查看原文
其他

国家安全更聚焦 |《网络安全审查办法(征求意见稿)》出新招

陈际红吴佳蔚刘洋 中伦视界 2020-09-01


引言

2019年5月24日0时,国家互联网信息办公室(“国家网信办”)会同国家发展和改革委员会等12部局联合起草并发布《网络安全审查办法(征求意见稿)》(“新《审查办法》”),并随即发布了英文版。正值中美贸易战之时,美方近期刚发布了《确保信息通信技术与服务供应链安全》行政令(Executive Order on Securing the Information and Communications Technology and Services Supply Chain)[1],新《审查办法》的发布时间和针对对象均有与以往不同的意味。

 

相较于2017年国家网信办发布的《网络产品和服务安全审查办法(试行)》(“原《审查办法》”),新《审查办法》在适用范围、适用原则、审查内容和审查程序等诸多方面均有较大幅度的变更。因此,新《审查办法》并没有在原《审查办法》办法上做修补性质的修改,而是另起炉灶,由国家网信办会同国家发展和改革委员会等12部局联合发布。



焦点一

更加聚焦国家安全


网络安全审查制度法律基础来源于《国家安全法》第五十九条,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的网络信息技术产品和服务进行国家安全审查;以及,来源于《网络安全法》第三十五条,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

 

因此,网络安全审查制度的立法目标应当锁定于维护国家安全。相较于原《审查办法》,新《审查办法》立法价值更加聚焦于国家安全,而非保护企业和用户的合法权益,例如:


  • 新《审查办法》明确适用于“关键信息基础设施运营者采购网络产品和服务”的活动,而一般不会延伸至一般的网络运营者;

  • 把数据安全界定为“大量个人信息和重要数据泄露、丢失、毁损或出境”,而非“非法收集、存储、处理、使用用户相关信息的风险”;

  • 删除了“产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险”的内容。

 

在《网络安全法》的体系下,为保障网络产品和服务安全,除了网络安全审查制度外,还有“网络关键设备和网络安全专用产品安全认证和安全检测”制度。 两个制度体系的立法目标不一,涵盖重点不同,后者可以看成是一个广泛适用的网络产品安全制度,前者是一个保障国家安全的、增强性的网络产品安全制度。



焦点二

设定CIIO为安全审查的

主要抓手


原《审查办法》规定,网络产品和服务提供者应当对网络安全审查工作予以配合,并对提供材料的真实性负责。因此,可以理解,原审查制度中审查机构面对的相对方主要是“网络产品和服务提供者”,但关于网络安全审查的申报责任和配合义务等问题却规定的不甚清晰。

 

而在新《审查办法》中,设定关键信息基础设施运营者(Critical Information Infrastructure Operator,“CIIO”)为整个审查流程的抓手,CIIO要承担如下责任:


  • 应预判产品和服务上线运行后带来的潜在安全风险,形成安全风险报告;

  • 通过契约或其他方式要求产品和服务提供者配合网络安全审查,采购合同应约定在网络安全审查通过后方可生效;

  • 向网络安全审查办公室申报网络安全审查;

  • 进入特别审查程序需要提供补充材料的,予以配合;

  • 加强安全管理,督促网络产品和服务提供者认真履行网络安全审查中作出的承诺。


当然,违法责任的板子也会打在CIIO身上,CIIO“违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理”。



焦点三

安全审查的内容更加丰富


原《审查办法》实施近两年,有实施中的经验和问题要总结,更为重要的是,在此期间,国际环境发生了重要变化,国家安全的内涵也进一步在演进,政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性增强。

 

新《审查办法》下,安全审查程序中有两个环节,一是CIIO自行判断是否应向网络安全审查办公室申报网络安全审查;二是网络安全审查主管机构评估采购活动可能带来的国家安全风险。相对于CIIO的自查环节,网络安全审查主管机构评估侧重于国家安全风险,更多考虑产品和服务受到非技术因素而供应中断的可能性,产品和服务提供者受外国政府资助、控制等的情况,具体如下: 

运营者申报网络安全审查考虑因素

网络安全审查主管机构评估国家安全风险考虑因素

评析

  • 关键信息基础设施整体停止运转或主要功能不能正常运行;

  • 关键信息基础设施运行维护、技术支持、升级更新换代面临供应链安全威胁;

  • 对关键信息基础设施持续安全稳定运行的影响,包括关键信息基础设施被控制、被干扰和业务连续性被损害的可能性;

  • 产品和服务的可控性、透明性以及供应链安全,包括因为政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性;

  • 对国防军工、关键信息基础设施相关技术和产业的影响;

  • 产品和服务提供者遵守国家法律与行政法规情况,以及承诺承担的责任和义务;

  • 产品和服务提供者受外国政府资助、控制等情况;

美国《确保信息通信技术与服务供应链安全》行政令第一条(a)款规定“交易涉及由外国对手拥有的、控制或受其管辖或指导的人设计、开发、制造或供应的信息和通信技术或服务”,因此“产品和服务提供者受外国政府资助、控制等情况”一定程度上是对上述规定的回应,体现了ICT供应链安全对于国家安全的重要意义[2]。 

  • 大量个人信息和重要数据泄露、丢失、毁损或出境;

  • 导致大量个人信息和重要数据泄露、丢失、毁损、出境等的可能性;

  • 其他严重危害关键信息基础设施安全的风险隐患。

  • 其他可能危害关键信息基础设施安全和国家安全的因素。



焦点四

审查程序更清晰


对原《审查办法》诟病比较多的问题之一,就是审查中的程序规定和时限规定不清晰。原来的网络安全审查框架基本如下:

新《审查办法》下,中央网络安全和信息化委员会统一领导网络安全审查工作,国家网信办等12个部局组成国家网络安全审查工作机制单位。同时,在国家网信办设立网络安全审查办公室,负责组织制定网络安全审查相关制度规定和工作程序、组织网络安全审查、监督审查决定的实施,具体如下:



结  语


首先,关于网络安全审查行为的定性。其是否构成具体行政行为? 是否赋予相对方司法救济的权利?按照行政法的基本原则,有具体行政行为就应该有救济程序,包括行政复议渠道和司法救济渠道。但是,关于国家安全审查行为,从目前世界范围内的立法实践来看,有直接将国家安全审查排除在司法审查范围之外的实践,也有将其视为正常的行政行为并按照国内法赋予相对方司法救济权的实践。而最近通过的《中华人民共和国外商投资法》第三十五条规定,国家针对外商投资进行安全审查的安全审查决定为最终决定。参照外商投资法的立法思路,我们倾向于认为网络安全审查行为不具有司法救济的渠道。


其次,关于重要数据的定义和范围。按照审查办法的规定,“大量重要数据泄露、丢失、毁损或出境”是审查的一个因素。而目前关于重要数据的具体定义和范围大小,仍存在不小的争议。从维护国家安全的立法目的上看,重要数据不应该泛化为一般的商业性数据,而应聚焦在和国家安全息息相关的数据范围之内,这样的监管才符合立法的本意。

 

最后,为了进一步降低企业网络安全的风险,建议相关企业开展整体的网络安全合规工作,包括网络产品和服务采购制度、等级保护及网络安全制度建设、个人信息和重要数据制度建设等。


【注] 

[1] Federal Register, Securing the Information and Communications Technology and Services Supply Chain, https://www.federalregister.gov/documents/2019/05/17/2019-10538/securing-the-information-and-communications-technology-and-services-supply-chain, last visited May 28, 2019.

[2] ICT供应链安全可以参照信安标委颁布的《信息安全技术 ICT供应链安全风险管理指南》(征求意见稿)予以评估。


End

 作者简介

陈际红  律师


北京办公室  合伙人

业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网

吴佳蔚  律师 


北京办公室  知识产权部

刘洋  律师 


北京办公室  知识产权部

作者往期文章推荐:

《儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些?》

《小数据安全法出台 |《数据安全管理办法(征求意见稿)》解析》

等保2.0国家标准颁布,看十大“硬核”变化

《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》

《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》

《实施半年后再修订:《信息安全技术个人信息安全规范》应时而变》

《四部门重拳出击App个人信息乱象,企业如何有效应对?》

《电商法元年面面观 | 新时期跨境电商企业合规要点图鉴》

《致敬数据合规元年 | 表析《网络安全法》配套法律法规和规范性文件》

《致敬数据合规元年 | 2018《网络安全法》执法案件大盘点》

《他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展》

《盘点2018 | 致敬数据合规元年,网络安全年度法律评论》

《新机遇 新挑战 | 公安机关网络安全执法的常态化之路》

《PIA指南来了 | 数据保护合规,企业应该怎么做?》

《挑战与应对 | 企业视角的GDPR,几个重要看点》

《企业如何适用<个人信息安全规范>》

《<网络安全法>执法案件汇总及执法重点分析》


特别声明:

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。


如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

点击“阅读原文”,可查阅该专业文章官网版。

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存