制(zhì)圖/高(gāo)嶽

　　對話(huà)人(rén)

　　亞太網絡法律研究中心主任、北京師(shī)範大(dà)學教授　　劉德良

　　中國傳媒大(dà)學教授、政治與法律學院副院長　王四新

　　《法制(zhì)日報》記者　趙　麗(lì)　實習生(shēng)　周　思

　　對話(huà)動機

　　來(lái)自國家(jiā)互聯網信息辦公室的消息稱,我國即将推出網絡安全審查制(zhì)度。這項制(zhì)度規定,關系國家(jiā)安全和(hé)公共利益的系統使用的重要信息技(jì)術(shù)産品和(hé)服務,應通(tōng)過網絡安全審查。為(wèi)何要出台此項制(zhì)度?網絡安全的審查範圍和(hé)标準是什麽?對信息産業和(hé)個(gè)人(rén)信息安全将産生(shēng)哪些(xiē)影(yǐng)響?就這些(xiē)問題,《法制(zhì)日報》記者與領域內(nèi)的專家(jiā)學者展開(kāi)了對話(huà)。

　　網絡治理(lǐ)缺乏統一協調

　　記者:今年2月,中央網絡安全和(hé)信息化領導小(xiǎo)組成立,中共中央總書(shū)記、國家(jiā)主席、中央軍委主席習近平擔任組長,在中央網信領導小(xiǎo)組第一次會(huì)議上(shàng),習近平提出“沒有(yǒu)網絡安全就沒有(yǒu)國家(jiā)安全”,這标志(zhì)着網絡安全上(shàng)升至國家(jiā)戰略高(gāo)度。輿論普遍認為(wèi),網絡安全審查制(zhì)度的推出和(hé)中央對網絡安全的重視(shì)有(yǒu)着密不可(kě)分的關系。

　　劉德良:從國家(jiā)、國際以及個(gè)人(rén)層面上(shàng)說,我們都将面臨一個(gè)網絡時(shí)代。從國際關系的角度上(shàng)來(lái)講,在互聯網時(shí)代,一方面要保護狹義上(shàng)的國家(jiā)安全,比如國防、軍事、政治、經濟、文化等,同時(shí)在網絡時(shí)代的國際秩序的構建中,我們國家(jiā)不能讓自己處于被動地位。從斯諾登事件所揭露的情況看,我國在網絡安全上(shàng)所面臨的問題也越來(lái)越嚴重。在網絡安全領域,美國無論是在技(jì)術(shù)上(shàng)還(hái)是實際應用上(shàng),都比我們領先很(hěn)多(duō)。這都要求我國政府重新評估和(hé)認識我國網絡安全所面臨的威脅。

　　記者:國家(jiā)互聯網信息辦公室發言人(rén)姜軍表示,近年來(lái),我國政府部門(mén)、機構、企業、大(dà)學及電(diàn)信主幹網絡遭受大(dà)規模的侵入、監聽(tīng)。去年6月初發生(shēng)的“斯諾登事件”,為(wèi)世界各國敲響了警鍾,充分印證了“沒有(yǒu)網絡安全就沒有(yǒu)國家(jiā)安全”。

　　王四新:從互聯網進入中國開(kāi)始,中國政府在大(dà)力發展網絡基礎設施的同時(shí),也比較重視(shì)互聯網安全。政府制(zhì)定的大(dà)量行(xíng)政法規的相關規定,比如互聯網接入機構有(yǒu)義務保證互聯網通(tōng)訊的安全,要将重要數(shù)據保存完整記錄60天以上(shàng),供相關機關查證核實等,都體(tǐ)現了政府對網絡安全的重視(shì)。

　　同時(shí),中國在互聯網安全問題上(shàng)采取的措施,也存在一些(xiē)需要完善的地方。比如,涉及互聯網的立法普遍存在立法效力層級偏低(dī)和(hé)部門(mén)分割現象。我們的安全措施具有(yǒu)明(míng)顯的局部性,互聯網安全缺乏頂層設計(jì),沒有(yǒu)把互聯網安全作(zuò)為(wèi)一個(gè)統一而龐大(dà)的系統工程來(lái)對待。雖然互聯網涉及的一些(xiē)安全問題在立法中有(yǒu)所涉及,但(dàn)網絡治理(lǐ)“九龍治水(shuǐ)”和(hé)條塊分割的職權劃分,使得(de)操作(zuò)過程中各部分之間(jiān)難以統一和(hé)有(yǒu)效協調,網絡安全也沒有(yǒu)上(shàng)升到國家(jiā)整體(tǐ)戰略的角度進行(xíng)治理(lǐ)。

　　系列行(xíng)動提升網絡安全保障

　　記者:雖然在過去的網絡治理(lǐ)的過程中,我們存在一些(xiē)不足,但(dàn)值得(de)注意的是,在近一兩年,從中央到地方,在針對網絡安全的法制(zhì)保障方面有(yǒu)了令人(rén)耳目一新的舉措。

　　王四新:的确是這樣。

　　在立法上(shàng),我們以保護個(gè)人(rén)數(shù)據安全為(wèi)切入口,開(kāi)始推行(xíng)網絡實名制(zhì),目前保護個(gè)人(rén)數(shù)據也進入到了人(rén)大(dà)立法規劃裏。去年,我國開(kāi)始在立法層面展開(kāi)針對互聯網信息管理(lǐ)立法的大(dà)量調研和(hé)論證工作(zuò)。

　　在執法上(shàng),去年對網絡散布謠言等行(xíng)為(wèi)采取了有(yǒu)針對性的措施,“兩高(gāo)”為(wèi)此還(hái)專門(mén)出台了司法解釋。這都可(kě)以看作(zuò)是中國重構網絡秩序的努力。

　　現在要推行(xíng)的網絡安全審查制(zhì)度,就是在這個(gè)大(dà)背景下提出的。我們已意識到網絡安全的重要性,開(kāi)始認真梳理(lǐ)我國網絡安全存在的問題,并且采取了一系列措施。實行(xíng)網絡安全審查制(zhì)度,代表着我們的網絡安全工作(zuò)有(yǒu)了一個(gè)新的思路,開(kāi)始從網絡硬件、網絡運營的基礎軟件來(lái)解決可(kě)能存在的安全問題。

　　記者:據了解,歐美國家(jiā)針對信息安全的全鏈條建立了詳盡的審查體(tǐ)系。以美國為(wèi)例,安全審查不僅局限于産品安全性能指标,還(hái)要審查産品的研發過程、程序、步驟、方法、産品的交付方法等。以往我國隻是對網絡進行(xíng)表層化管理(lǐ),主要包括功能符合檢測和(hé)低(dī)層面的安全審查。目前網絡産品和(hé)服務逐漸向深層次發展,是否意味着對內(nèi)容的審查也會(huì)更加徹底和(hé)嚴格?

　　劉德良:我們以往對基礎設施的審查不夠重視(shì)。事實上(shàng),國外的網絡安全更強調基礎設施的安全。所以我國在未來(lái)對構成網絡安全的産品和(hé)服務,都應進行(xíng)審查。美國在進行(xíng)具體(tǐ)相關網絡審查時(shí),既包括産品的服務,也包括整個(gè)産業鏈,還(hái)包括主體(tǐ),如企業的背景。我們未來(lái)的審查應比它更加嚴格,這既是為(wèi)了保障我國的網絡安全,也是為(wèi)了保障我國的民族産業。

　　王四新:我們需要對構成網絡運轉的所有(yǒu)部分,包括主要的硬件設施和(hé)重要的軟件設施,從總體(tǐ)上(shàng)進行(xíng)評估、審查,需要建立全國性的統一的、能夠将各種産品、各個(gè)職能部門(mén)都統攝起來(lái)的平台。這些(xiē)雖然不是信息,不是觀念,不是意識形态,但(dàn)對意識形态安全、對整個(gè)網絡的平穩運行(xíng),都具有(yǒu)重要決定作(zuò)用。

　　網絡審查應納入法制(zhì)軌道(dào)

　　記者:有(yǒu)輿論認為(wèi),建設網絡安全審查制(zhì)度是網絡安全法制(zhì)保障的一項重要舉措。在保護網絡安全的過程中,法治在目前以及将來(lái)的作(zuò)為(wèi)應該還(hái)有(yǒu)很(hěn)大(dà)的空(kōng)間(jiān)。

　　王四新:實行(xíng)網絡安全審查制(zhì)度是告訴大(dà)家(jiā),出于對網絡安全的考慮,今後我們要對網絡産品進行(xíng)評估和(hé)審查。但(dàn)是,具體(tǐ)怎麽操作(zuò),目前還(hái)沒有(yǒu)太明(míng)确的流程和(hé)太具體(tǐ)的要求。要想使之成為(wèi)長久發揮作(zuò)用的制(zhì)度,就必須逐步将其納入法制(zhì)軌道(dào)。

　　劉德良:作(zuò)為(wèi)法治國家(jiā)的中國,站(zhàn)在WTO的機制(zhì)上(shàng)來(lái)看,要依法進行(xíng)網絡安全的保障,就要在立法上(shàng)建立相應的保障網絡安全的法律制(zhì)度。

　　以往的審查主要是針對防火(huǒ)牆、殺毒軟件等,沒有(yǒu)對硬件甚至是更底層的操作(zuò)系統進行(xíng)審查,所以未來(lái)對網絡安全的審查對象、範圍,審查程序以及未來(lái)的懲罰制(zhì)裁的措施,要做(zuò)到有(yǒu)法可(kě)依。

　　有(yǒu)了明(míng)确的法律依據後才能有(yǒu)法必依執法必嚴,一旦違反中國法律就要進行(xíng)制(zhì)裁,除了要求他們退出中國市場(chǎng)之外,還(hái)要追究他的法律責任,如起訴,司法介入等。

　　我們國家(jiā)要大(dà)力鼓勵技(jì)術(shù)産業的發展,在技(jì)術(shù)上(shàng)奮發進取,從觀念和(hé)意識上(shàng)要重視(shì),建立安全的意識,公民也要有(yǒu)網絡安全的憂患意識,但(dàn)這一切的根本是要以法治為(wèi)根基。

　　鏈接　美國的網絡安全審查

　　網絡安全審查,就是對關系國家(jiā)安全和(hé)社會(huì)穩定信息系統中使用的信息技(jì)術(shù)産品與服務進行(xíng)測試評估、監測分析、持續監督的過程。

　　2000年,美國率先在國家(jiā)安全系統中對采購的産品進行(xíng)安全審查,随後陸續針對聯邦政府雲計(jì)算(suàn)服務、國防供應鏈等出台了安全審查政策,實現了對國家(jiā)安全系統、國防系統、聯邦政府系統的全面覆蓋。審查對象不僅涉及産品和(hé)服務,還(hái)會(huì)針對産品和(hé)服務提供商。随後,美國等西方國家(jiā)為(wèi)保障國家(jiā)安全、防範供應鏈安全風險,逐步建立了多(duō)種形式的網絡安全審查制(zhì)度,将全方位、綜合性的供應鏈安全審查對策上(shàng)升至國家(jiā)戰略高(gāo)度。

　　美國網絡安全審查标準和(hé)過程是不公開(kāi)的。美國對供應鏈安全審查的過程、标準、機制(zhì)完全封閉,不披露原因和(hé)理(lǐ)由,不接受供應方申訴,主要考慮對國家(jiā)安全、司法和(hé)公共利益的潛在影(yǐng)響,且其審查沒有(yǒu)明(míng)确的時(shí)間(jiān)限制(zhì)。

　　美國網絡安全審查的內(nèi)容不局限于技(jì)術(shù)。美國聯邦政府要求,不僅要審查産品安全性能指标,還(hái)要審查産品的研發過程、程序、步驟、方法、産品的交付方法等,要求企業自己證明(míng)産品已經達到了規定的安全強度。

　　美國要求被審查企業簽署網絡安全協議,協議通(tōng)常包括:通(tōng)信基礎設施必須位于美國境內(nèi)；通(tōng)信數(shù)據、交易數(shù)據、用戶信息等僅存儲在美國境內(nèi)；若外國政府要求訪問通(tōng)信數(shù)據必須獲得(de)美國司法部、國防部、國土安全部的批準；配合美國政府對員工實施背景調查等。

摘自：法制(zhì)網