先别忙着过年，网信办又留作业啦

数据安全君

｜小贝案语｜
■ 每逢佳节必留作业，在以往的休息日或重大节日，某办从来没有让大家失望过。这次发布的网络安全政策文件，同样也选在了农历新年与冬奥会来临之前的最后时刻。普天同庆，瑞虎迎春，多数人都已进入休假模式，但“牛尾”甩来的这次作业可不简单。作业虽重，看看解读，一起轻松迎虎年。


1月29日，中央网信办官网发布了2022年1号公告《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》，并附上了首批安全认证和安全检测结果。该公告由国家互联网信息办、工信部、公安部、国家认监委联发，标志着我国网络安全工作的一项重要制度向前推进重大一步。这个制度经过了长期酝酿，对企业合规和网络安全产业发展具有深远影响。为此，我们总结了大家可能关心的十个问题，以问答形式阐述我们的认识。







一、1号公告对企业合规有何影响？
  
有两个典型影响，而且影响很大。
  
一是，对任何一个企业，所采购产品和服务的安全性都是合规重要关注点，也是多部网络安全、数据安全法律法规提出的基本要求。因此，在任何形式的合规报告中，企业都应明确列出其采购产品的证书或其他有关资质。如采购的产品应当持证而未获证，则构成采购方重大违规事项（对产品提供商的处罚则另论）。因此，网络运营者、数据处理者应当明了我国网络安全产品管理政策，特别是知晓监管部门对产品有哪些检测或认证要求。
  
二是，对网络安全企业而言，如产品应当持证而未获证，则不能上市销售，或不能进入特定领域，取得资质是企业合法经营的底线。如违规，后果极为严重。
  
最近有一起引发热议的某部委采购新闻。从公示情况看，有三家企业因产品证书原因未通过初审。这便是典型案例。



二、1号公告的目的是什么？有何重大意义？
  
制定发布1号公告，旨在解决我国长期存在的网络安全重复检测、重复认证问题。这一问题长期被诟病，企业反映很大，普遍认为这是影响我国网络安全产业发展的关键因素。
  
为此，2017年6月1日实施的《网络安全法》第二十三条规定：
  
网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。
  
因此，1号公告是对《网络安全法》第二十三条的直接落实。
  
但更重要的是，1号公告所针对的重复检测、重复认证问题，是习近平总书记十分关心的事情。在2016年4月19日召开的网络安全和信息化工作座谈会上，十位专家学者向总书记作了汇报。听取汇报时，总书记专门向专家询问此事。
  
三、为什么并列提出“网络关键设备”和“网络安全专用产品”？
  
面对我国多种网络安全产品证书并存的情况，《网络安全法》第二十三条起草过程中，立法部门专门对各类证书的法律依据做了调研。调研结果显示，依据我国《电信条例》的规定，国务院电信主管部门建立了电信设备入网许可制度；依据我国《计算机信息系统安全保护条例》的规定，国务院公安部门建立了计算机信息系统安全专用产品销售许可证制度。即，这是两项已经存在的行政许可事项。
  
为此，立法部门当时确立的基本思路是，从这两个制度出发，逐步削减重复性的网络安全产品检测认证事项。因此，“网络关键设备”的表述从前述第一个行政许可事项而来，“网络安全专用产品”的表述从前述第二个行政许可事项而来。
  
但需要特别指出，所谓减少重复检测、重复认证，不是说把所有的网络安全产品检测认证都取消、归并到电信设备入网许可制度和计算机信息系统安全专用产品销售许可证制度中。即，不等于撤销其他制度，而只保留这两个制度。实际做法是，由国家互联网信息办牵头，会同工信部、公安部、国家认监委发布网络关键设备和网络安全专用产品目录，统一建立网络关键设备和网络安全专用产品安全管理制度。
  
四、为什么称网络安全“专用”产品？
  
日常工作中，人们很少使用网络安全“专用”产品这一说法。那么，《网络安全法》为什么要单独引入这个并不常用的概念呢？
  
这还是与公安部的计算机信息系统安全专用产品销售许可证制度有关，“专用”二字由此而来。
  
但公安部的这个销售许可证制度中的“专用”有特殊的历史原因。当时，联网计算机的安全、互联网安全开始出现，为了与电信网安全、工业领域实时控制系统安全相区分，有了“计算机信息系统安全专用产品”这个概念，特指用于TCP/IP网络环境中的安全产品。即，这个“专”强调的不是“安全”，而是“计算机信息系统”。正如同今天美国的“国家安全系统委员会”（CNSS）也曾用名“国家电信和信息系统安全委员会”（NTISSC）。即美国一开始也是把电信网的安全和信息系统安全分开的，因为两者协议不同。
  
但历史车轮滚滚向前，互联网、电信网、物联网、工业控制系统等早已连成一张网，协议都已统一或实现了互联互通，在《网络安全法》发布时还使用“专用”其实意义已然不大。这就是《网络安全法》使用的术语与大家的习惯不一致的原因。
  
当然，现在又有了新情况，国外一些机构对这个“专用”开始“较真”，这其实是因当年的《商用密码管理条例》而起。我国在上世纪末实施《商用密码管理条例》后，对商用密码产品进行严格管理。但现代信息技术设备中，已经基本找不到不使用密码技术的产品。最简单的情况是，登录系统时输入的口令便是经哈希变换后存到系统中的，而绝不可能使用明文存储。因此，简单地把常用操作系统等都作为密码产品进行管理显然不切实际，国外对此十分敏感。所以后来在管理中区分了以密码为主要功能的产品和密码相关产品。
  
这次，外国人也像以前一样担心，中国会不会通过《网络安全法》第二十三条，把所有的含有网络安全模块的产品都纳入强监管范围？故他们认为，“网络安全专用产品”的提法很好，这样便区分开了不是以网络安全为主要功能的产品。但实际上，国外的这种担心是多余的，因为网络安全专用产品的目录很清晰，指的是以提供网络安全功能为主的产品，实践中也没有要求非网络安全产品持证的情况。
  
五、1号公告有何历史渊源？
  
早在本世纪初，原国务院信息办便根据中央领导同志批示要求，着手研究解决减轻企业负担、减少重复检测和认证问题。为此，在原国务院信息办牵头下，各部门会商形成了基本思路：建立集中统一、严格规范、科学高效的认证认可体系，彻底解决由于多重行政许可和评价活动导致的重复检测和一张产品多张证书问题，用一张证书代替多张证书。凡可以通过认证认可解决的检测、评审，原则上不再设立行政许可。
  
按照当时的制度设计，要充分发挥认证认可的作用。故2004年10月，国家认监委联合原国务院信息办、公安部、国家安全部、原信息产业部、国家保密局、国家密码管理委员会办公室、原国家质检总局共同发布了《关于建立国家信息安全产品认证认可体系的通知》（国认证联〔2004〕57号），要求建立信息安全产品强制性认证制度。
  
但由于WTO规则等多种因素，信息安全产品强制性认证制度在发布后没有得到实施，而是转成了只适用于政府采购领域。在这种情况下，再将很多部委已于社会上已广泛实施的检测或认证制度统一到仅在政府采购领域实施的一项制度之中，已不具可操作性。加之其他一些原因，导致57号文的政策目标没有实现，重复检测、重复认证继续被产业界诟病。
  
在这种背景下，《网络安全法》回应产业界长期期盼，以立法形式强势推进这项工作。但总体思路已经与57号文有了很大差别。
  
六、为什么是四部委联发？
  
减少重复检测、重复认证，必然是一个统筹协调的过程，故《网络安全法》第二十三条的落实由国家互联网信息办牵头，以充分协调各方。
  
如前所述，电信设备入网许可制度和计算机信息系统安全专用产品销售许可证制度分别由工信部和公安部负责，所以这两个部委也是联合发文单位。
  
如前所述，由于早期国家认监委已经建立了信息安全产品认证制度，并为此专门成立了中国信息安全认证中心（由原国家质检总局直属，国家认监委代管，现已更名为中国网络安全审查技术与认证中心），现在依然要发挥已有制度的作用。故当前的工作由四部委共同推进，国家认监委也是1号公告的联合发文单位。
  
需要指出，因机构改革，原国家质检总局已并入新成立的国家市场监管总局，作为原国家质检总局直属副部级事业单位的国家认监委对外仍保留牌子，但实际工作由市场监管总局内两个司局承担。
  
七、1号公告之前还发布了什么文件？它们在工作上是什么关系？
  
自《网络安全法》发布实施后，有关部门便抓紧推进二十三条的落实。连同1号公告在内，共发布了三批文件。
  
第一次是2017年1号公告《关于发布〈网络关键设备和网络安全专用产品目录（第一批）〉的公告》，规定列入目录的产品由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或提供。文件由国家互联网信息办、工信部、公安部、国家认监委联发，使用的是国家互联网信息办文号。
  
第二次是2018年12号公告《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录（第一批）的公告》，公布了首批承担网络关键设备和网络安全专用产品安全认证和安全检测任务的机构名录，即明确了谁是“具备资格的机构”。文件由国家认监委、工信部、公安部、国家互联网信息办联发，使用的是国家认监委文号。
  
显然，经过前两次发文，这一制度从流程上已经完备，故实施安全认证和检测、发布结果便水到渠成。这就有了第三次发文。
  
第三次便是2022年1号公告《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》，宣布了首批安全认证和安全检测结果。文件依然是四部委联发，但使用的是国家互联网信息办文号。根据文件精神，安全认证和安全检测结果在四部委网站同步发布。
  
八、为什么这次只发布了网络关键设备的安全检测结果？
  
1号文只公布了网络关键设备的安全检测结果，这主要是因为标准编制进度的原因。
  
根据《网络安全法》第二十三条，网络关键设备和网络安全专用产品应当按照“相关国家标准的强制性要求”进行检测认证。这意味着，强制性标准是这项工作开展的前提条件。但此前我国在网络安全领域只有一部强制性国家标准，即GB 17859-1999《计算机信息系统安全保护划分准则》。为此，根据国家统一部署，近几年工信部、公安部分别牵头组织推进网络关键设备和网络安全专用产品强标编制工作。
  
2021年2月20日，国家标准委发布了GB40050-2021《网络关键设备安全通用要求》，2021年8月1日实施。这是我国网络安全领域第第二部强制性国家标准。此次1号文公布的网络关键设备安全检测结果便是以该标准为依据。
  
目前，网络安全专用产品的强制性国标尚在编制之中，但已经接近尾声，近期公安部已组织召开了专家评审会。故暂时还没有对网络安全专用产品的认证或检测结果。
  
九、检测和认证到底有什么区别？
  
根据我国《认证认可条例》，检测与认证有着非常明确的区别。认证证书是可供社会采信的第三方证明文件，具有“背书”的作用，而检测只是认证的一个环节。检测报告本身不是背书，检测机构将检测结果提交给认证机构后，认证机构综合考虑检测结果和其他因素，最终作出认证决定。从这个意义上说，《网络安全法》第二十三条所说的“推动安全认证和安全检测结果互认”是不严谨的，两者不在同一层面，不存在互认的问题。
  
但在《网络安全法》第二十三条的语境下，“检测”和“认证”已经脱离了我国认证认可体系的概念框架，而是把行政许可和认证认可夹杂在了一起。这意味着，有的产品可能走行政许可，检测结果就是最终结论；而有的产品可能走认证认可，认证证书才是最终结论。
  
十、检测和认证结果同其他部委的证书是什么关系？
  
1号公告的发布确实是一个重要节点，对产业界是福音。但减少重复检测重复认证的道路依然漫长。事实上，迄今我国也只是公布了一批网络关键设备和网络安全专用产品目录。列入目录的，按照《网络安全法》第二十三条的规定执行。而大量尚未列入目录的，很可能延续原来的模式。
  
就合规而言，无论是法务等合规人员，还是产品提供商，依然需要掌握全面情况，紧跟政策动态。
  
因此，这项工作意义重大，进展喜人，成效明显，但还有很多工作需要进一步推进，相信相关部门已作出全局安排。
｜小贝案语｜
■ 别的不说了，祝您虎年大吉！所期皆所念，所念皆所愿，所愿皆所得！小贝说安全给您拜年了！
  
从2021年7月13日发布创刊词，到今天我们已经半岁了。半岁了，在您的呵护与支持下，小贝说安全快速成长，下面有打赏功能，期待您的祝（ya）福（sui）语（qian）。
  
明年再见！
  总编辑|小贝




微信公众号
微信号｜xiaobeisaq
长按二维码关注


官方微信
长按二维码关注
了解更多信息