查看原文
其他

泰和泰研析 | 最新修订《网络安全审查办法》解读

尹晓东 泰和泰北京办公室 2023-01-14


         十八大以后,我国加快了网络安全、数据安全和个人信息保护方面的立法步伐。继2016年颁布《网络安全法》后,2021年连续颁布了《数据安全法》和《个人信息保护法》,完成了这一领域的立法三部曲。但是,相关网络运营者、数据处理者不仅要遵守这三部曲,还要遵守《关键信息基础设施安全保护条例》和《网络安全审查办法》等更具实务操作要求的法规规章的规定。


为此,笔者试着对最新修订的,将于2022年2月15日生效的《网络安全审查办法》(以下简称办法)进行解读。




一、主要内容解读


1、适用主体和范围。办法规定,关键信息基础设施(以下简称关基)运营者采购网络产品和服务,网络平台运营者开展数据处理活动,在影响或者可能影响国家安全的情况下,应当按照办法进行网络安全审查。跟原来规定的数据处理者相比,更强化网络平台运营者的义务。
办法明确,网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。
    在审查机制成员单位中新增了中国证监会,这应该与2019年“墨迹科技”IPO上市未遂所暴露出来的数据泄露、个人信息保护不力等问题有密切关联。


2、审查的原则。习总书记曾指出,“坚持统筹发展和安全,坚持发展和安全并重,实现高质量发展和高水平安全的良性互动”,这在办法的审查原则中得到了很好的体现,即网络安全审查坚持安全与发展网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。


3、关键信息基础设施运营者的预判义务。办法规定,关基运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。如果觉得影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。预判的标准,如果有主管部门制定的本行业、本领域预判指南的,则适用该指南;如果没有的,则需要运营者自行预判。这就需要运营者根据自身的行业经验、风险偏好和合规制度等方面来开展预判。笔者认为适度从严可能更有利于运营者防范法律风险。


4、关于审查申报。(1)申报分为自行申报和强制申报两种。关基运营者和网络平台运营者根据自己预判的结果,可自行决定要不要提请申报网络安全审查;但对“掌握超过100万用户个人信息的网络平台运营者赴国外上市”必须强制申报网络安全审查。(2)要做好采购的保障工作。本来政府或国企的采购工作就比较专业,要求也比较高,所以应当在采购文件、采购协议中明确约定产品和服务提供者有配合义务,并明确相关要求,如办法规定的承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。


5、关于网络安全审查的重点。
  一是产品和服务使用后带来的不可控的风险。如被非法控制、遭受干扰或者破坏的风险;
  二是如果产品和服务供应中断,对业务连续性的危害,这弥补了之前的规定对此没有足够重视的缺陷;
  三是将供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险纳入审查范围,这与当前日趋复杂的国家安全形势和网络空间主权斗争密切相关;
  四是将《数据安全法》确认的核心数据、重要数据和《个人信息保护法》确认的个人信息这三类数据被大量窃取、泄露、毁损以及非法利用、非法出境的风险纳入重点审查,这与每个公民的切身利益密切相关;
  五是针对上市,尤其是赴境外上市过程中,我国的关基、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险和网络安全风险,纳入审查范围。这从滴滴事件中已经可以看出端倪,这也是最后一次修订最重要的补丁之一;
  六是兜底的其它遵章守法情况、其他可能危害关基安全、网络安全和数据安全的情形,也将纳入审查范围。


6、关于审查的程序。一般程序是国家互联网信息办公室窗口收件后,委托中国网络安全审查技术与认证中心给出初步审查意见,国家互联网信息办公室认可后再征求各相关部门(既可能是审查机制的成员单位,也可能还有其它部门)意见,各部门达成一致意见的,则如期(至少45个工作日后)回复当事人;达不成一致意见的,则启动特别审查程序。审查办公室会再次研判,形成结论建议并再征求各部门意见,最终报中央网络安全和信息化委员会批准后,向当事人送达审查结论。这一程序原则上在90个工作日内完成。


如果认定当事人构成影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照办法规定进行审查。


审查的结果,应该包括允许上市、不允许上市、责令整改等。



二、相关启示


1、做好网络安全、数据安全和个人信息保护的专项合规计划。虽然中国的企业合规还处于从监管部门驱动到企业自觉投入的转变过程中,央企国企与民企对合规的重视程度还差异较大,但在网络安全、数据安全和个人信息保护板块,各类市场主体,甚至包括政府机关、学校等社会组织都无法置身事外。可能机关、企事业单位不会遭遇环保、金融、知识产权、税务等合规风险,但完全可能遭遇数据或个人信息保护的合规风险。所以,各类网络运营者、数据处理者有针对性的开展这类合规计划是完全有必要的。


2、重视采购招标工作,严格遴选供应商、合作伙伴。网络安全法中规定了多类行政处罚,其中罚款最重的情形就是因采购问题而出现网络安全事件,可以处以采购金额10倍的罚款。而在数据安全法、个人信息保护法和本办法中,也多次强调产品和服务提供者的责任和义务,所以,各类网络运营者、数据处理者要高度重视提供网络、数据、信息化产品和服务的各类供应商、合作伙伴的选择。本办法也要求他们提供相关承诺。但要从根本上解决问题,最好还是要求他们也做好网络、数据等方面的合规才是硬道理。


3、重视其它国际合规义务。除了我们了解、研究比较多的欧盟GDPR(通用数据保护条例)和美国的相关要求之外,在刚刚生效的中国与东盟十国及日、韩、澳、新西兰共同签署《区域全面经济伙伴关系协定》(RCEP)第十二章“电子商务”中,对网络安全、个人信息保护、信息跨境等内容也是有明确规定的。所以,在“一带一路”或对西方的对外经贸中,注意和遵守相关国家、地区和国际组织对网络安全、数据安全和个人信息保护的合规要求,也将是中国企业面临的重大课题。





作者简介



尹晓东  律师

合伙人

业务领域:政府法务、公司商务、文化教育、互联网法律等


近期文章推荐

ARTICAL


泰和泰研析丨从“阿里云Apache Log4j2事件”看企业网络安全之漏洞管理合规

2021-12-30

泰和泰研析 | 聊聊药品专利链接制度的周边法律事

2021-12-21

泰和泰研析丨SPAC模式如何占据美国IPO的半壁江山

2021-12-13

泰和泰研析丨上市公司证券虚假陈述民事赔偿案件中投资人损失的计算方式——从一则实务案例说起

2021-11-15


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存