中国国家互联网信息办公室(网信办)于2月4日发布《网络产品和服务安全审查办法(征求意见稿)》(下称《意见稿》),进一步明确网络安全的审查内容和范围,并提出将成立“网络安全审查委员会”,在“第三方评价”的基础上对网络产品、服务及其提供者的“安全状况”进行评估。网络安全审查第三方机构则由“国家统一认定”。
国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题;网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。
新京报引述四川大学网络空间安全研究院特聘副研究员洪延青称,网络安全审查工作的组织和领导工作由网络安全审查委员会承担,委员会下设审查办公室,并组建审查专家委员会,三方构成网络安全审查工作的“顶层制度设计”。
中国信息安全研究院副院长左晓栋透露,网络安全审查委员会将是一个跨部门委员会,因为网络安全审查涉及多行业和多部门,需要协调和统筹。
《意见稿》提出,将重点审查网络产品和服务的“安全性、可控性”,主要包括:
- 产品和服务被非法控制、干扰和中断运行的风险;
- 产品及关键部件研发、交付、技术支持过程中的风险;
- 产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;
- 产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;
- 以及兜底条款“其他可能危害国家安全和公共利益的风险”。
《意见稿》称,关键信息基础设施运营者采购的网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定。
洪延青对此解释称,“关键信息基础设施运营者”的判定标准与它是民营或国营公司、国内或国际公司的身份无关,而是取决于其承担的功能及可能造成的影响。他举例称,比如掌握海量个人信息的网约车平台或电商平台,数据一旦泄漏会影响到公众利益,这些平台就算作关键信息基础设施。
早在2014年5月,网信办就宣布要推出网络安全审查制度,以“维护国家网络安全、保障用户合法利益”;去年11月,全国人大常委会通过将于今年6月1日起施行的《网络安全法》,明确可能影响国家安全的关键信息基础设施运营者采购的网络产品和服务,应通过国家安全审查,并从法律上赋予政府在“紧急情况”下可断网的权力。
中国当局称希望通过立法来防止网络袭击、网络诈骗等行为,但也被外界担忧会进一步限制外企发展、压缩言论空间。上月,中国工业与信息化部公布《关于清理规范互联网网络接入服务市场的通知》,宣布自1月22日起至2018年3月31日,在全国范围内对互联网接入服务市场进行清理规范工作,并严管 VPN(虚拟专用网络)服务。