简介:网络安全审查制度是维护网络安全制度体系中的重要一环。作为网络安全基础性立法的网络安全法,原则上规定了关键信息基础设施所采用的网络产品和服务应通过国家安全审查,但未对制度的整体建构作出规定。本文认为,我国的网络安全审查制度应当定位于特定领域使用产品或服务的审查制度,建议明确国家网信部门为网络安全审查主管机构,并在网络安全分类审查的前提下与第三方机构开展合作。就网络安全审查的范围而言,在审查广度上应以关系国家安全的关键信息基础设施中所使用的产品或服务为宜,在审查深度上须从技术审查拓展到背景审查,从表层功能符合性审查延伸到底层源代码审查,但无必要对IT供应链全链条进行审查。
简介:在我国外资市场深入开放的背景下,外资国家安全审查势必成为主要的投资监管措施之一,但是我国目前的外资国家安全审查制度并不成熟,特别是缺失外资国家安全风险判断机制等实质内容。外资国家安全风险的判断更倾向于盖然性分析,科学合理的风险评估方法是采用威胁——脆弱性的互动分析法。对于外资而言,国家安全脆弱性的关键在场是敏感产业、敏感技术、敏感设施、敏感信息、敏感地域等,这些敏感点易受攻击或者损害而难以防范或补救,从而严重危及国家安全。外资对国家安全的威胁来源是外资有意图与有能力或有机会损害国家安全。西奥多·H·莫兰总结了外资的三类威胁行为,并提出了国家安全风险评估的三威胁分析框架。该分析框架并不全面,仅考察了威胁行为,而外资的威胁体现为三个方面:意图、控制能力、威胁行为。国家安全风险是意图、控制能力、威胁行为与脆弱性这四个因素的互动结果,因此,更可行的外资国家安全风险判断路径是四因素变量互动分析。