3.3 实施过程中面临的问题和困境

3.3.1 安全主体责任问题

依据《网络安全审查办法》第二条，关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当进行网络安全审查。换句话来讲，发起网络安全审查应该是运营者的责任。这里面还需要进一步区分，即产品和服务自身出现安全问题，则网络产品和服务提供者要承担责任责任，运营者在使用或者运行过程没有管理好，则运营者要承担责任。

关键信息基础设施运营者需要清楚一点，拟采购网络产品和服务通过安全审查并不代表没有网络安全问题。产品的研发、检测、审查、使用、运维、管理等环节都会产生安全问题，那么，这些网络安全问题需要进行责任主体的界定，不能都放置在关键信息基础设施运营者头上。运营者仅仅具有部分责任如运维管理责任，产品自身出问题或者当时没有审查出问题，那么这个责任就不应该由运营者负责。

《网络安全审查办法》是新事物，需要各方一起摸索。不同环节界定不同责任主体，还期望国家出台细节进行具体描述。做好责任划分，才能够更好地做好网络安全生态治理。

3.3.2 网络产品和服务界定问题

网络关键设备和网络安全专用产品属于网络产品和服务。《网络安全审查办法》中界定网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。《网络安全法》指出，网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。

那么，《网络安全法》定义的网络关键设备和网络安全专用产品是否还需要重复审查？《网络安全审查办法》中的大型数据库、大容量存储是否有量化指标，以GB还是TB或者PB 为基本单位？对关键信息基础设施有重要影响的网络产品和服务又是指什么，这些是让行业主管部门界定还是让网信部分来界定？

上述问题，有待于进一步明确，出台类似的产品目录或者性能指标，便于关键信息基础设施运营者开展保护工作。