呂漢陽：應(yīng)盡快建立政采信息安全審查制度

呂漢陽：應(yīng)盡快建立政采信息安全審查制度

呂漢陽

國家信息中心助理研究員

信息是一種商品，具有一般商品的屬性，包括價(jià)值屬性，可以進(jìn)行定價(jià)。但是，信息又不是普通商品，不具有排他性，具有外部性和外溢效應(yīng)。信息對(duì)個(gè)人有信息產(chǎn)權(quán)概念，對(duì)國家有信息主權(quán)概念，因此存在安全風(fēng)險(xiǎn)。WTO框架下歧視政策的例外是國家安全、GPA等。而信息安全是國家安全中的重要方面。因此在政府采購領(lǐng)域建立信息安全審查合規(guī)，不違背WTO，而且，在國外，政府采購也成為保護(hù)國家信息安全的重要手段。

2006年3月，美國國務(wù)院經(jīng)招標(biāo)確定采購聯(lián)想集團(tuán)價(jià)值約1300萬美元的1.6萬多臺(tái)計(jì)算機(jī)設(shè)備。美中經(jīng)濟(jì)安全調(diào)查委員會(huì)以“使用聯(lián)想計(jì)算機(jī)會(huì)對(duì)美國國家安全產(chǎn)生災(zāi)難性后果”為由，提出強(qiáng)烈反對(duì)，并將意見提交于國會(huì)。最后美國政府調(diào)整了原來的采購計(jì)劃，在聯(lián)想與美國國土安全部簽訂的安全協(xié)定上又多加了限制條件，要求聯(lián)想在參與美國的政府采購時(shí)，不得以任何形式索取、接受、維護(hù)、鑒別有關(guān)美國政府定購電腦產(chǎn)品的用戶信息，同時(shí)還宣布將會(huì)修改政府采購流程。

由此，聯(lián)想必須通過美國政府認(rèn)可的本地第三方公司代理而不能直接向美國政府部門提供產(chǎn)品及售后服務(wù)，同時(shí)必須無條件接受美國安全部門對(duì)其信息系統(tǒng)使用情況的檢查。另外，聯(lián)想必須通過美國政府認(rèn)可的本國公司提供產(chǎn)品售后服務(wù)，而不能直接進(jìn)行產(chǎn)品售后服務(wù)。

無獨(dú)有偶，IBM的臺(tái)式計(jì)算機(jī)曾一直是日本防衛(wèi)廳采購目錄的“注冊(cè)廠商”，也曾經(jīng)是日本防衛(wèi)廳重要的計(jì)算機(jī)設(shè)備提供者。但I(xiàn)BM的臺(tái)式計(jì)算機(jī)部門被聯(lián)想收購后，日本防衛(wèi)廳在2006年4月，以防止“中國制造”的臺(tái)式計(jì)算機(jī)“滲透”而造成 “泄密”為理由，拒絕接受聯(lián)想生產(chǎn)的IBM品牌臺(tái)式計(jì)算機(jī)，從此聯(lián)想徹底無緣日本防衛(wèi)廳電腦采購招標(biāo)。

2013年3月26日，奧巴馬簽署的一項(xiàng)新開支法案中，包含一條禁止美國政府機(jī)構(gòu)購買與中國政府有關(guān)公司信息技術(shù)的條款。這項(xiàng)法案規(guī)定，有關(guān)機(jī)構(gòu)考慮購買IT系統(tǒng)時(shí)須向執(zhí)法機(jī)關(guān)咨詢“網(wǎng)絡(luò)間諜或破壞”風(fēng)險(xiǎn)，必須包括中國“所有、領(lǐng)導(dǎo)或補(bǔ)貼的一個(gè)或多個(gè)實(shí)體生產(chǎn)、制造、裝配IT系統(tǒng)的任何風(fēng)險(xiǎn)”評(píng)估。

總之，美國的安全審查制度不但有嚴(yán)密的法律體系，而且還有專業(yè)的操作機(jī)構(gòu)。

據(jù)統(tǒng)計(jì)，在京中央國家機(jī)關(guān)各單位政府采購具有自主知識(shí)產(chǎn)權(quán)的軟件產(chǎn)品僅占通用軟件產(chǎn)品采購總金額的10%。其中，數(shù)據(jù)庫及中間件軟件被國外產(chǎn)品所壟斷，操作系統(tǒng)和辦公軟件95%為美國微軟公司的產(chǎn)品。各部門采購的大中型主機(jī)、高端服務(wù)器基本被美國IBM、HP和SUN公司生產(chǎn)的產(chǎn)品所壟斷，路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備，國外產(chǎn)品也占據(jù)了50%以上的市場(chǎng)份額。

而且，國外企業(yè)及外資控股企業(yè)通過銷售產(chǎn)品，直接參與產(chǎn)品的售后服務(wù)，可以輕易掌握政府用戶的信息以及政務(wù)網(wǎng)絡(luò)的運(yùn)行狀況；在用戶保密意識(shí)不強(qiáng)的時(shí)候，涉及國家安全的信息、核心數(shù)據(jù)等都有可能遭到竊取。因此，我國政府、國企和金融機(jī)構(gòu)大量采購國外信息類產(chǎn)品是國家信息安全的重要隱患之一。

2009年國家質(zhì)檢總局印發(fā)了《關(guān)于調(diào)整信息安全產(chǎn)品強(qiáng)制性認(rèn)證實(shí)施要求的公告》，要求8類13種信息安全產(chǎn)品進(jìn)入政府采購前必須實(shí)行強(qiáng)制性認(rèn)證。2010年財(cái)政部、工信部、國家質(zhì)檢總局、國家認(rèn)監(jiān)委等多個(gè)部委聯(lián)合發(fā)布了《關(guān)于信息安全產(chǎn)品實(shí)施政府采購的通知》，要求供應(yīng)商必須具備中國信息安全認(rèn)證中心按國家標(biāo)準(zhǔn)認(rèn)證頒發(fā)的有效認(rèn)證證書。2013年8月1日，中央國家機(jī)關(guān)政府采購中心發(fā)布的《關(guān)于信息安全產(chǎn)品資質(zhì)審核的通知》，對(duì)于部分入圍產(chǎn)品的型號(hào)與中國信息安全產(chǎn)品認(rèn)證證書上的“產(chǎn)品名稱和型號(hào)、規(guī)格、版本”不一致的情況，需要該產(chǎn)品的生產(chǎn)制造廠家向中國信息安全認(rèn)證中心提交資質(zhì)有關(guān)的差異說明，待材料審核、現(xiàn)場(chǎng)質(zhì)詢后出具確認(rèn)意見，采購中心審核通過后，產(chǎn)品名單將在中央政府采購網(wǎng)協(xié)議供貨信息類產(chǎn)品直接發(fā)布。

但是，已有的政策遠(yuǎn)遠(yuǎn)不夠。建議我國政府采購領(lǐng)域盡快建立信息安全審查制度，其核心是可用、可信。信息安全審查主要有三個(gè)方面的內(nèi)容：一是技術(shù)，二是機(jī)構(gòu)的工商及資格方面的審查，三是加強(qiáng)信息安全審查成為投資并購的審查核心。最后，扶持本土創(chuàng)新是根本和長(zhǎng)遠(yuǎn)之計(jì)。