實施了將近三年的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》（以下簡稱“試行辦法”），正式被《網(wǎng)絡(luò)安全審查辦法》（以下簡稱“審查辦法”）所取代。從試行到成型，近三年間的實踐和摸索，最終揚棄、濃縮、升華于新的規(guī)章之中。本文將著重分析“審查辦法”與“試行辦法”相比的三大新特點，以揭示革新背后的思路和考慮。

一、審查目標更加具體

無論是“試行辦法”還是“審查辦法”，審查對象均是網(wǎng)絡(luò)產(chǎn)品和服務(wù)，這一點沒有變化。審查的原因均是采購了特定的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能因此給網(wǎng)絡(luò)和信息系統(tǒng)帶來“脆弱性”，這一點也沒有發(fā)生變化。

發(fā)生變化的是如何看待上述“脆弱性”的標尺?！霸囆修k法”第一條提出：安全審查的目標是“提高網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可控水平”，因此審查聚焦于產(chǎn)品和服務(wù)本身的脆弱性。而在“審查辦法”中，安全審查的目標改成了“為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護國家安全”，將審查著眼于產(chǎn)品和服務(wù)在供應(yīng)鏈安全方面給關(guān)鍵信息基礎(chǔ)設(shè)施帶來的安全風(fēng)險。

上述變化體現(xiàn)了一種認識上的更新。正如習(xí)近平總書記所說：“網(wǎng)絡(luò)安全是相對的而不是絕對的”，同樣，產(chǎn)品和服務(wù)的安全性也是相對的。安不安全，很大程度上是依賴于該產(chǎn)品和服務(wù)的使用主體、使用目的、使用方式以及產(chǎn)品供應(yīng)渠道的可靠程度等因素，并不存在衡量安全性的絕對、恒定的基準。

有了具體的場景限定，無論是申報網(wǎng)絡(luò)安全審查的運營者在準備相關(guān)材料時，還是網(wǎng)絡(luò)安全審查辦公室在核驗、測試時，方向更加明確，也更容易做到有的放矢。

二、審查重點更加明晰

審查目標的變化，必然帶來審查重點的更新。在“試行辦法”中，產(chǎn)品和服務(wù)本身的安全是首要的審查內(nèi)容?！霸囆修k法”第四條前兩款：“產(chǎn)品和服務(wù)自身的安全風(fēng)險，以及被非法控制、干擾和中斷運行的風(fēng)險”指向的是產(chǎn)品和服務(wù)本身內(nèi)在的脆弱性；“產(chǎn)品及關(guān)鍵部件生產(chǎn)、測試、交付、技術(shù)支持過程中的供應(yīng)鏈安全風(fēng)險”是指產(chǎn)品和服務(wù)的脆弱性從何而來。

“試行辦法”第四條的后兩款才是產(chǎn)品和服務(wù)給使用者帶來的脆弱性：“產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件非法收集、存儲、處理、使用用戶相關(guān)信息的風(fēng)險”指的是產(chǎn)品和服務(wù)除了“規(guī)定動作”之外，是否還會偷偷地進行“自選動作”；而“產(chǎn)品和服務(wù)提供者利用用戶對產(chǎn)品和服務(wù)的依賴，損害網(wǎng)絡(luò)安全和用戶利益的風(fēng)險”是指提供者會不會“裹挾”使用者以謀取非法或不當利益。

在“審查辦法”第九條中，審查重點主要強調(diào)的是產(chǎn)品和服務(wù)“使用后”給關(guān)鍵信息基礎(chǔ)設(shè)施帶來的風(fēng)險：首先是“關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、造成干擾或破壞”，以及“重要數(shù)據(jù)被竊取、泄露、損毀”；其次是“產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害”。

第九條第三款提到了網(wǎng)絡(luò)產(chǎn)品和服務(wù)本身的安全性，但更偏重產(chǎn)品和服務(wù)的“開放性、透明性”（即產(chǎn)品和服務(wù)的兼容度和可檢視度），以及產(chǎn)品和服務(wù)的“來源的多樣性”“供應(yīng)渠道的可靠性”“因為政治、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險”。不難看出，該款仍然把重心放在產(chǎn)品和服務(wù)對關(guān)鍵信息基礎(chǔ)設(shè)施的影響。

三、采購方的主體責(zé)任得以突出

在“試行辦法”中，采購特定產(chǎn)品和服務(wù)的主體，無論是“關(guān)系國家安全的網(wǎng)絡(luò)和信息系統(tǒng)”的運營者，還是關(guān)鍵信息基礎(chǔ)設(shè)施的運營者，其角色相對被動，主要是：申報審查和配合審查。而且，對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者來說，甚至不需要自主判斷所采購的產(chǎn)品和服務(wù)是否影響國家安全，如“試行辦法”第十條規(guī)定：“產(chǎn)品和服務(wù)是否影響國家安全由關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門確定”。

在“審查辦法”中，首先，所適用的申報主體得到統(tǒng)一，明確為作為采購方的“關(guān)鍵信息基礎(chǔ)設(shè)施運營者”。其次，采購方主動“預(yù)判產(chǎn)品或服務(wù)可能帶來的國家安全風(fēng)險”并據(jù)此決定是否申報審查，成為其法定義務(wù)之一。再次，采購方應(yīng)主動通過法律工作管理自身的供應(yīng)鏈風(fēng)險，例如第六條所規(guī)定的：“應(yīng)當通過采購文件、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查，包括承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶數(shù)據(jù)、非法控制和操縱用戶設(shè)備，無正當理由不中斷產(chǎn)品供應(yīng)或必要的技術(shù)支持服務(wù)等”。

把上述法定義務(wù)結(jié)合起來看，可以看到“審查辦法”對采購方的角色定位——既然特定的產(chǎn)品和服務(wù)是采購方自主選擇的，那采購方應(yīng)當成為責(zé)任主體（即所謂的權(quán)責(zé)一致原則），因此采購方應(yīng)當在力所能及的范圍內(nèi)，主動管理和降低供應(yīng)鏈安全風(fēng)險；只有當對安全風(fēng)險的管控超出采購方的能力范圍，或安全風(fēng)險的影響面超出采購方本身時，網(wǎng)絡(luò)安全審查方得介入，用國家力量來對沖特定產(chǎn)品和服務(wù)所帶來的安全風(fēng)險。

四、總結(jié)

在筆者看來，以上三方面體現(xiàn)了網(wǎng)絡(luò)安全審查制度演進的主線。除此之外，“審查辦法”明確了“國家網(wǎng)絡(luò)安全審查工作機制”的成員單位，進一步細化了審查流程和程序，以及嚴格要求參與網(wǎng)絡(luò)安全審查的相關(guān)機構(gòu)和人員保護商業(yè)秘密、知識產(chǎn)權(quán)以及其他未公開信息等，均是此次變革的亮點?！皩彶檗k法”的生效和實施，標志著我國網(wǎng)絡(luò)安全基本制度的建設(shè)又朝前邁了一大步，維護國家安全特別是國家網(wǎng)絡(luò)空間安全有了重要的新抓手。（作者：洪延青，北京理工大學(xué)法學(xué)院研究員）