据国家互联网信息办公室的消息,我国即将推出网络安全审查制度。那么,网络安全的审查范围和标准是什么?对公民个人而言意味着什么?近日,《中国科学报》采访了北京大学信息管理系教授、中国科技新闻学会常务理事、中国信息协会常务理事兼特约副会长赖茂生。
《中国科学报》:近期多部门开始专项治理微信等社交平台,对此您怎么看?
赖茂生:上月底国家互联网信息办公室联合工业和信息化部、公安部等部门在全国范围内开展了为期一个月的针对微信等移动即时通信工具的专项治理行动,主要是要管治移动即时通信公众信息发布服务中的违法违规行为,是前一阶段净网行动的继续。七大移动即时通信服务商在上述背景下发倡议推实名制,其主要内容是:遵守法律法规,不为恶意公众信息提供传播渠道;坚持正确导向,畅通网民意见反馈和举报等渠道;履行社会责任,配合政府有关部门依法打击利用移动即时通信公众平台进行网络色情、网络诈骗、网络黑市等各种违法犯罪行为;建立辟谣机制,及时澄清谣言;提倡公平守信,反对恶性竞争;等等。可见,它将有利于进一步改善移动即时通信环境,强化企业和公民的社会责任感。
《中国科学报》:据悉下一步我国将推出网络安全审查制度。对此您的看法是什么?
赖茂生:这是我国政府的一个重大决策,非常必要。主要原因是当前网络安全形势非常严峻。少数国家肆无忌惮地利用互联网对他国搞监控,窃取他国政府和公民的信息,甚至攻击他国的重要设施。中国是主要的受害国之一。近20年来,我国政府和企事业单位的信息化建设取得了很大发展和成效,但是也存在着许多隐患和危机,因为我们的许多信息基础设施都依赖于国外的技术和设备。
《中国科学报》:网络安全审查制度具体如何操作?
赖茂生:网络安全审查是对关系国家安全和社会稳定的信息系统中使用的信息技术产品和服务进行测试评估、检测分析并持续监督的过程。其重点是审查产品的安全性和可控性,防止产品提供者借助提供产品之便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对于审查不合格的产品和服务,将不得在中国境内使用。
首先,要建立科学、高效的安全审查体制和机制,包括:一、制定必要的法律法规和标准;二、建立权威性的审查机构和队伍,充分发挥信息安全行业和专业测试机构的作用;三、确定安全审查的内容范围;四、通过强制要求技术和服务提供商签署网络安全协议,保证所采用的信息技术和服务的安全性和可控性。
其次,在具体的实施策略方面,有的专家提出的认证制度值得考虑,即对于要进入我国政府机构以及交通、电力、金融等重要领域的产品建立“黑名单”制,不仅要对技术而且要对企业背景进行审查;对于在一般领域应用的信息技术产品,则采用“白名单”强制认证,只有符合安全标准的产品才能进入市场。
需要注意的是,网络安全审查的内容不应局限于技术方面,不仅要审查IT产品的安全性能指标,还要审查其研发过程、程序、方法及交付方式等,提供商必须证明自己的产品已达到了规定的安全强度。
网络安全协议通常应包括以下方面:通信基础设施必须位于我国境内;通信数据、交易数据、用户信息等只能存储在我国境内;外国政府若要求访问通信数据,必须得到中国政府相关部门的批准;IT产品和服务提供商须配合中国政府对其员工实施背景调查等。
总的来说,这项重要制度的实施难度是很大的,实施成本将会是很高的。需要有切实可行的体制和机制。
《中国科学报》:网络安全审查是否会影响个人隐私或个人信息安全?
赖茂生:从该制度的本意来说,它非但不会损害公民个人的隐私和个人信息安全,反而会更有利于保护公民的个人隐私和信息安全。因为它的目的是防止IT产品提供者非法控制、收集、存储、处理和利用用户(包括个人用户)有关信息。当然,在实施过程中,也应当注意和预防发生借安全审查之名去侵害用户正当权益的行为。
《中国科学报》:网络安全审查制度与网络言论自由是否有冲突?
赖茂生:该制度重点是审查IT产品的安全性和可控性,所以,可以理解为它主要是针对IT产品和服务提供商的,与网络言论自由不直接相关。不过,也需要防止此项制度可能被滥用或误用。
《中国科学报》:网络安全审查制度如何纳入法制轨道?
赖茂生:为了保证网络安全审查制度的尽快建立和有效实施,需要尽快调查梳理现有的相关法律法规,消除不同法律之间的脱节现象和不一致之处,必要时制定统一的网络信息安全法,以规范各相关方的认识和行动。使这项法律制度真正成为保卫我国网络基础设施的坚固屏障,成为促进我国网络安全技术创新和相关产业发展的重要动力。
《中国科学报》:有专家认为,网络安全审查制度要做到既开放又监管,对此您怎么看?
赖茂生:据了解,美国政府的网络安全审查标准和过程是不公开的。它对供应链安全审查的过程、标准、机制完全封闭,不披露原因和理由,不接受提供方申诉,且其审查没有明确的时间限制。
所以,我认为笼统地提开放可能不合适,也不现实。涉及国家安全和重大公共利益的网络安全审查,其标准和实施过程不应当公开。但是,相关的理论问题、法律问题和技术问题可以开放讨论。至于有些专家提出由政府职能部门牵头搭建开放式测试平台以及引入第三方鉴定机构等建议,我个人认为需要慎重。网络安全审查工作往往具有高度的敏感性和机密性,IT产品和服务的使用方也需要有高度的自主选择和决策权。