凡益之道,与时偕行——《网络安全审查办法》简评
作者:史军 陈文昊 冯欣 2020-04-292020年4月27日,国家互联网信息办公室(以下简称“网信办”)联合11部门,正式发布了《网络安全审查办法》(以下简称“《审查办法》”),《审查办法》立足于保护关键基础设施供应链安全和国家安全,以关键信息基础设施运营者(以下简称“运营者”)在采购网络产品与服务为网络安全审查为切入点,明确了网络安全审查的适用范围、申报方式与流程、审查评估要素,并为运营者提供了合规指引,明确了相应的法律责任。提出了《审查办法》的出台,标志着我国的信息安全和数据治理领域进入了新的阶段,运营者与网络产品服务供应商均应对此予以高度重视。
第一部分 《网络安全审查办法》的出台背景 《中华人民共和国网络安全法》(以下简称“《网络安全法》”)于2016年11月7日颁布,并于2017年6月1日正式实施。《网络安全法》对关键信息基础设施采购网络产品服务提出了安全审查要求。为配套《网络安全法》的相关要求,网信办在《网络安全法》于2017年5月2日发布了《网络产品和服务安全审查办法(试行)》(以下简称“《试行办法”》),作为《网络安全法》配套规章,为网络产品和服务安全的审查提供了指引。 为了适应网络安全发展的新变化,提高关键信息基础设施安全的建设水平、网信办会同11部门,于2019年5月21日发布了网络安全审查办法(征求意见稿)(以下简称“《征求意见稿》”),向公众征求意见。 2020年4月27日,《审查办法》正式向全社会公开,并将于2020年6月1日起实施,届时将取代《试行办法》与《征求意见稿》。 第二部分 《审查办法》的特点 从《试行办法》到《征求意见稿》再到即将实施的《审查办法》,我们可以发现,从规制思路而言,我们认为《审查办法》有以下特点: 首先,进一步明确受审查对象及相应的审查义务要求。《试行办法》中所提出的受审查对象是“网络产品和服务”本身,并对网络产品和服务的提供者设置了诸多审查义务要求;在《审查办法》中,进一步明确了运营者在采购相应网络产品和服务中的义务,并调整了对于网络产品和服务的提供者相关要求的表述,从约束性要求调整为承诺性、协助性。 需要特别指出的是,相较于《征求意见稿》,《审查办法》第五条对于运营者的义务也进行了更为合理的设置,预判风险从原先的“产品服务上线运行”调整至“产品服务投入使用”,给予运营者更为充分的预判、测试时间;另外《征求意见稿》曾规定,运营者预判风险后就需要制作安全风险报告,《审查办法》对此进行了调整,改为运营者申报网络安全审查时提交安全分析报告。 其次,进一步明确了网络安全审查实施的时机与阶段。《审查办法》从维护关键信息基础设施供应链安全的角度切入,将关键信息基础设施网络安全审查前移至运营者采购网络产品和服务的阶段,加强了事前的监督,从而有效维护网络安全与国家安全。 第三,进一步体现国家在网络安全治理中个人信息与重要数据“分别规制、分开监管”的理念。对于个人信息和重要数据的治理,国家曾经对个人信息和重要数据采用整合治理的监管策略,后将个人信息和重要数据的治理活动进行区分。我们注意到,《征求意见稿》曾将个人信息风险作为网络安全审查的要素,而《审查办法》将个人信息风险从网络安全审查要素中加以移除,从而体现了国家在网络安全治理中的最新思路; 第四,强化统筹协调,明确职能界限和接口,防止多头管理带来的交叉责任与管理空白。一直以来,我国的网络安全的治理、监管、处罚领域一直存在“九龙治水”、多头管理的现象,权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决。《审查办法》第四条对网络安全审查的领导机构,建立网络安全审查机制及网络安全审查规范的制定单位和组织审查的单位均进行了明确规定,为下一步的网络安全领域的执法协调提供了良好的治理模式和机制。 第五,体现了不歧视限制的同等原则。针对网络安全审查是否会限制或歧视国外产品和服务的问题,网信办负责人明确指出,网络安全审查的目的在于维护国家网络安全,而不是要限制或歧视国外产品和服务。 第三部分 《审查办法》中的审查流程 为了直观体现《审查办法》中的审查流程与对应的时间,我们制作了如下流程图: 第四部分 重点问题简析 1、关于《审查办法》调整规范的主体 根据《网安法》第三十一条、《关键信息基础设施确定指南(试行)》和《关于关键信息基础设施安全保护工作有关事项的通知》对于关键信息基础设施的解释,关键信息基础设施的运营者,应当是指电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者。 首先需要明确,并不是所有使用网络的主体均受到《审查办法》的调整。一般自然人、普通网络运营者的网络行为不受《审查办法》的调整。 其次需要明确,《审查办法》对关键信息基础设施的运营者进行了进一步细化。《审查办法》第二十条规定,“本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。”我们认为,只有经过保护工作部门认定的关键信息基础设施的运营者,才属于《审查办法》调整规范的对象。当然,随着实践的不断发展,这一问题会得到更为明确的指引。 2、关于申报网络安全审查的时机 关键信息基础设施运营者应当在与产品和服务提供方正式签署协议前申报网络安全审查。如果在签署协议后申报网络安全审查,建议在协议中注明此协议须在产品和服务采购通过网络安全审查后方可生效,以避免因为没有通过网络安全审查而造成损失。 3、运营者的一切采购网络产品和服务的行为是否都必须接受网络安全审查 根据《审查办法》第五条的表述,我们认为,并非运营者的一切采购网络产品和服务的行为均需通过网络安全审查。 《审查办法》确立了两种网络安全审查的模式,一是依职权审查,即由网络安全审查工作机制成员单位提出,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后进行。一是依申请审查。依申请审查是建立在“运营者预判是否存在影响或可能影响国家安全”这一重要前提上。无论是依职权还是依申请审查,都需要建立在职能部门或运营者的预先判断基础之上。 针对运营者的依申请审查,我们认为,如果运营者根据预判认为采购网络产品和服务不会对国家安全造成影响,则无需启动网络安全审查。当然,这对运营者的专业判断分析提出了更高的要求。为解决这一问题,《审查办法》规定关键信息基础设施保护工作部门可以制定本行业、本领域的预判指南。我们认为,随着预判指南的进一步完善与细化,运营者对采购网络产品和服务是否涉及国家安全的判断会更为准确。 4、运营者采购哪些网络产品和服务可能需要进行网络安全审查 根据《审查办法》第二十条的规定,运营者采购以下网络产品和服务可能会进行网络安全审查: 1) 核心网络设备; 2) 高性能计算机和服务器; 3) 大容量存储设备; 4) 大型数据库和应用软; 5) 网络安全设备; 6) 云计算服务;以及 7) 其他对关键信息基础设施安全有重要影响的网络产品和服务。 第五部分 合规建议 结合《审查办法》的有关要求,对于运营者拟采购网络产品与服务的活动,我们建议从以下几个方面着重展开合规工作: 1. 确认拟采购的网络产品和服务的内容,是否落入《审查办法》规定的需要审查的产品和服务的范围,并对拟采购的网络产品和服务进行国家安全风险预判并分析是否需要进行网络安全审查申报。我们建议运营者如果对此问题不确定,应当积极寻求外部第三方机构的专业意见; 2. 在网络产品、服务采购活动中在相应文件中(采购文件、招标文件、协议等)对产品、服务提供者的合规性承诺条款中,增加“不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务”的合规承诺; 3. 建议运营者在正式签署网络产品与服务有关协议前申报网络安全审查。如需在签署协议后申报网络安全审查,建议将协议调整为附条件生效协议,生效条件为产品和服务采购通过网络安全审查。 凡益之道,与时偕行。数据作为生产要素,其重要作用已经在国民经济中日渐显现。在总体国家安全观的框架下,《审查办法》的出台,对于加强和保护关键信息基础设施的安全运行,维护国家信息安全,起到“安全阀”的重大的作用。同时我们也要看到,网络安全审查,并非是要阻断国际间的合作交流的“隔离墙”,中国的数据治理,将会始终以开放的姿态面对世界,面对未来。 (实习生张志强对本文亦有贡献)