中华人民共和国网络安全审查制度

本文记述中华人民共和国政府中国内地施行的网络安全审查制度。该审查制度是对关键信息基础设施运营者所购买的“影响或者可能影响国家安全的网络产品和服务以及数据处理活动”[1]进行审查,由中共中央总书记领导的中央网络安全和信息化委员会国家互联网信息办公室等机构实施。该审查着重于国家安全公共利益的重要技术产品和服务,审查重点是针对产品的安全性和可控性[2]

背景

中國網民居第一

 
2008年東亞網民分佈

截止2013年年底,中华人民共和国互联网用户数居世界第一。[3][4][5]

中國政府禁用Windows 8

 
Windows 8 的标志

2014年5月16日,中央政府采购网站发布一条补充招标的通知。其中,通知的第5条即“所有计算机类产品不允许安装Windows 8操作系统”引起了广泛关注。[6] 虽然通知并未解释禁止所采购的计算机安装Windows 8系统的原因。不过,有評論指出中国的国家信息安全處理問題是其原因之一。[7][8]中国信息安全研究院左晓栋认为这个決定与这项审查制度没有任何的联系,只是个別个案[9]

美國司法部起訴5名中國軍官

 
FBI發布的通緝令照片

2014年5月19日,美国司法部件以涉嫌网络商业窃密为由,起诉中国人民解放军61398部队的五名军官,并已由FBI发出全球通缉令。中国多个部门也对此作出强烈回应。[10][11][12][13][14][15]

華為以及IDC事件

2012年10月17日,以“对美国安全构成威胁”为依据,美国政府部门终止中国的华为中兴从事与美国国家安全有关的商业活动[16][17]而2014年5月中旬,美国IDC公司与中国华为就相关垄断案达成和解。[18][19]

斯諾登事件

 
美国政府监控示意图
 
香港部分民众抗议美国政府迫害斯诺登

从2013年6月开始,美国公民以及前中情局职员和国安局雇员斯诺登香港避难期间,向私营媒体《卫报》和《华盛顿邮报》透露了英美等国家的多部门施行的监控全球网络和通讯的计划内容[20][21]根据媒体披露的情况,中国大陆和香港的通信和网络都受到美国情报部门的监控以及入侵[22][23][24][25][26][27][28][29][30][31]

中国公布美国监听纪录事件

2014年5月26日,中国互联网新闻研究中心公布《美国全球监听行动纪录》。这份文件以有利于中国政府方面来证实斯诺登公布的美国监听行为确实存在。其中,腾讯QQ中国移动飞信以及中国内地三家主要电信运营商和主要的金融企业等都在美国国家安全局的监控范围以内[32][33][34][35]。这又被看作是美国起诉中国军官事件的反制行为[36][37][38]以及印证斯诺登事件[32][33][34][35]

禁用iPhone传闻

历史

2014年5月22日,中华人民共和国国家互联网信息办公室接受记者采访时称,为维护国家网络安全、保障中国用户合法利益,拟制定出网络安全审查制度。国家网信办发言人姜军称,关系国家安全和公共利益系统使用的、重要信息技术产品和服务,应通过网络安全审查;网络安全审查的范围拟包括关系国家安全和公共利益的系统使用的重要技术产品和服务,审查重点是所涉产品的安全性和可控性;姜军表示,审查的目的是为了“防止产品提供者非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息”,而不符合安全要求的产品和服务,将不得在中国境内使用;姜军指少数国家政府企业利用产品的“单边垄断”和技术优势大规模收集敏感数据,中华人民共和国政府部门、机构企业大学电信主干网络遭受大规模侵入、监听;姜军同时强调,此次审查制度不针对任何国家和地区。[39][2]

2015年7月1日,新的《中华人民共和国国家安全法》颁布实施,该法第二十五条规定,建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益[40]。2016年11月7日,《中华人民共和国网络安全法》正式通过,该法第三十一条规定,就可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在先前由中华人民共和国公安部等部门实施的网络安全等级保护制度的基础上,实行重点保护[41];第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信办会同其他部门阻止的国家安全审查。

2017年5月,基于前述二部法律,国家互联网信息办公室颁布《网络产品和服务安全审查办法(试行)》,根据该规章,网络安全审查委员会成立[42]。2017年11月,国家网信办就行政法规草案《关键信息基础设施安全保护条例(征求意见稿)》征求意见[43]。2019年5月24日,中华人民共和国司法部发布《网络安全审查办法(征求意见稿)》,就该部门规章立法征求社会意见[44]。2020年4月,国家网信办等12个国务院组成部门颁布了《网络安全审查办法》,当年5月1日起施行,取代了《网络产品和服务安全审查办法(试行)》。根据该规章,网络安全审查委员会改为网络安全审查办公室,并规定具体的审查办法[45]

2021年7月10日,国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》,该草案拟规定,中国证券监督管理委员会加入网络安全审查机制,掌握超过100万用户个人信息的运营者赴中华人民共和国国外上市,必须向网络安全审查办公室申报网络安全审查[46]。2022年2月15日,《网络安全审查办法》正式开始施行。[47]

审查机制

机制组成

网络安全审查主要针对关键信息基础设施运营者购买网络产品和服务可能带来的国家安全风险,其审查机制由中央网络安全和信息化委员会领导,并由国家互联网信息办公室会同中华人民共和国国家发展和改革委员会中华人民共和国工业和信息化部中华人民共和国公安部中华人民共和国国家安全部中华人民共和国财政部中华人民共和国商务部中国人民银行国家市场监督管理总局国家广播电视总局国家保密局国家密码管理局组建,国家网信办设置网络安全审查办公室。[45]

申报审查

关键信息基础设施运营者购买网络产品和服务可能带来的国家安全风险时,根据国家网信办解释,通常应在产品和服务提供方正式签署合同前向网络安全审查办公室申报审查,并递交申报书、就可能影响国家安全的分析报告、采购协议或合同等材料等。办公室收到材料后,10个工作日内就是否需要进行审查做出反馈。如果需要进行审查,则向运营者发出书面通知,30个工作日内完成审查,形成审查结论建议,并将审查结论建议发送给审查机制成员单位及其他相关机关征求意见等。如果需要延长审查期限的,审查期限不超过45个工作日;如果审查结论建议和审查机制成员单位、其他相关机关意见不一致的,则进入特别审查环节,该环节审限为45个工作日。要求提供补充材料的时限不包含在审查期限内。[45][48]

《网络安全审查办法》特别规定,参与网络安全审查者应保护关键信息基础设施运营者及产品和服务提供者的商业秘密知识产权,未经信息提供方同意不得将相关内容用于对外披露等审查以外的用途;该办法还禁止限制或歧视国外产品和服务。[45][48]

主动审查

若审查工作机制成员单位认为某项网络产品和服务影响或可能影响国家安全,网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,可以根据《网络安全审查办法》第十五条,主动实施网络安全审查[45]

行政处罚

根据《中华人民共和国网络安全法》第65条规定,关键信息基础设施的运营者使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。[45][48]

审查记录

2021年7月2日,网络安全审查办公室宣布对“滴滴出行”实施网络安全审查,并表示为配合网络安全审查工作,防范风险扩大,期间停止新用户注册[49]。2021年7月5日,该办公室继续对“运满满”“货车帮”“BOSS直聘”实施网络安全审查[50]

此前,在中国政府和重点领域的信息技术产品中,境外产品占有较大份额,这项制度的实施会让这种趋势得以缓解。[51]

2023年3月31日,中国国家互联网信息办公室宣布,依据《中華人民共和國國家安全法》《中华人民共和国网络安全法》,将按照《网络安全审查办法》,对美光公司(Micron)在华销售产品实施网络安全审查[52]。同年5月21日宣布,审查发现美光公司在华销售产品“存在较严重网络安全问题隐患”,网络安全审查办公室决定不予通过网络安全审查,中国国内的关键信息基础设施运营者应停止采购其产品。[53]美国商务部同日声明表示“坚决反对毫无事实根据的禁令”。美光公司声明称,正在研究审查结论,期望继续与中国当局进行讨论[54]

影响

对境内云计算企业影响

在这项审查制度中,云计算服务是审查对象之一,这亦是中国对境内的云计算服务相关企业的政策性扶持。[51]

对微软的影响

在中央政府采购网查询得知,在软件产品中,涉及个人操作系统的产品中已经没有微软公司的候选产品了。而“关于进行信息类协议供货强制节能产品补充招标的通知”也明确指出中国的政府机构不再使用Windows 8操作系统。这可能会对微软在中国内地推广正版操作系统产生影响。[7] [8]

对IPO的影响

随着网络安全审查制度的实施以及滴滴遭网络安全审查,一些中国企业宣布暂停美国上市计划,或将上市地点转移至香港,例如健身App“Keep”、播客平台喜马拉雅亚朵酒店、社交平台Soul[55]。但在2021年12月24日公开征求意见的《国务院关于境内企业境外发行证券和上市的管理规定》与《境内企业境外发行证券和上市备案管理办法》均明确,对涉及外商投资安全审查、网络安全审查等法律法规规定范围内的企业境外上市,在提交备案申请前,企业应当依法申报安全审查。有经济学家认为,一旦《管理规定》及《备案办法》实施后,在实践中,网络安全审查仍有较大可能适用于拟赴港上市企业,同时也不排除香港地区监管机构和港交所上市科要求相关上市企业提供网络安全、数据安全审查结果[56]

评价

中国大陆

中国工程院院士倪光南认为,实施网络安全审查制度后,外资企业进入中国大陆市场的门槛或将提高,也可以用于受到不公正贸易待遇时实施贸易救济[39]北京邮电大学信息经济与竞争力研究中心主任曾剑秋认为,中华人民共和国的网络安全审查制度学习了其他国家成熟制度维护网络和信息安全的相应政策,中国在网络安全方面措施不够健全,网络安全审查有助于维护公众利益,是保护国家安全、企业安全和个人信息安全方面的重要措施[2]

中国工程院院士方滨兴表示,这一制度“应针对宏观战略和微观技术两方面分别采取不同措施”。其称需要建立黑名单制度对技术和企业背景进行审查以“保障国家信息安全”;同时也需要用白名单制度对信息技术产品进行强制认证。整个过程中“普通用户的利益不会受到影响”。[57]

在接受媒体对此制度采访时,中国信息安全研究院副院长左晓栋特别指出:“还要再次强调,网络安全审查不是对互联网信息的内容审查。[58]……确切地说,是更好地保障用户的个人信息和安全。”[59]

外资企业

2016年8月,46家在华国际企业团体联名致函中国国务院总理李克强,要求中国政府依据国际贸易法规修正新网络安全法。联署函指出新网络安全法对信息安全技术做出了严格的限制,数据盗窃将变得更容易,并且该立法将违反世界贸易组织规则。还有分析指出该立法涉嫌“贸易保护”。这次抗议是2010年国际企业集体抗议中国限制稀土出口之后,最大规模的一次在华国际企业抗议活动[60]

2016年11月7日,全国人大常委会通过了《中华人民共和国网络安全法》,代表全球数百家公司的40多个国际企业和技术团体对此深表关注,联合致函中国政府并警告说,中国当局试图控制互联网和网络技术,“是在国家边界设置贸易壁垒”,并不能达到保证安全的目的。[61]

美国

美国的奥巴马政府一直试图让中国停止对美国企业的网络袭击,但收效甚微。其政府官员表示,“这(中国军官网络盗窃商业机密事件)是从最成功企业窃取机密的最严重行为,这种做法仍在继续。预估其造成的损失高达数十亿美元和数千个岗位。”处于压力下的奥巴马总统被迫要对中国表现强硬,但这次司法部史无前例的起诉行为具有严重缺陷——仅具有象征意义。但这场案件已经引起中国的高度警觉,中国终止了用来解决网络问题的工作组,并宣布对在中国的外国技术公司实施更加严格的审查计划[62]

来自接近中国高层的人士称,中国政府已经要求国有企业暂停与麦肯锡咨询公司波士顿咨询公司贝恩咨询公司等美国咨询公司的商业往来,因怀疑它们向美国政府提供商业秘密,亦或与中方加强对西方的某些审查有关[63][64]

参考文献

  1. ^ 网络安全审查办法_国家互联网信息办公室_中国政府网. www.gov.cn. [2023-04-29]. (原始内容存档于2023-04-29). 
  2. ^ 2.0 2.1 2.2 中国将出台网络安全审查制度. 中国广播网. 2014年5月22日 [2014-05-22]. (原始内容存档于2019-07-13). 
  3. ^ 网络经济规模逾6000亿元 互联网思维深度改变中国经济格局. 新华网. 2014年4月20日 [2014-05-22]. (原始内容存档于2014-05-22). 
  4. ^ 牛津“网民世界地图”出炉:中国雄踞第一. 科学网. 2013-10-12 [2014-05-22]. (原始内容存档于2021-10-26). 
  5. ^ 2013年手机上网人数达5亿 互联网普及率45.8%. 中国新闻网. 2014年2月24日 [2014-05-28]. (原始内容存档于2021-10-22). 
  6. ^ 周凯. 中央国家机关政府采购中心重要通知. 中央政府采购网. 2014-05-16 [2014-05-23]. (原始内容存档于2014-05-21). 
  7. ^ 7.0 7.1 中央国家机关政府采购中心对Win8说“不”!. 天极网. 2014-05-21 [2014-05-23]. (原始内容存档于2014-05-21). 
  8. ^ 8.0 8.1 中国禁止政府使用的Windows8. 路透社. May 20, 2014 [2014-05-23]. (原始内容存档于2015-11-14). 
  9. ^ 我国将出台网络安全审查制度 与禁装Win8无关. 京华时报. 2014-05-23 [2014-05-24]. (原始内容存档于2014-05-27). 
  10. ^ U.S. Charges Five Chinese Military Hackers for Cyber Espionage Against U.S. Corporations and a Labor Organization for Commercial Advantage. 美国司法部. May 19, 2014 [2014-05-24]. (原始内容存档于2014-09-03). 
  11. ^ 国防部:美司法部起诉中国军人属无中生有. 中国之声. 2014-05-20 [2014-05-24]. (原始内容存档于2016-03-08). 
  12. ^ 国防部就美司法部起诉中国军官提严正交涉和抗议. 中国新闻网. 2014年5月20日 [2014-05-24]. (原始内容存档于2021-10-22). 
  13. ^ 沈逸. 沉着应对美国网络安全新攻势. 中国青年网. 2014-05-20 [2014-05-24]. (原始内容存档于2020-08-07). 
  14. ^ 国信办:美国是世界最大网络窃密者. 新华网. 2014年5月20日 [2014-05-25]. (原始内容存档于2021-10-22). 
  15. ^ Five Chinese Military Hackers Charged with Cyber Espionage Against U.S.. 联邦调查局. May 19, 2014 [2014-05-25]. (原始内容存档于2014年5月24日). 
  16. ^ 美国国会质询华为中兴:私企为何有党委组织?. 新华网. 2012年9月28日 [2014-05-24]. (原始内容存档于2019-07-16). 
  17. ^ 萧雨. 美白宫18个月调查未发现华为间谍活动证据. 凤凰科技. 2012年10月18日 [2014-05-24]. (原始内容存档于2019-07-22). 
  18. ^ 国家发改委中止对美IDC公司垄断调查. 京华时报. 2014-05-23 [2014-05-24]. (原始内容存档于2019-07-20). 
  19. ^ 肖中仁. 我国中止调查美国IDC公司垄断案 IDC与华为达成和解. 国际在线. 2014年5月23日 [2014-05-24]. (原始内容存档于2021-10-26). 
  20. ^ Smith, Matt. NSA leaker comes forward, warns of agency's 'existential threat'. CNN. 9 June 2013 [10 June 2013]. (原始内容存档于2013-06-10). 
  21. ^ Calderone, Michael. Washington Post Began PRISM Story Three Weeks Ago, Heard Guardian's 'Footsteps'. The Huffington Post. 7 June 2013 [10 June 2013]. (原始内容存档于2013-06-12). 
  22. ^ 外交部否认斯诺登是中国间谍. 潇湘晨报. 2013年6月26日 [2014-05-25]. (原始内容存档于2014-01-13). 
  23. ^ 美国“棱镜门”拷问安全和隐私边界. 新京报. 2013年6月13日 [2014-05-25]. (原始内容存档于2021-10-25). 
  24. ^ 林建杨. 斯诺登逃港记. 财经国家周刊. 2013年6月21日 [2014-05-25]. (原始内容存档于2014年5月25日). 
  25. ^ 黃德寅. 轟美監控侵私隱 促港府依法處理. 香港成报. 2013-06-16 [2014-05-25]. (原始内容存档于2015-09-24). 
  26. ^ 梁振英就斯诺登事件发表声明. 新华网. 2013-06-16 [2014-05-25]. (原始内容存档于2019-04-08). 
  27. ^ 图解美国攻击中国网络最新数据. 国际在线. 2014年5月20日 [2014-05-25]. (原始内容存档于2021-10-26). 
  28. ^ 美国“棱镜”项目引发担忧. 亚太日报. 2013年6月14日 [2014-05-25]. (原始内容存档于2016年3月4日). 
  29. ^ 棱镜事件揭秘者斯诺登爆料称美国政府长期入侵中国网络. 观察者. 2013-06-13 [2014-05-25]. (原始内容存档于2021-10-26). 
  30. ^ 斯诺登接受南华早报专访 称美国早已入侵中国网络. 钱江晚报. 2013年6月14日 [2014-05-25]. (原始内容存档于2019-07-13). 
  31. ^ 棱镜泄密者:美国政府长期对中国网络攻击. 新闻晨报. 2013年6月14日 [2014-05-25]. (原始内容存档于2021-10-25). 
  32. ^ 32.0 32.1 《美国全球监听行动记录》发布 涉及中国政府和领导人. 中国广播网. 2014-05-27 [2014-05-27]. (原始内容存档于2014-05-28). 
  33. ^ 33.0 33.1 《美国全球监听行动纪录》全文. 新华社. 2014年5月26日 [2014-05-27]. (原始内容存档于2021-10-26). 
  34. ^ 34.0 34.1 美国把中国当监听主要目标. 青岛日报. 2014-05-27 [2014-05-27]. (原始内容存档于2014-05-27). 
  35. ^ 35.0 35.1 美国全球监听引发广泛批评. 新华每日电讯. 2014年5月27日 [2014-05-27]. (原始内容存档于2014-05-28). 
  36. ^ 美监视中国电信巨头 起诉5中国军官是贼喊捉贼. 环球网. 2014-05-26 [2014-05-27]. (原始内容存档于2019-07-12). 
  37. ^ 外媒称“朝九晚五”竟成美起诉中国军官的证据. 环球时报. 2014年5月22日 [2014-05-27]. (原始内容存档于2021-10-25). 
  38. ^ 专家:美起诉中国军官或为转移自身监控丑闻焦点. 人民网. 2014年5月27日 [2014-05-27]. (原始内容存档于2021-10-26). 
  39. ^ 39.0 39.1 我国将推出网络安全审查制度 外企入华门槛或将提高. 中国广播网. 2014-05-22 [2014-05-22]. (原始内容存档于2019-07-15). 
  40. ^ 王思北; 崔清新. 新国家安全法今起实施 明确建设网络与信息安全保障体系. 新华社. [2021-07-05]. (原始内容存档于2021-07-05) –通过中央网信办网站. 
  41. ^ 李亚红; 朱基钗. 织就网络安全的“法网”——网络安全法六大看点解析. 新华社. 2016-11-07 [2021-07-05]. (原始内容存档于2021-07-05). 
  42. ^ 国家互联网信息办公室. 网络产品和服务安全审查办法(试行). 中央网信办网站. 2017-05-02 [2021-07-05]. (原始内容存档于2021-04-12). 
  43. ^ 国家互联网信息办公室. 国家互联网信息办公室关于《关键信息基础设施安全保护条例(征求意见稿)》公开征求意见的通知. 中央网信办网站. 2017-07-11 [2021-07-05]. (原始内容存档于2021-01-23). 
  44. ^ 国家互联网信息办公室. 国家互联网信息办公室. 中华人民共和国司法部. 2019-05-24 [2021-07-05]. (原始内容存档于2020-07-30). 
  45. ^ 45.0 45.1 45.2 45.3 45.4 45.5 国家互联网信息办公室等. 网络安全审查办法. 中央网信办网站. 2020-04-27 [2021-07-05]. (原始内容存档于2021-07-02). 
  46. ^ 国家互联网信息办公室. 国家互联网信息办公室关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知. 中央网信办网站. 2021-07-10 [2021-07-10]. (原始内容存档于2021-07-13). 
  47. ^ 《网络安全审查办法》今起施行. [2022-10-08]. (原始内容存档于2022-10-13). 
  48. ^ 48.0 48.1 48.2 《网络安全审查办法》答记者问. 中央网信办网站. 2020-04-27 [2021-07-05]. (原始内容存档于2021-04-12). 
  49. ^ 国家互联网信息办公室. “滴滴出行”被实施网络安全审查,期间停止新用户注册. 澎湃新闻. 2021-07-02 [2021-07-05]. (原始内容存档于2021-07-05). 
  50. ^ 国家互联网信息办公室(“网信中国”). 网络安全审查办:对“运满满”“货车帮”“BOSS直聘”启动审查. 澎湃新闻. 2021-07-05 [2021-07-05]. (原始内容存档于2021-07-05). 
  51. ^ 51.0 51.1 网络安全审查制度将出台 概念股迎重大机遇. 证券时报. 2014-05-23 [2014-05-23]. (原始内容存档于2014-05-24). 
  52. ^ 中共中央网络安全和信息化委员会办公室. 关于对美光公司在华销售产品启动网络安全审查的公告. www.cac.gov.cn. [2023-04-01]. (原始内容存档于2023-06-07). 
  53. ^ 美光公司在华销售的产品未通过网络安全审查. 中国网信网. 2023-05-21 [2023-05-21]. (原始内容存档于2023-05-21). 
  54. ^ 美商务部称中国封杀美光“毫无事实根据”. 美国之音. 2023-05-22 [2023-05-22]. (原始内容存档于2023-05-22) (中文). 
  55. ^ 用户超百万境外上市须审查 中国网信办修法带来的影响. BBC News 中文. [2023-01-27]. (原始内容存档于2023-01-27) (中文(简体)). 
  56. ^ 网络安全审查范围框定,境外上市规则逐步明确. 第一财经. 2022-01-04 [2023-01-27]. (原始内容存档于2023-01-27). 
  57. ^ 方滨兴谈网络安全审查制度:应审查企业背景. 人民网 (新浪网). 2014-05-23 [2014-05-29]. (原始内容存档于2019-07-20) (中文(中国大陆)). 
  58. ^ 王峰. 左晓栋:网络安全审查制度不涉及内容审查. 21世纪经济报道. 2014年5月29日 [2014-05-29]. (原始内容存档于2019-07-16) (中文(中国大陆)). 
  59. ^ 刘雪玉. 我国将出台网络安全审查制度:无关网络舆论. 京华时报. 2014年5月23日 [2014-05-29]. (原始内容存档于2019-07-11) (中文(中国大陆)). 
  60. ^ 46在华外企团体呼吁北京修改网络安全法. BBC中文网. 2016-08-12 [2016-08-13]. (原始内容存档于2020-11-15). 
  61. ^ 全球40企业团体致函反对中国网络安全法. BBC中文網. 2016-11-11 [2016-11-12]. (原始内容存档于2020-11-15). 
  62. ^ America, China and the Hacking Threat. The New York Times. MAY 24, 2014 [2014-05-29]. (原始内容存档于2020-11-16) (英语). 
  63. ^ FT: China Accuses Major US Consulting Firms Of Spying. Financial Times. MAY 25, 2014 [2014-05-29]. (原始内容存档于2020-11-29) (英语). 
  64. ^ Jamil Anderlini. China clamps down on US consulting groups. Financial Times. May 25, 2014 [2014-05-29] (英语). 

参见

外部链接