前沿观察,

网安审查呼之欲出 五大要点提前掌握

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

作者:汪蕊(合伙人) 宋雅菲(资深律师)

近年来,国际社会对网络安全的关注迅速升温,我国也已将维护网络安全提升到国家战略安全的高度。在《网络安全法》、《国家网络空间安全战略》、《关于加强国家网络安全标准化工作的若干意见》等一系列法律法规及政策性文件陆续出台的同时,与之相配套的各项技术标准体系也在被相继制定和完善。在这一时代背景下,旨在从监管层面进一步提高网络产品和服务安全可控水平、加强供应链安全风险防范力度的网络安全审查制度已箭在弦上[1]

2017年2月4日,国家互联网信息办公室(以下简称"网信办")在其官方网站公开发布了《网络产品和服务安全审查办法(征求意见稿)》(以下简称"征求意见稿") [2],向全社会征集意见。

此次出台的征求意见稿全文共十六条,明确了国家确保网络产品和服务安全性、可控性的重要意义[3],并设定了网络安全审查制度的基本规管框架(见文末示意图)。总体上,征求意见稿将进一步深化和落实《网络安全法》[4]中与国家维护网络空间安全和秩序有关的监测、防御和处置措施(例如针对关键信息基础设施运营者采购网络产品和服务可能适用的国家安全审查制度),使网络安全审查制度成为我国在网络安全保护方面的又一重大举措。

适用范围

根据征求意见稿的规定,关系国家安全和公共利益的信息系统使用的重要网络产品和服务,原则上都应当经过网络安全审查[5]。这一规定基本确立了网络安全审查制度有限的适用范围,即,仅要求对涉及国家安全和公共利益的重要网络产品和服务进行网络安全审查,而并非对所有网络产品和服务进行日常审查。党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务。关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的[6],也应当经过网络安全审查。[7]

此外,从征求意见稿的表述看,网络产品和服务安全的审查制度采取"无国别"制,对发现存在安全隐患的网络产品和服务,不论是外国企业还是中国境内企业,都一视同仁。[8]根据网信办相关负责人的解读,网络安全审查将对国内外企业和产品平等对待,不会针对特定国家和地区的产品和服务,也不会限制国外产品进入中国市场。[9]

审查对象及内容

网络安全审查的对象既包括网络产品和服务,也包括该等产品和服务的提供者。审查的方式以企业承诺与社会监督相结合,第三方评价与政府监管相结合,实验室检测、现场检查、在线监测、背景调查相结合。审查的重点在于网络产品和服务的安全性、可控性。[10]

至于何谓"安全性"、"可控性",征求意见稿提出了五点主要判断标准,具体包括:

  • 产品和服务的稳定性——即产品和服务被非法控制、干扰和中断运行的风险;
  • 供应链的安全性——即产品及关键部件研发、交付、技术支持过程中的风险;
  • 用户信息的安全性——即产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;
  • 用户的自主性——即产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;
  • 其他可能危害国家安全和公共利益的风险。

可见,网络安全审查并不旨在审查、评估产品和服务在商业方面的业务性能,而是主要关注其被非法篡改、干扰、中断等方面的安全可控性,以及其是否存在利用提供产品的便利,从事危害国家安全、用户利益行为的可能性[11]

审查主体

根据征求意见稿的规定,网信办将会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题,而网络安全审查的具体组织实施工作将由网络安全审查办公室承担。[12]

在实施网络安全审查的过程中,网络安全审查委员会将聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。国家将统一认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。[13]

审查机制

网络安全审查的启动和实施主要有两种方式[14]

第一,根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等,由网络安全审查办公室组织第三方机构、专家对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果。举例而言,若某一全国性行业协会经过研究认为,某款产品和服务存在巨大网络安全漏洞,可能影响国家安全,即可以向审查委员会反映这个问题。若审查委员会认为行业协会反映的这种情况可能存在,就可以对该产品和服务在特定领域使用时的情况进行安全审查。[15]

第二,金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,也应当组织开展本行业、本领域网络产品和服务安全审查工作。

审查后果

网络安全审查办公室在进行网络安全审查后,将发布或在一定范围内通报审查结果;该办公室还将不定期发布对网络产品和服务提供者的安全评估报告。[16]

若某一网络产品或服务未能通过审查,即被列入了"黑名单",党政部门及重点行业不得采购该产品或服务[17]。针对其他应当进行安全审查的情形,征求意见稿并未明确网络产品和服务未能通过审查的直接后果,但根据《网络安全法》第六十五条的规定,如果关键信息基础设施的运营者在可能影响国家安全的领域使用未经安全审查或者安全审查未通过的网络产品或者服务,可能会受到责令停止使用、处采购金额一倍以上十倍以下罚款、对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款的处罚。

结语

从征求意见稿的条款设计上可以看出,即将出台的网络安全审查制度重点关注涉及国家安全和公共利益的网络产品和服务,将构成我国正在大力构建的网络安全保护体系的重要组成部分。当然,目前征求意见稿的内容设置还处于制度框架的顶层设计阶段,与网络安全审查相关的判定依据、技术标准、审查流程等操作层面的问题,还有待进一步细化。 


感谢曲祯桢律师在本文写作过程中提供的协助。

编者按:本文同步发表于金杜中国法律博客(Chinalawinsight.com)


[1]事实上,早在2014年,国家互联网信息办公室即已提出建立网络安全审查制度的动议。

[2]http://www.cac.gov.cn/2017-02/04/c_1120407082.htm

[3]参见征求意见稿第一条。

[4]全国人大常委会于2016年11月7日发布,2017年6月1日起实施。

[5]参见征求意见稿第二条。

[6]关键信息基础设施运营者采购的网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定。

[7]参见征求意见稿第十条和第十一条。

[8]《刘多:落实网络安全审查制度可有多种方式》 http://www.chinanews.com/gn/2014/05-22/6200364.shtml

[9]《帮你预习"网络安检"须知——聚焦<网络产品和服务安全审查办法(征求意见稿)>》http://news.xinhuanet.com/politics/2017-02/07/c_1120426788.htm

[10]参见征求意见稿第三条和第四条。

[11]《又有大动作!中国将成立的这个审查委员会到底要干啥?》http://mp.weixin.qq.com/s?__biz=MzA4MDI3NjQ5NA==&mid=2658009280&idx=1&sn=21b5f6332a224c4d560219495432258a&chksm=843c1da1b34b94b7635d452e1e3abb2fdede0592fa4f2a0c1e492d4f4899d7ef83d91de949bb&mpshare=1&scene=5&srcid=02076tXHmuwt8EdAbZedTNGJ#rd

[12]参见征求意见稿第五条。

[13]参见征求意见稿第六条和第七条。

[14]参见征求意见稿第八条和第九条。

[15]参见注释12。

[16]参见征求意见稿第八条和第十四条。

[17]参见注释12。

最新文章
前沿观察
2024年4月,欧洲联盟委员会(“欧委会”)根据《外国补贴条例》(“FSR”)第14条对同方威视技术股份有限公司(“同方威视”)的波兰和荷兰子公司(“同方威视欧洲子公司”)进行了FSR实施以来的首起黎明突袭检查(“突击检查”)。根据2024年7月8日欧盟官方公报(Official Journal of the European Union)公布的信息, 针对欧委会的调查决定及后续的信息提供和诉讼保留请求(尤其是针对存储在中国境内的信息的请求),同方威视欧洲子公司向欧盟普通法院(“欧盟法院”)提交了首起临时禁令申请和上诉,请求法院裁定欧委会中止执行调查决定,并进一步判决调查决定无效(“本案”)。2024年8月12日,欧盟法院在未开庭审理的情况下驳回了同方威视欧洲子公司的临时禁令申请(“驳回裁定”)。 尽管欧盟法院尚未对同方威视提起的主诉进行审理,但纵观法院在案件审理过程中的做法及其在驳回裁定中的论证思路,FSR制度在立法、执法和司法层面的歧视性问题一目了然,欧盟法院在FSR语境下的国家保护主义倾向昭然若揭。一带一路国际法律业务,公司与并购,汽车、制造业及工业

2024/09/13

前沿观察
9月5日和9月8日,海南自贸港相继迎来两个重磅的进口药械和医疗行业监管放宽政策,分别是财政部、国家卫健委、海关总署、国家税务总局、国家药监局为海南自贸港“量身定做”、单独适用的财关税〔2024〕21号《关于海南自由贸易港药品、医疗器械“零关税”政策的通知》,和商务部、国家卫健委、国家药监局将海南自贸港作为9个试点地区之一的商资函〔2024〕568号《关于在医疗领域开展扩大开放试点工作的通知》。 新政已经在市场上产生了反响。据财新社报道,近期两市海南概念逆势增长,9 月 12 日海南自贸港多家医药概念股出现涨停。我们认为,新政落地实施需要过程,但是海南自贸港的优势在于新旧政策的叠加可能会发生比单一政策要更加强烈的“生化反应”,带来行业发展的新契机。 本文将在解读两个新政策基础上叠加分析2018年以来自贸港的政策安排、梳理原有政策脉络、分析优化组合,寻找行业发展的新思路和新机会。合规业务-投资合规-海关与贸易合规,医疗健康与医药-医药与医疗器械

2024/09/13

前沿观察
中华传统文化源远流长,立善、向善始终是其重要的精神内核。儒家言“仁”与“爱”,道家言“积善”,墨家言“兼爱”,丰富的慈善思想也孕育了中华民族薪火相传的慈善道德实践。早在宋代,范仲淹的“义庄”、朱熹的“社仓”便开创了民间慈善的先河。 时至今日,在现代慈善事业的版图中,家族慈善、企业慈善仍是不可或缺的重要力量,2022年公布的党的二十大报告也强调要引导、支持有意愿有能力的企业、社会组织和个人积极参与公益慈善事业,以探索公益慈善活动的有效实现形式。事实上,我们看到中国社会的慈善力量前赴后继、砥砺而行,前有牛根生、曹德旺、何享健、鲁冠球等大批具有前瞻性和使命感的民营企业家,陆续将个人拥有的财富和资源,通过各种慈善模式捐献用于公共利益,奠定了中国慈善蓝图的基石,身体力行推动了中国慈善立法;后有互联网时代的众多新生代企业创始人,倡导商业向善,以履行社会责任、探索多样化慈善模式为己任。 从制度环境而言,在我国,慈善活动主要受到《慈善法》、《公益事业捐赠法》、《基金会管理条例》、《信托法》等一系列法律规制。其中,作为慈善领域基本法的《慈善法》于2016年3月16日公布,为我国慈善事业的发展奠定了法律基础;2023年12月29日,第十四届全国人大常委会第七次会议表决通过了关于修改《慈善法》的决定,修改后的《慈善法》已于2024年9月5日正式生效。《慈善法》的修改及后续有关部门配套性规定的调整与制定标志着我国慈善法治体系将得到进一步完善。 在中国慈善法律体系框架下,慈善活动的模式近年来也逐渐呈现出多样化趋势。本文将主要介绍(1)成立公益基金会和(2)设立慈善信托这两种非直接向受益人捐赠的典型模式,并就两种模式进行横向比较,以帮助捐赠人或委托人实现其慈善活动架构的量身定制。从我们近期处理的案件来看,越来越多的企业家站在“战略慈善”的高度,提前为家族慈善或企业慈善进行慈善架构设计和规划,运用多种慈善模式灵活开展慈善事业,同时实现家族和企业慈善文化的传承。家族财富安全与传承

2024/09/12