一文看懂《网络安全审查办法》
作者:樊晓娟 印磊 洪嘉宾 竺雨辰
一、出台背景及意义
2020年4月13日,由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局联合制定的《网络安全审查办法》(以下简称“《审查办法》”)予以公布。
一方面,《审查办法》的出台为我国开展网络安全审查工作提供了重要的制度保障。通过网络安全审查这一举措,尽早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,对保障关键信息基础设施供应链安全及维护国家安全均有重要意义。
另一方面,由于关键信息基础设施涉及公民生活的“衣食住行”,因此《审查办法》的出台与落实,将进一步完善公民个人信息保护制度,为国家个人数据保护制度添砖加瓦。
二、新旧比较
《审查办法》将于2020年6月1日起施行,并代替2017年6月1日起施行的《网络产品和服务安全审查办法(试行)》(“《试行办法》”)。
相比《试行办法》较为笼统和原则的规定,《审查办法》在审查申报程序、风险评估考虑因素、特别审查程序等,都作出了明确的规定,可操作性更强。变更要点如下:
(一)审查目的由“提高安全可控水平”变为“确保供应链安全”。由于近段时间来国际政治局势的变化,关键信息基础设施的上下游供应链安全与稳定成为网络安全审查的重中之重;
(二)审查对象更加明确,相比《试行办法》中的“关系国家安全的网络和信息系统采购的重要网络产品和服务”,《审查办法》直接将审查对象指向“关键信息基础设施运营者的采购网络产品和服务”;
(三)明确审查程序及时限。相较于《试行办法》的只字未提,《审查办法》中利用较大篇幅从审查材料、重点评估要素到审查时限及特别程序均作了较为完整的规范;
(四)被动审查变为“主动申报”。《审查办法》明确要求关键信息基础设施运营者在采购网络产品和服务时应进行预判,若会影响或者可能影响国家安全的,应当向网络安全审查办公室主动申报网络安全审查;
(五)明确罚则。《审查办法》明确规定若关键信息基础设施运营者违反规定,将按照《网络安全法》六十五条责令停止,并处以最高采购金额十倍的罚款。
三、上位法依据
《国家安全法》第五十九条规定:“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。”
《网络安全法》第三十五条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”
可见,由于关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全的重大影响,《审查办法》的出台势在必行,也将为我国网络审查制度的落实工作提供明确的参考依据。
四、适用对象
根据《审查办法》第二条规定:“关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。”第二十条规定:“本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。”
可见,《审查办法》仅针对关键信息基础设施运营者。但是《网络安全法》和《审查办法》均未对“关键信息基础设施”作出明确定义。在《审查办法》答记者问中,有关官员根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神,提到电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查。
国家互联网信息办公室曾于2017年7月10日发布《关键信息基础设施安全保护条例(征求意见稿)》,其中关于“关键信息基础设施”保护范围可供参考:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
另外,虽然《审查办法》并未提及外资问题,但在《审查办法》发布的答记者问中相关官员明确指出:“网络安全审查的目的是维护国家网络安全,不是要限制或歧视国外产品和服务。对外开放是我们的基本国策,我们欢迎国外产品和服务进入中国市场的政策没有改变。”因此,我们理解网络安全审查办公室不会在网络安全审查中限制外资或境外供应商。
五、相关程序
《审查办法》要求关键信息基础设施运营者履行申报义务的同时,也对为保障运营者的权利义务作出了相应规定。
根据《审查办法》第七条至第十五条的规定以及答记者问中的解释,一般,关键信息基础设施运营者应当与产品和服务提供方正式签署合同前提交相关材料申报网络安全审查。而网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者,网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,如有复杂情况,可延长15个工作日。特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。
除了对于审查时间有严格要求外,《审查办法》第十六条、十七条还强调,参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。如有上述情形,运营者可以向相关部门举报。
六、《审查办法》与公民个人信息保护
尽管《审查办法》的重点对象是关键信息基础设施。但如前文所述,关键基础设施的范围可以被认为包括电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等等。这些基础设施机构掌握有大量的公民个人信息。网络安全审查工作的落实将有利于个人信息保护。
目前,我国就个人信息保护方面主要由《网络安全法》、《电信和互联网用户个人信息保护规定》、《儿童个人信息网络保护规定》、《App违法违规收集使用个人信息行为认定方法》等众多法律法规以及相关标准规范,《审查办法》的出台将是对我国数据保护制度建设很好的配套、补充。
结语
随着我国社会的数字化发展,网络已经成为人们经济社会活动的要地。《网络审查办法》的出台表明了我国对于影响国家、公民安全的关键信息基础设施的重视,也进一步展现了我国在完善保护公民个人信息数据方面所做的不懈努力。我们期待,我国数据保护制度的不断完善以及准确落实,能够从根本上保护中国公民的合法权益,有效减少个人信息滥用的乱象。
声明
本文旨在法规之一般性分析研究或信息分享,不构成对具体法律的分析研究和判断的任何成果,亦不作为对读者提供的任何建议或提供建议的任何基础。作者在此明确声明不对任何依据本文采取的任何作为或不作为承担责任。如需转载或引用本文的任何内容,请联系作者 (fanxiaojuan@zhonglun.com);未经作者同意,不得转载或引用本文的任何内容。
The End
作者简介
樊晓娟 律师
上海办公室 合伙人
业务领域:私募股权与投资基金, 资本市场/证券, 收购兼并, 科技、电信与互联网
印磊 律师
上海办公室 资本市场部
洪嘉宾 律师
上海办公室 资本市场部
竺雨辰
上海办公室 资本市场部
作者往期文章推荐:
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。