《網絡安全審查辦法》解讀
作者:吳衛明、朱凱凡 2019-05-31隨著互聯網經濟的普及,網絡空間安全及治理問題日益突出。作為網絡經濟的基礎,關鍵信息基礎設施運營者對于網絡產品及服務的采購,成為網絡空間安全的重要內容。隨著網絡安全意識的興起,各主要經濟體對于其網絡產品及服務的采購均有一定的規制。我國作為互聯網經濟規模最為龐大的經濟體之一,也對網絡安全進行了相應的立法規范。同時,我國《網絡安全法》也對關鍵信息基礎設施運營者采購網絡產品和服務進行了規范。
我國《網絡安全法》第三十五條規定:對于關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。但《網絡安全法》的上述規定僅為原則性規定,缺乏操作性。 2019年5月21日,國家互聯網信息辦公室會同國家發展和改革委員會、工業和信息化部、公安部、國家安全部、商務部、財政部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局聯合起草了《網絡安全審查辦法(征求意見稿)》(以下簡稱“《辦法》”)。國家互聯網信息辦公室于5月24日發布并開始征求意見。 《辦法》第二條規定:關鍵信息基礎設施運營者(以下簡稱運營者)采購網絡產品和服務,影響或可能影響國家安全的,應當按照本辦法進行網絡安全審查。法律、行政法規另有規定的,依照其規定。可以看出,本辦法審查的對象為關鍵信息基礎設施運營者對網絡產品和服務的采購行為。 《辦法》第十八條規定:本辦法中關鍵信息基礎設施運營者是指經關鍵信息基礎設施保護工作部門認定的運營者。由此可以看出,采購行為的主體是由特定部門所認定的。根據《關鍵信息基礎設施安全保護條例(征求意見稿)》第四條規定:國家網信部門負責統籌協調關鍵信息基礎設施安全保護工作和相關監督管理工作。國務院公安、國家安全、國家保密行政管理、國家密碼管理等部門在各自職責范圍內負責相關網絡安全保護和監督管理工作。并且此次辦法的發布通知中明確寫出了聯名起草單位,有帶頭的國家網信辦,還有國家發展和改革委員會、工業和信息化部、公安部、國家安全部、商務部、財政部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局。所以可以初步判斷工作部門可能由上述部門組成。并且辦法第四條確定了中央網絡安全和信息化委員會統一領導的地位。 此前,在《網絡產品和服務安全審查辦法(試行)》(以下簡稱“《試行辦法》”)第二條和第十條規定了需要通過安全審查的范圍,關系國家安全的網絡和信息系統采購的重要網絡產品和服務應當經過網絡安全審查,公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的應當通過網絡安全審查。在試行辦法中規定了兩種情況。 《辦法》第六條規定了四種應當審查的情況,(一)關鍵信息基礎設施整體停止運轉或主要功能不能正常運行;(二)大量個人信息和重要數據泄露、丟失、毀損或出境;(三)關鍵信息基礎設施運行維護、技術支持、升級更新換代面臨供應鏈安全威脅;(四)其他嚴重危害關鍵信息基礎設施安全的風險隱患。其中新加的第二點重點關注了個人信息和重要數據的保護,可見對于試行辦法而言,辦法更加重視對個人隱私的保護。并且辦法的規定更偏向實務層片,操作性有所提升。 《試行辦法》第四條規定了在審查中應當重點注意的問題,(一)產品和服務自身的安全風險,以及被非法控制、干擾和中斷運行的風險;(二)產品及關鍵部件生產、測試、交付、技術支持過程中的供應鏈安全風險;(三)產品和服務提供者利用提供產品和服務的便利條件非法收集、存儲、處理、使用用戶相關信息的風險;(四)產品和服務提供者利用用戶對產品和服務的依賴,損害網絡安全和用戶利益的風險;(五)其他可能危害國家安全的風險。 《辦法》第十條規定了在審查中應當重點注意的問題,(一)對關鍵信息基礎設施持續安全穩定運行的影響,包括關鍵信息基礎設施被控制、被干擾和業務連續性被損害的可能性;(二)導致大量個人信息和重要數據泄露、丟失、毀損、出境等的可能性;(三)產品和服務的可控性、透明性以及供應鏈安全,包括因為政治、外交、貿易等非技術因素導致產品和服務供應中斷的可能性;(四)對國防軍工、關鍵信息基礎設施相關技術和產業的影響;(五)產品和服務提供者遵守國家法律與行政法規情況,以及承諾承擔的責任和義務;(六)產品和服務提供者受外國政府資助、控制等情況;(七)其他可能危害關鍵信息基礎設施安全和國家安全的因素。 《辦法》中增加了對個人信息和重要數據的考量,這與上文提及的擴大安全審查的范圍有著相同的思想。同時將非技術因素納入重點考量范圍之內,因為試行辦法重點審查的對象多為技術因素,而在辦法中加入非技術因素的考量也是因為目前的國際形勢。同樣因為國際形勢所加入的重點審查范圍還有國防軍工以及受外國政府資助、控制的情況,可以說辦法中規定的重點審查對象范圍較試行辦法擴大了很多。當然辦法第三條規定了:網絡安全審查堅持防范網絡安全風險與促進先進技術應用、增強公正透明與保護知識產權相統一。這表明了即使增加了非技術因素的考量,我國仍然堅持公平公正的基本立場。 《辦法》第七條規定了對采購合同的要求,對于申報網絡安全審查的采購活動,運營者應通過采購文件、合同或其他有約束力的手段要求產品和服務提供者配合網絡安全審查,并與產品和服務提供者約定網絡安全審查通過后合同方可生效。同時,辦法第八條規定將采購合同、協議直接納入申報材料要求,運營者申報網絡安全審查時,應當提交以下材料:(一)申報書;(二)本辦法第六條中的安全風險報告;(三)采購合同、協議等;(四)網絡安全審查辦公室要求的其他材料。 《辦法》增加了對運營者與產品和服務提供者之間采購合同生效的條件。辦法第七條規定:“對于申報網絡安全審查的采購活動,運營者應通過采購文件、合同或其他有約束力的手段要求產品和服務提供者配合網絡安全審查,并與產品和服務提供者約定網絡安全審查通過后合同方可生效。”這樣的規定不僅與網絡安全審查流程中的評估環節相契合,使評估過程更順暢,更是直接借助對合同效力的要求約束了關鍵信息基礎設施運營者與產品和服務提供者的采購活動和相關行為,由此全面提升了安全可控水平。 《辦法》第八條至第十四條提出了對網絡安全審查細節的規定,具體流程如下圖: 綜上,《網絡安全審查辦法》對于關鍵信息基礎設施的運營者采購網絡產品和服務的審查對象、流程、審查范圍、審查重點及采購合同的要求進行了規制。在我國外部網絡安全形勢不斷嚴峻的背景下,出臺《網絡安全審查辦法》具有積極的意義。一、審查對象
二、安全審查的范圍
三、安全審查的重點
四、對于采購合同的要求
五、網絡安全審查流程圖
