浅析《国家安全法》中的网络安全审查制度

二、《国家安全法》为网络安全审查制度明确了安全与发展的关系

我国《国家安全法》在总体安全观下强调了协同发展的重要思想，其中第八条规定“维护国家安全，应当与经济社会发展相协调。国家安全工作应当统筹内部安全和外部安全、国土安全和国民安全、传统安全和非传统安全、自身安全和共同安全。”上述规定使得我国立法对于国家安全的认知更加丰富，改变了传统国家安全偏重军事政治安全的狭隘性，能够更多地考虑国家经济利益、贸易自由、关键基础设施保障、科技利用等等，而这些要素恰恰是网络安全审查最为需要关注和平衡的内容。应当认识到，当技术利用和经济发展成为国家进步的核心动力时，不同的安全领域具有了相当程度的同质性，其实质都体现为实现国家的稳定状态，保证国家生产生活的正常运行。因此，片面强调国家安全的审查活动必然带有利益保护的偏在性，盲目排外和充斥不信任的审查制度可能造成国家丧失利用先进技术的机会，也会间接对高度依赖数字框架的经济发展构成障碍。我国《国家安全法》关于“国家安全和经济社会协调发展”的规定确立了网络安全审查制度的指导理念，特别是关于“统筹内部安全和外部安全、国土安全和国民安全、传统安全和非传统安全、自身安全和共同安全”的阐述具有一定程度的先进性，这构成了网络安全审查制度进行利益平衡的基础，能够避免非理性审查活动的出现，在维护国家安全的同时兼顾经济和社会发展，最大化网络安全审查制度的功能。

三、《国家安全法》为网络安全审查制度明确了“风险控制”的目标和思路

我国《国家安全法》第二十五条规定“国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。”本条规定明确了我国网络安全审查制度的细化目标。在制度的功能性方面，网络安全审查制度无疑属于网络与信息安全保障体系中的重要内容和措施，那么其理应具备上述目的。特别是是其中关于“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控，防范和制止网络攻击、网络入侵、网络窃密等违法犯罪活动”的规定，与2014年5月22日国家互联网信息办公室发布的公告基本一致，该公告称我国将实行网络安全审查制度，主要针对关系国家安全和公共利益系统使用的重要技术产品和服务实行安全性和可控性审查，防止产品提供者非法控制、干扰、中断用户系统，非法收集、存储、处理和利用用户有关信息。其也与日前公布的《网络安全法（草案）》中关于关键基础设施安全审查的规定相互呼应，保持了不同立法之间的协调性。同时，本条规定也明确了网络安全审查“风险控制”的基本思路，侧重于关注信息技术产品和服务在部署过程中可能引入的未知风险。2007年针对爱沙尼亚政府网络的攻击、2009年针对韩国的大规模拒绝服务攻击、2010年针对伊朗核设施的震网病毒攻击等安全事件充分说明了国家网络安全审查风险控制的重要意义。美国审计局（GAO）也曾经提醒美国政府关注持续增加的网络威胁对联邦信息系统产生的风险，并认为这些风险主要包括政府重要信息资源丢失或被盗，遭受未经授权的访问和攻击，敏感信息遭受身份盗窃、网络间谍或其他形式的犯罪，政府关键部门运行的中断，数据被篡改并用于欺诈或入侵等等。我国《国家安全法》的上述规定能够反应全球网络安全保障的发展趋势，提高网络审查制度的科学性和有效性。