近期,网络安全审查连续启动,引发社会关注。记者梳理发现,这是去年4月《网络安全审查办法》发布以来,正式开展的首轮审查行动。
网络安全审查与一般审查有何不同?具体审查哪些内容?违反办法又将承担哪些法律责任?
问题1
网络安全审查与一般审查有何不同?
“网络安全审查不同于测评、认证,也不同于通用性审查、外商投资国家安全审查,重点审查网络产品或者服务是否存在影响关键信息基础设施安全和国家安全的威胁或者风险。”北京邮电大学互联网治理与法律研究中心副主任崔聪聪曾发表文章指出。
近年来,全球范围内针对关键信息基础设施的网络攻击行为不断攀升,涉及金融、医疗卫生、交通、能源、工业控制等领域,影响范围广泛、程度严重。开展网络安全审查成为各国防范关键基础设施安全风险的通用做法。
依据《国家安全法》和《网络安全法》,2020年4月,国家互联网信息办公室、国家发改委等12部门联合发布《网络安全审查办法》。
国家互联网信息办公室有关负责人曾在《网络安全审查办法》发布时介绍,我国建立网络安全审查制度,目的是通过网络安全审查这一举措,及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。
国家工业信息安全发展研究中心主任尹丽波曾发表文章指出,通过开展网络安全审查,可以预判和检查产品及服务投入使用后可能带来的网络安全风险,防范因供应链产品安全漏洞引发的安全事件,从源头上消除安全隐患。
问题2
网络安全审查主要审查哪些内容?
国家互联网信息办公室有关负责人曾介绍,网络安全审查,重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险。
其中包括,产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。
根据《网络安全审查办法》,网络安全审查办公室设在国家互联网信息办公室。具体工作委托中国网络安全审查技术与认证中心承担。
问题3
网络安全审查是否会限制国外产品?
国家互联网信息办公室有关负责人曾就该问题回应称,网络安全审查的目的是维护国家网络安全,不是要限制或歧视国外产品和服务。“对外开放是我们的基本国策,欢迎国外产品和服务进入中国市场的政策没有改变。”
“我国网络安全审查制度的设计,对国内供应商和国外供应商一视同仁。只要符合网络安全基线的产品或者服务,都可以在关键信息基础设施中使用,而不论供应商国籍和产品来源地,这为全球网络产品和服务市场创造了一个公平竞争的场所和环境。”崔聪聪指出。
此外,崔聪聪认为,我国的审查办法明确了审查主要考虑的五方面因素,能够最大限度保证审查活动的公正性和透明度,有利于消除各方将网络安全审查制度作为“政策工具”的顾虑。
问题4
违反审查办法将承担哪些法律责任?
通常情况下,网络安全审查在45个工作日内完成,情况复杂的会延长15个工作日。进入特别审查程序的审查项目,可能还需要45个工作日或者更长。
根据《网络安全法》第六十五条规定,应当申报网络安全审查而没有申报的,或者使用网络安全审查未通过的产品和服务,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
《网络安全审查办法》要求,运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺,网络安全审查办公室通过接受举报等形式加强事前事中事后监督。崔聪聪认为,这意味着监督拓展至网络产品和服务的整个生命周期。