22日，國家互聯網信息辦公室發布消息稱，我國將實行網絡安全審查制度。為什么要出臺此項制度？網絡安全的審查范圍和標準是什么？這對信息產業和個人信息安全將產生哪些影響？

　　網絡空間是新形勢下維護國家安全的又一重要領域

　　“如今，網絡空間已經成為繼海、陸、空、天之后的第五空間，成為新形勢下維護國家安全的重要領域之一。”工業和信息化部電信研究院副院長劉多認為，如今，關鍵網絡基礎設施已成為網絡武器攻擊的主要目標，并可能引發極為嚴重的災難性后果。因此，當前中國立足國情，推行網絡安全審查制度是順勢而為，對于保障國家安全具有重要意義。

　　談及以往的網絡監管，國家信息技術安全研究中心總工李京春表示：“以往我國只是對網絡進行表層化管理，主要包括功能符合檢測和低層面的安全審查。目前網絡產品和服務逐漸向深層次發展，若繼續沿用以前的監管辦法，就很可能會出現網絡監管漏洞，進而給國家安全和用戶安全造成損失。”

　　中國工程院院士倪光南也表示：“隨著網絡對國家安全、百姓生活的影響越來越深遠，加強網絡安全監管是必然趨勢。特別是在‘斯諾登事件’曝光以后，我們更進一步認識到網絡安全監管的重要性和必要性，正因如此，我們即將推行網絡安全審查制度。這可以從源頭上杜絕網絡安全風險隱患，確保公共安全和國家網絡空間安全。”

　　網絡安全審查有利于保障公民個人信息安全

　　國家互聯網信息辦公室發言人姜軍表示，此次審查制度不針對任何國家和地區。對此，李京春進一步解釋：“對發現存在安全隱患的網絡產品和服務，不論是外國企業還是中國境內企業，都一視同仁，都要遵從、適應這一管理制度的實施，滿足國家關鍵基礎設施和重要信息系統的安全性能要求，在保障安全的前提下實現良性發展、持續發展。”

　　李京春還表示，對網絡產品和服務的提供商、運營商和服務商進行審查，還能促使企業規范行為標準，提高服務質量，進而推進信息產業更加健康有序的發展。“公眾也會從中受益，因為網絡安全審查保證了產品和服務的安全性，為公眾網絡信息安全提供了更深層次的保障，由此公民的個人信息和數據將不會再被泄露和惡意使用。”

　　“審查制度是針對提供技術產品和服務的廠商，并不針對個人信息。應當說，排除廠商技術產品和服務的安全隱患，有利于保障個人信息的安全。”倪光南說。

　　安全性和可控性將成為審查重點

　　網絡審查制度將主要審查關系國家安全和公共利益的系統使用的重要信息技術產品和服務。我國的網絡審查制度將借鑒國外的成熟經驗，并結合實際情況作出符合我國信息產業發展現狀的規定。產品的安全性和可控性將成為審查重點。

　　如何開展網絡安全審查呢？對此，中國工程院院士方濱興說：“審查制度將由國家互聯網信息辦公室主管，全國信息安全標準化技術委員會具體落實，審查過程除要求多個相關部門協助外，還將引入第三方專業的檢測機構和專家組參與，保證過程的客觀公正。”

　　“網絡安全審查應包括事前審查、事中監測和事后懲處三部分。”中國信息安全測評中心總工程師王軍告訴記者，在信息產品進入市場前，需對用戶信息安全進行技術審查，同時對該產品是否對國家安全造成影響、是否會產生壟斷等社會經濟安全影響進行評估；已進入市場的信息產品也并非絕對安全，補丁和升級都可能帶來新的安全隱患，因此同樣需要監控。

　　方濱興指出，根據其他國家的經驗，網絡安全審查制度應針對宏觀戰略和微觀技術兩方面分別采取不同措施。對于進入政府機構、交通、電力、金融等重要領域的產品，需要建立“黑名單”制，不僅對技術也對企業背景進行審查，保障國家信息安全；而對于在市面流通的信息技術產品，需進行“白名單”強制認證，只有符合安全標準的產品才能入市。這種審查只是一種技術評估，普通用戶的利益不會受到影響。

　　網絡安全審查制度借鑒國外經驗

　　據介紹，此次審查制度借鑒發達國家經驗，并非一時興起或針對某些國家或事件。“之所以現在出臺此項制度，主要是因為我國的測評技術、體系、標準等均已成熟。我們云計算基礎設施已經完備，今年我國將以云計算平臺安全測試作為工作試點，制定云計算安全標準，主要從安全技術要求和服務能力標準兩個方面進行審查，從中找出安全短板，進而盡快彌補安全漏洞。”李京春說。

　　專家還表示，此次網絡安全審查制度從出臺到全面實施將循序漸進，從重點行業開始逐步擴展到各個領域和行業。

　　(綜合本報張洋、鄭會燕和新華社記者白陽、史競男報道)

　　鏈接

　　美國的網絡安全審查

　　網絡安全審查，就是對關系國家安全和社會穩定信息系統中使用的信息技術產品與服務進行測試評估、監測分析、持續監督的過程。

　　2000年，美國率先在國家安全系統中對采購的產品進行安全審查，隨后陸續針對聯邦政府云計算服務、國防供應鏈等出臺了安全審查政策，實現了對國家安全系統、國防系統、聯邦政府系統的全面覆蓋。審查對象不僅涉及產品和服務，還會針對產品和服務提供商。隨后，美國等西方國家為保障國家安全、防范供應鏈安全風險，逐步建立了多種形式的網絡安全審查制度。將全方位、綜合性的供應鏈安全審查對策上升至國家戰略高度。

　　美國網絡安全審查標準和過程是不公開的。美國對供應鏈安全審查的過程、標準、機制完全封閉，不披露原因和理由，不接受供應方申訴。主要考慮對國家安全、司法和公共利益的潛在影響，且其審查沒有明確的時間限制。

　　美國安全審查的要害之一，是安全審查結果具有強制性。美國國家安全系統委員會發布的《國家信息安全保障采購政策》規定，進入國家安全系統的信息技術產品必須通過審查。美國政府發布的《聯邦風險及授權管理計劃》，要求為聯邦政府提供云計算服務的服務商，必須通過安全審查、獲得授權；聯邦政府各部門不得采用未經審查的云計算服務。

　　美國網絡安全審查的內容不局限于技術。美國聯邦政府要求，不僅要審查產品安全性能指標，還要審查產品的研發過程、程序、步驟、方法、產品的交付方法等，要求企業自己證明產品已經達到了規定的安全強度。

　　美國要求被審查企業簽署網絡安全協議，協議通常包括：通信基礎設施必須位于美國境內；通信數據、交易數據、用戶信息等僅存儲在美國境內；若外國政府要求訪問通信數據必須獲得美國司法部、國防部、國土安全部的批準；配合美國政府對員工實施背景調查等。