網絡安全審查制度設計的初衷

網絡安全審查屬于國家安全審查的一種，是重要的國家網絡安全保障制度，其通過識別和防范關鍵信息基礎設施在采購網絡產品和服務過程中可能引入的國家安全風險，能夠在源頭上緩解和控制網絡風險對國家安全和社會福祉構成的潛在威脅。

網絡安全審查以保障國家安全為制度功能，是在網絡產品和服務安全風險泛化態勢下提升國家網絡安全能力的必要方法和手段。近年來，網絡空間博弈趨于復雜。全球化的網絡產品和服務采購活動不可避免地將面臨更為開放且缺乏安全控制的外部環境，逐步層次化和復雜化的供應鏈勢必導致不安全的網絡產品和服務擁有更為便利的滲透機會。毫無疑問，這些不安全的網絡產品和服務正在成為針對關鍵信息基礎設施實施網絡間諜和網絡破壞活動的主要媒介。國家必須更為審慎地對待通過供應鏈滲透引入的國家安全風險，建立并實施有效的網絡安全審查制度意義重大。

網絡安全審查是國際通行做法

迫于全球網絡安全的嚴峻態勢，建立并適用網絡安全審查制度開始逐步成為國際通行做法。

美國開展了多種形式的網絡安全審查。例如，2000年，美國率先在國家安全系統中對采購的產品進行安全審查；2013年11月，美國國防部規定國防系統及其合同商采購的產品和服務要經過供應鏈安全審查；2014年《綜合持續撥款法案》規定商務部、司法部、國家宇航局和國家科學基金會采購高影響或中度影響的信息技術系統之前，必須進行供應鏈安全審查，并評估可能出現的網絡間諜或破壞行為。美國商務部在發布的2015-08號采購政策中明確了部門內部供應鏈安全審查的內容和程序，落實《綜合持續撥款法案》的強制性要求。2019年美總統令《確保信息通信技術與服務供應鏈安全》、2020年《安全和可信通信網絡法》都建立了相應的審查制度。

英國內閣辦公室在頒布的09/14號行動公告中同樣規定，自2014年10月1日開始，中央政府信息技術采購特定信息技術產品和服務之前，例如采購參與處理個人信息和提供特定信息通信技術產品和服務，信息技術產品和服務的提供商應接受必要的安全審查。

審查辦法體現出諸多制度亮點

此次國家互聯網信息辦公室等12個部門頒布的《網絡安全審查辦法》無論在制度設計還是規范內容方面都更具科學性和合理性，體現出諸多制度亮點。首先，確立了兼顧“安全”和“發展”的審查理念，明確提出堅持防范網絡安全風險與促進先進技術利用相結合。在保障國家安全的同時，也兼顧到經濟和產業發展；其次，將單一機構審查模式轉變為審查聯席機制，將發改、工信、公安、國安、財政、商務等重要的國家部委納入審查工作機制，更有助于國家安全風險的識別和判斷；再次，明確規定了運營者的申報義務，確立了“依申請”的審查啟動方式，保證了網絡安全審查的有效性。同時，充分尊重運營者對自身安全狀況判斷的專業性，在運營者預判采購活動影響或可能影響國家安全的情況下，才要求予以申報。這在一定程度上也避免了安全審查可能對關鍵信息基礎設施正常運維進行的非必要干預；最后，明確了審查期限，使運營者對未來的審查流程有確定性的時間預估，對暫停采購可能產生的網絡產品和服務部署中斷情況進行事先保障。

在全球范圍內，網絡安全審查尚屬新興法律制度，各國均處于初步的制度探索階段。我國是較早制定國家網絡安全審查法律制度的國家之一，有能力也有機會在網絡產品和服務的安全保障問題上建立具有國際示范效應的規則體系。落實網絡安全審查法律制度，既是踐行總體國家安全觀，維護國家網絡安全的客觀要求，又是增強國家網絡安全治理話語權，實現國際網絡安全保障引領示范作用的有利基礎。因此，應把不斷探索和完善網絡安全審查制度建設和促進制度實踐，作為國家網絡安全保障的一項重點工作大力持續推進。（作者：馬寧，西北政法大學行政與監察法學院講師）