網絡產品安全審查制度及相關合規風險——寫于美國關于禁用華為設備的法案獲批之后
作者:吳衛明 劉昀東 2020-04-07前言
據媒體報道,美國參議院于2020年2月27日批準了《安全和可信電信網絡法》(Secure and Trusted Telecommunications Networks Act)(簡稱《電信法案》),該法案將禁止使用聯邦資金購買來自被視為國家安全威脅的公司(例如華為和中興)的電信設備。此前,眾議院已于2019年12月通過該法案。 該法案先后通過美國眾議院與參議院的批準,體現了美國對于電信設備影響網絡安全及國家安全的高度重視。同時,該法案的施行也將影響一大批電信設備制造商,并并成為新的貿易壁壘。 還有一個值得關注的消息是,據媒體報道,美國政府3月10日表示,將再次延長允許美國企業與中國電信設備制造商華為之間開展業務,直至5月15日。 拋開政治因素不談,僅從美國《電信法案》的立法條文來看,國家安全因素將逐漸成為電信網絡設備貿易的重要影響因素。與傳統的出口管制相比,這一法案將境外電信網絡產品的輸入作為其重要的規制手段。這也充分說明,在網絡安全與信息安全領域,早已超出了此前貿易制裁及出口管制的范疇,而是將限制其他國家電信網絡設備的輸入作為保障國家安全的重要舉措。這一信號,值得予以充分關注。同時,對于電信網絡設備制造商而言,了解不同國家的電信網絡設備進口管制,也成為合規及市場布局需要重點考量的問題。 作為網絡及電信大國,我國對于電信安全,或者網絡安全中產品及設備使用中蘊含的相關風險早有認知。2017年6月1日實施的《網絡安全法》將網絡產品、設備以及服務(以下或統稱為“網絡產品”)的安全審查提升到了一個新的高度。 本文將簡要介紹《安全和可信電信網絡法》相關制度,并結合我國網絡產品的安全審查制度進行分析,以便幫助企業識別網絡產品采購、使用以及跨境涉及的風險。 一、《安全和可信電信網絡法》概述 根據《安全和可信電信網絡法》的內容,可以看出其立法目的是禁止使用聯邦資金(補貼)購買威脅國家安全的電信設備或服務;并為因為無法使用前述電信設備或服務導致的可能性損失提供補償。(To prohibit certain Federal subsidies from being used to purchase communications equipment or services posing national security risks, to provide for the establishment of a reimbursement program for the replacement of communications equipment or services posing such risks, and for other purposes.) 為了實現上述立法目的,美國聯邦政府將通過多種方式對威脅國家安全的電信設備及服務進行認定,并通過清單的方式予以明確(SEC. 2. DETERMINATION OF COMMUNICATIONS EQUIPMENT OR SERVICES POSING NATIONAL SECURITY RISKS.部分的內容)。其次,美國聯邦政府制定了針對建立安全和可信電信網絡的補償計劃,提供補貼用于升級電信設備及服務的資本支出,但是不能將這些補貼用于購買、租賃或以其他方式獲得這些電信設備及服務,也不得用于維護已有的電信設備及服務(SEC. 3. PROHIBITION ON USE OF CERTAIN FEDERAL SUBSIDIES.及SEC. 4. SECURE AND TRUSTED COMMUNICATIONS NETWORKS REIMBURSEMENT PROGRAM.部分的內容)。 二、我國網絡產品安全審查的法律依據 我國《網絡安全法》對于網絡產品也設置了安全審查制度,具體表現在兩個方面,其一是基于《網絡安全法》第二十三條的網絡關鍵設備和網絡安全專用產品安全認證和檢測;其二是基于《網絡安全法》第三十五條的采購網絡產品和服務的安全審查。 (一)網絡關鍵設備和網絡安全專用產品安全認證和檢測 《網絡安全法》第二十三條規定,“網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求后,方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄,并推動安全認證和安全檢測結果互認,避免重復認證、檢測。” 上述規定明確了網絡關鍵設備和網絡安全專用產品的認定依據——由國家網信部門會同國務院有關部門制定目錄來確定,目前這個目錄僅指于《網絡安全法》生效當日發布并生效的《網絡關鍵設備和網絡安全專用產品目錄(第一批)》。目錄列入了4類網絡關鍵設備和11類網絡安全專用產品,同時對這些類別設備和產品的范圍作出了進一步規定。 同時,《網絡安全法》第二十三條的規定要求在銷售或者提供這些網絡關鍵設備和網絡安全專用產品前應當進行至少一種安全審查方式——安全認證或者安全檢測。這兩種安全審查方式的效果是一樣的,所以為了避免重復認證、檢測,之后會推動安全認證和安全檢測結果互認。 從2018年3月15日國家認證認可監督管理委員會、工業和信息化部、公安部、國家互聯網信息辦公室《關于發布承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務機構名錄(第一批)的公告》看來,目前可以進行網絡關鍵設備和網絡安全專用產品安全認證的機構僅有中國信息安全認證中心1家,認證合格后報國家認證認可監督管理委員會,可以進行網絡關鍵設備安全檢測的機構有11家,檢測符合要求后報工業和信息化部,網絡安全專用產品安全檢測的機構分別有4家,檢測符合要求后報公安部。可以看到網絡關鍵設備和網絡安全專用產品安全認證和檢測這一制度下有三個不同的主管部門,不過從《網絡安全法》的規定來看,效果都應當是一致的。 而未進行安全認證或檢測的法律后果可以在《認證認可條例》第六十七條中找到——“列入目錄的產品未經認證,擅自出廠、銷售、進口或者在其他經營活動中使用的,責令改正,處5萬元以上20萬元以下的罰款,有違法所得的,沒收違法所得。” (二)采購網絡產品和服務的安全審查 《網絡安全法》第三十五條原本將安全審查的適用范圍規定在“關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的”情形下,但同時生效的《網絡產品和服務安全審查辦法(試行)》則表述為“關系國家安全的網絡和信息系統采購的重要網絡產品和服務”。 在關鍵信息基礎設施的具體認定細則尚未正式發布的背景下,我們可以對比下《網絡安全法》第三十一條對于關鍵信息基礎設施的定語——“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的”。相比于“嚴重危害國家安全”,“關系國家安全”明顯降低了門檻,可以理解為《網絡產品和服務安全審查辦法(試行)》對安全審查的適用范圍進行了擴大,即,只要可能影響或關系國家安全,無論是否屬于關鍵信息基礎設施的運營者,都應當在采購過程中進行安全審查。 根據《網絡產品和服務安全審查辦法(試行)》第五條的規定,國家互聯網信息辦公室會同有關部門成立的網絡安全審查委員會將是網絡安全審查的主管部門。 值得關注的一點是,《網絡產品和服務安全審查辦法(試行)》對于未履行網絡安全審查義務的法律后果沒有明確規定,而是模糊表述為“違反本辦法規定的,依照有關法律法規予以處理。”而《網絡安全法》第六十五條則明確規定,“關鍵信息基礎設施的運營者違反本法第三十五條規定,使用未經安全審查或者安全審查未通過的網絡產品或者服務的,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。”這里面的責任主體與《網絡安全法》第三十五條保持一致,仍然是針對關鍵信息基礎設施的運營者,但由此在法律銜接上產生了一個問題——非關鍵信息基礎設施的網絡運營者,使用未經安全審查或者安全審查未通過的網絡產品或者服務的,是否適用上面的處罰規則?嚴格從法條的角度來理解,即使《網絡產品和服務安全審查辦法(試行)》將安全審查的范圍擴大了,但“‘依照’有關法律法規予以處理”而非“‘參照’有關法律法規予以處理”的表述不能直接導出非關鍵信息基礎設施的網絡運營者違規應當按照《網絡安全法》規定的處罰規則處理,不過實踐中是否采納上述理解方式還是需要依據執法部門的意見或者關注之后是否會出補充性規定來完善兩部法規之間的銜接問題。 (三)兩類安全審查對比 綜合來看兩類安全審查方式在適用范圍、審查形式、主管部門、違法形式、法律后果上均存在差別,筆者梳理后如下表所示: 備注:“網絡關鍵設備和網絡安全專用產品安全認證和檢測”的“責任主體”指主動進行認證或檢測的責任主體,法律后果對應的責任主體應當擴大至采購方、使用方。 三、中美兩國制度比較、企業的法律風險及合規建議 (一)中美兩國制度比較 結合前后文語境,《安全和可信電信網絡法》中的電信設備和《網絡安全法》中的網絡設備、網絡產品、網絡服務是可以等價的,因此具有比較的基礎和意義。 總體來說,中國類似于設置白名單,只要通過安全認證、安全檢測、安全審查就相當于進入了白名單,指定企業只能選用進入白名單的網絡產品,不過要納入白名單的輻射范圍也是有門檻的,簡單來說有兩個判斷條件,一是進入“網絡關鍵設備和網絡安全專用產品目錄”,二是“影響國家安全”。而美國的做法則類似于設置黑名單,不預設門檻,通過多種維度確立黑名單,針對性地禁止企業選用進入黑名單的網絡產品,當然實踐中也可能是直接針對供應商,將特定供應商的全部產品列入黑名單的行列。因此,兩國對于電信及網絡產品準入安全審查采用的價值判斷標準是不同的,中國偏重于從技術標準認定準入標準;而美國則以認定企業是否威脅國家安全作為準入標準。 (二)供應商的合規風險及建議 從供應商的角度來說,在美國,如果生產的產品被認定為威脅國家安全,則直接失去了使用聯邦資金的客戶,而且很有可能會影響其他客戶的選擇。并且這種認定是被動的,仿佛永遠選在頭上的達摩克利斯之劍,對于非美國本土的企業這種影響應該會更顯著。 在中國,應當注意自己生產的產品是否在應當進行安全認證或安全檢測的目錄里或者是否已經觸發了安全審查的條件,主動去申請安全認證、安全檢測,或提示采購方主動去申請安全檢查,企業可以擁有更高的主動權,對未來可以有更穩定的預期。 (三)采購方的合規風險及建議 從采購方的角度來說,在美國,如果沒有關注威脅國家安全的電信設備和服務清單而采購了清單內的設備和服務,可能會直接被掐斷政府的財政補助,還可能涉及其他民事及刑事責任。 因此需要關注威脅國家安全的電信設備和服務清單,避免選擇清單內的設備和服務,當然,在清單之外,選擇范圍可能會更大一些。 在中國,如果采購了應當進行安全認證、安全檢測或安全審查的網絡產品而沒有經過相應程序或者不達標,在面臨經濟處罰風險的同時,更為嚴重的是面臨停止使用的風險。畢竟通常這些網絡產品都是業務環節的重要支撐,無論是徹底停用還是整改都會對業務造成非常巨大的負面影響。 因此采購過程中應當謹慎選擇經過安全認證或安全檢測的產品或服務,對于基礎信息設施的運營者或者與國家安全聯系比較緊密的網絡運營者來說,建議在采購流程中設置前置合規評估環節,以避免應當申請網絡安全審查的采購沒有經過網絡安全審查而為日后的生產經營埋下隱患。 (四)對跨境貿易過程中的啟示 在各個國家都對網絡安全日益重視,電信、網絡設備及相關服務相互嵌套愈發復雜的今天,跨境貿易也將不可避免的涉及這個話題,如果提供的產品,甚至是產品中的一個部件不符合當地的審查政策,很可能造成供應商的違約,從而導致承擔賠償或其他違約責任。與之相對的,如果不關注當地的審查政策,采購了境外應當經過必要審查程序但未經過審查的產品,或者采購了當地政策禁止的產品,很可能導致后續的交易或經營計劃被迫推遲甚至是終止,造成巨大的損失。 因此,建議在跨境貿易中,充分關注兩地的審查政策,了解產品的組成,及時履行相應審查手續,或者回避被禁止的產品或部件,以避免承擔違約責任或其他商業風險。
