前不久中國政府宣布把此前發布的信息安全產品強制性認證(CCC認證)的實施對象限定為政府采購產品,并把實施日期推遲到了2010年5月1日。同時還公布了13種實施對象的審查實施細則和所采用的技術標準。
中國的CCC認證制度始于2002年,作為中國實施的產品安全認證制度,主要作用是依照中國的技術標準,對在中國境內銷售與流通的產品是否符合標準進行審查。審查對象如不能取得認證則無法上市銷售。在此之前,實施對象僅為電子等硬件產品,到2008年,中國政府又發布了從2009年5月起將軟件等信息安全產品也納入認證范圍的公告。對此,日本和歐美多國政府以及經濟團體一致表示反對。要求撤銷或修改有關規定。甚至有報道稱“會被要求公開源碼”,對認證可能導致知識產權外泄的擔心也越發強烈。但在當時,實施細則還不清楚,參照哪些技術標準、是否真的要求公開源碼等也都沒有明確答案。但即便如此,該規定在海外依然遭到了強烈反對,此次延期和將對象限定于政府采購估計就是出于考慮到了海外的反對因素。
隨著對象被限定為政府采購產品,最初的影響范圍有限。“因為是政府采購,所以主要產品將是中國產品”。即便如此,日本經濟產業省依然感到不安:“雖然影響程度不詳,但該規定帶來的沖擊不小。我們要求中國政府撤銷這一規定。因為這不僅有可能造成信息漏洩,而且業務負擔與CCC一樣較大”。日本的電子信息技術產業協會(JEITA)也表達了強烈擔憂,認為“這會成為國際貿易的阻礙因素”。2009年6月7日召開的日中兩國經濟高層對話也涉及到該問題,但沒有獲得進展。
所要求的信息公開程度不明
伴隨著實施細則的公開,審查的流程和需要遵守的技術標準都已經明確。在實施細則中,除13種對象產品需要提交的資料和認證手續辦理方法外,還把中國的技術標準“GB/T”*和中國國家認證認可監督管理委員會(CNCA)制定的“CNCA/CTS”標準指定為參照技術標準。但是,對于產品的信息應該公開到何種程度依然不明確。GB/T和CNCA/CTS雖然有一部分遵循ISO等國際標準,中國的獨自標準也為數眾多。
尤其是為13種產品指定的技術標準,均沒有相應的國際標準。雖然在某種程度上沿襲了信息安全國際標準“ISO/IEC 15408”,但舊標準偏多,缺乏標準的一致性。而且,GB/T和CNCA/CTS沒有英文和日文版本,需要購買中文原版仔細閱讀才能知道詳細信息。為此很多人認為,具體要求產品的情報公開到何種程度,有賴于技術標準的內容和認證部門的運用,只有在認證開始后才能真正了解得到。而且,鑒于ISO/IEC 15408條根據不同的安全性能要求,在取得認證時也需要提交設計書和源碼,因此,可以認為此次的CCC認證也有可能要求公開源碼和技術信息。但ISO/IEC 15480只是對于自主申請的認證有效,而CCC卻是強制認證,這一點有巨大區別。 ( GB/T:被稱之為“推薦國家標準”的標準。從家電到服裝類產品,對多種產品均制定了標準。不同產品授予不同的標準號。 )
熟悉CCC認證的UL Japan全球市場準入部藤倉雅秀的看法是“某種程度的信息公開無法避免”。他認為,此前的硬件產品認證雖然要求提交電路圖和框圖等資料,但并不涉及技術訣竅等信息。不過,對于以軟件為主的信息產品,可能會進一步要求公開略微深入的信息。
日本反應過度?
另一方面,也有人認為日本的擔心有些反應過度。該認證制度除海外企業的產品外,當然也包括中國企業的產品。在中國國內,對于信息產品實施CCC認證一事基本上無人認為是個問題,人們不理解這一規定為何會在日本掀起了軒然大波。日本綜合研究所主任研究員肖宇生表示:“在中國國內,人們認為從國家安全的角度出發,政府采購要進行審查是理所當然的”。而且,“實施細則中采用的技術標準是最為嚴格的標準,在運用時有可能進一步簡化。除非是涉及到極度的國家安全用途,否則要求公開源碼的情況不會太多,原則上也不會要求公開有關技術訣竅的信息”。據說即使被要求提交有關技術訣竅的相關信息,仍然存在與認證部門進行交涉的余地。肖宇生還表示“首先明確方向,然后在運用過程中調整時期和流程是中國式的做法。因此認證的撤銷不太可能,但在審查內容上會在某種程度上靈活運用”。
未來商務文化董事社長韋蘭春也認為信息漏洩的可能性不大:“審查官不是信息安全的技術專家,因此不會去解讀冗長的源碼。不過是檢查產品的質量保證體制是否完善”。上述樂觀看法的依據是:強制認證的主要目的在于檢查產品配置及其開發體制、性能檢查體制等內容,而不是安全性能。
可見,就連熟悉CCC認證的專家意見也不一致。而且,認證所需的初次工廠檢查的實施場所也不清楚。初次工廠檢查在檢查技術標準符合程度的型式試驗之后進行,對于硬件產品,采用的方式是中國派出檢查員前往制造廠對品質管理系統等方面進行審查。但是對于軟件產品,目前還不清楚審查是以CD等發行介質的包裝工序為對象,還是把左右質量的開發工序視為制造工序。這一點也必須向政府的認證部門咨詢。
無線LAN產品也有相同經歷
其實,“在遭到國際性反對后,把CCC認證產品的范圍縮小至政府采購”的做法并不是第一次。熟悉CCC認證業務的UL Japan全球市場準入部藤倉雅秀表示,無線LAN產品就曾有過相同的經歷。2003年,中國政府發布了把無線LAN產品作為CCC實施對象的公告。但是在日美政府和產業界的一致反對下,該規定的實施從2004年開始先被無限延期。直至2005年才發布了僅對政府采購產品應用CCC認證的通知。背景是中國政府希望本國制定的自主標準“WAPI”能夠成為全球的國際標準,所以通過CCC認證,要求無線LAN產品必須支持WAPI。不久前,中國曾嘗試推動ISO和IEC接受WAPI成為國際標準,但最終敗給了IEEE 802.11i規格。
信息安全產品也可能會走上同樣的道路。UL Japan的藤倉表示:“此次信息安全產品的CCC認證中可能也隱藏著掌控技術標準的想法”。而且,鑒于中國的工業和信息部有控制中國國內傳播的信息的想法,為此需要事先掌控IT安全產品。雖然最初的計劃沒有完全實現,但隨著將信息產品的CCC認證限定于政府采購和延期實施的讓步措施出臺,中國政府撤銷該規定的可能性很低。所以有可能受到該措施影響的企業最好在獲得和認真分析有關技術標準的基礎上,時刻關注事態的發展。如果是馬上就會受到認證影響的企業,則需要直接向認證部門咨詢。
京公網安備 11010802036102號北京金支點技術服務有限公司保留所有權利 | Copyright ? 2005-2025 Beijing Golden Point Outsourcing Service Co., Ltd. All Rights Reserved.