據國家互聯網信息辦公室的消息,我國即將推出網絡安全審查制度。那么,網絡安全的審查范圍和標準是什么?對公民個人而言意味著什么?近日,《中國科學報》采訪了北京大學信息管理系教授、中國科技新聞學會常務理事、中國信息協會常務理事兼特約副會長賴茂生。

 
  《中國科學報》:近期多部門開始專項治理微信等社交平臺,對此您怎么看?
 
  賴茂生:上月底國家互聯網信息辦公室聯合工業和信息化部、公安部等部門在全國范圍內開展了為期一個月的針對微信等移動即時通信工具的專項治理行動,主要是要管治移動即時通信公眾信息發布服務中的違法違規行為,是前一階段凈網行動的繼續。七大移動即時通信服務商在上述背景下發倡議推實名制,其主要內容是:遵守法律法規,不為惡意公眾信息提供傳播渠道;堅持正確導向,暢通網民意見反饋和舉報等渠道;履行社會責任,配合政府有關部門依法打擊利用移動即時通信公眾平臺進行網絡色情、網絡詐騙、網絡黑市等各種違法犯罪行為;建立辟謠機制,及時澄清謠言;提倡公平守信,反對惡性競爭;等等??梢?,它將有利于進一步改善移動即時通信環境,強化企業和公民的社會責任感。
 
  《中國科學報》:據悉下一步我國將推出網絡安全審查制度。對此您的看法是什么?
 
  賴茂生:這是我國政府的一個重大決策,非常必要。主要原因是當前網絡安全形勢非常嚴峻。少數國家肆無忌憚地利用互聯網對他國搞監控,竊取他國政府和公民的信息,甚至攻擊他國的重要設施。中國是主要的受害國之一。近20年來,我國政府和企事業單位的信息化建設取得了很大發展和成效,但是也存在著許多隱患和危機,因為我們的許多信息基礎設施都依賴于國外的技術和設備。
 
  《中國科學報》:網絡安全審查制度具體如何操作?
 
  賴茂生:網絡安全審查是對關系國家安全和社會穩定的信息系統中使用的信息技術產品和服務進行測試評估、檢測分析并持續監督的過程。其重點是審查產品的安全性和可控性,防止產品提供者借助提供產品之便,非法控制、干擾、中斷用戶系統,非法收集、存儲、處理和利用用戶有關信息。對于審查不合格的產品和服務,將不得在中國境內使用。
 
  首先,要建立科學、高效的安全審查體制和機制,包括:一、制定必要的法律法規和標準;二、建立權威性的審查機構和隊伍,充分發揮信息安全行業和專業測試機構的作用;三、確定安全審查的內容范圍;四、通過強制要求技術和服務提供商簽署網絡安全協議,保證所采用的信息技術和服務的安全性和可控性。
 
  其次,在具體的實施策略方面,有的專家提出的認證制度值得考慮,即對于要進入我國政府機構以及交通、電力、金融等重要領域的產品建立“黑名單”制,不僅要對技術而且要對企業背景進行審查;對于在一般領域應用的信息技術產品,則采用“白名單”強制認證,只有符合安全標準的產品才能進入市場。
 
  需要注意的是,網絡安全審查的內容不應局限于技術方面,不僅要審查IT產品的安全性能指標,還要審查其研發過程、程序、方法及交付方式等,提供商必須證明自己的產品已達到了規定的安全強度。
 
  網絡安全協議通常應包括以下方面:通信基礎設施必須位于我國境內;通信數據、交易數據、用戶信息等只能存儲在我國境內;外國政府若要求訪問通信數據,必須得到中國政府相關部門的批準;IT產品和服務提供商須配合中國政府對其員工實施背景調查等。
 
  總的來說,這項重要制度的實施難度是很大的,實施成本將會是很高的。需要有切實可行的體制和機制。
 
  《中國科學報》:網絡安全審查是否會影響個人隱私或個人信息安全?
 
  賴茂生:從該制度的本意來說,它非但不會損害公民個人的隱私和個人信息安全,反而會更有利于保護公民的個人隱私和信息安全。因為它的目的是防止IT產品提供者非法控制、收集、存儲、處理和利用用戶(包括個人用戶)有關信息。當然,在實施過程中,也應當注意和預防發生借安全審查之名去侵害用戶正當權益的行為。
 
  《中國科學報》:網絡安全審查制度與網絡言論自由是否有沖突?
 
  賴茂生:該制度重點是審查IT產品的安全性和可控性,所以,可以理解為它主要是針對IT產品和服務提供商的,與網絡言論自由不直接相關。不過,也需要防止此項制度可能被濫用或誤用。
 
  《中國科學報》:網絡安全審查制度如何納入法制軌道?
 
  賴茂生:為了保證網絡安全審查制度的盡快建立和有效實施,需要盡快調查梳理現有的相關法律法規,消除不同法律之間的脫節現象和不一致之處,必要時制定統一的網絡信息安全法,以規范各相關方的認識和行動。使這項法律制度真正成為保衛我國網絡基礎設施的堅固屏障,成為促進我國網絡安全技術創新和相關產業發展的重要動力。
 
  《中國科學報》:有專家認為,網絡安全審查制度要做到既開放又監管,對此您怎么看?
 
  賴茂生:據了解,美國政府的網絡安全審查標準和過程是不公開的。它對供應鏈安全審查的過程、標準、機制完全封閉,不披露原因和理由,不接受提供方申訴,且其審查沒有明確的時間限制。
 
  所以,我認為籠統地提開放可能不合適,也不現實。涉及國家安全和重大公共利益的網絡安全審查,其標準和實施過程不應當公開。但是,相關的理論問題、法律問題和技術問題可以開放討論。至于有些專家提出由政府職能部門牽頭搭建開放式測試平臺以及引入第三方鑒定機構等建議,我個人認為需要慎重。網絡安全審查工作往往具有高度的敏感性和機密性,IT產品和服務的使用方也需要有高度的自主選擇和決策權。

責任編輯:admin