把握︽网络安全审查办法︾逻辑要旨
◇洪延青
中国的《网络安全审查办法》(以下简称《审查办法》)于2020年4月13日发布,同年6月1日生效。前身是从2017年开始实施的《网络产品和服务安全审查办法(试行)》。从试行到成型,近三年间的实践和摸索,最终扬弃、浓缩、升华于新的规章之中。2021年7月,中央网信办再次发布网络安全审查办法(修订草案征求意见稿)》,此次修订的重点是落实《数据安全法》关于数据安全审查的相关内容,但不可否认的是,审查办法》的核心关切依然是关键信息基础设施的供应链安全。
《审查办法》解决的核心事项是:产品或服务用于关键信息基础设施中可能带来的安全问题。换句话说,之所以发起审查,是因为具体的关键信息基础设施运营者因采购了特定的网络产品和服务,可能因此给关键信息基础设施带来“脆弱性”,而非产品或服务自身内在的安全问题。后者主要由《网络安全法》第二十二、二十三和三十六条及其配套制度所解决。沿着这个基本逻辑,就能很好地掌握中国《审查办法》设立的审查制度的各个方面。