自中国宣布将实施网络安全审查制度以来，国内外对此一直高度关注。昨日，国家互联网信息办公室在其官网公开《网络产品和服务安全审查办法（征求意见稿）》（以下简称意见稿），明确将成立网络安全审查委员会，负责审议网络安全审查的重要政策，统一组织网络安全审查工作。专家表示，网络安全审查不是常态性的，法律明确的是“可能影响国家安全的,关键信息基础设施运营者采购的网络产品和服务”。

    关系国家安全的应通过安全审查

    2014年5月，国家互联网信息办公室宣布，为维护国家网络安全、保障中国用户合法利益，中国将推出网络安全审查制度。

    去年11月7日，第十二届全国人大常委会第二十四次会议表决通过《网络安全法》。该法明确，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

    此次公布的意见稿明确，关系国家安全和公共利益的信息系统使用的重要网络产品和服务，应当经过网络安全审查。并提出国家互联网信息办公室会同有关部门成立网络安全审查委员会，负责审议网络安全审查的重要政策，统一组织网络安全审查工作，协调网络安全审查相关重要问题。

    党政部门不得采购未过审网络产品

    此外，意见稿要求，党政部门及重点行业优先采购通过审查的网络产品和服务，不得采购审查未通过的网络产品和服务。

    金融、电信、能源等重点行业主管部门，根据国家网络安全审查工作要求，组织开展本行业、本领域网络产品和服务安全审查工作。

    对于关键信息基础设施运营者采购的网络产品和服务可能影响国家安全的，意见稿要求，应当经过网络安全审查。关键信息基础设施运营者采购的网络产品和服务是否影响国家安全，由关键信息基础设施保护工作部门确定。

    安全审查非常态性

    中国信息安全研究院副院长左晓栋表示，网络安全审查不是常态性的，法律明确的是“关键信息基础设施的运营者采购网络产品和服务，并且可能影响国家安全的”。这意味着不是天天去审查，也不是对什么都要审查，更不是要去取代日常的产品安全测评。

    ■ 焦点

    1 谁来审查？

    成立跨部门的审查委员会

    第五条 国家互联网信息办公室会同有关部门成立网络安全审查委员会，负责审议网络安全审查的重要政策，统一组织网络安全审查工作，协调网络安全审查相关重要问题。

    网络安全审查办公室具体组织实施网络安全审查。

    第六条 网络安全审查委员会聘请相关专家组成网络安全审查专家委员会，在第三方评价基础上，对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。

    四川大学网络空间安全研究院特聘副研究员洪延青表示，网络安全审查工作的组织和领导工作，由网络安全审查委员会承担，该委员会由国家网信办会同有关部门成立。委员会下设网络安全审查办公室。此外，委员会还组建网络安全审查专家委员会。网络安全审查委员会、办公室、专家委员会一道，构成了网络安全审查工作的顶层制度设计。

    中国信息安全研究院副院长左晓栋对记者表示，网络安全审查制度是在开放环境中维护国家网络安全的重要手段。现阶段我国还没突破核心技术，受制于人的局面要长期存在。我们要使用来自国外优秀的产品和服务，就必须确保其安全。

    左晓栋认为，网络安全审查委员会将是网络安全审查的领导机构，是一个跨部门的委员会。由于网络安全审查涉及多个行业和多个部门，需要一个跨部门委员会在日常工作中起到协调和统筹的工作。

    2 审查什么？

    重点审查“安全性、可控性”

    第二条 关系国家安全和公共利益的信息系统使用的重要网络产品和服务，应当经过网络安全审查。

    第四条 重点审查网络产品和服务的安全性、可控性，主要包括：

    （一）产品和服务被非法控制、干扰和中断运行的风险；

    （二）产品及关键部件研发、交付、技术支持过程中的风险；

    （三）产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险；

    （四）产品和服务提供者利用用户对产品和服务的依赖，实施不正当竞争或损害用户利益的风险；

    （五）其他可能危害国家安全和公共利益的风险。

    此次意见稿明确“重点审查网络产品和服务的安全性、可控性”。

    洪延青表示，意见稿第4条列举了审查重点关注的四种风险：稳定性方面、供应链安全方面、用户自主支配其信息方面、用户保持独立自主方面。

    3 怎么审查？

    两道审查为决策提供支撑

    网络安全审查制度如何实施？意见稿也给出了具体的路径。

    洪延青表示，在启动审查阶段，意见稿规定了企业申请、主管机关和部门依职权申请、全国性行业协会建议、市场普遍反映等多种形式。他表示，在审查过程中，独立的第三方机构形成第三方评价，专家在第三方评价的基础上提出综合评估后，上报网络安全审查委员会，形成最终的审查结论。审查结论经由国家网信办认可后，由网络安全审查办公室发布或通报。

    意见稿中还明确，金融、电信、能源等重点行业主管部门，根据国家网络安全审查工作要求，组织开展本行业、本领域网络产品和服务安全审查工作。

    左晓栋表示，不管是谁组织的审查，最终需要第三方机构进行技术测评。在现在的制度设计中，所有的第三方机构都要网络安全审查委员会认定。此外，第三方评价的结果只是一个重要的技术参考，独立专家委员会在此基础上再次进行技术研判。在两道技术上的审查后，评价再提交给国家管理部门。/新京报