網絡安全審查的立法研究

楊輝

關鍵詞網絡安全審查 立法 網絡安全

一、網絡安全審查的必要性

（一）全球網絡安全形勢嚴峻

根據(jù)當前的網絡風險的現(xiàn)狀來說，網絡信息系統(tǒng)不僅有來自黑客的攻擊，而且還有來自政府主導的監(jiān)聽和竊密，風險來源復雜多變。例如，美國在銷往海外各地的網絡設備中的植入竊聽裝備，英國也被發(fā)現(xiàn)在信息網絡系統(tǒng)采用大量的竊聽設備。。網絡風險已經蔓延到國家的各個領域，如果不加以審查管理將會嚴重影響社會的生活秩序，還將會威脅到國家的安全。

根據(jù)當前的網絡風險的現(xiàn)狀來說，網絡信息系統(tǒng)不僅有來自黑客的攻擊，而且還有來自政府主導的監(jiān)聽和竊密，風險來源復雜多變。例如，美國在銷往海外各地的網絡設備中的植入竊聽裝備，英國也被發(fā)現(xiàn)在信息網絡系統(tǒng)采用大量的竊聽設備。網絡風險已經蔓延到國家的各個領域，如果不加以審查管理將會嚴重影響社會的生活秩序，還將會威脅到國家的安全。

筆者在網絡上搜集整理了近5年發(fā)生的一些網絡安全事件，不僅僅涉及到政治領域還包括經濟以及公共利益方面，已經從政府機關蔓延到金融、環(huán)境等與人們生活息息相關的各個領域。網絡安全審查制度就成了一項必須完善的制度。加強網絡安全審查方面的立法刻不容緩。

（二）網絡產品或服務的“不安全”

網絡產品和服務是決定網絡安全的基石，保障網絡產品和服務的安全是防御網絡安全風險的核心。首先，隨著科學技術水平的提高，網絡產品和服務本身會出現(xiàn)很多不可避免的漏洞。其次，廠商可能會針對網絡產品和服務設置后門以方便收集信息、調試或者開發(fā)，但是這一后門很可能會被濫用，甚至會成為機密竊取的渠道，影響網絡產品和服務的安全性與可控性，從而危害國家安全。最后，在信息戰(zhàn)的背景下，有一些國家的情報機構會脅迫廠家預設置數(shù)據(jù)回傳、間諜監(jiān)聽程序，甚至會通過攻擊手段纂改出廠設備。

二、我國網絡安全審查立法存在的問題

（一）有關網絡安全審查方面的法律存在審查對象表述不統(tǒng)一的1司題

在《國家安全法》中網絡安全審查的對象被表述為“影響或者有可能影響國家安全的網絡產品和服務”。然而，在《網絡安全法》中這一制度的審查對象是可能影響國家安全的關鍵性基礎設施。在《網絡產品和服務安全審查辦法（試行）》中規(guī)定的審查對象是涉及國家安全的重要網絡產品和服務，在這一《辦法》中還規(guī)定了如果重要的基礎性的網絡運營采購者采購的網絡產品和服務可能影響國家安全的也要對此進行審查。由于三部法律規(guī)定的有關網絡安全審查的對象不一致，會讓人們在適用的過程中產生誤解，我們無法對“關鍵信息基礎設施”等關鍵詞作出明確的認知，所以在有關網絡安全審查制度的立法上需要對網絡安全的審查對象進行明確，以避免在具體的司法實踐產生不確定性。

（二）絡安全審查的法律缺乏可操作性

《國家安全法》和《網絡安全法》僅僅對網絡安全審查規(guī)定了原則性的內容，對網絡安全的審查只是起到了框架性的指導作用。在隨后頒布的《辦法》中是上述兩部法律的對應的配套規(guī)則，雖然對法律進一步作出了細化，但是并不夠完善。例如法律中提到了第三方機構的審查規(guī)則，“按照有關規(guī)定，參照有關的標準”，但是《辦法》并沒有做出解釋，在具體的適用過程中還是不能所謂參照的標準是什么，所以網絡安全審查立法要進一步具體化，以增強在實踐中的可操作性。

（三）缺少分級審查規(guī)則

不同的網絡風險適用不同的審查規(guī)則，不能用大炮打麻雀這是中國的一句老話，根據(jù)不同等級的網絡風險采取不同的審查辦法有利于節(jié)約法律資源。在對網絡風險進行分級管理的過程中可以參照《國家保密法》中對國家秘密的等級劃分，把網絡風險分為重點領域的風險和普通領域的風險。重點領域的風險主要是指關鍵信息基礎設施受到的風險，其余的領域可以看作是普通領域。并對重點領域和普通領域給予明確而清晰的界定。然而依據(jù)當前的立法我們不能明確的重點領域和普通領域的分界線。隨著網絡技術的發(fā)展，網絡技術產品和服務也在不斷地增加，沒一類網絡產品和服務的安全可控水平要求也不太一樣。如果不去做出具體的分類，用統(tǒng)一的審查標準審查所有的網絡風險，會直接影響網絡安全審查的進程阻礙其發(fā)展效果，進而會是網絡安全審查相關的法律和配套的規(guī)則失去權威。

三、完善我國網絡安全審查立法的建議

（一）明確網絡安全審查的對象

對象是網絡安全審查的核心，如果不同的法律對此對象規(guī)定的不一致會產生適用標準的混亂，法律的穩(wěn)定性、權威性都會受到影響。在完善立法的過程中就需要首先明確網絡安全審查的對象，厘清各個法律規(guī)范和文件對此對象規(guī)定內容之間的關系。分析對比有關網絡安全的相關立法和文件可知，在立法方面，是對網絡安全審查的對象進行了限縮，比較相關的法律文件少了其中的“公共利益”，從表面上看起來，是限制了網絡安全審查的適用，但是，其實從本質上來講，公共利益的范圍非常的廣，如果在這里不從公共利益引入審查對象，可能會造成與其他法律制度發(fā)生雙重管理，容易引起法律適用上的混淆。關于網絡安全審查對象而言，我國的立法也并沒有忽視公共利益，而是更加強調國家安全，國家安全有與公共利益直接相聯(lián)系，所以說，要明確網咯安全審查的對象。

（二）明確網絡安全審查的標準

審查標準是確定網絡產品和服務是否安全的尺度，就像美國采取信息技術采購安全保障措施制度一樣，如果沒有一項完全可行的審查標準只能淪為一種政策性工具，在我國剛提出網絡安全審查制度的時候就已經強調了，網絡安全審查的屬性之一就是她是一項主動采取的保障措施。對待任何網絡產品和服務都是采取一樣的審查方法和標準，堅持無國別原則，而不是一種反制措施。我國在建立網絡安全審查的標準時應該首先考慮這一標準的建立要保證網絡產品和服務的安全性，這是最基礎的原則，也是網絡安全原則審查制度建立的核心。其次，審查標準不能是單一的，針對不同領域的網絡風險建立不同程度的審查尺度。最后，見識公平公正原則即堅持技術中立原則。

（三）建立分級審查規(guī)則

正如前述所述，筆者認為我國立法對網絡安全審查的對象的表述更為合適即關系國家安全的網絡和信息系統(tǒng)中重要網絡產品和服務。但是立法對這個對象的規(guī)定又是框架性的，需要建立相對應的分級審查機制分別審查。以合理的分配審查資源，針對重點領域審查分配多一些資源，確保重點領域的審查效果，但是也不能忽視其他領域，合理配置審查資源，關于網絡安全審查的分級審查規(guī)則的構建可以適當?shù)膮⒄彰绹?lián)邦信息和信息系統(tǒng)的安全分類，根據(jù)網絡風險的完整性、保密性、有效性等建立相應分級審查規(guī)則，不同的等級細化不同的具體審查規(guī)則，以確保有針對性的審查，為網絡安全審查提供制度保障。

四、結語

網絡安全是國家安全中重要的組成部分，采取必要的措施保障網絡產品和服務的安全是保障國家安全的前提，我國已經建立了網絡安全審查制度，但網絡技術更新速度如此之快，立法可能存在一定程度的滯后，要對網絡安全審查制度相關的法律文件進行完善和補充，才能不斷的適應社會的發(fā)展，對當前網絡安全審查立法問題可以通過三個方面來完善，首先，要明確網絡安全審查的對象。其次，明確網絡安全審查的標準。最后，建立分級審查規(guī)則，以保障網絡安全審查相關的立法和文件具有現(xiàn)實的可操作性。完善網絡安全審查立法，對我國的法治建設具有重要意義。