由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部等12个部门联合制定的《网络安全审查办法》(以下简称“《办法》”)已于2020年4月27日公开发布,并将于2020年6月1日起正式实施,届时2017发布的《网络产品和服务安全审查办法(试行)》(以下简称“《试行办法》”)将同时废止。
《办法》主要根据《中华人民共和国国家安全法》(以下简称“《国家安全法》”)第五十九条[i]以及《中华人民共和国网络安全法》(以下简称“《网络安全法》”)第三十五条[ii]制定,针对关键信息基础设施运营者(即Critical Information Infrastructure Operator,以下简称“CIIO”)采购网络产品和服务的行为规定了具体的安全审查机制。
《办法》对《试行办法》和2019年5月24日发布的《网络安全审查办法(征求意见稿)》(以下简称“《征求意见稿》”)均做出了相当程度的调整,将对CIIO和向CIIO提供网络产品和服务提供的供应商(以下简称“供应商”)的商业实践产生实质性的影响。以下我们将对《办法》进行简要解析,并作出初步的合规提示,供相关当事方参考。
一、监管主体及主要义务主体
1.监管主体(联席审查工作机制)
《办法》确立了中央网络安全和信息化委员会领导下的、以国家互联网信息办公室为核心的12部委联席审查工作机制[iii],并明确规定网络安全审查办公室为网络安全审查的具体执行机构(设于国家互联网信息办公室内)。
从网络安全审查的流程看:网络安全审查办公室为网络安全审查的具体实施部门,参与网络安全审查的整个流程,负责决定是否启动网络安全审查,形成各阶段的审查结论建议并向联席审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见以及将审查结论书面通知CIIO;联席审查工作机制成员单位、相关关键信息基础设施保护工作部门在各阶段针对网络安全审查办公室的审查结论建议提供意见。
中央网络安全和信息化委员会、联席审查工作机制的所有成员、相关关键信息基础设施保护工作部门及网络安全审查办公室构成网络安全审查的全部监管主体,各主体根据审查所需参与审查工作。
2.义务主体
①直接义务主体
《办法》规定“关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查”,即网络安全审查的直接义务主体为CIIO。虽然如此,但《办法》并未明确规定需申请安全审查的CIIO的具体范围,仅规定了《办法》中所称的CIIO是指经关键信息基础设施保护工作部门认定者。
虽然目前尚无经关键信息基础设施保护工作部门认定的CIIO,但为提前做好准备之目的,相关方可参考《网络安全法》中对重要领域的界定[iv]和2017年发布的《关键信息基础设施安全保护条例(征求意见稿)》中对关键信息基础设施保护范围[v]的界定,对自身是否属于CIIO作出初步判断并提前采取相应的应对措施,避免届时面对新规措手不及。此外,国家互联网信息办公室相关官员在就《办法》答记者问时也就此做出了提示,“根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查”。此项提示作为主管机关的官方态度亦具有一定的参考价值。
综上,关于具体需申请安全审查的CIIO的范围,法律上(包括征求意见稿)虽有规定,但最终是否属于CIIO应以关键信息基础设施保护工作部门的认定为准。
②间接义务主体
虽然《办法》没有直接规定供应商的义务,但是规定了CIIO应通过采购文件、协议等要求供应商配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。
据此,供应商实际上在相关交易中被要求承担了相当程度的义务,尽管这种义务并非《办法》直接规定而是必须通过合同实现的。但如果供应商希望参与相关交易,则该等义务实际上将不得不被遵守。从这个角度说,供应商构成《办法》项下的间接义务主体。
二、监管措施
1.审查启动
与《试行办法》相比,《办法》在审查启动方式上做出了进一步的调整,审查启动方式由《试行办法》中规定的网络安全审查办公室依职权审查[vi]调整为CIIO预判及主动申报和网络安全审查工作机制成员单位依职权启动相结合的双层审查启动机制。
①基于CIIO预判及主动申报的审查启动
《办法》要求CIIO在采购网络产品和服务时应进行预判,如预判结果为影响或者可能影响国家安全的,应当向网络安全审查办公室主动申报网络安全审查。
《办法》规定,关键信息基础设施保护工作部门可以制定本行业、本领域预判指南(以下简称“预判指南”)。可以预见到,该等预判指南在未来的网络安全审查工作中将起到较强的指引作用。
②基于网络安全审查工作机制成员单位职权的审查启动
《办法》进一步规定,网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。
即,网络安全审查工作机制成员单位对于其认为影响或可能影响国家安全的网络产品和服务,也可以按照程序依职权启动审查。
2.审查标的及主要考虑因素
《办法》将网络安全审查的标的由《试行办法》规定的网络产品、服务的安全性、可控性审查,调整为供应链安全性审查。目的是通过网络安全审查提前发现并避免因采购网络产品和服务给关键信息基础设施运行带来的风险和危害,保障关键信息基础设施的供应链安全,维护国家安全。
《办法》规定,网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:①产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;②产品和服务供应中断对关键信息基础设施业务连续性的危害;③产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;④产品和服务提供者遵守中国法律、行政法规、部门规章情况;⑤其他可能危害关键信息基础设施安全和国家安全的因素。
关于在安全审查过程中主要考虑的因素,《办法》删除了《征求意见稿》中关于“个人信息”、“对国防军工、关键信息基础设施相关技术和产业的影响”、“产品和服务提供者受外国政府资助、控制等情况”等情况的条款,增加了“产品和服务供应中断对关键信息基础设施业务连续性的危害”的情况,使审查相关网络产品及服务时,更加聚焦在供应链安全问题上,放弃了对供应商受外国政府资助、控制等的审查。
此外,根据《办法》的定义,网络产品和服务主要是指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。但我们提请相关方留意,CIIO采购该等网络产品和服务并非均需要申请网络安全审查,仅在该等产品和服务投入使用后可能带来国家安全风险、影响或者可能影响国家安全的,CIIO才有义务向网络安全审查办公室提起网络安全审查(也有可能由网络安全审查办公室依职权启动网络安全审查)。
3.审查程序
审查程序包括初步审查和特别审查两个阶段。初步审查阶段法定最长时限约为70个工作日;特别审查阶段法定时限为45个工作日,但情况复杂的可以适当延长。
虽有前述时限相关规定,但应存在①网络安全审查办公室要求提供补充材料的,提交补充材料的时间不计入审查时间,②特别审查阶段情况复杂时的延长期限未做规定两个问题,我们理解实际审查的时间将会超过上述时限。此外,CIIO在申请安全审查前还应就准备材料预留必要的时间。
安全审查的基本流程框架图如下:
4.罚则
根据《办法》规定,CIIO违反办法规定的,应依照《网络安全法》第六十五条的处理。据此,CIIO违反《办法》规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,可能被有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;直接负责的主管人员和其他直接责任人员可能被处以一万元以上十万元以下罚款。
三、合规建议
1.针对CIIO
①关于审查前置
虽然《办法》未保留《征求意见稿》中要求CIIO与供应商约定“网络安全审查通过后合同方可生效”的条款,但在《办法》中仍然明确要求CIIO“通过采购文件、协议等要求产品和服务提供者配合网络安全审查”,国家互联网信息办公室的相关官员在答记者问中呈现的官方态度也是建议在合同中注明合同应“在产品和服务采购通过网络安全审查后方可生效”。
基于上述理由以及CIIO违反《办法》规定后将承担的法律后果,我们建议CIIO在与供应商签署相关采购文件、协议时将通过安全审查设置为该等采购文件、协议的生效条件。即,如果通过安全审查,即条件成就,则该等采购文件、协议生效;如果未通过安全审查,即条件不成就,则该等采购文件、协议不生效,此时应同时在该等采购文件、协议中做出相应的权利义务安排。
②关于风险预判
由于预判指南在未来的安全审查实践中将对相关方的实践起到重要的指引作用。我们建议CIIO密切关注关键信息基础设施保护工作部门未来出台的预判指南并尽快建立相关配套的风险预判机制。
由于目前尚未有预判指南出台,我们理解现阶段CIIO可以考虑参照国家安全审查评估时的主要考虑因素(《办法》第9条)或欧美国家的相关实践(如美国内政部的相关指引等)进行相关的安全风险预判。
③关于审查时限
鉴于审查时间较长,我们建议CIIO在与供应商签署相关采购文件、协议时充分预估所需的时间,包括CIIO自身准备材料的时间、可能的提交补充材料的时间以及可能发生的特别审查阶段的延长时间,避免对交易进度产生不必要的不利影响。
2.针对供应商
①关于配合审查义务
鉴于供应商在《办法》项下实际为间接义务主体的地位。我们理解,如果供应商未来希望向CIIO提供《办法》项下的网络产品和服务,则供应商同样应熟悉《办法》的相关法律规定,了解供应商可能承担的义务,并提前做准备好应对策略。
②关于知识产权保护
由于在安全审查中可能会有涉及供应商的商业秘密和知识产权,虽然《办法》规定了CIIO或供应商对审查人员的举报权,但是从更好的保护供应商商业秘密和知识产权的角度,我们建议供应商在与CIIO签订采购文件、协议时在该等采购文件、协议中与CIIO约定必要的商业秘密和知识产权保护机制,以减轻或避免因安全审查导致知识产权和商业秘密泄露带来的损失。
四、结语
《办法》虽然即将生效,但仍存在不少待澄清事项(如具体的安全审查标准、重要数据的界定及范围等)及待出台的配套制度文件(如CIIO具体范围的认定标准、预判指南等)。可以预见,后续的配套制度文件将陆续跟进出台,相关执法活动也会逐渐增多。我们建议相关方密切关注后续的立法和执法活动,相应调整内部的合规体系,修改相关合同文本,以满足《办法》项下的合规要求。
注释:
[i]《中华人民共和国国家安全法》第59条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
[ii]《中华人民共和国网络安全法》第35条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
[iii]《网络安全审查办法》第4条规定,在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。
[iv]《中华人民共和国国家安全法》第59条规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
[v]《关键信息基础设施安全保护条例(征求意见稿)》第十八条规定,下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
[vi]《试行办法》规定,网络安全审查办公室按照国家有关要求、根据全国性行业协会建议和用户反映等,按程序确定审查对象,组织第三方机构、专家委员会对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果,此时审查的启动是由监管机关依职权主动启动。
(作者:徐云飞、吕焱、李小妮、祝文君,中伦文德律师事务所)
