為了全面落實網絡強國戰略，預防和避免網絡運營者采購產品和服務給關鍵信息基礎設施運行帶來風險和危害，確保關鍵信息基礎設施的供應鏈安全，維護國家安全，國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局于4月13日聯合發布《網絡安全審查辦法》（以下簡稱《審查辦法》），自6月1日起正式施行。
　　《審查辦法》確立了對影響或者可能影響國家安全的網絡信息技術產品和服務，以及其他重大事項和活動，實施國家層面的安全審查制度。這是維護我國關鍵信息基礎設施供應鏈安全的一項里程碑事件，對于保障和提升國家關鍵信息基礎設施供應鏈安全，維護國家安全具有重大的推動作用。

國家安全審查是重要法律制度
　　國家安全審查是我國國家安全法確立的一項重要法律制度。根據國家安全法第五十九條的規定，我國對影響或者可能影響國家安全的以下五種情形實施國家安全審查：一是外商投資；二是特定物項和關鍵技術；三是網絡信息技術產品和服務；四是涉及國家安全事項的建設項目；五是法律法規規定的其他重大事項和活動。
　　“網絡信息技術產品和服務的安全審查”是國家安全法確立的一項重要法律制度，審查的內容包括但不限于核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務等。

不限制和歧視國外產品服務
　　筆者注意到，《審查辦法》發布后，一些國外媒體評論認為，我國將采取將外國企業與服務拒之門外的措施，并將《審查辦法》與中美貿易談判、華為公司相結合進行解讀。實際上，美國及西方主要發達國家基于國家安全、網絡信息安全、個人數據安全等，均已建立并實施了國家網絡安全審查制度。
　　從《審查辦法》的立法目的、原則、審查內容和法律程序上看，我國對于內外資企業的產品和服務一視同仁，同等適用，且同等保護外資企業的商業秘密和知識產權。只要對中國國家安全不構成危害，外國產品和服務不會被限制，更不會被歧視，因為對外開放是中國的基本國策。

供應鏈安全是基礎設施保護核心
　　為了防止關鍵信息基礎設施因使用的產品和服務存在安全缺陷或其他隱患而受到攻擊、破壞，從而危害國家安全，我國網絡安全法第三十五條規定，關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。
　　當今，全球網絡安全形式極其復雜，網絡威脅日趨嚴重，關鍵網絡基礎設施已成為網絡攻擊的主要目標，并可能引發極為嚴重的災難性后果，尤其是產品和服務的供應鏈風險已成為關鍵信息基礎設施面臨的重要安全風險。對此，《審查辦法》第一條開明宗義：“為了確保關鍵信息基礎設施供應鏈安全，維護國家安全，依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》，制定本辦法”。

建立國家網絡安全審查工作機制
　　《審查辦法》設立了國家網絡安全審查工作機制，這是由網絡安全審查工作程序、審查主體和審查規則共同構成的一個有機聯系和有效運轉的機制。我國網絡安全審查機制是一個相輔相成的整體，貫穿于關鍵信息基礎設施供應鏈安全審查工作的各個環節。
　　根據《審查辦法》第三條的規定，國家網絡安全審查工作機制堅持“四個相結合”：一是防范網絡安全風險與促進先進技術應用相結合；二是過程公正透明與知識產權保護相結合；三是事前審查與持續監管相結合；四是企業承諾與社會監督相結合，重點從產品和服務安全性、可能帶來的國家安全風險等方面進行審查。
　　《審查辦法》第四條規定，在中央網絡安全和信息化委員會領導下，國家互聯網信息辦公室會同中華人民共和國國家發展和改革委員會、中華人民共和國工業和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局建立國家網絡安全審查工作機制。

關鍵信息基礎設施的范圍與申報
　　《審查辦法》第二條規定，關鍵信息基礎設施運營者采購網絡產品和服務，影響或可能影響國家安全的，應當按照本辦法進行網絡安全審查。網絡安全法第三章第二節用相當的篇幅規范了關鍵信息基礎設施的安全與保護法律制度，范圍涵蓋了公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域。網絡安全法第三十一條規定，國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護，關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。這是我國首次在法律層面提出關鍵信息基礎設施的概念和重點保護范圍。
　　根據中央網絡安全和信息化委員會《關于關鍵信息基礎設施安全保護工作有關事項的通知》精神，電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等行業領域的重要網絡和信息系統運營者在采購網絡產品和服務時，應當按照《審查辦法》的要求自行預判該產品和服務投入使用后可能帶來的國家安全風險。經過預判，認為該產品和服務在投入使用后影響或者可能影響國家安全，關鍵信息基礎設施運營者均有義務向網絡安全審查辦公室申報網絡安全審查。

網絡安全審查主要考慮五大因素
　　我國網絡安全審查的重點是研判和評估網絡運營者采購網絡產品和服務可能帶來的國家安全風險，根據《審查辦法》第九條的規定，主要考慮以下五大因素：一是產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險；二是產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；三是產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；四是產品和服務提供者遵守中國法律、行政法規、部門規章情況；五是其他可能危害關鍵信息基礎設施安全和國家安全的因素。以上五大因素從關鍵信息基礎設施供應鏈安全的“事先防范、事中控制、事后救濟”的安全鏈角度出發，構建了立體式的網絡安全審查機制。
                                                                            （來源：法制日報  作者分別系浙江大學教授，南京郵電大學教授）