记住“一、二、三、七”,读懂《网络安全审查办法》
2019年5月21日,国家互联网信息办公室发布了《网络安全审查办法》(征求意见稿)(下称“新办法”)。该新办法的第二十一条表明,一旦新办法生效并实施的,《网络产品和服务安全审查办法(试行)》(下称“旧办法”)就同时废止。本文以介绍新办法的重点内容为主线,同时对新、旧办法的相关内容进行横向对比。
一、 新办法的主要规定
1. 一套审查流程
新办法规定了网络安全审查的一整套流程,主要为了实现新办法提出的“安全可控”的目标。这里的“安全可控”更多是从国家安全的角度出发,通过审查程序防止产品和服务提供者利用提供产品和服务的便利条件,非法获取用户数据、非法控制和操纵用户设备,利用用户对产品和服务的依赖性牟取不正当利益或者迫使用户更新换代等。
触发审查流程的,主要分为两种情况:一是由监管部门发起。根据第十九条,如网络安全审查工作机制成员单位(注:新办法第十一条第一次出现此概念,并没有对哪些单位构成网络安全审查工作机制成员单位进行具体介绍,我们认为大概率是指代第五条中所列明的国家网信办及11家国务院直属部委机构)认为任何网络产品和服务采购活动、信息技术服务活动会影响或可能影响国家安全,此时由网络安全审查办公室按程序报中央网络安全和信息化委员会批准,并按照新办法进行审查。
另一种是由关键信息基础设施运营者主动发起。当关键信息基础设施运营者在采购网络产品和服务时,如根据自身预判,所采购的产品和服务可能会存在导致严重危害关键信息基础设施安全的风险隐患,不但需要形成安全风险报告,还需要向网络安全审查办公室申报并提交材料。网络安全审查办公室受理后,在30个工作日完成审查,情况复杂的可延长15个工作日(因此,最长不得超过45个工作日完成初审)。网络安全审查办公室在审查后,形成审查结论建议,并送网络安全审查工作机制成员单位(以上述所提及的互联网信息办公室+11家国务院直属部委机构)征求意见,由后者在15个工作日内形成书面回复意见。如二者意见一致,则由网络安全审查办公室将审查结论(三种可能的结论:①通过审查;②附条件通过审查;③未通过审查)反馈给关键信息基础设施运营者;如二者意见不一致,则进入特别审查程序,由网络安全审查办公室(设立在网信办)进一步听取相关部门、专业机构、专家意见,进行深入分析评估,形成审查结论建议,在征求网络安全审查工作机制成员单位意见后,按程序报中央网络安全和信息化委员会批准。特别审查原则上也应当在45个工作日内完成,情况复杂的可以延长,但并未说明最长延长几天。因此,假设情况极其复杂的案件,从关键信息基础设施运营者报审开始,最长可能需要105个工作日+的时间方可完成审批。
下图为关键信息基础设施运营者自行发起审查时可能出现的一般审查和特别审查流程。
2. 二个适用条件
根据新办法第二条,同时满足以下两项条件时,需要按照新办法进行网络安全审查。
第一,报请进行安全审查的主体一般为关键信息基础设施运营者(除非法律、行政法规另有规定的依照其规定)。同时,根据第十八条,关键信息基础设施运营者的认定由关键信息基础设施保护工作部门负责。按照《网络安全法》以及《关键信息基础设施安全保护条例(征求意见稿)》,关键信息基础设施的运营者是运营事关国家安全、国计民生、公共利益的重要网络设施、信息系统的网络运营者。因此,若企业运营的网络设备遭到破坏、丧失功能或者数据泄露后,可能严重危害到国家安全、国计民生、公共利益的,则这些企业则能够被认定为关键信息基础设施的运营者。但目前我们关于关键信息基础设施运营者的认定标准,尚未由行业主管部门给出具体意见。
第二,即使是关键信息基础设施运营者,只有在他们采购网络产品和服务时,评估有可能影响或可能影响到国家安全的,才需要报请进行安全审查。第六条和第十条规定了影响国家安全的判断因素,包括:(一)对关键信息基础设施持续安全稳定运行的影响,包括关键信息基础设施被控制、被干扰和业务连续性被损害的可能性;(二)导致大量个人信息和重要数据泄露、丢失、毁损、出境等的可能性;(三)产品和服务的可控性、透明性以及供应链安全,包括因为政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性;(四)对国防军工、关键信息基础设施相关技术和产业的影响;(五)产品和服务提供者遵守国家法律与行政法规情况,以及承诺承担的责任和义务;(六)产品和服务提供者受外国政府资助、控制等情况;(七)其他可能危害关键信息基础设施安全和国家安全的因素。上述因素中,不但强调了所采购设备或服务对关键信息基础设施运营安全的重大影响需要关注,同时对关键信息基础设施运营者业务所涉及的“个人信息与重要数据”的影响性也同样需要纳入审查范围。另外,新办法还将因为政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性和产品和服务提供者受外国政府资助、控制等情况也纳入了考虑因素。
由于第六条所涉及的关键信息基础设施运营者在主动申报网络安全审查前凭自己预判认为存在潜在安全风险因素,基本与第十条网络安全审查办公室的评审因素的某几条相差不远,基本涵盖在第十条范围内,因此不再展开分析。
3. 三类审查主体
新办法规定了三类审查主体,包括中央网络安全和信息化委员会、网络安全审查办公室、网络安全审查工作机制成员单位。
根据新办法第四条,中央网络安全和信息化委员会负责统一领导。网络安全审查办公室设在国家互联网信息办公室,负责组织制定网络安全审查的相关制度和工作程序,组织网络安全审查,并监督审查决定的实施。
新办法并没有专设条款对网络安全审查工作机制成员单位进行定义,如前所述,但根据第五条推断,网络安全审查工作机制成员单位包括除国家互联网信息办公室以外的国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局这11家国务院直属机构,对应的也是不同行业的主管机构。
二、 新旧办法对比:七大维度看新规
1. 适用主体
旧办法第二条规定,关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查,即对所有涉及采购关系国家安全的产品和服务采购的网络运营者,均适用本办法进行网络安全审查。而新办法中,则将适用范围聚焦于关键信息基础设施运营者,要求关键信息基础设施运营者在采购网络产品和服务过程中如涉及国家安全的产品和服务进行安全审查。而新办法中的关键信息基础设施运营者还特定为是经过关键信息基础设施保护工作部门认定的运营者,不是由企业主动申请的那部分关键信息基础设施运营者。
2. 审查原则
新办法中新增了“促进先进技术应用”、“保护知识产权”等描述,旨在为企业营造良好环境。新办法在落实网络安全审查,保障国家安全、减少风险隐患的同时,也要求在一定程度上保护企业的商业秘密和知识产权。
3. 领导机制
旧办法中,规定由国家互联网信息办公室和有关部门共同成立网络安全审查委员会对网络安全审查进行统一组织。而新办法中则规定由中央网络安全和信息化委员会统一领导网络安全审查工作,并详细列举了由国家互联网信息办公室会同十一个国务院下属机构携手建立网络安全审查工作机制。新办法相当于详细、清晰的说明了旧办法第五条中提及的“有关部门”,同时设立国家互联网信息办公室协调组织工作,将中央网络安全和信息化委员会真正放到领导与决策的位置。
4. 审查方式
旧办法中第三、六条规定了网络安全审查以第三方评价与专家评估的方式进行。由官方认证的第三方机构进行评价,形成初步评价报告。再由专家委员会根据第三方评价报告,对该产品和服务的安全风险以及提供者的安全可信状况进行综合评估。新办法中则删除了这两项规定,建立了提出审查可以由二种方式,但最后都由政府主导进行审查的控制机制。第一种提出审查方式为,运营者通过自我预判认为存在安全风险,形成安全风险报告后,向网络安全审查办公室申报,进入政府审查程序。第二种提出审查方式为,网络安全审查工作机制成员单位(通常我们认为是该企业的行业主管部门为主)认为影响或可能影响国家安全的,网络安全审查办公室按照程序报中央网络安全和信息化委员会批准,启动审查程序。新办法中将实施审查的工作下放到了下属负责网络安全审查的网络安全审查办公室负责,中央网络安全和信息化委员会行使最后的批准决策权。这有利于不同机构之间如出现对所上报的内容有不同意见或者有利益冲突的情况时,统一的决策机构更有利于意见的决择,增加了网络安全审查报告的公信度和效率性,避免因联合机构一多而造成审批拖沓。
5. 管理体系
旧办法第十条规定,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过网络安全审查。新办法中则删除了对重点行业和领域的划分,即只要行业中的关键信息基础设施运营者采购网络产品和服务可能涉及国家安全的,均需要进行网络安全审查。新办法将对于重点领域的规定删除,,一方面也是由于我国对于关键信息基础设施运营者在不同法律法规和国家标准中的范围还尚未一致,另一方面将网络安全审查的对象扩大,可能更有利于维护国家安全。
6. 考虑因素
旧办法中对于网络安全审查的考察因素从产品和服务本身的风险、产品生产和交换过程中产生的风险、产品和服务提供者自身的风险三方面展开。新办法中除了对上述三种风险进行了规定,进一步指出,涉及政治、外交、国防军工、贸易等的风险,应当视为危害关键信息基础设施安全和国家安全的考察因素。
7. 额外规定
新办法第七条对于关键信息基础设施运营者规定了新的合同义务,要求运营者在签署采购合同时,通过有约束力的手段要求产品和服务提供者配合相应网络安全审查。对于这一新的合同义务,立法者的考量可能是,通过有约束力的合同保障运营者及相关的产品、服务提供者均能在必要时实施网络安全审查,加强对供应链的控制与管理。但反过来,可能会对提供网络产品和服务的供应商来说,也将存在不少的挑战。因为不仅此类供应商存在《网络安全法》第三十六条的保密义务,同时还需要配合网络安全审查。与关键信息基础设施的运营者签署的采购合同与协议不但需要提交到网络安全审查办公室被审查,而且合同还将在通过审查后方可生效,因此会导致商务合同的效力有一定程度上的不确定性。
附件:网络安全审查办法(征求意见稿)新旧条文比对
旧办法 | 新办法 | 备注 |
网络产品和服务安全审查办法(试 行)2017年6月1日正式施行 | 网络安全审查办法(征求意见稿) 2019年5月24日公开征求意见。 | |
第一条 为提高网络产品和服务安全可控水平,防范网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。 | 第一条 为提高关键信息基础设施安全可控水平,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。 | 修改 |
第二条 关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。 | 第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。法律、行政法规另有规定的,依照其规定。 | 修改 |
第三条 坚持企业承诺与社会监督相结合,第三方评价与政府持续监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其供应链进行网络安全审查。 | 第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用、增强公正透明与保护知识产权相统一,坚持事前审查与持续监管、企业承诺与社会监督相结合,从产品和服务安全性、可能对国家安全带来的风险隐患等方面进行综合分析评判。 | 修改 |
第四条 网络安全审查重点审查网络产品和服务的安全性、可控性,主要包括: (一)产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险; (二)产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险; (三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险; (四)产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险; (五)其他可能危害国家安全的风险。 | 第四条 中央网络安全和信息化委员会统一领导网络安全审查工作。 | 新增 |
第五条 国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。 网络安全审查办公室具体组织实施网络安全审查。 | 第五条 国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室,负责组织制定网络安全审查相关制度规定和工作程序、组织网络安全审查、监督审查决定的实施。 | 修改 |
第六条 网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。 | 第六条 运营者采购网络产品和服务时,应预判产品和服务上线运行后带来的潜在安全风险,形成安全风险报告。可能导致以下情况的,应当向网络安全审查办公室申报网络安全审查: (一)关键信息基础设施整体停止运转或主要功能不能正常运行; (二)大量个人信息和重要数据泄露、丢失、毁损或出境; (三)关键信息基础设施运行维护、技术支持、升级更新换代面临供应链安全威胁; (四)其他严重危害关键信息基础设施安全的风险隐患。 | 新增 |
第七条 国家依法认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。 | 第七条 对于申报网络安全审查的采购活动,运营者应通过采购文件、合同或其他有约束力的手段要求产品和服务提供者配合网络安全审查,并与产品和服务提供者约定网络安全审查通过后合同方可生效。 | 新增 |
第八条 网络安全审查办公室按照国家有关要求、根据全国性行业协会建议和用户反映等,按程序确定审查对象,组织第三方机构、专家委员会对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果。 | 第八条 运营者申报网络安全审查时,应当提交以下材料: (一)申报书; (二)本办法第六条中的安全风险报告; (三)采购合同、协议等; (四)网络安全审查办公室要求的其他材料。 | 新增 |
第九条 金融、电信、能源、交通等重点行业和领域主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。 | 第九条 网络安全审查办公室受理网络安全审查后,应在30个工作日内完成初步审查,情况复杂的可延长15个工作日。 | 新增 |
第十条公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过网络安全审查。产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定。 | 第十条 网络安全审查重点评估采购活动可能带来的国家安全风险,主要考虑以下因素: (一)对关键信息基础设施持续安全稳定运行的影响,包括关键信息基础设施被控制、被干扰和业务连续性被损害的可能性; (二)导致大量个人信息和重要数据泄露、丢失、毁损、出境等的可能性; (三)产品和服务的可控性、透明性以及供应链安全,包括因为政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性; (四)对国防军工、关键信息基础设施相关技术和产业的影响; (五)产品和服务提供者遵守国家法律与行政法规情况,以及承诺承担的责任和义务; (六)产品和服务提供者受外国政府资助、控制等情况; (七)其他可能危害关键信息基础设施安全和国家安全的因素。 | 修改 |
第十一条 承担网络安全审查的第三方机构,应当坚持客观、公正、公平的原则,按照国家有关规定,参照有关标准,重点从产品和服务及其供应链的安全性、可控性,安全机制和技术的透明性等方面进行评价,并对评价结果负责。 | 第十一条 网络安全审查办公室完成初步审查后,应形成审查结论建议,并送网络安全审查工作机制成员单位征求意见。审查结论建议包括通过审查、附条件通过审查、未通过审查三种情况。 网络安全审查工作机制成员单位应在15个工作日内书面回复意见。网络安全审查工作机制成员单位意见一致的,网络安全审查办公室以书面形式将审查结论反馈运营者;意见不一致的,进入特别审查程序并通知运营者。 | 新增 |
第十二条 网络产品和服务提供者应当对网络安全审查工作予以配合,并对提供材料的真实性负责。 第三方机构等相关单位和人员对审查工作中获悉的信息等承担安全保密义务,不得用于网络安全审查以外的目的。 | 第十二条 进入特别审查程序的,网络安全审查办公室应进一步听取相关部门、专业机构、专家意见,进行深入分析评估,形成审查结论建议,征求网络安全审查工作机制成员单位意见后,按程序报中央网络安全和信息化委员会批准。 | 新增 |
第十三条 网络安全审查办公室不定期发布网络产品和服务安全评估报告。 | 第十三条 特别审查原则上应在45个工作日内完成,情况复杂的可以延长。 | 新增 |
第十四条 网络产品和服务提供者认为第三方机构等相关单位和人员有失客观公正,或未能对审查工作中获悉的信息承担安全保密义务的,可以向网络安全审查办公室或者有关部门举报。 | 第十四条 网络安全审查办公室要求提供补充材料等,运营者应予以配合。审查时间从提交补充材料之日起计算。 运营者应对所提供材料的真实性负责。在审查过程中拒绝按要求提供材料或故意提供虚假材料的,按未通过安全审查处理。 | 新增 |
第十五条 违反本办法规定的,依照有关法律法规予以处理。 | 第十五条 参与网络安全审查的人员对审查工作中获悉的信息等承担保密义务,不得用于审查以外的目的。 | 修改 |
第十六条 本办法自2017年6月1日起实施。 | 第十六条 运营者加强安全管理,督促产品和服务提供者认真履行网络安全审查中作出的承诺。 网络安全审查办公室通过抽查、接受举报等形式加强事中事后监管。 | 新增 |
第十七条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。 | 新增 | |
第十八条 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。 安全可控是指产品和服务提供者不得利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,不得利用用户对产品和服务的依赖性牟取不正当利益或者迫使用户更新换代等。 | 新增 | |
第十九条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务采购活动、信息技术服务活动,网络安全审查办公室按程序报中央网络安全和信息化委员会批准,依照本办法进行审查。 | 新增 | |
第二十条 涉及国家秘密信息的,依照国家有关保密规定执行。 | 新增 | |
第二十一条 本办法自 年 月 日起实施,《网络产品和服务安全审查办法(试行)》同时废止。 | 新增 |