千淘万漉虽辛苦,吹尽狂沙始到金 ——《网络安全审查办法(征求意见稿)》简析
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师是合规业务部负责人,宁律师的主要执业领域为网络安全与数据合规。宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全与数据合规。吴律师曾多次协助客户进行自查并完善网络安全和数据合规体系,为客户提供网络安全和数据合规培训等。 项目涉及金融支付与清算、保险、网约车平台、消费电子、互联网广告、日化等行业。
陈胜男
律师
合规业务部
黎辉辉
律师
合规业务部
早在2017年《网络安全法》(下称“《网安法》”)颁布生效之际,为配合执行《网安法》第三十五条[1]确立的网络产品和服务安全审查制度,国家互联网信息办公室(“网信办”)即发布《网络产品和服务安全审查办法(试行)》(以下简称“《试行办法》”),从审查范围、审查内容、审查机构、网络产品和服务提供者的权利和义务,以及法律责任等方面,构建起网络产品和服务安全审查制度的基本框架,实现了审查制度的初步落地。回顾《试行办法》的具体介绍,请见“画龙画虎先画骨 ——解读《网络产品和服务安全审查办法(试行)》”。
随着关键信息基础设施(CII)的安全问题愈加显著,网信办会同国家发展和改革委员会、工业和信息化部、公安部、国家安全部等12个部门联合起草了《网络安全审查办法(征求意见稿)》(以下简称“《征求意见稿》”),于2019年5月24日正式发布,向社会公开征求意见。
此次《征求意见稿》以“网络安全审查”为核心概念,重新定位原来的网络产品和服务审查制度,并对审查机制进行了清晰和细化的规定,意味着《网安法》体系下的网络产品和服务安全审查不仅实现制度落地,相关监管、执法活动也可能显著增多。本文将对《征求意见稿》的核心内容进行剖析,探讨《征求意见稿》对我国网络安全制度建设的实践意义与启示。
《征求意见稿》的核心内容
01
制度对象与目的
《征求意见稿》第一条指出了网络安全审查制度的构建目的,即为了“提高CII安全可控水平,维护国家安全”。值得关注的是,《征求意见稿》将防护对象从《试行办法》的“网络产品和服务”明确调整为“CII”,表明网络安全的防护核心仍然在于对CII的防护,通过《征求意见稿》实现对CII网络产品与服务采购的规范化,作为“事前监管机制”为CII的独立建设和安全运营奠定坚实的基础,从而实现供给侧对CII防护的“安全可控”。
事实上,本次《征求意见稿》还对“安全可控”的内涵进行了澄清,要求网络产品和服务提供者“不得利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,不得利用用户对产品和服务的依赖性牟取不正当利益或者迫使用户更新换代等”。[2]前述界定能够在一定程度上反映出执法机关在安全审查实践中,对CII采购网络产品和服务安全水平的关注重点,即主要从CII用户权益的角度出发,防止网络产品和服务对用户造成不当侵害,进而防范对国家安全构成的潜在威胁。我们理解,“安全可控”关注的非法行为可归结为两类:一类是非法的数据获取或设备干预行为,另一类则是不当性地利用相对于用户的优势性地位,谋取不当利益或实施强迫行为。
第一类行为着重关注CII保护中的基本权益,结合《征求意见稿》的主要适用主体——关键信息基础设施运营者(CIIO)来看,由于大多涉及关系国计民生的重要行业和关键领域,其数据、设备均与公共利益、国家安全等密切相关,因此对CII在数据和设备方面的安全关注,也必然是网络安全审查制度的应有之意。而第二类行为则从供应链角度,关注网络产品和服务提供者利用CIIO对其依赖而实施的不正当行为,并特别强调任何形式“迫使用户更新换代”的行为,也将可能构成对“安全可控”标准的违反,旨在确保CIIO在选择网络产品和服务中保持充分的自主权利,防止因其所依赖的网络产品和服务提供者的不当行为而导致其自主运营的能力受到威胁。
02
适用范围
(1)适用主体
《征求意见稿》第二条对网络安全审查的适用主体及适用范围进行了明确,即CIIO采购网络产品和服务,影响或可能影响国家安全的,应进行网络安全审查。[3]
相对于《试行办法》在适用主体上的不确定性,[4]此次《征求意见稿》明确CIIO为适用主体,一方面承袭《网安法》对CIIO网络产品和服务采购行为进行国家安全审查要求,[5]另一方面也保留了《国家安全法》对于启动安全审查的判断标准表述,[6]即“影响或可能影响国家安全”,保持了与上位法规定的一致性。同时,《征求意见稿》与《网安法》、《国家安全法》在适用主体、审查标准上的衔接,也使得网络安全审查制度的“国家安全审查”属性得到进一步明确,实为国家安全审查在网络安全和CII保护领域的体现。
此外,《征求意见稿》第十九条同时也规定,网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务采购活动、信息技术服务活动,网络安全审查办公室按程序报中央网络安全和信息化委员会批准,依照本办法进行审查。这意味着,在实践中,需要进行网络安全审查的范围并不局限于CIIO的网络产品和服务采购活动,在特定情况下经由特别程序,一般网络运营者的网络产品和服务采购活动(甚至仅仅是信息技术服务活动)也可能需要进行网络安全审查。
我们理解,对CIIO的认定本身可能是一个动态的过程,而采购活动在云计算、物联网等前沿技术的推动下可以更轻量的服务形式完成,因而如仅将网络安全审查的范围严格限定在CIIO的采购活动中,将可能对潜在影响甚至威胁国家安全的因素有所遗漏,目前的立法模式将能为CII采购活动的安全防护提供必要的缓冲区,以对其真正实现全方位的防护。
(2)安全审查启动条件
《征求意见稿》第六条首先对CIIO提出了网络产品和服务上线运行的风险预测要求。具体而言,CIIO在采购网络产品和服务时,应预判产品和服务上线运行后带来的潜在安全风险,形成安全风险报告。因此,CIIO在采购任何网络产品和服务时,均需要对其可能产生的安全风险进行事先评估;换言之,为了尽可能在企业采购流程中妥善配置合规要求,CIIO将可能需要在内部设置必要的采购环节,以便在日常频繁的采购活动中顺利地完成安全风险评估,例如由安全部门和法务部门对采购计划进行必要的内控审查。然而,由于《征求意见稿》并未对CIIO的采购活动规模进行限定,前述环节的设置是否会对CIIO构成实质性的企业运行负担将有待商榷。
依据《征求意见稿》第六条,如CIIO的安全风险报告显示存在以下风险时,则将相应启动安全审查程序:
CII整体停止运转或主要功能不能正常运行;
大量个人信息和重要数据泄露、丢失、毁损或出境;
CII运行维护、技术支持、升级更新换代面临供应链安全威胁;
其他严重危害CII安全的风险隐患。
值得注意的是,《征求意见稿》将“大量个人信息和重要数据出境”作为启动网络安全审查的条件之一。首先《网安法》在网络产品和安全审查规则之外,单独就CIIO数据出境设定了规则,即因业务需要,确需向境外提供个人信息和重要数据的,应进行安全评估。[7]其次,在此前颁布的《个人信息和重要数据出境安全评估办法(征求意见稿)》中,主管机关则进一步要求CIIO应就其数据出境活动报请行业主管或监管部门组织安全评估,在评估经批准后方可开展数据出境。此次《征求意见稿》将“(大量)个人信息和重要数据出境”纳入网络安全审查的启动条件,则在一定程度上明确了“事前审批”将作为CIIO跨境传输(大量)个人信息和重要数据的前置条件。
另外,《征求意见稿》也强调将“CII运行维护、技术支持、升级更新换代面临供应链安全威胁”作为网络安全审查的条件之一。这意味着,对CIIO网络产品或服务供应商而言,如其存在终止提供安全维护产品和服务的可能,或可能无法及时完成产品升级更新从而导致安全威胁的,则需要进行网络安全审查。我们理解,考虑到CII的业务连续性对其所支撑的业务有着至关重要的作用,因而这一触发条件也结合了《网安法》第二十二条对网络产品和服务提供者持续提供安全维护的要求,以确保CII的稳定、高效运行。[8]
同时,我们还注意到,《征求意见稿》的第七条明确要求,“运营者应通过采购文件、合同或其他有约束力的手段要求产品和服务提供者配合网络安全审查,并与产品和服务提供者约定网络安全审查通过后合同方可生效”。这一规定为CIIO采购网络产品和服务的业务合同,设置了一个生效要件——通过网络安全审查。从实践角度来看,这条规定无疑会在实质层面提升CIIO开展采购活动的运维负担,同时目前生效的采购合同是否需要重新审查、如何审查的问题,亦有待主管部门与执法实践的进一步明晰。
03
审查机制
(1)机构设置
《征求意见稿》对网络安全审查设置了多部门联合的审查工作机制,审查单位和审查内容具体如下表:
国家网络安全审查领导机构 | 中央网络安全和信息化委员会 |
国家网络安全审查工作机制成员 | 网信办、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局 |
国家网络安全审查实施机构 | 网信办(设立网络安全审查办公室,负责组织制定网络安全审查相关制度规定和工作程序、组织网络安全审查、监督审查决定的实施) |
从参与审查工作的部门和机构而言,一方面,网信办(与中央网络安全和信息化委员会)可谓“全程参与”,从“统筹协调”的领导层面、到“制定审查机制与方案”的管理层面、再到“落实审查”的执行层面,也凸显了网信办(与中央网络安全和信息化委员会)在网络安全与CII保护领域工作的引领地位。
另一方面,在工作机制成员中,多个重要国家部委机构均在其列,能够从侧面反映国家落实网络安全审查制度的理念,也将可能意味着网络安全审查将结合网络安全和CII保护的特点,全方位地对CII网络产品和服务的采购活动进行审查,这也将在一定程度上提升了CIIO及其供应商配合审查的要求。
(2)审查流程和期限
《征求意见稿》建立了由CIIO主动申报以启动网络安全审查的程序,其审查流程和期限如下:
(3)主要审查因素
《征求意见稿》第十条规定,网络安全审查重点评估CIIO网络产品和服务采购活动可能带来的国家安全风险,主要考虑以下因素:
对CII持续安全稳定运行的影响,包括CII被控制、被干扰和业务连续性被损害的可能性;
导致大量个人信息和重要数据泄露、丢失、毁损、出境等的可能性;
产品和服务的可控性、透明性以及供应链安全,包括因为政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性;
对国防军工、CII相关技术和产业的影响;
产品和服务提供者遵守国家法律与行政法规情况,以及承诺承担的责任和义务;
产品和服务提供者受外国政府资助、控制等情况;
其他可能危害CII安全和国家安全的因素。
与前述网络安全审查触发条件一致,审查机关在进行安全风险评估时,同样会对CIIO网络产品和服务采购活动可能导致的大量个人信息和重要数据出境予以考虑。然而,在实践中不可避免的问题在于,网络安全审查制度与个人信息和重要数据出境安全评估如何进行衔接和统一。考虑到网络安全审查将需要对大量个人信息和重要数据出境的行为进行考察,而安全评估能够在一定程度上满足对数据出境基本情况的考量和评估,是否意味着CIIO可以安全评估报告作为网络安全审查的支持文件,有待主管机关的进一步明确。
我们注意到,对于前述提及的“供应链安全威胁”,也构成审查机关进行安全评估的重要考虑因素。同时,对于该因素的审查,《征求意见稿》重点提及应从“政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性”角度予以评估,并还需同时考察“产品和服务提供者受外国政府资助、控制等情况”。这些审查因素更为明显地反映出网络安全审查的“国家安全审查”属性,意味着对于CIIO而言,其在采购涉外供应商的网络产品和服务时,应对该等涉外供应商的外资背景、相关的政治、外交及贸易环境进行充分考量。
值得关注的是,商务部新闻发言人近日也指出,我国将建立不可靠实体清单制度,对不遵守市场规则、背离契约精神、出于非商业目的对中国企业实施封锁或断供、严重损害中国企业正当权益的外国企业、组织或个人,将列入不可靠实体清单——这一举措也从侧面证明国家坚决从“供应链”维度维护CII安全与国家核心利益的坚定决心。[9]
二
《征求意见稿》对企业的启示
此次《征求意见稿》从审查流程上在对网络产品和服务审查制度进行了大刀阔斧的改造,为执法机关落实网络安全制度提供了切实指引,也表明了国家在实施网络安全审查制度上的决心。可以预见的是,未来《征求意见稿》的落地将通过网络安全审查作为CIIO与产品和服务提供者采购合同生效的前提条件,[10]可能会增加CIIO以及产品和服务提供者生产经营中的负担。但CII安全问题关系到国家安全和公共利益,通过网络安全审查后的产品才算是“吹尽狂沙始到金”。未来CIIO如何在企业运维和采购层面妥善“嵌入”并配合网络安全审查流程,将成为《征求意见稿》未来出台后CIIO的首要问题。
《征求意见稿》应引起CII网络产品和服务供应商的高度关注。无论是安全审查启动条件,还是审查机关进行安全审查时的重点审查因素,《征求意见稿》均明显体现出网络安全审查对国家安全的充分关注。特别是在日益复杂的国际关系下,CII网络产品和服务供应商(尤其是涉外供应商)更须密切关注相关立法与执法动向,及时研判《征求意见稿》在评估要素上的关注点将对其向境内CII提供产品和服务产生何种程度的影响,以便及时响应政策与法规的要求,积极配合网络安全审查的开展,最大程度地维护自身供应商利益。
[1] 《网安法》第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
[2] 见《征求意见稿》第十八条第二款。
[3] 见《征求意见稿》第二条。
[4] 《试行办法》第二条规定“关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查”。然而,就“关系国家安全的网络和信息系统”的定义和范围,以及如何判断此类网络和信息系统中的哪些部分构成“重要网络产品和服务”而言,《试行办法》并未予以明确,其适用范围对企业而言仍具有不确定性。
[5] 《网安法》第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
[6] 《国家安全法》第五十九条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
[7] 见《网安法》第三十七条。
[8] 《网安法》第二十二条第二款规定,网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
[9] “商务部新闻发言人就中国将建立“不可靠实体清单”制度答记者问”,参见http://www.mofcom.gov.cn/xwfbh/20190531.shtml(访问日期:2019年5月31日)。
[10] 《征求意见稿》第七条规定,对于申报网络安全审查的采购活动,运营者应通过采购文件、合同或其他有约束力的手段要求产品和服务提供者配合网络安全审查,并与产品和服务提供者约定网络安全审查通过后合同方可生效。
网络安全事件紧急联系人:
宁宣凤律师
金杜律师事务所合规业务部负责合伙人
邮箱:susan.ning@cn.kwm.com
电话:+86 10 5878 5100
吴涵律师
金杜律师事务所合伙人
邮箱:wuhan@cn.kwm.com
感谢关注金杜研究院