實(shí)施了將近三年的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》（以下簡(jiǎn)稱“試行辦法”），正式被《網(wǎng)絡(luò)安全審查辦法》（以下簡(jiǎn)稱“審查辦法”）所取代。從試行到成型，近三年間的實(shí)踐和摸索，最終揚(yáng)棄、濃縮、升華于新的規(guī)章之中。本文將著重分析“審查辦法”與“試行辦法”相比的三大新特點(diǎn)，以揭示革新背后的思路和考慮。

一、審查目標(biāo)更加具體

無(wú)論是“試行辦法”還是“審查辦法”，審查對(duì)象均是網(wǎng)絡(luò)產(chǎn)品和服務(wù)，這一點(diǎn)沒(méi)有變化。審查的原因均是采購(gòu)了特定的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能因此給網(wǎng)絡(luò)和信息系統(tǒng)帶來(lái)“脆弱性”，這一點(diǎn)也沒(méi)有發(fā)生變化。

發(fā)生變化的是如何看待上述“脆弱性”的標(biāo)尺。“試行辦法”第一條提出：安全審查的目標(biāo)是“提高網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可控水平”，因此審查聚焦于產(chǎn)品和服務(wù)本身的脆弱性。而在“審查辦法”中，安全審查的目標(biāo)改成了“為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護(hù)國(guó)家安全”，將審查著眼于產(chǎn)品和服務(wù)在供應(yīng)鏈安全方面給關(guān)鍵信息基礎(chǔ)設(shè)施帶來(lái)的安全風(fēng)險(xiǎn)。

上述變化體現(xiàn)了一種認(rèn)識(shí)上的更新。正如習(xí)近平總書(shū)記所說(shuō)：“網(wǎng)絡(luò)安全是相對(duì)的而不是絕對(duì)的”，同樣，產(chǎn)品和服務(wù)的安全性也是相對(duì)的。安不安全，很大程度上是依賴于該產(chǎn)品和服務(wù)的使用主體、使用目的、使用方式以及產(chǎn)品供應(yīng)渠道的可靠程度等因素，并不存在衡量安全性的絕對(duì)、恒定的基準(zhǔn)。

有了具體的場(chǎng)景限定，無(wú)論是申報(bào)網(wǎng)絡(luò)安全審查的運(yùn)營(yíng)者在準(zhǔn)備相關(guān)材料時(shí)，還是網(wǎng)絡(luò)安全審查辦公室在核驗(yàn)、測(cè)試時(shí)，方向更加明確，也更容易做到有的放矢。

二、審查重點(diǎn)更加明晰

審查目標(biāo)的變化，必然帶來(lái)審查重點(diǎn)的更新。在“試行辦法”中，產(chǎn)品和服務(wù)本身的安全是首要的審查內(nèi)容?！霸囆修k法”第四條前兩款：“產(chǎn)品和服務(wù)自身的安全風(fēng)險(xiǎn)，以及被非法控制、干擾和中斷運(yùn)行的風(fēng)險(xiǎn)”指向的是產(chǎn)品和服務(wù)本身內(nèi)在的脆弱性；“產(chǎn)品及關(guān)鍵部件生產(chǎn)、測(cè)試、交付、技術(shù)支持過(guò)程中的供應(yīng)鏈安全風(fēng)險(xiǎn)”是指產(chǎn)品和服務(wù)的脆弱性從何而來(lái)。

“試行辦法”第四條的后兩款才是產(chǎn)品和服務(wù)給使用者帶來(lái)的脆弱性：“產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件非法收集、存儲(chǔ)、處理、使用用戶相關(guān)信息的風(fēng)險(xiǎn)”指的是產(chǎn)品和服務(wù)除了“規(guī)定動(dòng)作”之外，是否還會(huì)偷偷地進(jìn)行“自選動(dòng)作”；而“產(chǎn)品和服務(wù)提供者利用用戶對(duì)產(chǎn)品和服務(wù)的依賴，損害網(wǎng)絡(luò)安全和用戶利益的風(fēng)險(xiǎn)”是指提供者會(huì)不會(huì)“裹挾”使用者以謀取非法或不當(dāng)利益。

在“審查辦法”第九條中，審查重點(diǎn)主要強(qiáng)調(diào)的是產(chǎn)品和服務(wù)“使用后”給關(guān)鍵信息基礎(chǔ)設(shè)施帶來(lái)的風(fēng)險(xiǎn)：首先是“關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、造成干擾或破壞”，以及“重要數(shù)據(jù)被竊取、泄露、損毀”；其次是“產(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害”。

第九條第三款提到了網(wǎng)絡(luò)產(chǎn)品和服務(wù)本身的安全性，但更偏重產(chǎn)品和服務(wù)的“開(kāi)放性、透明性”（即產(chǎn)品和服務(wù)的兼容度和可檢視度），以及產(chǎn)品和服務(wù)的“來(lái)源的多樣性”“供應(yīng)渠道的可靠性”“因?yàn)檎巍⑼饨?、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn)”。不難看出，該款仍然把重心放在產(chǎn)品和服務(wù)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的影響。

三、采購(gòu)方的主體責(zé)任得以突出

在“試行辦法”中，采購(gòu)特定產(chǎn)品和服務(wù)的主體，無(wú)論是“關(guān)系國(guó)家安全的網(wǎng)絡(luò)和信息系統(tǒng)”的運(yùn)營(yíng)者，還是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者，其角色相對(duì)被動(dòng)，主要是：申報(bào)審查和配合審查。而且，對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者來(lái)說(shuō)，甚至不需要自主判斷所采購(gòu)的產(chǎn)品和服務(wù)是否影響國(guó)家安全，如“試行辦法”第十條規(guī)定：“產(chǎn)品和服務(wù)是否影響國(guó)家安全由關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門(mén)確定”。

在“審查辦法”中，首先，所適用的申報(bào)主體得到統(tǒng)一，明確為作為采購(gòu)方的“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”。其次，采購(gòu)方主動(dòng)“預(yù)判產(chǎn)品或服務(wù)可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)”并據(jù)此決定是否申報(bào)審查，成為其法定義務(wù)之一。再次，采購(gòu)方應(yīng)主動(dòng)通過(guò)法律工作管理自身的供應(yīng)鏈風(fēng)險(xiǎn)，例如第六條所規(guī)定的：“應(yīng)當(dāng)通過(guò)采購(gòu)文件、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查，包括承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶數(shù)據(jù)、非法控制和操縱用戶設(shè)備，無(wú)正當(dāng)理由不中斷產(chǎn)品供應(yīng)或必要的技術(shù)支持服務(wù)等”。

把上述法定義務(wù)結(jié)合起來(lái)看，可以看到“審查辦法”對(duì)采購(gòu)方的角色定位——既然特定的產(chǎn)品和服務(wù)是采購(gòu)方自主選擇的，那采購(gòu)方應(yīng)當(dāng)成為責(zé)任主體（即所謂的權(quán)責(zé)一致原則），因此采購(gòu)方應(yīng)當(dāng)在力所能及的范圍內(nèi)，主動(dòng)管理和降低供應(yīng)鏈安全風(fēng)險(xiǎn)；只有當(dāng)對(duì)安全風(fēng)險(xiǎn)的管控超出采購(gòu)方的能力范圍，或安全風(fēng)險(xiǎn)的影響面超出采購(gòu)方本身時(shí)，網(wǎng)絡(luò)安全審查方得介入，用國(guó)家力量來(lái)對(duì)沖特定產(chǎn)品和服務(wù)所帶來(lái)的安全風(fēng)險(xiǎn)。

四、總結(jié)

在筆者看來(lái)，以上三方面體現(xiàn)了網(wǎng)絡(luò)安全審查制度演進(jìn)的主線。除此之外，“審查辦法”明確了“國(guó)家網(wǎng)絡(luò)安全審查工作機(jī)制”的成員單位，進(jìn)一步細(xì)化了審查流程和程序，以及嚴(yán)格要求參與網(wǎng)絡(luò)安全審查的相關(guān)機(jī)構(gòu)和人員保護(hù)商業(yè)秘密、知識(shí)產(chǎn)權(quán)以及其他未公開(kāi)信息等，均是此次變革的亮點(diǎn)。“審查辦法”的生效和實(shí)施，標(biāo)志著我國(guó)網(wǎng)絡(luò)安全基本制度的建設(shè)又朝前邁了一大步，維護(hù)國(guó)家安全特別是國(guó)家網(wǎng)絡(luò)空間安全有了重要的新抓手。（作者：洪延青，北京理工大學(xué)法學(xué)院研究員）