浅析《国家安全法》中的网络安全审查制度

四、网络安全审查制度承接《国家安全法》，成为网络法制体系的重要组成部分

概括而言，我国《国家安全法》第二条间接明确了网络安全审查的审查范围，第八条明确了网络安全审查协同发展和利益平衡的审查理念，第二十五条明确了网络安全审查“安全可控”的审查目标和“风险控制”的审查思路。在此基础上，《国家安全法》第五十九条最终确立了针对网络信息技术产品和服务的国家网络安全审查制度，并在第六十条中规定中央国家机关各部门依照法律、行政法规行使国家安全审查职责，依法作出国家安全审查决定或者提出安全审查意见并监督执行，由此提出了完整的国家网络安全审查制度框架。值得注意的是，《国家安全法》第五十九条将外商投资、特定物项和关键技术、网络信息技术产品和服务等审查内容并列表述，澄清了我国网络安全审查的制度独立性问题，修正了目前外资并购国家安全审查和网络安全审查相互混同的情况。尽管随着信息技术全球化趋势的加强，外资并购国家安全审查所关注的国家经济安全和网络安全审查所关注的网络安全存在相互渗透的情况，而且同属于国家安全的范畴，但二者的制度基础仍然存在较大差别。网络安全审查制度既不应当等同于在2008年《反垄断法》中业已确立的外资并购国家安全审查，也不应当从属于外资并购国家安全审查中的网络安全部分，其应当具有制度独立性。

五、在实践中细化完善国家网络安全审查制度，不断提升维护国家安全的法制效力

在网络安全审查制度的可实施性方面，我国《国家安全法》的现有规定仍然是原则性的，还不能对国家网络安全审查活动和企业遵从提供有效指引，需要在后续的配套立法或制度规范中进行细化和补充，对于未涉及的审查事项进行明确。首先，考虑到我国网络安全审查将主要围绕网络信息技术产品和服务而展开，那么就应当对传统“直接供应商”和“最终产品”的审查半径进行扩展，延伸到整个信息技术供应链。因为信息技术利用的全球化是以供应链为基础的，信息技术产品和服务的提供更加依赖广泛的全球市场，供应链的复杂程度客观上造成网络安全风险将有更多的渗透渠道 ，在产品和服务的生产、组装和分发过程中都可能引入不确定的安全风险，需要对信息技术供应链整体施加审查要求。其次，由于信息技术在现代社会中的泛在式部署，网络安全审查活动将极为复杂，在信息技术服务中还可能受到数据跨境产生的管辖权争议影响。因此，我国网络安全审查制度应当有所侧重。从目前的国际立法实践来看，网络安全审查与政府采购、认证认可和技术进出口等相关法律制度关系最为密切，可以考虑将我国网络安全审查的要求渗透进上述立法中。最后，为了避免网络安全审查成为政策性工具，有效实现网络安全审查的功能，必要的透明度必须予以保证，因此需要建立相关的审查标准。例如美国在《国家信息保障采购政策》中要求所有国家安全信息系统中采购的信息技术产品必须经过评估和认证，满足互认的国际信息安全技术评估通用标准，满足国家安全局（NSA）、国家技术标准研究所（NIST）和国家信息保障合作组织（NIAP）的评估认证要求，满足NIST联邦信息处理标准（FIPS）的认证要求，并符合NSA的NSA批准的认证流程。这样一方面可以为国家网络安全审查活动提供指引，另一方面可以为企业遵从提供参考框架。

（来源：人民网）