Expert Interpretation: Strengthening Digital Security Standards and Cultivating Digital Security Ecosystem

放眼今日中国，新一代网络信息技术的应用呈现广泛普及和快速迭代的显著态势，社会运行和经济发展的各个方面已经普遍驶入全要素数字化转型的历史快车道，由此催生新的技术架构、新的业务模式和新的应用场景，让各方拥抱着更为多样的发展机遇；同时也引发新的技术要素风险、组织管理风险和信息内容风险，使公众面对着更为广泛的安全威胁。<br> 我国已经全面进入高质量发展新阶段，特别是在网络强国和数字中国等战略的引领下，做强做优数字经济的重要前提条件是构筑高效可用的基础设施、建设安全可信的网络空间，而确保网络关键设备和网络安全专用产品的安全属性自是题中应有之义，也成为法律法规和执法工作中的重要命题。<br> 一方面，立法上，作为顶层制度设计的《中华人民共和国网络安全法》第二十三条明确规定，网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。<br> 另一方面，执法上，为落实《中华人民共和国网络安全法》的制度要求，加强网络关键设备和网络安全专用产品安全管理，国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会等部门于2017年6月1日制定发布了《网络关键设备和网络安全专用产品目录（第一批）》。与此相应地，2021年2月20日，国家市场监督管理总局（国家标准化管理委员会）发布2021年第1号公告，正式推出网络安全领域强制性国家标准《网络关键设备安全通用要求》（GB 40050-2021）。<br> 而此次由国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会统一发布首批网络关键设备安全认证和安全检测结果，具有重要的制度意义、实务意义和生态意义：<br> 其一，就制度建设而言，首批网络关键设备安全认证和安全检测结果的发布意味着实现了从法律到目录、从标准到清单的制度闭环，是推动法律规范的各项规则要求切实落地的重要举措，进一步提升了我国网络安全法治水平。<br> 其二，就执法实务而言，网络关键设备安全认证和安全检测工作的常态化展开，是强化网络关键设备和网络安全专用产品安全的日常管理工作的必要配套，特别是能够有效助力于缓解实务中存在的重复认证、重复检测现象，提高网络安全执法工作的权威性、统一性和适用性，也有助于降低企业单位的经营成本与合规负担。<br> 其三，就生态培育而言，随着网络关键设备和网络安全专用产品安全认证和安全检测工作的持续推进，一批优秀的设备产品生产商、供应商将会凭借自身实力脱颖而出，并在市场环境中产生广泛的示范、引领和带动效应，吸引更多的利益相关方向先进标准看齐，拉高产业链和供应链的整体安全水准，进而形成可持续的良性数字安全生态。（作者：吴沈括，北京师范大学互联网发展研究院院长助理、博导，中国互联网协会研究中心副主任）