中國新的《 網(wǎng)絡(luò)安全審查辦法》VS美國《網(wǎng)絡(luò)安全審查》

網(wǎng)絡(luò)安全審查，就是對關(guān)系國家安全和社會穩(wěn)定信息系統(tǒng)中使用的信息技術(shù)產(chǎn)品與服務(wù)進行測試評估、監(jiān)測分析、持續(xù)監(jiān)督的過程。

中國新的《 網(wǎng)絡(luò)安全審查辦法》

2020年4月27日，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部、財政部、商務(wù)部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局聯(lián)合制定了新的《網(wǎng)絡(luò)安全審查辦法》，并與2020年6月1日開始執(zhí)行。

  關(guān)鍵信息基礎(chǔ)設(shè)施對國家安全、經(jīng)濟安全、社會穩(wěn)定、公眾健康和安全至關(guān)重要。我國建立網(wǎng)絡(luò)安全審查制度，目的是通過網(wǎng)絡(luò)安全審查這一舉措，及早發(fā)現(xiàn)并避免采購產(chǎn)品和服務(wù)給關(guān)鍵信息基礎(chǔ)設(shè)施運行帶來風(fēng)險和危害，保障關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護國家安全。《辦法》的出臺，為我國開展網(wǎng)絡(luò)安全審查工作提供了重要的制度保障。

  網(wǎng)絡(luò)安全審查是依據(jù)《國家安全法》《網(wǎng)絡(luò)安全法》開展的一項工作。《國家安全法》第五十九條規(guī)定，國家建立國家安全審查和監(jiān)管的制度和機制，對影響或者可能影響國家安全的網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)，以及其他重大事項和活動，進行國家安全審查。《網(wǎng)絡(luò)安全法》第三十五條規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查”。

  網(wǎng)絡(luò)安全審查重點評估關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風(fēng)險，包括：產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險；產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害；產(chǎn)品和服務(wù)的安全性、開放性、透明性、來源的多樣性，供應(yīng)渠道的可靠性以及因為政治、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險；產(chǎn)品和服務(wù)提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況；其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國家安全的因素。

  涉及行業(yè)：電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應(yīng)急管理、衛(wèi)生健康、社會保障、國防科技工業(yè)等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)運營者在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時執(zhí)行。

美國的《網(wǎng)絡(luò)安全審查》

2000年，美國率先在國家安全系統(tǒng)中對采購的產(chǎn)品進行安全審查，隨后陸續(xù)針對聯(lián)邦政府云計算服務(wù)、國防供應(yīng)鏈等出臺了安全審查政策，實現(xiàn)了對國家安全系統(tǒng)、國防系統(tǒng)、聯(lián)邦政府系統(tǒng)的全面覆蓋。審查對象不僅涉及產(chǎn)品和服務(wù)，還會針對產(chǎn)品和服務(wù)提供商。隨后，美國等西方國家為保障國家安全、防范供應(yīng)鏈安全風(fēng)險，逐步建立多種形式的網(wǎng)絡(luò)安全審查制度。從開始建立至今，其審查范圍不斷延伸。

美國對供應(yīng)鏈安全審查的過程、標(biāo)準(zhǔn)、機制完全封閉，不披露原因和理由，不接受供應(yīng)方申訴。主要考慮對國家安全、司法和公共利益的潛在影響，且其審查沒有明確的時間限制。

美國安全審查結(jié)果具有強制性。美國國家安全系統(tǒng)委員會2000年1月發(fā)布的《國家信息安全保障采購政策》規(guī)定，自2002年7月起進入國家安全系統(tǒng)的信息技術(shù)產(chǎn)品必須通過審查。2011年12月，美國政府發(fā)布《聯(lián)邦風(fēng)險及授權(quán)管理計劃》，要求為聯(lián)邦政府提供云計算服務(wù)的服務(wù)商，必須通過安全審查、獲得授權(quán)；聯(lián)邦政府各部門不得采用未經(jīng)審查的云計算服務(wù)。美國在政府采購招標(biāo)文件中還進一步規(guī)定，向聯(lián)邦機構(gòu)提供云計算服務(wù)的基礎(chǔ)設(shè)施必須位于美國境內(nèi)。

網(wǎng)絡(luò)安全審查內(nèi)容：

產(chǎn)品技術(shù)研發(fā)過程、程序、步驟、方法和交付方法等。

被審查企業(yè)須簽署“安全協(xié)議”：

——通信基礎(chǔ)設(shè)施必須位于美國境內(nèi)；

——通信數(shù)據(jù)、交易數(shù)據(jù)、用戶信息等僅存儲在美國境內(nèi)；

——若外國政府要求訪問通信數(shù)據(jù)必須獲得美國司法部、國防部、國土安全部的批準(zhǔn)；

——配合美國政府對員工實施背景調(diào)查等。

美國網(wǎng)絡(luò)安全審查發(fā)展歷程：

——2000年 美國國家安全系統(tǒng)委員會規(guī)定2002年7月起進入國家安全系統(tǒng)的信息技術(shù)產(chǎn)品必須通過審查。

——2002年 美國聯(lián)邦政府建立面向聯(lián)邦政府的網(wǎng)絡(luò)安全審查制度。

——2011年 美國政府要求為聯(lián)邦政府提供云計算服務(wù)的服務(wù)商，必須通過安全審查、獲得授權(quán)。

——2013年 美國國防部頒布臨時政策，規(guī)定國防系統(tǒng)及其合同商采購的產(chǎn)品和服務(wù)要經(jīng)過供應(yīng)鏈安全審查。