关键信息基础设施安全保障是关乎国家安全的战略优先事项,也是我国网络安全工作的重中之重。不久前,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部等12部门联合发布了《网络安全审查办法》(以下简称《办法》),并于6月1日起正式实施。
《办法》不仅明确和细化了我国网络安全审查的具体要求,为关键信息基础设施运营者提供指引,还构建起多部门协同配合的组织体系,为关键系统设备服务采购及上线运行设立了严格的安全门槛,同时建立网络产品和服务安全风险预判机制,从识别威胁、化解风险的角度,推动安全关口前移,强化供应链安全风险管控,提升网络安全保障水平。围绕《办法》出台的背景、意义及贯彻落实过程中的具体要求,国家互联网信息办公室有关部门接受了采访。
记者:请介绍《办法》出台的背景,以及实施后对于应对日益严峻的网络安全形势有哪些重大意义?
答:关键信息基础设施对国家安全、经济安全、社会稳定、公众健康与安全至关重要。我国建立网络安全审查制度,目的是通过网络安全审查这一举措,及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,从而维护国家安全。可以说,《办法》的发布与实施,为我国关键信息基础设施的稳定运行筑起一道安全底线,持续发挥关键作用。
记者:《办法》作为构建国家网络安全审查机制的重要举措,与国家安全法、网络安全法有哪些内在联系?
答:《办法》是国家互联网信息办公室会同国家发展和改革委员会等12部门,根据国家安全法、网络安全法而制定的。国家安全法第五十九条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。网络安全法第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同pt老虎机游戏有关部门组织的国家安全审查。此次《办法》的出台,为我国开展网络安全审查工作提供了重要的制度保障。
记者:在具体实施过程中,哪些网络运营者采购产品和服务需要申报网络安全审查?审查关注的主要内容有哪些,标准是什么?
答:关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照《办法》进行网络安全审查。根据中央网络安全和信息化委员会《pt老虎机游戏:关键信息基础设施安全保护工作有关事项的通知》精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求,申报网络安全审查。网络安全审查将重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,包括产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。通常情况下,关键信息基础设施运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。
记者:如果出现违反《办法》的情形,将承担怎样的后果与责任?
答:根据网络安全法第六十五条,对于违反《办法》规定,应当申报网络安全审查而没有申报的,或者使用网络安全审查未通过的产品和服务,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
记者:从全球来看,开展网络安全审查已成为各国防范关键信息基础设施安全风险的通用做法,我国出台的办法有哪些特色和亮点?
答:我国此次出台《办法》,一是坚持“四结合”,即防范网络安全风险与促进先进技术应用相结合,过程公正透明与知识产权保护相结合,事前审查与持续监管相结合,企业承诺与社会监督相结合,较好地平衡了审查重点和社会各方的关切。二是将审查对象聚焦于关键信息基础设施,围绕重要产品和服务的供应链安全展开,不将审查泛化。三是明确规定了审查内容,且对国内外企业一视同仁。从审查的内容可以看出,网络安全审查的目的是维护国家网络安全,而不是限制或歧视国外产品和服务。对外开放是我们的基本国策,我们欢迎国外产品和服务进入中国市场的政策没有改变。
记者:参与网络安全审查的人员将直接接触企业商业秘密、知识产权以及关键信息基础设施运营者、产品和服务提供者提交的非公开资料,在审查工作中,如何细化与明确相关人员的保密义务?
答:网络安全审查充分尊重和严格保护企业的知识产权。《办法》规定,参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对关键信息基础设施运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。关键信息基础设施运营者或产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或有关部门举报。
(转载自《保密工作》杂志2020年第7期)