《网络安全审查办法》解读
作者:吴卫明、朱凯凡 2019-05-31随着互联网经济的普及,网络空间安全及治理问题日益突出。作为网络经济的基础,关键信息基础设施运营者对于网络产品及服务的采购,成为网络空间安全的重要内容。随着网络安全意识的兴起,各主要经济体对于其网络产品及服务的采购均有一定的规制。我国作为互联网经济规模最为庞大的经济体之一,也对网络安全进行了相应的立法规范。同时,我国《网络安全法》也对关键信息基础设施运营者采购网络产品和服务进行了规范。
我国《网络安全法》第三十五条规定:对于关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。但《网络安全法》的上述规定仅为原则性规定,缺乏操作性。 2019年5月21日,国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局联合起草了《网络安全审查办法(征求意见稿)》(以下简称“《办法》”)。国家互联网信息办公室于5月24日发布并开始征求意见。 《办法》第二条规定:关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。法律、行政法规另有规定的,依照其规定。可以看出,本办法审查的对象为关键信息基础设施运营者对网络产品和服务的采购行为。 《办法》第十八条规定:本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。由此可以看出,采购行为的主体是由特定部门所认定的。根据《关键信息基础设施安全保护条例(征求意见稿)》第四条规定:国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。并且此次办法的发布通知中明确写出了联名起草单位,有带头的国家网信办,还有国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局。所以可以初步判断工作部门可能由上述部门组成。并且办法第四条确定了中央网络安全和信息化委员会统一领导的地位。 此前,在《网络产品和服务安全审查办法(试行)》(以下简称“《试行办法》”)第二条和第十条规定了需要通过安全审查的范围,关系国家安全的网络和信息系统采购的重要网络产品和服务应当经过网络安全审查,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的应当通过网络安全审查。在试行办法中规定了两种情况。 《办法》第六条规定了四种应当审查的情况,(一)关键信息基础设施整体停止运转或主要功能不能正常运行;(二)大量个人信息和重要数据泄露、丢失、毁损或出境;(三)关键信息基础设施运行维护、技术支持、升级更新换代面临供应链安全威胁;(四)其他严重危害关键信息基础设施安全的风险隐患。其中新加的第二点重点关注了个人信息和重要数据的保护,可见对于试行办法而言,办法更加重视对个人隐私的保护。并且办法的规定更偏向实务层片,操作性有所提升。 《试行办法》第四条规定了在审查中应当重点注意的问题,(一)产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;(二)产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;(四)产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险;(五)其他可能危害国家安全的风险。 《办法》第十条规定了在审查中应当重点注意的问题,(一)对关键信息基础设施持续安全稳定运行的影响,包括关键信息基础设施被控制、被干扰和业务连续性被损害的可能性;(二)导致大量个人信息和重要数据泄露、丢失、毁损、出境等的可能性;(三)产品和服务的可控性、透明性以及供应链安全,包括因为政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性;(四)对国防军工、关键信息基础设施相关技术和产业的影响;(五)产品和服务提供者遵守国家法律与行政法规情况,以及承诺承担的责任和义务;(六)产品和服务提供者受外国政府资助、控制等情况;(七)其他可能危害关键信息基础设施安全和国家安全的因素。 《办法》中增加了对个人信息和重要数据的考量,这与上文提及的扩大安全审查的范围有着相同的思想。同时将非技术因素纳入重点考量范围之内,因为试行办法重点审查的对象多为技术因素,而在办法中加入非技术因素的考量也是因为目前的国际形势。同样因为国际形势所加入的重点审查范围还有国防军工以及受外国政府资助、控制的情况,可以说办法中规定的重点审查对象范围较试行办法扩大了很多。当然办法第三条规定了:网络安全审查坚持防范网络安全风险与促进先进技术应用、增强公正透明与保护知识产权相统一。这表明了即使增加了非技术因素的考量,我国仍然坚持公平公正的基本立场。 《办法》第七条规定了对采购合同的要求,对于申报网络安全审查的采购活动,运营者应通过采购文件、合同或其他有约束力的手段要求产品和服务提供者配合网络安全审查,并与产品和服务提供者约定网络安全审查通过后合同方可生效。同时,办法第八条规定将采购合同、协议直接纳入申报材料要求,运营者申报网络安全审查时,应当提交以下材料:(一)申报书;(二)本办法第六条中的安全风险报告;(三)采购合同、协议等;(四)网络安全审查办公室要求的其他材料。 《办法》增加了对运营者与产品和服务提供者之间采购合同生效的条件。办法第七条规定:“对于申报网络安全审查的采购活动,运营者应通过采购文件、合同或其他有约束力的手段要求产品和服务提供者配合网络安全审查,并与产品和服务提供者约定网络安全审查通过后合同方可生效。”这样的规定不仅与网络安全审查流程中的评估环节相契合,使评估过程更顺畅,更是直接借助对合同效力的要求约束了关键信息基础设施运营者与产品和服务提供者的采购活动和相关行为,由此全面提升了安全可控水平。 《办法》第八条至第十四条提出了对网络安全审查细节的规定,具体流程如下图: 综上,《网络安全审查办法》对于关键信息基础设施的运营者采购网络产品和服务的审查对象、流程、审查范围、审查重点及采购合同的要求进行了规制。在我国外部网络安全形势不断严峻的背景下,出台《网络安全审查办法》具有积极的意义。一、审查对象
二、安全审查的范围
三、安全审查的重点
四、对于采购合同的要求
五、网络安全审查流程图