作者:刘海涛  夏莹 争议解决部 金杜律师事务所

近日,国家网信办、发改委、工信部等十二部门联合发布了《网络安全审查办法》(以下简称“《办法》”)。《办法》是《国家安全法》第五十九条规定的国家安全审查和监管的制度和机制及《网络安全法》第三十五条规定的国家安全审查制度的重要配套落地措施,规定了网络安全审查的适用对象、范围、审查内容、流程和法律责任等内容。

目前距离《办法》正式实施不到一个月时间,[1]我们为企业梳理了以下五大注意事项并提出相应建议,以便相关领域和行业的经营者能够快速熟悉《办法》的重点内容并推动网络安全合规体系的建立。

一 进一步明确CII运营者范围

《办法》第二条明确其适用的对象是关键信息基础设施运营者(以下简称“CII运营者”)。CII运营者一词自出现以来,其范围一直处于不确定的状态。这使得企业对于自己是否具有“CII运营者”身份有很大的困惑,对企业是否需要履行相应的义务也有极大的不确定性。

《办法》第二十条规定,CII运营者是指关键信息基础设施保护工作部门认定的运营者。《办法》明确了CII运营者的判断标准,强调这一身份是由相关部门认定,这对相关领域和行业的经营者判定自身是否属于CII运营者具有极为重要的意义。

国家互联网信息办公室在2020年4月27日的《网络安全审查办法》答记者问(以下简称“网信办答记者问”)进一步明确以下行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查。因此,即使企业尚未被认定为CII运营者,如果在以下行业领域中具有相对重要的地位或者经常与以下行业领域的企业打交道的,建议尽早建立相应的网络安全合规体系,以便企业未来业务的开拓和发展。

  • 电信;
  • 广播电视;
  • 能源;
  • 金融;
  • 公路水路运输;
  • 铁路;
  • 民航;
  • 邮政;
  • 水利;
  • 应急管理;
  • 卫生健康;
  • 社会保障;
  • 国防科技工业等。

二 采购环节可能触发网络安全审查

《办法》第二条规定,CII运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。因此,CII运营者在采购环节可能会触发网络安全审查。

触发网络安全审查的采购环节,必须同时具备以下两个条件:

  • 采购网络产品和服务

首先,CII运营者采购的必须是网络产品和服务。如果CII运营者采购的是非网络产品和服务例如办公文具、装修等,则无须开展网络安全审查。

其次,采购的网络产品和服务必须是对关键信息基础设施安全有重要影响的网络产品和服务。《办法》第二十条第二款规定,本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

  • 影响或可能影响国家安全

CII运营者采购的网络产品和服务如果在投入使用后影响或可能影响国家安全的,则应当进行网络安全审查。

《办法》第五条要求CII运营者在采购上述网络产品和服务时,有义务预判该网络产品和服务在投入使用后可能带来的国家安全风险。如认为影响或者可能影响国家安全的,则应当向网络安全审查办公室申报网络安全审查。同时,如果网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,《办法》第十五条赋予了网络安全审查办公室按程序报中央网络安全和信息化委员会批准后依《办法》规定主动进行网络安全审查的权力。

因此,CII运营者应当加强对采购环节、采购部门的网络安全合规要求,将网络安全合规事项纳入到采购环节、采购部门的管理和审批流程中。

三 网络安全审查的预判标准

《办法》第五条要求CII运营者预判采购的网络产品和服务在投入使用后可能带来的国家安全风险。但是,《办法》未给出明确的网络安全审查预判标准,仅在第五条第二款规定“关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。”

在本行业、本领域的预判指南出台之前,CII运营者的网络安全审查预判标准可以参考《办法》第九条规定的以下因素,同时可以寻求专业人士提供进一步的见解和建议:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

(五)其他可能危害关键信息基础设施安全和国家安全的因素。

四 采购协议重要条款

采购文件、协议、拟签订的合同等(统称“采购协议”)是CII运营者申报网络安全审查需提交的材料之一。CII运营者在拟订采购协议时应当注意以下方面:

  • 供应商的义务和承诺

《网络安全审查办法》第六条规定,CII运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括(1)承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备;和(2)无正当理由不中断产品供应或必要的技术支持服务等。因此,CII运营者应当在采购协议中加入以上供应商的义务和承诺内容。

  • 生效条件

《办法》征求意见稿中曾明确要求CII运营者应当在采购协议中与产品和服务提供者约定网络安全审查通过后合同方可生效[2],但正式公布的《办法》却删除了这一生效条件的规定。即便如此,网信办答记者问对于在签署合同后申报网络安全审查的CII运营者仍然建议在采购协议中规定只有在网络产品和服务采购通过安全审查后方可生效。

对于需要申报网络安全审查的采购,如果没有通过网络安全审查,CII运营者就不能将采购的网络产品和服务投入使用,否则需要承担相应的法律责任。因此,为了避免网络安全审查结果的不确定性及相应合同纠纷等风险,我们建议CII运营者在采购协议中明确约定网络安全审查是采购协议的生效条件。

五 网络安全审查的申报时间

《网络安全审查办法》及《网络安全法》均未明确CII运营者申报网络安全审查的具体时间。《网络安全审查办法》第七条将“采购文件、协议、拟签订的合同等”列为申报网络安全审查的材料之一,这意味着CII运营者在采购协议签订后仍可以申报网络安全审查。网信办答记者问肯定了上述观点,并明确了通常情况下网络安全审查的申报时间应当是CII运营者在与产品和服务提供方正式签署合同前。

值得注意的是,即使网络安全审查的申报时间可以放宽至签订采购协议后,CII运营者仍应当尽早进行申报。如果CII运营者在使用采购的网络产品或服务后才申报安全审查的,则可能会构成“使用未经安全审查的网络产品或者服务”,需要承担相应的法律责任[3]

 


[1] 《办法》自2020年6月1日起实施。

[2] 《办法》征求意见稿第七条。

[3]  参见《办法》第十九条和《网络安全法》第六十五条。