2019.06.04 董潇 袁琼 董俊杰
5月24日,国家互联网信息办公室发布关于 《网络安全审查办法(征求意见稿)》 (以下简称“《征求意见稿》”),公开征求意见1个月,该办法生效后将取代2017年6月1日实施的《网络产品与服务安全审查办法(试行)》(以下简称“《试行办法》”)。相比试行办法,《征求意见稿》对网络安全审查制度做出了更加全面与明确的规定,包括审查对象、审查原则、审查领导机制、审查启动、审查要点、审查流程等多个方面,具体要点整理如下:
一、安全审查对象
《征求意见稿》第二条明确了网络安全审查的对象,即“关键信息基础设施运营者采购网络安全产品和服务,影响或可能影响国家安全的”。《征求意见稿》将实行网络安全审查的义务主体限定在关键信息基础设施运营者。并且,《征求意见稿》第十八条亦明确,本办法中关键信息基础设施运营者是指,经关键信息基础设施保护工作部门认定的运营者。相比《试行办法》中“关系国家安全的网络和信息系统采购的重要网络产品和服务”更为明确,在一定程度上可以减少关于安全审查过于广泛的担忧。但值得注意的是,对于网络安全审查的对象,《征求意见稿》第二条也规定,法律、行政法规另有规定的,依照其规定。网络安全审查对象亦可能在其他法律和行政法规之中规定,而不限于《征求意见稿》。
二、安全审查领导机制
《征求意见稿》明确,中央网络安全和信息化委员会统一领导网络安全审查工作,国家互联网信息办公室(以下简称“网信办”)会同国家发展和改革委员会、工信部、公安部等多个部门共同建立国家网络安全审查工作机制,该工作机制的成员将成为具体审查过程中的审查主体之一。此外,网络安全审查办公室设在国家网信办,负责制定安全审查的相关制度、组织网络安全审查以及监督审查决定的实施。总体来看,《征求意见稿》明确构建了网络安全审查制度的领导机制,并确定了职能分工。
三、安全审查的启动
《征求意见稿》规定了两种启动网络安全审查的方式,一是运营者在采购网络产品和服务时,经预判产品与服务上线运行后可能产生第六条规定之风险后,应主动向网络安全审查办公室申报网络安全审查,二是网络安全审查工作机制成员单位认为采购活动影响或可能影响国家安全,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准并进行审查。相比于《试行办法》中仅由主管部门主动启动网络安全审查的机制,《征求意见稿》新增了运营者主动申报网络安全审查的制度。此外,《征求意见稿》也相对应地增加了运营者主动申报前判定网络产品服务安全风险的参考标准。
四、安全审查程序
《征求意见稿》对于网络安全审查的流程做出了明确的规定。第八条规定了运营者申报网络安全审查应提交的材料;第十一、十二条明确了整个网络安全审查的具体流程与时长,整体上形成了由网络安全审查办公室、网络安全审查工作机制成员单位、中央网络安全和信息化委员会构成的三级审查机制,即:
网络安全审查办公室初步审查:30个工作日(可延长15个工作日)
网络安全审查工作机制成员单位回复初审意见:15个工作日
特别审查:原则上45个工作日(可延长)
五、安全审查评估要素
《征求意见稿》第一条规定了整体目标和宗旨,即提高关键信息基础设施安全可控水平,维护国家安全。第十八条规定安全可控是指产品和服务提供者不得利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,不得利用用户对产品和服务的依赖性牟取不正当利益或者迫使用户更新换代等。
第十条则进一步规定了网络安全审查中评估国家安全风险主要考虑的七大方面因素,包括:
对关键信息基础设施持续安全稳定运行的影响;
个人信息和重要数据的安全;
产品和服务的可控性、透明性以及供应链安全;
对国防军工、关键信息基础设施相关技术与产业的影响;
产品和服务提供者遵守国家法律与行政法规情况;
产品和服务提供者受外国政府资助、控制的情况等因素。
与《试行办法》相比,《征求意见稿》中的评估要素更加全面。
六、我们的观察
对比《试行办法》,《征求意见稿》明确和限定了网络安全审查制度的适用范围,相对具体地规定了网络安全审查的程序和评估要求。未来实践中,该《征求意见稿》将如何具体适用,相关部门进行安全审查的具体标准如何以及相关的执法案例仍有待进一步观察。