汇业评论 | 2020版《网络安全审查办法》解读:从技术安全走向供应链安全
文 | 汇业律师事务所 李天航 黄春林 钱静雯
2020年4月27日,国家网信办、工信部、公安部等12个部门联合发布了2020版《网络安全审查办法》(以下简称“《办法》”)。早在2019年5月21日,国家网信办发布了《网络安全审查办法(征求意见稿)》(以下简称“《征求意见稿》”)广泛征求各界意见。
《办法》自2020年6月1日生效。同时,2017版《网络产品和服务安全审查办法(试行)》(以下简称《试行办法》)废止。
结合《试行办法》实施三年以来,尤其是《征求意见稿》发布以来国际政治、经济格局的各种变化及具体的法律适用问题,汇业律师事务所网络与数据法律团队简要解读《办法》的主要变化、适用范围以及审查程序等问题,仅供参考。
一、主要变化内容
相较于2017版《试行办法》及2019版《征求意见稿》,2020版《办法》的主要变化包括但不限于:
(1)安全审查的重心从技术性安全走向供应链安全。《办法》开宗明义,明确将立法目的从“安全可控”调整为“供应链安全”;此外,在安全风险识别以及安全审查内容方面,都重点强调了政治、外交、贸易等非技术因素可能导致的产品和服务供应中断的风险。这无疑是对近端时间以来,某些国家/境外企业有目的的针对中国企业“断供”的有力回应和震慑。
(2)法律层级提高为部门规章层面。《办法》是国家网信办成立以来的第六件部门规章层级的监管文件,且采取多部门联合发文的方式,有利于建立部级协调机制和审查制度的落地执行。
(3)2020版《办法》进一步整合了风险识别指标和安全审查内容,整合后的内容更加具体明确,可操作性更强。
(4)将第三方评估调整为官方强制审查,进一步完善了安全审查程序。2020版《办法》明确了安全审查受理部门,明确了普通程序和特别程序的衔接问题和审查时限要求,有利于更好的协调网络安全审查办公室、工作机制成员单位和CII保护工作部门等各部门监管职能,有利于企业的法律适用和理解;等等。
二、审查范围
三、 审查主体
根据《办法》及答记者问,网络安全审查确立了三级构架的工作机制:职能部门、办事机构和具体工作承担机构。
(一) 职能部门
《办法》确立了12+1的审查职能部门,即12家网络安全审查工作机制成员单位以及申报主体对应的关键信息基础设施保护工作部门。
(二) 办事机构
网络安全审查办公室(以下简称“办公室”)作为办事机构,设在国家网信办,负责制定网络安全审查的相关制度规范,组织网络安全审查。
(三) 具体工作承担部门
根据《办法》答记者问,中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。
四、 申报材料、审查要点及审查流程
说明:
1.关于申报材料“网络安全审查工作需要的其他材料”
此类材料一般应当结合所在行业特点提供,例如是否符合医疗、金融等行业特殊监管要求,是否属于网络安全产品或服务目录管理产品等。
2.关于审查重点“产品和服务提供者遵守中国法律、行政法规、部门规章情况”
与该审查重点相对应的内容应当在申报材料中有对应材料,一般是指:
(1)相关产品及服务是否符合中国相关产品或服务准入的要求,例如3C认证或电信业务许可;
(2)提供者是否有被行政、刑事处罚的记录;
(3)相关产品及服务符合《网络安全法》、《密码法》相关规定的要求,如网络安全等级保护、个人信息保护、数据本地化要求、密码产品测评认证;等等。
五、采购协议及承诺合规
《办法》明确规定,申报网络安全审查的产品或服务的采购方和提供者的其他合约合规要求包括但不限于:
1.采购者应当开展提供方背景调查,确保其产品及服务应当符合中国法监管情况,确保其具有履行相关承诺的资信及条件;
2.采购者应当草拟合规的采购文件、采购协议等,明确各方权利义务及产品准入要求等;
3.提供方应当签署合规的承诺文件,承诺:
a)配合网络安全审查。即,配合审查机构提供相关材料、接受谈话、说明情况等;
b)不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备等;
c) 无充分、正当且不可控的理由,不会中断产品供应或必要的技术支持服务,以及一旦面临政治、贸易管制影响的潜在替代方案等;
d) 产品或服务遵守中国法律、行政法规、部门规章等;
e) 不存在受外国政府资助、控制等情况;等等。
《采购协议》及《承诺函》示范模板,欢迎企业来函索取:tianhang.li@huiyelaw.com
李天航
汇业律师事务所合伙人
tianhang.li@huiyelaw.com
黄春林
汇业律师事务所高级合伙人
Ramon.huang@huiyelaw.com
作者往期文章推荐:
支付结算与外汇交易的刑事法律风险与边界
大数据行业之数据缓存合规:玫瑰如何赠,余香能否留
增值电信业务许可之告知承诺审批:羞答答的玫瑰静悄悄地开
带刺的玫瑰:上海自贸区离岸数据中心试点政策解读
中国央行数字货币DC/EP的十大法律猜想
《个人金融信息保护技术规范》解读:全生命周期的技术与管理二元合规控制
十余位网安及数据合规大牛热评新书《网络与数据法律实务:法律适用与合规落地》
十余位知名外企法务大咖热评新书《网络与数据法律实务:法律适用与合规落地》