网络安全审查的立法研究

    杨辉

    关键词网络安全审查 立法 网络安全一、网络安全审查的必要性

    （一）全球网络安全形势严峻

    根据当前的网络风险的现状来说，网络信息系统不仅有来自黑客的攻击，而且还有来自政府主导的监听和窃密，风险来源复杂多变。例如，美国在销往海外各地的网络设备中的植入窃听装备，英国也被发现在信息网络系统采用大量的窃听设备。。网络风险已经蔓延到国家的各个领域，如果不加以审查管理将会严重影响社会的生活秩序，还将会威胁到国家的安全。

    根据当前的网络风险的现状来说，网络信息系统不仅有来自黑客的攻击，而且还有来自政府主导的监听和窃密，风险来源复杂多变。例如，美国在销往海外各地的网络设备中的植入窃听装备，英国也被发现在信息网络系统采用大量的窃听设备。网络风险已经蔓延到国家的各个领域，如果不加以审查管理将会严重影响社会的生活秩序，还将会威胁到国家的安全。

    笔者在网络上搜集整理了近5年发生的一些网络安全事件，不仅仅涉及到政治领域还包括经济以及公共利益方面，已经从政府机关蔓延到金融、环境等与人们生活息息相关的各个领域。网络安全审查制度就成了一项必须完善的制度。加强网络安全审查方面的立法刻不容缓。

    

    （二）网络产品或服务的“不安全”

    网络产品和服务是决定网络安全的基石，保障网络产品和服务的安全是防御网络安全风险的核心。首先，随着科学技术水平的提高，网络产品和服务本身会出现很多不可避免的漏洞。其次，厂商可能会针对网络产品和服务设置后门以方便收集信息、调试或者开发，但是这一后门很可能会被滥用，甚至会成为机密窃取的渠道，影响网络产品和服务的安全性与可控性，从而危害国家安全。最后，在信息战的背景下，有一些国家的情报机构会胁迫厂家预设置数据回传、间谍监听程序，甚至会通过攻击手段纂改出厂设备。二、我国网络安全审查立法存在的问题

    （一）有关网络安全审查方面的法律存在审查对象表述不统一的1司题

    在《国家安全法》中网络安全审查的对象被表述为“影响或者有可能影响国家安全的网络产品和服务”。然而，在《网络安全法》中这一制度的审查对象是可能影响国家安全的关键性基础设施。在《网络产品和服务安全审查办法（试行）》中规定的审查对象是涉及国家安全的重要网络产品和服务，在这一《办法》中还规定了如果重要的基础性的网络运营采购者采购的网络产品和服务可能影响国家安全的也要对此进行审查。由于三部法律规定的有关网络安全审查的对象不一致，会让人们在适用的过程中产生误解，我们无法对“关键信息基础设施”等关键词作出明确的认知，所以在有关网络安全审查制度的立法上需要对网络安全的审查对象进行明确，以避免在具体的司法实践产生不确定性。

    （二）络安全审查的法律缺乏可操作性

    《国家安全法》和《网络安全法》仅仅对网络安全审查规定了原则性的内容，对网络安全的审查只是起到了框架性的指导作用。在随后颁布的《办法》中是上述两部法律的对应的配套规则，虽然对法律进一步作出了细化，但是并不够完善。例如法律中提到了第三方机构的审查规则，“按照有关规定，参照有关的标准”，但是《办法》并没有做出解释，在具体的适用过程中还是不能所谓参照的标准是什么，所以网络安全审查立法要进一步具体化，以增强在实践中的可操作性。

    （三）缺少分级审查规则

    不同的网络风险适用不同的审查规则，不能用大炮打麻雀这是中国的一句老话，根据不同等级的网络风险采取不同的审查办法有利于节约法律资源。在对网络风险进行分级管理的过程中可以参照《国家保密法》中对国家秘密的等级划分，把网络风险分为重点领域的风险和普通领域的风险。重点领域的风险主要是指关键信息基础设施受到的风险，其余的领域可以看作是普通领域。并对重点领域和普通领域给予明确而清晰的界定。然而依据当前的立法我们不能明确的重点领域和普通领域的分界线。随着网络技术的发展，网络技术产品和服务也在不断地增加，没一类网络产品和服务的安全可控水平要求也不太一样。如果不去做出具体的分类，用统一的审查标准审查所有的网络风险，会直接影响网络安全审查的进程阻碍其发展效果，进而会是网络安全审查相关的法律和配套的规则失去权威。三、完善我国网络安全审查立法的建议

    （一）明确网络安全审查的对象

    对象是网络安全审查的核心，如果不同的法律对此对象规定的不一致会产生适用标准的混乱，法律的稳定性、权威性都会受到影响。在完善立法的过程中就需要首先明确网络安全审查的对象，厘清各个法律规范和文件对此对象规定内容之间的关系。分析对比有关网络安全的相关立法和文件可知，在立法方面，是对网络安全审查的对象进行了限缩，比较相关的法律文件少了其中的“公共利益”，从表面上看起来，是限制了网络安全审查的适用，但是，其实从本质上来讲，公共利益的范围非常的广，如果在这里不从公共利益引入审查对象，可能会造成与其他法律制度发生双重管理，容易引起法律适用上的混淆。关于网络安全审查对象而言，我国的立法也并没有忽视公共利益，而是更加强调国家安全，国家安全有与公共利益直接相联系，所以说，要明确网咯安全审查的对象。

    （二）明确网络安全审查的标准

    审查标准是确定网络产品和服务是否安全的尺度，就像美国采取信息技术采购安全保障措施制度一样，如果没有一项完全可行的审查标准只能沦为一种政策性工具，在我国刚提出网络安全审查制度的时候就已经强调了，网络安全审查的属性之一就是她是一项主动采取的保障措施。对待任何网络产品和服务都是采取一样的审查方法和标准，坚持无国别原则，而不是一种反制措施。我国在建立网络安全审查的标准时应该首先考虑这一标准的建立要保证网络产品和服务的安全性，这是最基础的原则，也是网络安全原则审查制度建立的核心。其次，审查标准不能是单一的，针对不同领域的网络风险建立不同程度的审查尺度。最后，见识公平公正原则即坚持技术中立原则。

    （三）建立分级审查规则

    正如前述所述，笔者认为我国立法对网络安全审查的对象的表述更为合适即关系国家安全的网络和信息系统中重要网络产品和服務。但是立法对这个对象的规定又是框架性的，需要建立相对应的分级审查机制分别审查。以合理的分配审查资源，针对重点领域审查分配多一些资源，确保重点领域的审查效果，但是也不能忽视其他领域，合理配置审查资源，关于网络安全审查的分级审查规则的构建可以适当的参照美国联邦信息和信息系统的安全分类，根据网络风险的完整性、保密性、有效性等建立相应分级审查规则，不同的等级细化不同的具体审查规则，以确保有针对性的审查，为网络安全审查提供制度保障。四、结语

    网络安全是国家安全中重要的组成部分，采取必要的措施保障网络产品和服务的安全是保障国家安全的前提，我国已经建立了网络安全审查制度，但网络技术更新速度如此之快，立法可能存在一定程度的滞后，要对网络安全审查制度相关的法律文件进行完善和补充，才能不断的适应社会的发展，对当前网络安全审查立法问题可以通过三个方面来完善，首先，要明确网络安全审查的对象。其次，明确网络安全审查的标准。最后，建立分级审查规则，以保障网络安全审查相关的立法和文件具有现实的可操作性。完善网络安全审查立法，对我国的法治建设具有重要意义。