引用本文:原浩,黄道丽.《网络安全审查办法》的审查体系与实施影响分析[J].信息安全与通信保密,2020(06):11-15.
摘要
《网络安全审查办法》是关键信息基础设施保护立法的核心内容之一,是维护国家安全、保障关键信息基础设施供应链安全的关键环节。结合网络安全审查的法律定位,对《办法》的审查体系及对供应链相关主体可能产生的影响进行分析至关重要。通过对比归纳,对《办法》的监管模式、审查主体、审查原则、考虑因素、审查流程,以及关键信息基础设施运营者和供应商面临的法律风险等问题进行分析,以期能够帮助利益相关方更清晰地审视网络安全审查制度并作出因应。
关键词:网络安全;国家安全;审查体系;关键信息基础设施保护
内容目录:
0 引言
1 网络安全审查的法律定性与协调监管模式
2 申报决策的角色转变与未来应关注的审查领域
3 审查原则与考虑因素
4 运营者主动申报和依职权启动审查的流程
5 合规风险问题
6 结语
引言
2020年4月27日,在历时两年多试行基础上,《网络安全审查办法》(以下简称“《办法》”) 正式发布,《网络产品和服务安全审查办法(试行)》(以下简称“《试行》”)同时废止,体现出网络安全审查制度两年多来的演化痕迹和经验沉积。《办法》整体上更加聚焦于国家安全和关键信息基础设施保护,是落实“着力提升关键信息基础设施安全防护水平”的有力举措。在国际形势日益复杂,国家间政治、经济、技术博弈日益激烈的背景下,《办法》的出台对国家安全乃至国际关系都将产生深远影响。分析《办法》的监管模式、审查主体、审查原则、考虑因素、审查流程和具体实施影响,有助于厘清权责,推动制度落地。
网络安全审查的法律定性与协调监管模式
《办法》明确立法目的在于确保关键信息基础设施供应链安全,维护国家安全,并由12个部门共同制定、联合发布,从意旨和阵容上都给出了《办法》的网络安全审查法律定性,即为《国家安全法》第五十九条规定的“网络信息技术产品和服务”审查(国家安全审查)和《网络安全法》第三十五条规定的“网络产品和服务” 审查(网络安全审查)。
网络安全审查是国家安全审查的重要内容,为国之利器,既要周延地论证审查范围,明确实施审查的机构;也需审慎考察审查程序,特别是触发审查的条件。《办法》确立了12个部门联席审查工作机制,构建了网络安全审查办公室、网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门共同参与的网络安全多重审查架构,并赋予中央网络安全和信息化委员会特别审查个案的最终决策权,我国网络安全审查的协调监管模式正式确立。
网络安全审查办公室承担第一重审查职责,《办法》明确“网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查”。按照国家互联网信息办公室有关负责人答记者问的表述:“具体工作委托中国网络安全审查技术与认证中心(以下简称“认证中心”)承担。认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务”,考虑到认证中心本身应具有的专业性,《试行》第十一条规定的“网络安全审查第三方机构”终于落定。
申报决策的角色转变与未来应关注的审查领域
《试行》第二条规定 “关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查”,“关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,应当通过网络安全审查”,而对于是否影响国家安全的认定,规定“由关键信息基础设施保护工作部门确定”。这种规定存在“下位法规定任意扩大网络安全审查范围”的问题,曾引起了广泛争议。
《试行》赋予关键信息基础设施保护工作部门审查网络安全审查申报者的权力,事实上不仅使关键信息基础设施运营者产生决策依赖,影响其申报意愿和能力,还可能形成不同行业、领域衡量和评价尺度不一的“壁垒”,无法实现审查涉及领域的“适配性”和“均衡化”。
针对这一关键问题,《办法》规定,“关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查”,即由关键信息基础设施运营者自行判定采购行为和供应链安全,在此基础上启动网络安全审查。将关键信息基础设施保护工作部门的作用内化为制定本行业、本领域的网络安全审查预判指南,从决策向指引角色转变。
根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》的精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查。
关键信息基础设施安全保护制度建设已全面铺开,2017年7月11日国家互联网信息办公室发布《关键信息基础设施安全保护条例(征求意见稿)》,经过近3年的时间,保护条例进入立法实质性阶段。在保护条例所确立的具体识别或者认定方法正式发布之前(是否以识别或认定方式发布指引尚存在不确定性),网络运营者可以参照前述通知衡量其是否属于关键信息基础设施,从而判定是否需要进行网络安全审查。
审查原则与考虑因素
《试行》规定,网络安全审查的原则为“坚持企业承诺与社会监督相结合,第三方评价与政府监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其提供者进行网络安全审查”,《办法》进一步明确为“网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查”,将安全与发展的关系、透明度、中立性、持续性作出适当延展,同时不再对实验室检测、现场检查、在线监测、背景调查等实际上属于具体的审查方式进行规定。
从整体上,这些原则显得更像“原则”,因此未来实际审查牵涉的方面和手段也会比《试行》更为庞杂和丰富。实际上无论是审查原则、启动触发条件或是审查过程,都对申报者的“理解能力”提出了更高要求。
根据这些原则,《办法》对《试行》中的不合理条款进行了剔除,例如第十条等,并强化了对包括运营者、产品和服务提供者在内的各方商业秘密等知识产权的保护,包括对于审查结论,《办法》规定为“通知运营者”而不再是随意性的“发布”,也契合了上述保护意识,一并构成了《办法》的重要原则。顺带提及的是,《办法》第十六条规定,“参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权”,这里将商业秘密和知识产权并列的表述缺乏严谨性。
对于审查考虑的实质性因素,尽管其是作为网络安全审查的流程中评估国家安全风险的要素进行的规定,但实际上构成了各方最为关注的“触发和评价是否危害国家安全的网络安全审查的条件”参照。《办法》将《试行》的若干审查要素重新进行了梳理,《试行》第四条第(一)项和第(三)项整合纳入《办法》第九条的第(一)项,《试行》第四条第(二) 项和第(四)项重新表述为《办法》第九条的第(三)项,整体而言,表述更为凝练和“委婉”。
本文认为,《办法》的第九条第(二)项可以理解为产品和服务的直接供应中断,通常而言是产品和服务提供者(供应商)自身“技术原因导致的供应中断”,而第(三)项则强调了外部非供应商自身技术能力导致的供应中断风险,这些风险的不确定性评估实际上超出了运营者和供应商的认知。如增加考虑第(四)项供应商对中国法律的合规性情况,则会进一步加剧供应商的担忧。
此外,考虑因素中的某些表述未来有待于更加明确的解释,例如“开放性”与“透明性” 的区分和解释。如果后者指向源码访问或审查,前者的含义怎么界定。而“来源的多样性”,在关键信息基础设施运营者公开程序(例如招标)中,尚未实际采购产品和服务时如何实际操作,即在未采购时作为招标条件本身即不限定(也不应限定)来源,而在招标程序后则意味着来源确定,这些都有待观察。
运营者主动申报和依职权启动审查的流程
对于审查流程的程序性考察,《办法》首先排除了《试行》第九条规定带来的困惑,明确了申报流程和主要步骤包括:
(1)申报者在采购网络产品和服务之前进行国家安全风险预判;
(2)经预判可能影响国家安全的,向网络安全审查办公室(通过认证中心)申报网络安全审查;
(3)同时,申报者可通知产品和服务提供者配合审查;
(4)提交材料,申报网络安全审查;
(5)10个工作日内完成确定,属于需要审查的,书面通知运营者;
(6)30个工作日内完成初步审查(情况复杂的,可以延长15个工作日),并形成审查结论建议,将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;
(7)网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起,在15个工作日内书面回复意见,将审查结论通知运营者;
(8)如两者意见不一致,进入特别审查程序,最终经报中央网络安全和信息化委员会批准,形成审查结论并书面通知运营者。特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。
除运营者作为申报者启动审查申报之外,《办法》还规定“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查”,即网络安全审查工作机制成员单位可主动申请对特定网络产品、服务适用网络安全审查。
较《试行》规定“国家有关部门要求、全国性行业协会建议、市场反映和企业申请”的宽泛表述,更为聚焦。依职权主动启动审查程序,将会对运营者和供应商的权利义务造成重大影响,因此《办法》规定的“由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后”,方能进行审查,显示了网络安全审查启动程序的审慎,契合了立法目的。
合规风险问题
鉴于利益相关方对网络安全审查制度的不同理解,《办法》的实施效力有待未来实践检验。对于网络安全审查的考虑因素,未来是保持国家安全审查的适当封闭性,还是可能按照《认证认可条例》等法律法规的要求,进行认证中心认证规制的适当标准化,尚有待进一步观察。但毫无疑问的是,认证中心将开始新的职责转变或相关业务剥离等处理,确保网络安全审查实施的中立性和独立性。例如,是否考虑对“受理认证委托、实施评价、做出认证决定,颁发认证证书”等现有职责进行调整,避免对某些产品、服务进行认证的同时又对采购该产品、服务的网络安全风险进行网络安全审查。
在运营者之外,《办法》对产品、服务提供者增加和转移的隐性义务规定也将导致供应链关系的深刻变化,运营者和供应商都应结合适用性与否的基本判断,进一步评估《办法》带来的成本、投入与合规风险。
此外,按照《办法》及其答记者问精神来看,运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。如果在签署合同后申报网络安全审查,建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效,以避免因为没有通过网络安全审查而造成损失。
对于这里的将“产品和服务采购通过网络安全审查”是否可以作为合同生效要件的疑问,本文认为,采购合同中各方可以分别约定合同成立和生效要件。如运营者未进行类似生效要件规定的,则未来在发生法律争议或损失时,将很难以“需经过网络安全审查”为由主张合同无效,因此这一条款尤为必要。
结语
关键信息基础设施安全保护是关乎国家战略的优先事项,也是我国整体网络安全保障工作的重中之重。网络安全审查制度通过识别可能的安全风险,从源头上防范、缓解、控制可能影响关键信息基础设施供应链正常运行的潜在威胁,是维护国家安全、网络安全的重要举措和关键手段。
《办法》较之《试行》,规定了更为科学的审查原则、协调监管模式、更加合理的审查启动和审核程序,审查重点明确清晰,增加了该项制度的可操作性,为关键信息基础设施的安全持续、稳定运转构筑了有效框架,具有现实意义。
未来几年,《办法》的实施将逐步展开,监管机构应该继续推动并完善各项规定,促使网络安全审查制度全面落地。
作者简介
原 浩(1979—),男,硕士,江苏竹辉律师事务所合伙人律师,主要研究方向为信息网络与高新技术法律实务;
黄道丽(1980—),女,博士,公安部第三研究所副研究员,主要研究方向为网络安全法律。
选自《信息安全与通信保密》2020年第六期 (为便于排版,已省去原文参考文献)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。