数据合规 | 《网络安全审查办法》要点评析
《网络安全审查办法》正式明确了关键信息基础设施运营者经有关工作部门认定产生,并给出了“网络产品和服务”的定义,对于关键信息基础设施运营者如何申报网络安全审查以及监管者审查要点等问题也进行了说明。明确审查流程对于关键信息基础设施运营者把控供应链上的网络安全以及国家安全风险十分重要。许多网络产品和服务的提供者也都期待监管者对于“网络产品和服务”的具体目录、关键信息基础设施运营者的范围、申报操作等方面给出更多的指导和解释。一旦关键信息基础设施运营者的范围进一步明确,对于很多公司特别是跨国企业悬而未解的数据本地化存储义务也会相应明确。本文在介绍《网络安全审查办法》的具体流程的同时,也对流程实操中的一些难点以及亟待澄清的问题进行了梳理。
国家互联网信息办公室等十二部门于2020年4月27日联合发布了《网络安全审查办法》(“《审查办法》”)。《审查办法》自2020年6月1日起生效,实施了将近三年的《网络产品和服务安全审查办法(试行)》(“《试行办法》”)将同时废止。
如果关键信息基础设施运营者违反《审查办法》,其将承担《网络安全法》第六十五条规定的法律责任,即关键信息基础设施运营者使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。如下是本次《网络安全审查办法》涉及的审批流程以及说明。
网络安全审查流程说明
(1)关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。
(2)网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
(3)为协助关键信息基础设施运营者进行预判,关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。
(4)网络安全审查申报材料:
申报书;
关于影响或可能影响国家安全的分析报告;
采购文件、协议、拟签订的合同等;
网络安全审查工作需要的其他材料。
(5)网络安全审查主要考虑因素:
产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
产品和服务供应中断对关键信息基础设施业务连续性的危害;
产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
产品和服务提供者遵守中国法律、行政法规、部门规章情况;
其他可能危害关键信息基础设施安全和国家安全的因素。
(6)具体审查工作由网络安全审查办公室委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。
(7)通常情况下,关键信息基础设施运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。如果在签署合同后申报网络安全审查,建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效,以避免因为没有通过网络安全审查而造成损失。
网络安全审查是国际通行做法
以安全审查的形式对关键信息基础设施的供应链进行防护,在世界范围内已早有先例。
例如,美国政府自2018年起即接连发布了《安全技术法案》、《联邦采购供应链安全法案2018》、《确保信息和通信技术及服务供应链安全》行政令以及《<确保信息和通信技术及服务供应链安全>行政令的实施条例草案》等文件,旨在加强对ICT技术供应链的安全风险管理。[1]欧盟委员会在2019年10月发布的《欧盟5G网络安全风险评估报告》[2]中也指出,成员国应对第三方供应商的若干风险状况进行详细评估,并决定由委员会建立适当、有效、有针对性的通用风险管理措施工具箱,以缓解成员国识别的5G网络安全风险。日本也计划在年内提交关于新一代通信标准(5G)建设的新法案——《特定高度电信普及促进法》(预定名),要求日本相关企业在采购高级科技产品及精密器材时,必须遵守三个安全准则:第一确保系统的安全与可信度;第二确保系统供货安全;第三确保系统要能够与国际接轨。[3]
由此可见,充分评估关键信息基础设施供应链中可能存在的网络安全风险,并落实必要的风险减缓措施,是世界各国的主流实践。我国现阶段出台《审查办法》将有利于“及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全”。
“关键信息基础设施运营者”为申报网络安全审查的主体
按照《审查办法》第二条的规定,关键信息基础设施运营者是提请有关部门进行网络安全审查的义务主体。《审查办法》虽然在第二十条指出关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者,而相关部门如何判定关键信息基础设施运营者尚有待进一步明确。关于关键信息基础设施(运营者)的范围,从《网络安全法》颁行以来就是企业开展网络安全合规工作中亟待明晰的问题。《网络安全法》及后续发布的《关键信息基础设施安全保护条例(征求意见稿)》、《网络安全审查办法》都没有对此进行更进一步的阐述,而仅仅提供界定“关键信息基础设施(运营者)”范围的考量因素(如行业、领域、性质、重要程度等)。《关键信息基础设施确定指南》作为此前有关部门开展网络安全检查时的工作文件,不具备普遍的法律拘束力,且不少量化标准可能已经与行业实际情况存在差距,借鉴意义也相对有限。希望相关部门正在制定的关键信息基础设施相关规定及识别指南可以为企业提供更多指导。
《网络安全法》第三十一条 | 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 |
《关键信息基础设施确定指南》 | 关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。 |
《关键信息基础设施安全保护条例(征求意见稿)》第十八条 | 下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围: (一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位; (二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位; (三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位; (四)广播电台、电视台、通讯社等新闻单位; (五)其他重点单位。 |
《网络安全审查办法》第二十条 | 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。 |
《网络安全审查办法》答记者问 | 根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查。 |
在实践中,关键信息基础设施的认定工作已在多行业领域启动,不少企业已被认定为关键信息基础设施运营者。各部委也在积极推进相关工作。水利部办公厅在2020年2月印发的《2020年水利网信工作要点》中明确指出已制定“《水利关键信息基础设施认定规则》”;教育部办公厅印发的《2019年教育信息化和网络安全工作要点》中也要求“研究制定关键信息基础设施保护规划,制定关键信息基础设施识别认定指南,开展教育系统关键信息基础设施认定工作,明确教育系统关键信息基础设施名单”。
在《审查办法》答记者问中,国家互联网信息办公室的有关负责人建议关键“行业领域的重要网络和信息系统运营者”应当依法考虑申报。未被任何部门认定为关键信息基础设施运营者、又身处关键行业领域中的企业在开展可能影响国家安全的网络产品和服务采购时,应考虑与行业主管部门、网络安全审查主管部门积极沟通。
采购哪些网络产品和服务可能需要申报网络安全审查?
《审查办法》下的网络产品和服务范围广泛,主要包含核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,同时在列举的基础上保留了“其他对关键信息基础设施安全有重要影响的网络产品和服务”的兜底规定,保证了产品和服务范围的灵活性。除此之外,网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,采购这些指定的网络产品和服务就需要直接适用网络安全审查程序了。
其次,上述网络产品和服务的范围虽然可能涵盖绝大部分的工业控制系统软硬件设备,物联网系统以及大量通过网络提供的云服务(比如PaaS和SaaS),但是并非对所有落入范围的产品和服务的采购都需要申报网络安全审查——《审查办法》明确指出,仅要求经过预判“产品和服务投入使用后”“影响或可能影响国家安全”的情形需要申报网络安全审查。《审查办法》虽然在第九条有列举网络安全审查主要的考虑因素,但尚未对关键信息基础设施运营者如何预判网络产品和服务对国家安全的影响程度进行明确规定。
此外,《审查办法》并未对境外网络产品和服务提供商设置例外或豁免。即使产品和服务仅通过线上方式提供,且供应商并未在中国境内设立实体,供应商仍需要配合关键信息基础设施运营者完成网络安全审查的义务。因此,为了更好地向境内关键信息基础设施运营者提供产品和服务,境外网络产品和服务提供商可能需要考虑是否由其中国实体作为产品和服务提供商,更便于协助网络安全审查的进行。考虑到网络产品和服务的提供者必然会面临众多客户的配合网络安全审查的要求,并且这些网络产品和服务都具有应用和部署上的相似性,网络产品和服务提供者可能也无法使用不同客户的审查流程作为简化或者豁免审查的依据,是否对于单一应用场景的网络产品和服务是否在第一次审查过后适用简易审查流程也是值得进一步关注的。
1.参见“美国《确保信息通信技术与服务供应链安全》及其《实施条例草案》解析”,https://www.secrss.com/articles/18246,最后访问日期:2020年4月28日。
2.EU coordinated risk assessment of the cybersecurity of 5G networks, Report, October 9, 2019 by NIS Cooperation Group.
3.汪丽,“ICT供应链安全标准化体系及实践应用”,载《信息安全与通信保密》,2020 (04):5-13。