国家网信办《网络安全审查办法》公开征求意见 增加特别审查程序
5月24日凌晨零点,中国网信网公开了国家互联网信息办公室关于《网络安全审查办法(征求意见稿)》公开征求意见的通知。
根据该征求意见稿,网络安全审查的主要对象是关键信息基础设施运营者采购网络产品和服务的活动,审查中重点评估采购活动可能带来的国家安全风险。
政策背景
“没有网络安全就没有国家安全”
2014年2月,中央网络安全和信息化领导小组成立。在第一次小组会议上,中共中央总书记、国家主席习近平即提出,“没有网络安全就没有国家安全”。
同年,国家网信办着手推进网络安全审查制度的建设工作。相关动向于当年5月对外公布。据官方介绍,进入我国市场的重要信息技术产品及其提供者,都要接受网络安全审查。
国家网信办时任新闻发言人姜军接受媒体采访时,特别提到了中国面临的网络安全形势:一方面,长期以来,少数国家政府和企业利用自己产品的“单边垄断”和技术“独霸”优势,大规模收集敏感数据;另一方面,近年来,中国政府部门、机构、企业、大学及电信主干网络遭受大规模的侵入、监听,深受其害。
因此,网络安全审查的重点,是引进产品的安全性和可控性。审查旨在防止产品提供者非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。不符合安全要求的产品和服务,将不得在中国境内使用。
2017年6月1日,《网络安全法》开始实施。其中第三十五条明确,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。这为网络安全审查制度奠定了法律基础。
同样是在2017年6月1日,《网络产品和服务安全审查办法》进入试行阶段,就审查重点、审查机构、审查程序等提出具体要求。最新出台的《网络安全审查办法》,则在此基础上做了进一步修订。《网络安全审查办法》正式实施后,试行两年的《网络产品和服务安全审查办法》将废止。
审查什么?
可能导致国家安全风险的采购活动,均须接受审查
网络安全审查的重点,自2014年以来便一以贯之:网络产品和服务的安全性、可控性。按照征求意见稿,安全可控是指“产品和服务提供者不得利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,不得利用用户对产品和服务的依赖性牟取不正当利益或者迫使用户更新换代等”。
涉及到国家安全的,一般是金融、能源、电力等行业的关键基础设施。所以,此次发布的征求意见稿重点强调了关键基础设施,要求运营者采购网络产品和服务时预判风险,形成安全风险报告。凡是会影响或可能影响国家安全的,都应当依照《网络安全审查办法》进行审查。
征求意见稿列举了四种需要申报并进行安全审查的情况:(一)关键信息基础设施整体停止运转或主要功能不能正常运行;(二)大量个人信息和重要数据泄露、丢失、毁损或出境;(三)关键信息基础设施运行维护、技术支持、升级更新换代面临供应链安全威胁;(四)其他严重危害关键信息基础设施安全的风险隐患。
中国信息安全研究院副院长左晓栋认为,与2017年《网络产品和服务安全审查办法》中的规定相比,新办法的规定更偏向实务层面,操作性有所提升。
“总结起来,主要是确保关键基础设施的完整性和可用性。” 北京大学法治与发展研究院高级研究员洪延青撰文指出。
不过,需要注意的是,《网络安全审查办法》的适用重点虽是关键基础设施运营者的采购活动,适用范围却不仅仅局限在关键基础设施领域。根据征求意见稿第十九条,如果网络安全审查工作机制成员单位认为有网络产品服务的采购活动和信息技术服务活动“影响或可能影响国家安全”,经网络安全审查办公室报送中央网络安全和信息化委员会批准后,也须进行审查。
谁来审查?
中央网信委统一领导,网络安全审查办公室组织实施
与2017年的试行办法不同,此次征求意见稿的发布通知中写明了联合起草单位,共有12个。除了国家网信办,还有国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局。
根据征求意见稿,中央网络安全和信息化委员会统一领导网络安全审查工作。国家网信办会同其他11个联合起草单位,建立国家网络安全审查工作机制。
网络安全审查相关制度规定和工作程序的制定、网络安全审查的实施,则由网络安全审查办公室来具体执行。该办公室设在国家网信办。
根据征求意见稿,网络安全审查办公室受理申报后,应在30个工作日内完成初步审查,情况复杂的可延长15个工作日。
初步审查完成后,网络安全审查办公室形成审查结论建议,并送网络安全审查工作机制成员单位征求意见。审查结论建议包括通过审查、附条件通过审查、未通过审查三种情况。网络安全审查工作机制成员单位应15个工作日内书面回复意见。
这样一来,全部审查程序完成,可能需要近两个月的时间。有专家指出,网络安全审查办公室与成员单位共同审查,体现了网络安全审查工作要引入各方专业意见,形成合力。不过,也有业内人士担心,实际的市场环境中,较长的审查周期会面临操作上的困难。
对附条件通过审查、未通过审查的活动如何处置,征求意见稿暂未提及。
新增表述
坚持“增强公正透明与保护知识产权”相统一
按照征求意见稿,网络安全审查工作机制成员单位意见一致的,网络安全审查办公室以书面形式将审查结论反馈运营者;意见不一致的,进入特别审查程序并通知运营者。特别审查原则上应在45个工作日内完成,情况复杂的可以延长。
对照2017年的试行办法可以发现,“特别审查程序”是征求意见稿中的新增内容。进入特别审查程序的,网络安全审查办公室应进一步听取相关部门、专业机构、专家意见,进行深入分析评估,形成审查结论建议,征求网络安全审查工作机制成员单位意见后,按程序报中央网络安全和信息化委员会批准。
也就是说,网络产品和服务的安全可控水平是否过关,最终决策者将是中央网络安全和信息化委员会。左晓栋认为,这项新规定是一个突出变化,与网络安全审查工作的重要地位相适应。
与2017年的试行办法相比,征求意见稿还介绍了评估安全风险时主要的考虑因素。在“产品和服务的可控性、透明性以及供应链安全”这一条,征求意见稿明确,因为政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性也将被纳入考虑。有专家据此指出,这意味着,今后的网络安全审查工作,将不只是技术层面的审查。
南都记者注意到,除了上述变化,征求意见稿第三条也出现新增表述,即“网络安全审查坚持防范网络安全风险与促进先进技术应用、增强公正透明与保护知识产权相统一”。 “这表明在当前贸易冲突背景下,我们依然坚持开放、公正的原则立场。”左晓栋说。
根据通知,征求意见稿的意见反馈时间截止至今年6月24日。
点击阅读原文查看通知及征求意见稿全文
报料请点击
推荐阅读:
又是精准广告!GDPR一周年,谷歌因涉嫌泄露用户浏览数据被查
工信部:一季度日均处理诈骗电话247万次,近期应警惕境外短信
谷歌断供华为背后:谁能撼动安卓垄断地位,华为新系统能突围吗?