有三大重点，但两方面需补充

——《网络安全审查办法（征求意见稿）》的亮点及完善

□特约撰稿 杨尚东

从世界范围来看，通过建立网络安全审查制度维护网络安全已成趋势，美国、英国、俄罗斯、印度等国均建立了网络安全审查制度。2017年6月1日开始实施的《中华人民共和国网络安全法》第35条明确，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。这为网络安全审查制度奠定了法律基础。同一天，《网络产品和服务安全审查办法》（简称试行办法）进入试行阶段，就审查重点、审查机构、审查程序等提出具体要求。《网络安全审查办法（征求意见稿）》（简称《办法》），在此基础上做了进一步修订。《办法》共计21条，主要关注关键信息基础设施运营者采购网络产品和服务的活动，其重点是审查主体、审查内容以及程序。

第一，审查的主体。与此前2017年颁行的试行办法不同，此次《办法》的发布通知中写明了联合起草单位，共有12家。除国家网信办外，还有国家发改委、工信部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局。此外还规定中央网络安全和信息化委员会统一领导网络安全审查工作。国家网信办会同其他11个联合起草单位，建立国家网络安全审查工作机制。

第二，审查的内容。网络产品和服务的安全性、可控性，一直是各国网络安全审查的重点。《办法》中列举了四种需要申报并进行安全审查的情况：（一）关键信息基础设施整体停止运转或主要功能不能正常运行；（二）大量个人信息和重要数据泄露、丢失、毁损或出境；（三）关键信息基础设施运行维护、技术支持、升级更新换代面临供应链安全威胁；（四）其他严重危害关键信息基础设施安全的风险隐患。不过，需要注意的是，《办法》的适用重点虽然是关键基础设施运营者的采购活动，适用范围却不仅仅局限在关键基础设施领域。根据该《办法》第19条的规定，如果网络安全审查工作机制成员单位认为有网络产品服务的采购活动和信息技术服务活动“影响或可能影响国家安全”，经网络安全审查办公室报送中央网络安全和信息化委员会批准后，也须进行审查。

第三，审查的程序。规范审查机关的行为，避免职权的滥用也一直是立法者关注的焦点问题。较2017年颁行的试行办法，此次《办法》中对于程序的规定更加明确，也更具有实操性。《办法》规定，网络安全审查办公室受理申报后，应在30个工作日内完成初步审查，情况复杂的可延长15个工作日。初步审查完成后，网络安全审查办公室形成审查结论建议，并送网络安全审查工作机制成员单位征求意见。审查结论建议包括通过审查、附条件通过审查、未通过审查三种情况。网络安全审查工作机制成员单位应15个工作日内书面回复意见。

可以看到，《办法》的出台是对已有的网络安全审查制度的补充和完善，但后续还是有一系列艰巨任务需要完成。

首先，在审查过程中应建立适当的沟通和申诉机制。由于网络安全审查对服务商的影响是非常巨大的，如果没有建立与被审查者的沟通制度以及被审查者就不合理结果提出的申诉机制，则可能会导致安全审查过程中对于具体技术问题的误解，影响审查的客观性。因此，建议在审查体制内建立沟通和申诉机制，以便及时解决可能的误解，尽快更正可能的错误，以更好地实现审查体制保障网络安全的最终目标。

其次，网络安全评估报告应公开。网络安全攸关社会各方面的利益，审查部门对于运营者的安全评估报告也应及时予以公开。但是安全评估报告的公开发表需要遵循一定的标准和原则，不应当公开企业产品的技术细节、知识产权或者相关安全脆弱性的细节部分，因为这种公开可能会影响企业的实际利益，同时会在安全脆弱性尚未解决之前增加现有用户的用户风险。

网络安全审查是具有中国特色的网络安全保障制度，在具体的实施过程中可能会遇到形形色色的问题和挑战，建议保持对于意见的开放性，以便就可能遇到的问题及时做出调整，从而建立一个逐步完善的审查制度，确保国家网络安全。

（作者系法学博士，西南政法大学行政法学院程序法治研究中心研究员）