国家安全更聚焦 |《网络安全审查办法（征求意见稿）》出新招

陈际红吴佳蔚刘洋中伦视界 2020-09-01

引言

2019年5月24日0时，国家互联网信息办公室（“国家网信办”）会同国家发展和改革委员会等12部局联合起草并发布《网络安全审查办法（征求意见稿）》（“新《审查办法》”），并随即发布了英文版。正值中美贸易战之时，美方近期刚发布了《确保信息通信技术与服务供应链安全》行政令（Executive Order on Securing the Information and Communications Technology and Services Supply Chain）[1]，新《审查办法》的发布时间和针对对象均有与以往不同的意味。

相较于2017年国家网信办发布的《网络产品和服务安全审查办法（试行）》（“原《审查办法》”），新《审查办法》在适用范围、适用原则、审查内容和审查程序等诸多方面均有较大幅度的变更。因此，新《审查办法》并没有在原《审查办法》办法上做修补性质的修改，而是另起炉灶，由国家网信办会同国家发展和改革委员会等12部局联合发布。

○

焦点一

更加聚焦国家安全

网络安全审查制度法律基础来源于《国家安全法》第五十九条，国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的网络信息技术产品和服务进行国家安全审查；以及，来源于《网络安全法》第三十五条，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

因此，网络安全审查制度的立法目标应当锁定于维护国家安全。相较于原《审查办法》，新《审查办法》立法价值更加聚焦于国家安全，而非保护企业和用户的合法权益，例如：

新《审查办法》明确适用于“关键信息基础设施运营者采购网络产品和服务”的活动，而一般不会延伸至一般的网络运营者；
把数据安全界定为“大量个人信息和重要数据泄露、丢失、毁损或出境”，而非“非法收集、存储、处理、使用用户相关信息的风险”；
删除了“产品和服务提供者利用用户对产品和服务的依赖，损害网络安全和用户利益的风险”的内容。

在《网络安全法》的体系下，为保障网络产品和服务安全，除了网络安全审查制度外，还有“网络关键设备和网络安全专用产品安全认证和安全检测”制度。两个制度体系的立法目标不一，涵盖重点不同，后者可以看成是一个广泛适用的网络产品安全制度，前者是一个保障国家安全的、增强性的网络产品安全制度。

焦点二

设定CIIO为安全审查的

主要抓手

原《审查办法》规定，网络产品和服务提供者应当对网络安全审查工作予以配合，并对提供材料的真实性负责。因此，可以理解，原审查制度中审查机构面对的相对方主要是“网络产品和服务提供者”，但关于网络安全审查的申报责任和配合义务等问题却规定的不甚清晰。

而在新《审查办法》中，设定关键信息基础设施运营者（Critical Information Infrastructure Operator,“CIIO”）为整个审查流程的抓手，CIIO要承担如下责任：

应预判产品和服务上线运行后带来的潜在安全风险，形成安全风险报告；
通过契约或其他方式要求产品和服务提供者配合网络安全审查，采购合同应约定在网络安全审查通过后方可生效；
向网络安全审查办公室申报网络安全审查；
进入特别审查程序需要提供补充材料的，予以配合；
加强安全管理，督促网络产品和服务提供者认真履行网络安全审查中作出的承诺。

当然，违法责任的板子也会打在CIIO身上，CIIO“违反本办法规定的，依照《中华人民共和国网络安全法》第六十五条的规定处理”。

焦点三

安全审查的内容更加丰富

原《审查办法》实施近两年，有实施中的经验和问题要总结，更为重要的是，在此期间，国际环境发生了重要变化，国家安全的内涵也进一步在演进，政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性增强。

新《审查办法》下，安全审查程序中有两个环节，一是CIIO自行判断是否应向网络安全审查办公室申报网络安全审查；二是网络安全审查主管机构评估采购活动可能带来的国家安全风险。相对于CIIO的自查环节，网络安全审查主管机构评估侧重于国家安全风险，更多考虑产品和服务受到非技术因素而供应中断的可能性，产品和服务提供者受外国政府资助、控制等的情况，具体如下：

运营者申报网络安全审查考虑因素	网络安全审查主管机构评估国家安全风险考虑因素	评析
关键信息基础设施整体停止运转或主要功能不能正常运行；关键信息基础设施运行维护、技术支持、升级更新换代面临供应链安全威胁；	对关键信息基础设施持续安全稳定运行的影响，包括关键信息基础设施被控制、被干扰和业务连续性被损害的可能性；产品和服务的可控性、透明性以及供应链安全，包括因为政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性；对国防军工、关键信息基础设施相关技术和产业的影响；产品和服务提供者遵守国家法律与行政法规情况，以及承诺承担的责任和义务；产品和服务提供者受外国政府资助、控制等情况；	美国《确保信息通信技术与服务供应链安全》行政令第一条（a）款规定“交易涉及由外国对手拥有的、控制或受其管辖或指导的人设计、开发、制造或供应的信息和通信技术或服务”，因此“产品和服务提供者受外国政府资助、控制等情况”一定程度上是对上述规定的回应，体现了ICT供应链安全对于国家安全的重要意义[2]。
大量个人信息和重要数据泄露、丢失、毁损或出境；	导致大量个人信息和重要数据泄露、丢失、毁损、出境等的可能性；
其他严重危害关键信息基础设施安全的风险隐患。	其他可能危害关键信息基础设施安全和国家安全的因素。

焦点四

审查程序更清晰

对原《审查办法》诟病比较多的问题之一，就是审查中的程序规定和时限规定不清晰。原来的网络安全审查框架基本如下：

新《审查办法》下，中央网络安全和信息化委员会统一领导网络安全审查工作，国家网信办等12个部局组成国家网络安全审查工作机制单位。同时，在国家网信办设立网络安全审查办公室，负责组织制定网络安全审查相关制度规定和工作程序、组织网络安全审查、监督审查决定的实施，具体如下：

结语

首先，关于网络安全审查行为的定性。其是否构成具体行政行为？是否赋予相对方司法救济的权利？按照行政法的基本原则，有具体行政行为就应该有救济程序，包括行政复议渠道和司法救济渠道。但是，关于国家安全审查行为，从目前世界范围内的立法实践来看,有直接将国家安全审查排除在司法审查范围之外的实践,也有将其视为正常的行政行为并按照国内法赋予相对方司法救济权的实践。而最近通过的《中华人民共和国外商投资法》第三十五条规定，国家针对外商投资进行安全审查的安全审查决定为最终决定。参照外商投资法的立法思路，我们倾向于认为网络安全审查行为不具有司法救济的渠道。

其次，关于重要数据的定义和范围。按照审查办法的规定，“大量重要数据泄露、丢失、毁损或出境”是审查的一个因素。而目前关于重要数据的具体定义和范围大小，仍存在不小的争议。从维护国家安全的立法目的上看，重要数据不应该泛化为一般的商业性数据，而应聚焦在和国家安全息息相关的数据范围之内，这样的监管才符合立法的本意。

最后，为了进一步降低企业网络安全的风险，建议相关企业开展整体的网络安全合规工作，包括网络产品和服务采购制度、等级保护及网络安全制度建设、个人信息和重要数据制度建设等。

【注]

[1] Federal Register, Securing the Information and Communications Technology and Services Supply Chain, https://www.federalregister.gov/documents/2019/05/17/2019-10538/securing-the-information-and-communications-technology-and-services-supply-chain, last visited May 28, 2019.

[2] ICT供应链安全可以参照信安标委颁布的《信息安全技术 ICT供应链安全风险管理指南》（征求意见稿）予以评估。

End

作者简介

陈际红律师

北京办公室合伙人

业务领域：知识产权, 反垄断与竞争法, 科技、电信与互联网

吴佳蔚律师

北京办公室知识产权部

刘洋律师

北京办公室知识产权部

作者往期文章推荐：

《儿童个人信息保护新规出台，与COPPA的明示同意区别有哪些？》