作者:汪蕊(合伙人) 宋雅菲(资深律师)
近年来,国际社会对网络安全的关注迅速升温,我国也已将维护网络安全提升到国家战略安全的高度。在《网络安全法》、《国家网络空间安全战略》、《关于加强国家网络安全标准化工作的若干意见》等一系列法律法规及政策性文件陆续出台的同时,与之相配套的各项技术标准体系也在被相继制定和完善。在这一时代背景下,旨在从监管层面进一步提高网络产品和服务安全可控水平、加强供应链安全风险防范力度的网络安全审查制度已箭在弦上[1]。
2017年2月4日,国家互联网信息办公室(以下简称"网信办")在其官方网站公开发布了《网络产品和服务安全审查办法(征求意见稿)》(以下简称"征求意见稿") [2],向全社会征集意见。
此次出台的征求意见稿全文共十六条,明确了国家确保网络产品和服务安全性、可控性的重要意义[3],并设定了网络安全审查制度的基本规管框架(见文末示意图)。总体上,征求意见稿将进一步深化和落实《网络安全法》[4]中与国家维护网络空间安全和秩序有关的监测、防御和处置措施(例如针对关键信息基础设施运营者采购网络产品和服务可能适用的国家安全审查制度),使网络安全审查制度成为我国在网络安全保护方面的又一重大举措。
适用范围
根据征求意见稿的规定,关系国家安全和公共利益的信息系统使用的重要网络产品和服务,原则上都应当经过网络安全审查[5]。这一规定基本确立了网络安全审查制度有限的适用范围,即,仅要求对涉及国家安全和公共利益的重要网络产品和服务进行网络安全审查,而并非对所有网络产品和服务进行日常审查。党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务。关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的[6],也应当经过网络安全审查。[7]
此外,从征求意见稿的表述看,网络产品和服务安全的审查制度采取"无国别"制,对发现存在安全隐患的网络产品和服务,不论是外国企业还是中国境内企业,都一视同仁。[8]根据网信办相关负责人的解读,网络安全审查将对国内外企业和产品平等对待,不会针对特定国家和地区的产品和服务,也不会限制国外产品进入中国市场。[9]
审查对象及内容
网络安全审查的对象既包括网络产品和服务,也包括该等产品和服务的提供者。审查的方式以企业承诺与社会监督相结合,第三方评价与政府监管相结合,实验室检测、现场检查、在线监测、背景调查相结合。审查的重点在于网络产品和服务的安全性、可控性。[10]
至于何谓"安全性"、"可控性",征求意见稿提出了五点主要判断标准,具体包括:
- 产品和服务的稳定性——即产品和服务被非法控制、干扰和中断运行的风险;
- 供应链的安全性——即产品及关键部件研发、交付、技术支持过程中的风险;
- 用户信息的安全性——即产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;
- 用户的自主性——即产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;
- 其他可能危害国家安全和公共利益的风险。
可见,网络安全审查并不旨在审查、评估产品和服务在商业方面的业务性能,而是主要关注其被非法篡改、干扰、中断等方面的安全可控性,以及其是否存在利用提供产品的便利,从事危害国家安全、用户利益行为的可能性[11]。
审查主体
根据征求意见稿的规定,网信办将会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题,而网络安全审查的具体组织实施工作将由网络安全审查办公室承担。[12]
在实施网络安全审查的过程中,网络安全审查委员会将聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。国家将统一认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。[13]
审查机制
网络安全审查的启动和实施主要有两种方式[14]:
第一,根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等,由网络安全审查办公室组织第三方机构、专家对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果。举例而言,若某一全国性行业协会经过研究认为,某款产品和服务存在巨大网络安全漏洞,可能影响国家安全,即可以向审查委员会反映这个问题。若审查委员会认为行业协会反映的这种情况可能存在,就可以对该产品和服务在特定领域使用时的情况进行安全审查。[15]
第二,金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,也应当组织开展本行业、本领域网络产品和服务安全审查工作。
审查后果
网络安全审查办公室在进行网络安全审查后,将发布或在一定范围内通报审查结果;该办公室还将不定期发布对网络产品和服务提供者的安全评估报告。[16]
若某一网络产品或服务未能通过审查,即被列入了"黑名单",党政部门及重点行业不得采购该产品或服务[17]。针对其他应当进行安全审查的情形,征求意见稿并未明确网络产品和服务未能通过审查的直接后果,但根据《网络安全法》第六十五条的规定,如果关键信息基础设施的运营者在可能影响国家安全的领域使用未经安全审查或者安全审查未通过的网络产品或者服务,可能会受到责令停止使用、处采购金额一倍以上十倍以下罚款、对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款的处罚。
结语
从征求意见稿的条款设计上可以看出,即将出台的网络安全审查制度重点关注涉及国家安全和公共利益的网络产品和服务,将构成我国正在大力构建的网络安全保护体系的重要组成部分。当然,目前征求意见稿的内容设置还处于制度框架的顶层设计阶段,与网络安全审查相关的判定依据、技术标准、审查流程等操作层面的问题,还有待进一步细化。
感谢曲祯桢律师在本文写作过程中提供的协助。
编者按:本文同步发表于金杜中国法律博客(Chinalawinsight.com)
[1]事实上,早在2014年,国家互联网信息办公室即已提出建立网络安全审查制度的动议。
[2]http://www.cac.gov.cn/2017-02/04/c_1120407082.htm
[3]参见征求意见稿第一条。
[4]全国人大常委会于2016年11月7日发布,2017年6月1日起实施。
[5]参见征求意见稿第二条。
[6]关键信息基础设施运营者采购的网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定。
[7]参见征求意见稿第十条和第十一条。
[8]《刘多:落实网络安全审查制度可有多种方式》 http://www.chinanews.com/gn/2014/05-22/6200364.shtml
[9]《帮你预习"网络安检"须知——聚焦<网络产品和服务安全审查办法(征求意见稿)>》http://news.xinhuanet.com/politics/2017-02/07/c_1120426788.htm
[10]参见征求意见稿第三条和第四条。
[11]《又有大动作!中国将成立的这个审查委员会到底要干啥?》http://mp.weixin.qq.com/s?__biz=MzA4MDI3NjQ5NA==&mid=2658009280&idx=1&sn=21b5f6332a224c4d560219495432258a&chksm=843c1da1b34b94b7635d452e1e3abb2fdede0592fa4f2a0c1e492d4f4899d7ef83d91de949bb&mpshare=1&scene=5&srcid=02076tXHmuwt8EdAbZedTNGJ#rd
[12]参见征求意见稿第五条。
[13]参见征求意见稿第六条和第七条。
[14]参见征求意见稿第八条和第九条。
[15]参见注释12。
[16]参见征求意见稿第八条和第十四条。
[17]参见注释12。
