产品和服务。
网络产品和服务的安全性、可控性可以直接影响用户利益、甚至关系国家安全。记者了解到,为了提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益,事实上,早在2014年5月,国家网信办就曾宣布,中国将推出网络安全审查制度,目的是为维护国家网络安全和保障中国用户合法利益。全国人民代表大会常务委员会于2016年11月7日发布的《网络安全法》中明确,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。而本次国家网信办发布的意见稿中,进一步明确了网络安全审查是通过将企业承诺与社会监督相结合,第三方评价与政府监管相结合,并将实验室检测、现场检查、在线监测和背景调查几个方法相结合来进行的,审查对象主要包括网络产品和服务及其提供者。
意见稿还明确了网络安全审查的具体内容,主要包括以下5类风险:产品和服务被非法控制、干扰和中断运行的风险;产品及关键部件研发、交付、技术支持过程中的风险;产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;其他可能危害国家安全和公共利益的风险。
意见稿还指出,网络安全审查针对的是关系国家安全和公共利益的信息系统使用的重要网络产品和服务。所以,并不是所有的网络产品和服务都需要经过网络安全审查。
意见稿还明确了网络安全审查的范围。除了党政部门及重点行业外,金融、电信、能源等重点行业主管部门也需要根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作;关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,也应当经过网络安全审查。
除此之外,国家网信办还通过本次发布的意见稿表示,将会同有关部门成立网络安全审查委员会。网络安全审查办公室会具体组织实施网络安全审查,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估,并会根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等,组织第三方机构、专家对网络产品和服务进行网络安全审查,发布或在一定范围内通报审查结果,还会不定期发布对网络产品和服务提供者的安全评估报告。而网络安全审查中的第三方评价工作是由国家统一认定网络安全审查第三方机构来承担的。
来源:中国政府采购报