凡益之道,與時偕行——《網絡安全審查辦法》簡評
作者:史軍 陳文昊 馮欣 2020-04-292020年4月27日,國家互聯網信息辦公室(以下簡稱“網信辦”)聯合11部門,正式發布了《網絡安全審查辦法》(以下簡稱“《審查辦法》”),《審查辦法》立足于保護關鍵基礎設施供應鏈安全和國家安全,以關鍵信息基礎設施運營者(以下簡稱“運營者”)在采購網絡產品與服務為網絡安全審查為切入點,明確了網絡安全審查的適用范圍、申報方式與流程、審查評估要素,并為運營者提供了合規指引,明確了相應的法律責任。提出了《審查辦法》的出臺,標志著我國的信息安全和數據治理領域進入了新的階段,運營者與網絡產品服務供應商均應對此予以高度重視。
第一部分 《網絡安全審查辦法》的出臺背景 《中華人民共和國網絡安全法》(以下簡稱“《網絡安全法》”)于2016年11月7日頒布,并于2017年6月1日正式實施。《網絡安全法》對關鍵信息基礎設施采購網絡產品服務提出了安全審查要求。為配套《網絡安全法》的相關要求,網信辦在《網絡安全法》于2017年5月2日發布了《網絡產品和服務安全審查辦法(試行)》(以下簡稱“《試行辦法”》),作為《網絡安全法》配套規章,為網絡產品和服務安全的審查提供了指引。 為了適應網絡安全發展的新變化,提高關鍵信息基礎設施安全的建設水平、網信辦會同11部門,于2019年5月21日發布了網絡安全審查辦法(征求意見稿)(以下簡稱“《征求意見稿》”),向公眾征求意見。 2020年4月27日,《審查辦法》正式向全社會公開,并將于2020年6月1日起實施,屆時將取代《試行辦法》與《征求意見稿》。 第二部分 《審查辦法》的特點 從《試行辦法》到《征求意見稿》再到即將實施的《審查辦法》,我們可以發現,從規制思路而言,我們認為《審查辦法》有以下特點: 首先,進一步明確受審查對象及相應的審查義務要求。《試行辦法》中所提出的受審查對象是“網絡產品和服務”本身,并對網絡產品和服務的提供者設置了諸多審查義務要求;在《審查辦法》中,進一步明確了運營者在采購相應網絡產品和服務中的義務,并調整了對于網絡產品和服務的提供者相關要求的表述,從約束性要求調整為承諾性、協助性。 需要特別指出的是,相較于《征求意見稿》,《審查辦法》第五條對于運營者的義務也進行了更為合理的設置,預判風險從原先的“產品服務上線運行”調整至“產品服務投入使用”,給予運營者更為充分的預判、測試時間;另外《征求意見稿》曾規定,運營者預判風險后就需要制作安全風險報告,《審查辦法》對此進行了調整,改為運營者申報網絡安全審查時提交安全分析報告。 其次,進一步明確了網絡安全審查實施的時機與階段。《審查辦法》從維護關鍵信息基礎設施供應鏈安全的角度切入,將關鍵信息基礎設施網絡安全審查前移至運營者采購網絡產品和服務的階段,加強了事前的監督,從而有效維護網絡安全與國家安全。 第三,進一步體現國家在網絡安全治理中個人信息與重要數據“分別規制、分開監管”的理念。對于個人信息和重要數據的治理,國家曾經對個人信息和重要數據采用整合治理的監管策略,后將個人信息和重要數據的治理活動進行區分。我們注意到,《征求意見稿》曾將個人信息風險作為網絡安全審查的要素,而《審查辦法》將個人信息風險從網絡安全審查要素中加以移除,從而體現了國家在網絡安全治理中的最新思路; 第四,強化統籌協調,明確職能界限和接口,防止多頭管理帶來的交叉責任與管理空白。一直以來,我國的網絡安全的治理、監管、處罰領域一直存在“九龍治水”、多頭管理的現象,權責不清、各自為戰、執法推諉、效率低下等問題尚未有效解決。《審查辦法》第四條對網絡安全審查的領導機構,建立網絡安全審查機制及網絡安全審查規范的制定單位和組織審查的單位均進行了明確規定,為下一步的網絡安全領域的執法協調提供了良好的治理模式和機制。 第五,體現了不歧視限制的同等原則。針對網絡安全審查是否會限制或歧視國外產品和服務的問題,網信辦負責人明確指出,網絡安全審查的目的在于維護國家網絡安全,而不是要限制或歧視國外產品和服務。 第三部分 《審查辦法》中的審查流程 為了直觀體現《審查辦法》中的審查流程與對應的時間,我們制作了如下流程圖: 第四部分 重點問題簡析 1、關于《審查辦法》調整規范的主體 根據《網安法》第三十一條、《關鍵信息基礎設施確定指南(試行)》和《關于關鍵信息基礎設施安全保護工作有關事項的通知》對于關鍵信息基礎設施的解釋,關鍵信息基礎設施的運營者,應當是指電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等行業領域的重要網絡和信息系統運營者。 首先需要明確,并不是所有使用網絡的主體均受到《審查辦法》的調整。一般自然人、普通網絡運營者的網絡行為不受《審查辦法》的調整。 其次需要明確,《審查辦法》對關鍵信息基礎設施的運營者進行了進一步細化。《審查辦法》第二十條規定,“本辦法中關鍵信息基礎設施運營者是指經關鍵信息基礎設施保護工作部門認定的運營者。”我們認為,只有經過保護工作部門認定的關鍵信息基礎設施的運營者,才屬于《審查辦法》調整規范的對象。當然,隨著實踐的不斷發展,這一問題會得到更為明確的指引。 2、關于申報網絡安全審查的時機 關鍵信息基礎設施運營者應當在與產品和服務提供方正式簽署協議前申報網絡安全審查。如果在簽署協議后申報網絡安全審查,建議在協議中注明此協議須在產品和服務采購通過網絡安全審查后方可生效,以避免因為沒有通過網絡安全審查而造成損失。 3、運營者的一切采購網絡產品和服務的行為是否都必須接受網絡安全審查 根據《審查辦法》第五條的表述,我們認為,并非運營者的一切采購網絡產品和服務的行為均需通過網絡安全審查。 《審查辦法》確立了兩種網絡安全審查的模式,一是依職權審查,即由網絡安全審查工作機制成員單位提出,由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后進行。一是依申請審查。依申請審查是建立在“運營者預判是否存在影響或可能影響國家安全”這一重要前提上。無論是依職權還是依申請審查,都需要建立在職能部門或運營者的預先判斷基礎之上。 針對運營者的依申請審查,我們認為,如果運營者根據預判認為采購網絡產品和服務不會對國家安全造成影響,則無需啟動網絡安全審查。當然,這對運營者的專業判斷分析提出了更高的要求。為解決這一問題,《審查辦法》規定關鍵信息基礎設施保護工作部門可以制定本行業、本領域的預判指南。我們認為,隨著預判指南的進一步完善與細化,運營者對采購網絡產品和服務是否涉及國家安全的判斷會更為準確。 4、運營者采購哪些網絡產品和服務可能需要進行網絡安全審查 根據《審查辦法》第二十條的規定,運營者采購以下網絡產品和服務可能會進行網絡安全審查: 1) 核心網絡設備; 2) 高性能計算機和服務器; 3) 大容量存儲設備; 4) 大型數據庫和應用軟; 5) 網絡安全設備; 6) 云計算服務;以及 7) 其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。 第五部分 合規建議 結合《審查辦法》的有關要求,對于運營者擬采購網絡產品與服務的活動,我們建議從以下幾個方面著重展開合規工作: 1. 確認擬采購的網絡產品和服務的內容,是否落入《審查辦法》規定的需要審查的產品和服務的范圍,并對擬采購的網絡產品和服務進行國家安全風險預判并分析是否需要進行網絡安全審查申報。我們建議運營者如果對此問題不確定,應當積極尋求外部第三方機構的專業意見; 2. 在網絡產品、服務采購活動中在相應文件中(采購文件、招標文件、協議等)對產品、服務提供者的合規性承諾條款中,增加“不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備,無正當理由不中斷產品供應或必要的技術支持服務”的合規承諾; 3. 建議運營者在正式簽署網絡產品與服務有關協議前申報網絡安全審查。如需在簽署協議后申報網絡安全審查,建議將協議調整為附條件生效協議,生效條件為產品和服務采購通過網絡安全審查。 凡益之道,與時偕行。數據作為生產要素,其重要作用已經在國民經濟中日漸顯現。在總體國家安全觀的框架下,《審查辦法》的出臺,對于加強和保護關鍵信息基礎設施的安全運行,維護國家信息安全,起到“安全閥”的重大的作用。同時我們也要看到,網絡安全審查,并非是要阻斷國際間的合作交流的“隔離墻”,中國的數據治理,將會始終以開放的姿態面對世界,面對未來。 (實習生張志強對本文亦有貢獻)
