倪光南:网络空间安全需构建法制屏障

　　近日，国家互联网信息办公室宣布我国将出台网络安全审查制度，规定对进入我国市场的重要信息技术产品及其提供者进行网络安全审查。这一举措说明，中国政府正在致力于加强网络空间安全相关的法制建设。

　　在这一领域我国远远落后于发达国家。这些年里来，我国有关网络安全的法规制度屈指可数，而且都是针对网络管理、信息服务等方面的事项，没有涉及网络基础设施安全、信息系统安全等等方面，不能对网络空间安全提供全方位的保障。在这种情况下，我国出台网络安全审查制度等法规，应该说是在进行“补课”，这当然是完全必要的。

　　美国在世界上最早制定网络空间国家战略，至今已形成了一整套支撑该战略的完整法规体系。例如，美国依据其“爱国者法案”，可以“合法地”实行大规模监控；又如美国为保护其网络基础设施，先后出台了1996年的《国家信息基础设施保护法》，2000年的《网络安全信息法》和2002年的《关键基础设施信息法》等。基于这些法律，当美国认为必要时，可以实行某些特别措施。最近的例子就是2011年美国众议院特别情报委员会发起的对我国华为、中兴两公司的调查，最后以它们“可能威胁美国国家通信安全”为由，不准其进入美国信息基础设施市场。

　　其他发达国家在这方面虽然落后于美国，但也出台了一些类似法规。如英国要求政府部门、实验室和国有公司的计算机和通信器材必须从本国公司购买；法国政府要求航空、铁路、通信和食品等部门优先购买本国产品。可见，我国现在出台的网络安全审查制度与其十分接近。在这个意义上，可以说我国吸取了发达国家的经验。

　　网络空间作为海、陆、空、天之外的第五疆域，当然也和其他疆域一样，有主权问题，也存在着对抗。前两年，当我国的华为、中兴开始打入美国市场时，美国政府眼看思科等美国企业在市场中无法与之抗衡，就采取“调查”手段来进行打压。然而在那时，我国没有任何法规可资引用和援手。

　　应当指出，这个制度是侧重于重要信息系统，这包括信息基础设施和关系到国家经济命脉的那些信息系统；另外，它也不是对所有的设备和服务进行审查，而是对重要信息技术产品及其提供者进行网络安全审查。显然，这将涉及到关键核心技术产品和服务，涉及到厂商的资质等方面。虽然这种审查将遵循“无国别”原则，但一般说来，本国企业的产品和服务只要是真正立足于自主研发，比起外国企业，或者那些通过代理、贴牌提供产品和服务的企业，更有可能通过审查。因此，这个制度的实施，会有利于促进真正自主创新的本国企业的发展。

　　有人会问，这个制度是否会影响个人隐私权的保护呢？如前所述，将来被审查的是厂商及其所提供的信息技术产品和服务，而不是信息系统中的用户信息。如果说，对个人隐私权会有什么影响的话，这个制度应该会有利于保护个人隐私权。正如“棱镜门”事件所揭示的，“八大金刚”（思科、IBM、微软等八家跨国公司）所提供的产品和服务在美国政府实施监控计划中起了重要作用，采用这些公司的产品和服务存在着巨大安全风险。今后实行网络安全审查制度后，有安全风险的产品和服务就不能进入重要信息系统，这当然有利于保障用户个人的信息安全和隐私权。

　　长期以来，由于种种原因，包括缺乏网络安全审查制度在内，我国网络基础设施、信息系统关键核心技术和设备大量地采用外国软硬件，存在着严重的安全隐患。今后，随着网络安全审查制度等一系列法规制度的出台，这些情况将能很快得到改善。

　　我们相信，围绕着增强我国网络空间安全的目标，我国还将出台一系列规划、制度和措施，为贯彻实施我国网络空间安全战略提供有力的支撑。(作者系中国工程院院士)