网络安全审查制度利刃出鞘
实施了将近三年的《网络产品和服务安全审查办法(试行)》(以下简称“试行办法”),正式被《网络安全审查办法》(以下简称“审查办法”)所取代。从试行到成型,近三年间的实践和摸索,最终扬弃、浓缩、升华于新的规章之中。本文将着重分析“审查办法”与“试行办法”相比的三大新特点,以揭示革新背后的思路和考虑。
审查目标更加具体
无论是“试行办法”还是“审查办法”,审查对象均是网络产品和服务,这一点没有变化。审查的原因均是采购了特定的网络产品和服务,可能因此给网络和信息系统带来“脆弱性”,这一点也没有发生变化。
发生变化的是如何看待上述“脆弱性”的标尺。“试行办法”第一条提出:安全审查的目标是“提高网络产品和服务安全可控水平”,因此审查聚焦于产品和服务本身的脆弱性。而在“审查办法”中,安全审查的目标改成了“为了确保关键信息基础设施供应链安全,维护国家安全”,将审查着眼于产品和服务在供应链安全方面给关键信息基础设施带来的安全风险。
上述变化体现了一种认识上的更新。正如习近平总书记所说:“网络安全是相对的而不是绝对的”,同样,产品和服务的安全性也是相对的。安不安全,很大程度上是依赖于该产品和服务的使用主体、使用目的、使用方式以及产品供应渠道的可靠程度等因素,并不存在衡量安全性的绝对、恒定的基准。
有了具体的场景限定,无论是申报网络安全审查的运营者在准备相关材料时,还是网络安全审查办公室在核验、测试时,方向更加明确,也更容易做到有的放矢。
审查重点更加明晰
审查目标的变化,必然带来审查重点的更新。在“试行办法”中,产品和服务本身的安全是首要的审查内容。“试行办法”第四条前两款:“产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险”指向的是产品和服务本身内在的脆弱性;“产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险”是指产品和服务的脆弱性从何而来。
“试行办法”第四条的后两款才是产品和服务给使用者带来的脆弱性:“产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险”指的是产品和服务除了“规定动作”之外,是否还会偷偷地进行“自选动作”;而“产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险”是指提供者会不会“裹挟”使用者以谋取非法或不当利益。
在“审查办法”第九条中,审查重点主要强调的是产品和服务“使用后”给关键信息基础设施带来的风险:首先是“关键信息基础设施被非法控制、造成干扰或破坏”,以及“重要数据被窃取、泄露、损毁”;其次是“产品和服务供应中断对关键信息基础设施业务连续性的危害”。
第九条第三款提到了网络产品和服务本身的安全性,但更偏重产品和服务的“开放性、透明性”(即产品和服务的兼容度和可检视度),以及产品和服务的“来源的多样性”“供应渠道的可靠性”“因为政治、外交、贸易等因素导致供应中断的风险”。不难看出,该款仍然把重心放在产品和服务对关键信息基础设施的影响。
采购方的主体责任得以突出
在“试行办法”中,采购特定产品和服务的主体,无论是“关系国家安全的网络和信息系统”的运营者,还是关键信息基础设施的运营者,其角色相对被动,主要是:申报审查和配合审查。而且,对于关键信息基础设施运营者来说,甚至不需要自主判断所采购的产品和服务是否影响国家安全,如“试行办法”第十条规定:“产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定”。
在“审查办法”中,首先,所适用的申报主体得到统一,明确为作为采购方的“关键信息基础设施运营者”。其次,采购方主动“预判产品或服务可能带来的国家安全风险”并据此决定是否申报审查,成为其法定义务之一。再次,采购方应主动通过法律工作管理自身的供应链风险,例如第六条所规定的:“应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等”。
把上述法定义务结合起来看,可以看到“审查办法”对采购方的角色定位——既然特定的产品和服务是采购方自主选择的,那采购方应当成为责任主体(即所谓的权责一致原则),因此采购方应当在力所能及的范围内,主动管理和降低供应链安全风险;只有当对安全风险的管控超出采购方的能力范围,或安全风险的影响面超出采购方本身时,网络安全审查方得介入,用国家力量来对冲特定产品和服务所带来的安全风险。
总结
在笔者看来,以上三方面体现了网络安全审查制度演进的主线。除此之外,“审查办法”明确了“国家网络安全审查工作机制”的成员单位,进一步细化了审查流程和程序,以及严格要求参与网络安全审查的相关机构和人员保护商业秘密、知识产权以及其他未公开信息等,均是此次变革的亮点。“审查办法”的生效和实施,标志着我国网络安全基本制度的建设又朝前迈了一大步,维护国家安全特别是国家网络空间安全有了重要的新抓手。(原文刊载于中国网信网,作者为洪延青)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
人脸识别系列文章
美国联邦隐私保护立法草案研究
美国联邦隐私保护立法草案研究(一):“行为个性化”
美国联邦隐私保护立法草案研究(二):“个人敏感信息”
美国联邦隐私保护立法草案研究(三):“个人敏感信息”的保护规则
美国联邦隐私保护立法草案研究(四):“生物识别信息”
个人数据与域外国家安全审查系列文章
美国电信行业涉及外国参与的安全审查系列文章
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令