關于建立信息安全審查制度的提案

全國人大代表、浪潮集團董事長 孫丕恕

近年來，美國以國家信息安全為由，一直在阻止中國企業的IT產品在美國本土參與競標，同時阻撓中國企業并購美國高科技企業，防止中國企業獲取核心技術。特別是在2012年美國眾議院指控華為、中興威脅國家安全，2012年10月8日，在一份有關華為和中興的調查報告中，美國眾議院常設特別情報委員會得出這樣一個結論： 華為和中興對美國國家安全構成威脅，它們制造的設備可以通過遙控向中國發回數據，有間諜嫌疑，應該對其在美開展的業務進行嚴厲限制。

中國企業在美國頻頻受阻，反觀中國，國家信息系統安全形勢嚴峻。當前，我國的信息安全保護機制還相當薄弱。在許多采購案例中，我們仍可以看到，關鍵設備使用國外產品，重要系統也采購國外的，這等于把自己的秘密置于別人的眼皮底下，這種現象給我國信息安全帶來很大的隱患。

造成這種情況最根本的原因是中國缺乏明確的法律法規，沒有完善審核監管體系，而美國是從國家立法層面對信息安全予以重點保障，對信息安全有明確的規定，也有一整套的等級保護體系和評測審查手段，如全球供應鏈審查、源代碼備案、采購目錄清單等層層設防。因此建議如下：

一、完善政府采購法，明確信息產品的采購細則

在中國現行的法律、法規、規章中，只有對于信息安全產品(如：防火墻)明確了進行認證、分等級管理，沒有明確對于在信息系統構建中起到核心作用的軟硬件產品進行安全性審查，實質上諸如服務器、存儲、交換機、系統軟件、數據庫等作為信息系統的支撐，直接影響著數據信息的保密安全。建議進一步的完善信息安全法律法規體系，明確建立信息安全產品、信息安全相關產品實行安全審查制度，為依法開展信息安全審查提供保障。

二、通過對信息產品的分類、分級管理，明確審查范圍

按照分類分級管理的原則，對于國防、政府、商業應用不同類別的信息產品實行不同的與之相應安全等級。例如對于進入軍事國防信息系統的產品技術要實行強制性安全審查；對于政府信息系統，事關國家公共安全、經濟運行、社會穩定的三級以上重要系統(比如金融、電信、能源等領域)都要進行強制性安全審查；一般商用性的可以實行市場化管理。

三、要明確信息產品的審查內容

對信息安全相關產品要根據產品的來源(是否我國自主知識產權)、可靠性(國家是否可控和生產單位是否可控)、可監督性(產品的源代碼是否備案、是否經過檢查)和安全性(是否具有漏洞、后門、遠程控制等功能)，進行嚴格審查，規范其使用范圍，進行監督管理。