左晓栋强调,网络安全审查制度是针对提供技术产品和服务的厂商,而非针对网络的用户及信息内容。
焦点3 审查范围如何界定?
看信息系统为谁服务
审查对象包括“关系国家安全和公共利益的系统使用的重要信息技术产品和服务”,那么实际操作中如何界定?
对此,倪光南认为,界定需要考虑两个方面,一是需要考虑信息系统为谁服务、与谁相关?例如,如果信息系统和政府相关,或者关系到国家的经济命脉,那么,这样的信息系统就可以认为是关系国家安全和公共利益的系统。
另外,还需考虑所采用的产品和服务的性质,是属于一般的,还是重要的?这两方面的考察,可以界定产品和服务是否属于审查制度适用的范围。
他解释,此次制度与以往的规定的主要区别有两点。首先是,管理的范围不同。“以前管理的主要是信息安全产品,比如防火墙,防中毒软件等等。”而现在的制度重点则是关于国家安全和公共利益的产品与服务。
第二个区别则是,以前对产品进行的是复合型检查,如果产品符合标准中的要求,就给发证。但是,如果产品除了写在白纸黑字上的功能之外,还有其他的功能,理论上很难发现,或者说,以前检查的重点不在此。
焦点4 制度违背国际规定?
专家称不违背WTO规定
对国外信息技术产品及服务的审查,或将引起外界对中国政府是否违背WTO规定的争议。对此左晓栋认为,目前中国规定的是涉及国家安全与公共利益领域的信息产品和服务的重要产品。根据WTO的规定,是可以适用其“安全例外”条款(第21条)。
国信办官员也表示,该制度并不违背WTO的规定。目前,在别的国家也有对于网络安全审查制度。他强调,我国的网络安全审查制度不搞国别差异,也不针对特定的地区和特定的国家。
此外,该规定是否会打击企业的利益?对此左晓栋认为,该制度对合法企业不存在伤害利益的情况。
上述官员认为,“网络安全审查,使得产品和服务更安全,使得用户放心地使用产品。因此我们认为,会促进信息产业的发展。”
中国网络面临哪些威胁?
少数国家政府和企业利用自己产品的“单边垄断”和技术“独霸”优势,大规模收集敏感数据,不但严重损害了广大用户的利益,而且对其他国家的网络空间安全造成巨大威胁。
今年3月19日至5月18日,2077个位于美国的木马或僵尸网络控制服务器,直接控制了我国境内约118万台主机
2016个位于美国的IP对我国境内1754个网站植入后门,涉及后门攻击事件约5.7万次
审查的对象有哪些?
进入我国市场的重要信息技术产品及其提供者
标准:是否关系国家安全和公共利益
审查的方式是什么?
事前审查
事中监测
事后惩处
第三方机构
未进入市场的
对用户信息安全进行技术审查,同时对该产品是否对国家安全造成影响、是否会产生垄断等社会经济安全影响进行评估。
已进入市场的
并非绝对安全,补丁和升级都可能带来新的安全隐患,因此同样需要监控。
美国如何进行审查?
美国网络安全审查标准和过程是不公开的。美国对供应链安全审查的过程、标准、机制完全封闭,不披露原因和理由,不接受供应方申诉。主要考虑对国家安全、司法和公共利益的潜在影响,且其审查没有明确的时间限制。
案例:2012年,美国众议院情报委员会就以国家安全为由,对中国企业进行安全审查。
