中伦观点 | 《网络产品和服务安全审查办法(试行)》评析
123456
2017年5月2日, 在征求意见稿公布近3个月后,国家互联网信息办公室正式发布了《网络产品和服务安全审查办法(试行)》(“审查办法”)。该审查办法成为首个正式生效的《网络安全法》的重要配套办法,并将于2017年6月1日与《网络安全法》同日正式实施。
一、安全审查适用范围
与征求意见稿相比,审查办法限缩了安全审查制度的适用范围,在第一条立法目的和第二条适用范围中均去除了“公共利益”的考量。可以理解,在正式颁布的审查办法中,安全审查制度的目的更加纯粹和明确,即为了国家安全。
是否需要进行安全审查的判断标准是该产品和服务是否可能会影响国家安全。审查办法第十条对具体适用情形进行了规定,简言之,重要行业和领域采购的网络产品和服务,以及关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,应当通过网络安全审查。
对于一般的网络运营者,其信息和网络安全尚不足以威胁国家安全,因此一般的网络运营者采购网络产品和服务,并不需经过网络安全审查。是否影响国家安全将由关键信息基础设施保护工作部门确定,具体的保护工作部门和判断标准很可能将根据国务院之后制定的《关键信息基础设施安全保护条例》确定。
二、安全审查内容
根据审查办法第四条规定,网络安全审查重点审查网络产品和服务的安全性、可控性,主要包括:
(一)产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;
(二)产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;
(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;
(四)产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险;
(五)其他可能危害国家安全的风险。
与征求意见稿相比,审查内容重点增加了“产品和服务自身的安全风险”的审查内容,删除了“实施不正当竞争风险”的审查内容。在征求意见期间,我们也向立法机关提出了修改意见,即:网络安全审查的内容应当专注于国家安全考虑,而不应涉足商业竞争或民事侵权领域。审查办法中去除了不正当竞争等内容,也是立法部门从善如流之举。
三、安全审查的启动
审查办法第八条规定了按照国家有关要求、根据全国性行业协会建议和用户反映等多种形式,启动安全审查程序。依据上述规定,我们理解,网络安全审查不以企业申请为前提要件,审查部门可以依职权直接启动安全审查程序。
四、安全审查机构
根据审查办法第五条和第六条的规定,网络安全审查的领导和执行机构会涉及网络安全审查委员会、网络安全审查办公室、网络安全审查专家委员会和第三方评价机构。
网络安全审查委员会将承担网络安全审查的组织、领导和协调工作,由于网络安全审查涉及多个行业和多个部门,网络安全审查委员会将会是一个跨部门的联席机构,包括国家互联网信息办公室成员及其他有关部门,而国家互联网信息办公室将会起到协调和组织的功能。
网络安全审查办公室作为网络安全审查委员会的下设机构,将在网络安全审查委员会的指导下,具体负责组织实施网络安全审查,包括具体确定审查对象,组织第三方机构、专家委员会对网络产品和服务进行网络安全审查,发布或在一定范围内通报审查结果,不定期发布网络产品和服务安全评估报告等。
网络安全审查专家委员会是由网络安全审查委员会聘请相关专家组成的专门委员会,依据第三方机构的评价结果,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。
在审查过程中,独立的第三方机构形成第三方评价,专家委员会在第三方评价的基础上提出综合评估后,由网络安全审查委员会形成最终的审查结论。审查结论最终由网络安全审查办公室发布或通报。
五、第三方机构
根据审查办法第七条的规定,国家将依法认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。第三方机构将作为外部评估机构,配合网络安全审查办公室和网络安全专家委员会,完成对重要网络产品和服务的网络安全审查。
审查办法对第三方机构的审查内容和审查义务做出了明确要求。根据审查办法第十一和第十二条的规定,第三方机构应当坚持客观、公正、公平的原则,按照国家有关规定,参照有关标准,重点从产品和服务及其供应链的安全性、可控性,安全机制和技术的透明性等方面进行评价,并对评价结果负责。同时,第三方机构和其工作人员对审查工作中获悉的信息等承担安全保密义务,不得用于网络安全审查以外的目的。
与征求意见稿相比,本审查办法在第十四条增加了相应的争议解决机制,如果网络产品和服务提供者认为第三方机构等相关单位和人员有失客观公正,或未能对审查工作中获悉的信息承担安全保密义务的,可以向网络安全审查办公室或者有关部门举报。
六、违反安全审查制度的法律责任
《网络安全法》第六十五条规定:关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
此外,审查办法在第十二条对网络产品和服务提供者的配合义务提出了明确要求:网络产品和服务提供者应当对网络安全审查工作予以配合,并对提供材料的真实性负责。如果网络产品和服务提供者提供的审查材料存在真实性问题,很可能将承担相应的行政责任。
特别声明:
本解析仅供参考,不构成律师的正式意见,任何企业或个人不得依赖此内容采取任何的法律行动或进行法律上的决策。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜。并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
作者简介:
合伙人 北京办公室
业务领域:知识产权,反垄断与竞争法,信息技术、电信、传媒与娱乐
北京办公室 知识产权部
作者往期文章推荐: