昨日(4月27日)国家互联网信息办公室(“网信办”)联合12个部门正式发布《网络安全审查办法》(“《审查办法》”),该办法将取代此前的《网络产品和服务安全审查办法(试行)》(“《试行办法》”),并于2020年6月1日正式实施。《审查办法》从网络安全审查的适用范围、申报流程、评估因素、合规开展(特别是关键信息基础设施运营者(以下简称“运营者”)、产品和服务提供者的权益保护)和法律责任等方面做出规定,预示着我国网络安全审查进入新阶段,运营者和相关网络产品和服务供应商应予以高度重视。

“纵观世界,网络安全审查早已是国际潮流和通行做法。”[1]但不同国家在网络安全审查制度构建、审查机构组成、审查流程设计等方面各有不同。本次《审查办法》建立的多部门联席工作机制,有助于打破关键信息基础设施的行业及技术壁垒,达成关键信息基础设施保护的重要共识。为运营者和网络产品和服务提供者设定的不同要求,也帮助不同主体厘清在网络安全审查制度下的责任义务。从监管部门联合到不同市场主体的相互配合,充分体现网络安全,尤其是关键信息基础设施安全防护,需要“同心共济”,团结协作,共同维护安全的网络生态。

本文将回顾我国网络安全审查制度的发展,总结《审查办法》所确定的网络安全审查体系框架、审查制度流程,结合国外网络安全审查制度以及与《审查办法(征求意见稿)》的对比总结重大变化,探讨新的网络安全审查制度对相关市场主体及行业实践的指导意义。

一、网络安全审查制度历史沿革

2016年《网络安全法》(“《网安法》”)的颁布以法律法规形式确定了网络产品和服务的安全审查制度(“网络安全审查”),但事实上中国的网络安全审查制度更早可以追溯至2013年《建立信息安全审查制度》的两会提案。[2]从2013年至2016年期间,我国先后颁布了多项政策及立法,对网络安全审查制度的建设给予了高度关注。[3]

而在2017年《网安法》正式生效前,国家互联网信息办公室(“网信办”)已于当年5月2日发布了《网络产品和服务安全审查办法(试行)》(“《试行办法》”),以期实现网络安全审查制度的初步落地(回顾《试行办法》的具体内容,请见《画龙画虎先画骨——解读<网络产品和服务安全审查办法(试行)>》)。

随着《网安法》的施行、关键信息基础设施(CII)安全问题的显现和网络安全审查制度经验的不断累积,2019年5月,网信办会同国家发展和改革委员会、工业和信息化部、公安部、国家安全部等12个部门联合发布了《网络安全审查办法(征求意见稿)》(“《审查办法(征求意见稿)》”)(回顾《审查办法(征求意见稿)》的具体内容,请见《千淘万漉虽辛苦,吹尽狂沙始到金 ——<网络安全审查办法(征求意见稿)>简析》,并最终于近日正式发布该《审查办法》(以下请见我国网络安全审查制度相关法律法规和立法政策梳理)。

二、网络安全审查的制度框架及制度流程

结合《审查办法》及其他相关法律法规、指导性文件,我们总结网络安全审查制度的框架如下:

同时,《审查办法》还对19年《审查办法(征求意见稿)》中所建立的网络安全审查流程进行了优化,我们在此总结新的网络安全审查流程如下:

除了运营者依据上述流程依法申报之外,网络安全审查工作机制成员单位还可以对影响或可能影响国家安全的网络产品和服务发起“主动审查”。[6]

三、《审查办法》重大修改和亮点

相比于19年颁布的《审查办法(征求意见稿)》,此次正式发布版本在运营者的风险预判实践、供应商协议内容合规要求、审查机构和人员保密义务范围等方面均作出了调整,同时在具体审查内容方面,《审查办法》也做了关注要点的方向性调整。

(一)构建多部门联席工作机制,推动安全审查与行业监管衔接

当前,其他国家的安全审查多由通信部门主导工作,但其中,也不乏有多部门联动开展审查的事例,例如,美国国家安全审查由外国投资委员会负责,该委员会由财政部、司法部等九大部门组成,负责组织调查活动。同样地,俄罗斯网络安全审查由工业与贸易部组织,并征询联邦安全局和国家保密委员会的审核评估意见。

如上文制度框架所示,《审查办法》确立了以中央网络安全和信息化委员会统一领导,网信办会同公安部、国安部等12个重要国家部委机构组成的国家网络安全审查工作机制:在网络安全审查办公室完成初步审查后,将审查结论建议发送至工作机制各成员单位以及相关关键信息基础设施保护工作部门,在得到相关单位和部门的统一确认意见的前提下形成最终审查结论。由此,在网络安全审查构建多部门联席工作机制的前提下,形成了多部门共同监管运营者的安全审查机制。

对于目前各行业内散见的针对运营者采购网络产品和服务的安全审查要求,以《密码法》为例,运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当通过有关部门组织的国家安全审查。[7]我们理解,其立法逻辑和目的与网络安全审查机制构建的思路基本一致,因而,对于各工作机制成员单位针对其负责行业领域内的运营者的安全评估与网络安全审查存在交叉的情况,多部门联席工作机制将有助于各部门之间就关键信息基础设施保护凝聚共识,同时也能够在一定程度上为运营者的网络安全审查申请及评估提供便捷通道。

(二)运营者可基于行业指南判断是否需启动网络安全审查申报

继承《审查办法(征求意见稿)》中的立法思路,《审查办法》中肯定了网络安全审查申报及审查程序并非无条件地适用于任何运营者的网络产品和服务采购活动。其中第五条规定了运营者在采购网络产品和服务时,应当预判该产品和服务投入使用后可能带来的国家安全风险,在预判结果认为该采购活动会影响或可能影响国家安全时,运营者应当申报网络安全审查。

值得注意的是,第五条第二款中特别指出,关键信息基础设施保护工作部门可以制定本行业、本领域的预判指南。这意味着本行业、本领域的预判指南将对运营者的风险预判具有较强的指引作用,同时特定行业、领域的预判指南的建立也反映出了《审查办法》对行业特殊性与领域特殊性的认可与尊重,该类预判指南将有助于更好地与关键信息基础设施的认定机制相衔接,同时在一定程度上消除此前一度引发的“网络安全审查与行业实践之间存在技术壁垒”,运营者在实践中可能面临两难之境的担忧。

当然,特定行业、领域的预判指南的制定仍然需要时间,在制定后其效力和指引作用以及实践中的效果也有待进一步的观察。

(三)网络安全审查成为采购合同生效的前置条件

此外,《审查办法》中还新增了对于采购合同内容、采购合同签署及履行等的要求。具体而言,《审查办法》及相关问答已经明确指出,网络安全审查的申报应当在运营者与产品和服务提供方签署正式合同前完成;或将网络安全审查通过作为合同生效的条件。此外,运营者在申报网络安全审查的采购合同中,还需要通过采购文件、协议等约定产品和服务提供者配合网络安全审查的义务、[8]网络安全审查申报时需提交采购文件、协议和拟签订的合同、[9]在网络安全审查通过后,运营者还有义务督促产品和服务提供者履行网络安全审查中作出的承诺。[10]

上述规定一方面有助于实质性地发挥网络安全审查在运营者产品和服务采购活动中的安全保障作用,避免因协议约定与网络安全审查之间发生冲突而削弱网络安全审查的实际作用或导致其形同虚设;另一方面,通过对采购合同、协议等文本的审查也有助于运营者与产品和服务提供方之间合理分配网络安全责任与义务,并间接通过合同约束为运营者提供产品和服务的供应方,从各个环节保障关键信息基础设施运营的供应链安全。

(四)审查内容:技术中立,以维护国家安全为核心

各国网络安全审查中一般可能会对技术以外的因素进行考量。比如美国去年发布的《确保信息通信技术与服务供应链安全》的行政令的安全审查对象和重点为“涉及由外国对手拥有、控制或受其管辖或指导的人设计、开发、制造或供应的信息和通信技术或服务”,[11]禁止交易、使用可能对美国国家安全、外交政策和经济构成特殊威胁的外国信息技术和服务[12]

《审查办法》在网络安全审查重点评估因素中删除了有关“对国防军工、关键信息基础设施相关技术和产业的影响”、“产品和服务提供者受外国政府资助、控制等情况”[13]等与政治、外交和贸易环境等非技术因素,正如网信办负责人在《审查办法》答记者问中重申我国对外开放的基本国策,[14]修改主要体现了网络安全审查在以维护国家安全为要务的基础上,向实质产品与服务内容等技术因素的偏向转移。

另外,如《审查办法》第九条第(三)项所示,该条列明的审查因素包括:“产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”。由此可见,供应链安全作为安全审查的重点关注内容,审查拟从产品与服务来源、供应渠道、服务提供方式、服务属性以及其他非技术因素对供应链的影响等方面全方位的进行风险评估与认定。但同时,鉴于审查因素目前均为方向性的要求,缺乏较为明确的细节指引,因此在实践中各审查部门如何平衡各因素在评估过程中的比重以及各因素下的判断标准仍有待观察。

(五)明确审查机构和人员的保密义务的范围

相较19年《审查办法(征求意见稿)》第十五条对参与网络安全审查人员就其于审查工作中获悉的信息承担保密义务,不得用于审查以外的目的的一般性约束,《审查办法》进一步对审查机构和人员的保密义务进行细化与明确,也即,将保密范围限缩至企业商业秘密、知识产权以及审查工作中获悉的运营者、产品和服务提供者提交的非公开资料。[15]同时,在资料公开方面,除了如19年《审查办法(征求意见稿)》里的审查目的限制以外,《审查办法》也增添了有关资料未经提供方同意不得向无关方披露的要求,以尽可能全面地保护企业权益。

(六)更多实施细则有待出台

《审查办法》确定了网络安全审查的基本流程和要求,但在实施过程中还有待其他部门出台有关实施细则。例如,《审查办法》尚未就审查决定设置申诉途径。如果审查未通过,运营者是否可以基于合理理由提出异议?作为利益相关方的网络产品及服务的提供者,是否也有权对审查决定提出申诉?此外,运营者识别、关键信息基础设施保护工作部门有关本行业及领域的预判指南、适用网络产品与服务的具体类别等问题也有待立法者进行进一步的说明与探讨。

四、《审查办法》对相关企业的影响

对于运营者而言,本次《审查办法》构建了多部门联席工作机制,推动了安全审查与行业监管的衔接,减轻了运营者可能需向网信办和行业监管部门多头申报网络安全审查的负担。但另一方面,《审查办法》将是否需要进行网络安全审查申报的预判义务、后续产品和服务提供者履行承诺的监督义务等均施加于运营者,且其需对上述义务的履行承担法律责任,从而可能会增加运营者在生产经营中的负担。尤其在目前有关运营者范围、需申报网络产品与服务采购具体类别等指南尚未发布的情况下,运营者可能难以准确把握申报的启动标准和时机。因此,我们建议从事公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的经营者:

  1. 就自身是否属于运营者与行业监管部门进行密切的沟通和确认;
  2. 对于不确定是否要进行网络安全审查申报的产品和服务采购,与网信办和关键信息基础设施保护工作部门进行充分的沟通和确认;
  3. 建立公司内部对网络安全和服务采购的审查机制,包括但不限于:(1)对网络产品和服务提供商的安全资质进行事先审查;(2)完善与网络产品和服务提供商的采购协议,约定其对网络安全审查的配合义务和不遵守网络安全审查中所做承诺所需向运营者承担的违约责任;(3)有权针对产品和服务提供者履行网络安全审查中做出承诺的情况进行不定期的抽查和监测,或者要求产品和服务提供者就履行情况向运营者定期提交报告。

对于网络产品和服务的提供者而言,考虑到网络安全审查为运营者产品和服务采购合同签署或生效的前提条件,其可能增加向运营者提供网络产品和服务的不确定性、延长采购合同正式生效履行的时间。对于可能向运营者提供网络产品和服务的供应商而言,建议:

  1. 对于可能的客户群体进行分类,针对客户所处的不同行业类型,根据安全审查重点预先做好准备,以便有针对性的与不同行业主管部门进行沟通;
  2. 对于可能涉及关键敏感行业的客户,就是否已经被认定为运营者充分沟通,并跟踪认定结果;
  3. 对于可能向运营者提供服务比例较大的供应商,内部提前核查网络安全审查可能涉及的考量因素,并形成初步结论;
  4. 配合启动网络安全审查,并根据内部核查结果履行对于运营者的承诺,包括不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。

总体而言,《审查办法》构建了国家网络安全审查体系的总体实施框架,我们相信,随着未来具体实施细则的出台,网络安全审查将深入影响运营者的日常运维与采购活动,因此,我们建议运营者与网络产品及服务提供者切实关注相关立法动态,以审慎判断自身活动受规制和受影响的程度,以便及时响应政策与法规的要求,确保做出在合规基础上的最优商业选择。

 

作者

李沅珊 刘阳璐 张乐健 合规业务部 金杜律师事务所


[1] 各国网络安全审查制度及案例分析[EB/OL]. http://www.cac.gov.cn/2015-04/17/c_1114990146.htm. 发布日期:2015年4月17日,最后访问日期:2020年4月28日.

[2] 《网安法》第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

[3] 马宁. 国家网络安全审查的内涵及其制度扩展[J]. 保密科学技术,2017(02):12-16.

[4] 国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局。

[5] 同前注。

[6] 《审查办法》第十五条规定,“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。”

[7] 《密码法》第二十七条第二款:关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

[8] 《审查办法》第六条。

[9] 《审查办法》第七条。

[10] 《审查办法》第十八条。

[11] 《确保信息通信技术与服务供应链安全》第一条(a)(1)。

[12] 公安三所网络安全法律研究中心. 美国总统行政令《确保信息通信技术与服务供应链安全》全文中文翻译[EB/OL]. https://www.secrss.com/articles/10721. 发布日期:2019年5月16日,最后访问日期:2020年4月28日.

[13] 《审查办法(征求意见稿)》第十条

[14] 《网络安全审查办法》答记者问[EB/OL]. https://mp.weixin.qq.com/s/yzhiqTvfi107cir2zpMkdw. 发布日期:2020年4月27日,最后访问日期:2020年4月28日.

[15] 《审查办法》第十六条。