一场意料之外的打击,或许能让中国的信息安全评估保障体系获得成长的反思。
10月8日,美国众议院情报委员会发布报告称,总部设在中国深圳的华为和中兴通讯,有可能对美国国家安全构成威胁,并建议美国禁止两家公司在美展开业务。此后1个多月时间里,相关各方展开激烈的论辩冲撞,至今尚未有最终结论。
随着此事的进一步发酵,一场关于中国信息安全的反思也悄然渐起。通过美国立法、政府部门与企业在此事中的种种作为,行业人士认为,中国信息安全亦处于威胁中,且需要从制度、监管等各个环节进行调整。
美国之鉴
“华为中兴在美国受到调查的事件教育了我们,要重新调查技术标准、法律法规,以及监管机构和电信运营商在网络信息安全中的角色和作用,建立起安全的防护墙。”11月14日,电信专家陈金桥向《财经国家周刊》记者表示。
在这一事件爆发后,多个领域的专家,一直对于中美两国公司在对方市场受到的不对等待遇表示不满。外界普遍认为,此次调查的主要推动力并不是美国政府,而更多是在大选年背景下,思科等公司与一些政客假国家信息安全之名,蓄谋打击竞争对手的手段。
但不论如何,在此过程中,美国从调查、立法到政府介入的各个环节,都已经形成一个通畅的体系,这值得中国借鉴。
“比如,美国对中兴与华为的调查,并不是政府进行的,而是众议院下属的情报委员会。”一位深度参与此次事件的设备厂商人士说,“这份报告本身没有任何的法律约束力,但如果报告通过议会,则可能迅速演变为立法,从而形成一个坚固壁垒。”
与之对应的是,中国对外资厂商的信息安全监管却并未在立法层面建立类似的机制。这就导致在面临信息安全威胁或国际摩擦时,政府干预会破坏规则或被人指责,不干预则无法形成有效的防范或对抗,从而陷入两难的困局。
就此,多位接受采访的专家建议,中国应考虑效法美国,在人大下设常态化的外国投资审查委员会,并对相关企业进行审查监督。
与此同时,基础网络建设层面相关法规的缺失,也导致中国网络安全无法得到充分保障。虽然早在2003年,中国就出台第一部信息安全纲领性文件《关于加强信息安全保障工作的意见》(中办发[2003]27号文),但直到现在,信息安全依然缺少一个完整保障信息安全的法律体系。《财经国家周刊》从工信部获悉,工信部信息安全协调司经过2011年的专项调研,已于2012年上半年曾形成相关报告。报告表示,仅在涉及个人信息保护方面,相关法规条文就已经众多,其中涉及个人信息保护的法律有将近40部、最高人民法院出台10条个人信息保护相关的司法解释、国务院发布的有关个人信息保护的法规约有30部、而各大部委颁布的相关部门条例、管理办法、规定,更是多达近200部,这还不包括各省级以下政府颁布的区域性政策和规定。