从国家网络治理看国家网络安全审查制度
发布时间:2015-04-16编者按:网络空间的开放性,大大加快了世界全球化进程。但没有规矩不成方圆。开放自由某种程度上促进了网络安全威胁的形成和扩散,使得网络成为一个更加需要保护公众利益的领域。因此,推出网络安全审查制度的根本目的还是以提升国家网络空间治理体系和治理能力现代化为目的,实现网络发展自由与安全自主的统一、网络言论自由与保护隐私安全的统一、发现网络安全威胁与消除安全隐患的统一。
人类已经进入网络时代,国家、企业和个人的利益在网络空间充分延伸,同时也带来了各种各样的安全风险,网络安全已经成为国家安全的重要组成部分。当前,网络空间的发展已经越来越表现为从无序走向有序,网络治理已成为世界共识。网络空间治理与现实空间一样,都需依法而治,网络安全也要靠立法加以提升,美国、日本等发达国家早在十多年前就已经建立了完备的网络安全审查制度体系。为维护国家网络安全、保障中国网络用户合法利益,我国即将推出网络安全审查制度,对于提升网络空间安全法规建设水平,增强国家网络空间治理能力,维护新形势下国家安全具有重要意义。
一、网络安全审查是实现网络发展自由与安全自主的统一
网络本身是没有国界的,其存在的价值是打破了人与人交流的空间障碍。那么是否基于网络的这种自由性特征,就可以仅仅依靠发挥网络自身发展的原动力,任其自由发展,对网络进行最低程度的监管呢?事实证明,这种观点是非常片面的。正是网络发展的自由性,反而给我们保障网络安全提出了更高的要求。实施网络安全审查制度,不仅能够增强国家安全的防范门槛,也成为信息网络产业发展的重要保障。
(一)网络安全审查有利于提高国家网络安全自主可控水平
由于过去我国网络空间发展是分散建设、分而治之,没有高层机构和相应制度负责国家的网络安全,导致我国网络基础设施和核心技术设备中大量采用外国软硬件,例如在骨干网的路由器中,60%都是美国思科的产品,存在严重安全隐患。严峻的形势要求我们必须尽快改变在网络关键核心技术上受制于人的局面,并建设自主可控的技术平台,但这是一个长期的系统工程。在不能短期内改变现状的情况下,要实现安全自主可控,就只能从制度和规范入手,加强网络安全的管理和审查,采用各种法规措施来保障网络信息安全,以便能够及时应对各种安全威胁,通过法制手段最大限度地减少网络安全的风险。我国推行网络安全审查制度,就是对关系国家安全和社会稳定信息系统中使用的信息技术产品与服务进行测试评估、监测分析、持续监督的过程,是为了在国产化网络安全体系尚未建成之时,以严格的审查制度防堵安全漏洞,从而提高网络安全防护水平。
(二)网络安全审查有利于监督和促进国内网络信息产业良性发展
网络的发展自由既是市场经济也是法制经济,要充分利用法治力量,推动网络信息企业快速健康发展。网络安全审查并不是贸易保护,实施网络安全审查制度不会损害网络信息产业,相反,它能够有效促进其发展。网络安全审查对信息企业发展能产生何种影响,主动权其实掌握在企业手中。无论是国内产品还是国外产品,只要也只有符合我国的网络安全标准,才能进入市场自由流通,反之,如果安全性不达标,就会被市场淘汰。这样必将促使企业更为重视产品的安全性能,增大产品设计和实现过程中的安全投入,进而促进信息技术快速发展。同时,网络用户对信息安全的重视程度不断提高,民众会因为审查的实施,增强对产品的信心和信任度,必然倾向于选择安全审查过关的产品。这样,产品的安全性高,用户信任度也会高,市场占有率也会越来越高,从而形成市场的良性互动。因此,对网络产品和服务的提供商、运营商和服务商进行审查,能够实质促使企业规范自身行为标准,提高服务质量,进而推进信息产业更加健康有序的发展。
(三)网络安全审查有利于反击外国不公平竞争格局
中国工程院院士倪光南表示,在保障安全的同时,网络安全审查制度提高了外企入华门槛,也将成为我国遭遇不公平贸易待遇时的反制裁武器。基于维护自身安全和社会稳定,针对信息技术产品及其供应商采取不同形式的网络安全审查,美国早有先例,2012年,美国众议院情报委员会就以国家安全为由,对中国企业进行知识产权、窃取商业机密调查。此外,为应对日益广泛的云计算,美国政府还针对云计算服务提供者进行安全审查,并明确规定联邦政府部门只能选择通过审查的云计算服务提供者提供的服务。现在我们即将推出中国网络安全审查制度,将来美国、印度等国家再出现针对我国华为、中兴等企业网络设备的诘难与限制情况,搞不公平竞争,我们也有了反击反制的法理依据。中国的网络安全审查制度对进入我国市场的重要信息技术产品及提供者都将进行安全审查,一旦发现产品提供者借助提供产品之便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息,其所有的产品和服务都应不得在我国境内使用,这必将会对国外的网络技术垄断格局造成影响,对国外企业的不公正竞争行为形成威慑。
二、网络安全审查是实现网络言论自由与保护隐私安全的统一
互联网交流的开放性和广泛性,给中国社会发展带来的变革作用是巨大的,但同时,它所造成的社会失范、失序也是不容回避的事实。推出网络安全审查制度,将能够兼顾保障网民隐私安全和言论自由,实现网络空间生产生活的和谐有序。
(一)网络安全审查有利于保障民众隐私安全
随着智能手机、移动终端等信息产品的普及,民众对信息产品的安全性也越来越重视。但是由于缺乏第三方约束机制,许多厂商对产品的安全属性不够重视,甚至明知有安全缺陷却拒不更改,更有部分厂商故意在产品中设置后门和陷阱,窃取用户信息和数据,由此带来的用户隐私泄露问题时有发生。网络安全审查制度,在很大程度上能够保证网络产品和服务的安全性,为公众网络信息安全提供了深层次的保障,使得公民的个人信息和数据不会被轻易泄露和恶意使用。网络安全审查主要是针对提供技术产品和服务的厂商,只有尽早排除厂商技术产品和服务的安全隐患,才能更有利于保障个人信息的安全。国家推出网络安全审查制度,涵盖了国家战略层面和个体层面的综合考虑,对外能有效降低我国日益严峻的网络安全风险,对内也将成为用户合法权益不受侵害的重要保障。
(二)网络安全审查有利于促进网络言论自由
近年来,随着中国互联网进入快速发展的轨道,网络用户的数量迅速膨胀,中国言论自由的范围急速扩大。中国网民的意见成为中国舆论的重要组成部分,深刻地影响了中国社会的各个方面。互联网成为中国民众表达意见、参与决策、监督政府的重要手段。这种情况下,有人提出网络安全审查制度是否会影响网络言论自由的现实问题。实际上,网络安全审查制度对于网络言论自由而言,更是起到保护伞和压仓石的作用。中国的网络安全审查制度,针对的是关键公共设施软硬件的安全,其审查对象是企业及其产品,而不是对网络空间发表和延展的言论内容层面的管控。从构造网络社会环境的角度来看,网络安全审查反而是相当于为网民的信息发布和存储提供了安全可靠的基础运行平台,将更能够促进网络言论自由的持久与有序。
(三)网络安全审查有利于改变目前国内互联网安全形势
良好的秩序,必须靠规则来维护。互联网是自由开放的平台,人人都有麦克风,人人都有话语权,但遵守法律是基本准则,底线不可逾越。1994年4月20日,中国首次接入国际互联网,成为国际互联网大家庭中的第77个成员,而今已走过20个年头。据统计,我国网民超过6亿,网络近400万家,互联网企业总市值超过3000亿美元,中国有3家网络企业进入世界前10强。我国俨然已成为世界互联网大国。而从另一方面看,中国是网络攻击的主要受害国,网络安全形势也非常严峻。少数国家政府和企业长期利用自己产品的单边垄断和技术独霸优势,大规模搜集敏感数据,近年来,我国政府机构、企业、大学和电信主干网络都遭遇大规模的侵入、监听,深受其害。网络安全审查制度的出台,将成为维护国家安全最有效的法理依据,能够对目前国家存在的各种网络安全风险和威胁起到有效地防范、遏制作用,对于建设网络强国具有重要的现实推动意义。
三、网络安全审查是实现发现网络安全威胁与消除安全隐患的统一
网络和信息安全牵涉到国家安全和社会稳定,是我们面临的新的综合性挑战。现在国家实施网络安全审查,实质上是要以制度的完善来弥补技术的差距。因此,凡是涉及国家安全和公共利益的信息系统,其中使用的信息技术产品和服务,都要进行安全审查,这既是为了能够及早发现网络安全威胁,也是为了能够及时消除网络安全隐患。
(一)网络安全审查有利于在源头上防范安全威胁
网络安全审查的最终目的是拒网络安全威胁于未然。随着网络对国家安全、民众生活的影响越来越深远,加强网络安全监管是必然趋势。特别是“棱镜门”事件曝光以后,使国家和普通网民更进一步认识到网络安全监管的重要性和必要性,正因为如此,更加有必要推行网络安全审查制度,以便于能够从源头上杜绝网络安全风险和隐患,确保公共安全和国家网络空间安全。在关注层面上,网络安全审查重点针对涉及国计民生的核心网络节点,例如核心骨干网络路由器设备必须采用经安全检测过的设备,对于在建项目必须立即停止使用有隐患的产品,逐步有序地采用安全设备进行替换,对于设备中具有的监听、监控等功能全部从代码中删除,全面整改安全漏洞和缺陷,避免不当使用造成严重的安全事故。
(二)网络安全审查有利于防控已有威胁蔓延
针对目前中国信息通信系统面临的严峻安全形势,有必要采取一系列的应对措施,以防止已采用的像思科公司这样的国外厂商设备所存在的安全隐患,威胁中国网络信息安全。通过网络安全审查制度,要求国外网络设备提供商提供已售设备的全部源代码,将其销售的产品进行全面脱敏处理,特别是可能存在的系统后门,来降低这些安全隐患所造成的风险。并全面审查国外设备的源代码,进行安全风险测试。网络安全审查应包括事前审查、事中监测和事后惩处三部分。在信息产品进入市场前,要对用户信息安全进行技术审查,同时对该产品是否对国家安全造成影响、是否会产生垄断等社会经济安全影响进行评估,而对于已进入市场的信息产品也并非绝对安全,补丁和升级都可能带来新的安全隐患,因此同样需要进行审查和检测。对于存在问题的产品和服务,采取坚决处理措施,彻底弃用该产品和服务,确保只有符合安全标准的产品才能进入政府机构、交通、电力、金融等重要领域,保障国家信息安全。
(三)网络安全审查有利于促进现有网络安全布局整改
以往我国只是对网络进行表层化管理,现在网络产品和服务正逐渐向深层次发展,若继续沿用以前的监管办法,就很可能会出现网络监管漏洞,进而给国家和用户安全造成损失。国家推出网络安全审查制度,能够以此为依据,对网络系统进行全面审查,排查现网络设备的安全风险和漏洞,发现问题及时完成安全整改,全网升级所有存在安全漏洞的设备。网络安全审查过程除要求多个相关部门协助外,还将引入第三方专业的检测机构和技术专家人员参与,以保证审查过程的客观公正和专业可靠。对发现存在安全隐患的网络产品和服务,不论是外国企业还是中国境内企业,都要严格对待,都要遵从、适应网络安全审查制度的实施,满足国家关键基础设施和重要信息系统的安全性能要求,在保障安全的前提下实现良性发展、持续发展和正规发展。
(作者单位:国防大学研究生院)
(来源:《中国信息安全》)