2019年5月21日,,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)安全審查辦法(征求意見稿)》(以下簡稱“《征求意見稿》”)。時隔近一年后,,2020年4月13日,,國家互聯(lián)網(wǎng)信息辦公室聯(lián)合國家發(fā)展和改革委員會、工業(yè)和信息化部,、公安部,、國家安全部、財政部,、商務(wù)部,、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局,、國家保密局,、國家密碼管理局等十二個部門共同發(fā)布了《網(wǎng)絡(luò)安全審查辦法》(以下簡稱“《審查辦法》”)。新出臺的《審查辦法》”自2020年6月1日起實施,,目前正在試行的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》(以下簡稱“《審查辦法(試行)》”)屆時廢止,。
與之前的規(guī)則相比,《審查辦法》在相應(yīng)規(guī)則中進行了調(diào)整,。本文主要從立法目的,、審核原則、審查適用情形,、審查主體,、審查重心、審查程序,、法律責任等幾個主要方面對《審查辦法》進行分析,。
一、立法目的及審查原則
根據(jù)《審查辦法》第一條的規(guī)定,,《審查辦法》的制定旨在確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,,維護國家安全,將《審查辦法(試行)》,、《征求意見稿》對技術(shù)水平是否安全可控的審查重心,,輻射至整個關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全。這也與《網(wǎng)絡(luò)安全法》第三十六條要求關(guān)鍵信息基礎(chǔ)設(shè)施運營者,、服務(wù)商在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時的安全責任和義務(wù),,防范外包服務(wù)安全,關(guān)注供應(yīng)鏈安全的要義相吻合,。
根據(jù)《審查辦法》第三條的規(guī)定,,網(wǎng)絡(luò)安全審查原則為堅持防范網(wǎng)絡(luò)安全風險與促進先進技術(shù)應(yīng)用相結(jié)合、過程公正透明與知識產(chǎn)權(quán)保護相結(jié)合,、事前審查與持續(xù)監(jiān)管相結(jié)合,、企業(yè)承諾與社會監(jiān)督相結(jié)合,從產(chǎn)品和服務(wù)安全性,、可能帶來的國家安全風險等方面進行審查,。
二、審查適用情形
根據(jù)《審查辦法》第二條的規(guī)定,,關(guān)鍵信息基礎(chǔ)設(shè)施運營者(以下簡稱“運營者”)采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),,影響或可能影響國家安全的,應(yīng)當進行網(wǎng)絡(luò)安全審查,。此處規(guī)定與《網(wǎng)絡(luò)安全法》第三十五條的規(guī)定保持一致,,對《審查辦法(試行)》第二條規(guī)定的適用情形進行調(diào)整。
根據(jù)《網(wǎng)絡(luò)安全法》第三十一條的規(guī)定以及《網(wǎng)絡(luò)安全審查辦法》答記者問(以下簡稱“答記者問”)的回復內(nèi)容,關(guān)鍵信息基礎(chǔ)設(shè)施主要包括電信,、廣播電視,、能源、金融,、公路水路運輸,、鐵路、民航,、郵政,、水利、應(yīng)急管理,、衛(wèi)生健康,、社會保障、國防科技工業(yè)等行業(yè)領(lǐng)域,。在《審查辦法(試行)》中規(guī)定的八個關(guān)鍵信息領(lǐng)域基礎(chǔ)上進一步擴大,。
三、審查主體
(一)職能部門
根據(jù)《審查辦法》第四條的規(guī)定,,國家網(wǎng)絡(luò)安全審查工作機制是由中央網(wǎng)絡(luò)安全和信息化委員會和十二個關(guān)鍵信息基礎(chǔ)設(shè)施的保護工作部門共同建立,。十二個職能部門分別為國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會,、工業(yè)和信息化部,、公安部、國家安全部,、商務(wù)部,、財政部、中國人民銀行,、國家市場監(jiān)督管理總局,、國家廣播電視總局、國家保密局,、國家密碼管理局,。
(二)辦事機構(gòu)
根據(jù)《審查辦法》第四條的規(guī)定,網(wǎng)絡(luò)安全審查辦公室設(shè)在國家互聯(lián)網(wǎng)信息辦公室,,負責制定網(wǎng)絡(luò)安全審查相關(guān)制度規(guī)范,組織網(wǎng)絡(luò)安全審查,。在《審查辦法(試行)》第五條規(guī)定的基礎(chǔ)上進一步擴大了網(wǎng)絡(luò)安全審查辦公室的職能范圍,。
(三)具體工作承擔部門
根據(jù)答記者問的回復,中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心在網(wǎng)絡(luò)安全審查辦公室的指導下,,承擔接收申報材料,、對申報材料進行形式審查、具體組織審查工作等任務(wù)。
四,、審查重點
根據(jù)《審查辦法》第九條的規(guī)定,,網(wǎng)絡(luò)安全審查重點評估采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風險,主要考慮以下因素:
(一)產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制,、遭受干擾或破壞,,以及重要數(shù)據(jù)被竊取、泄露,、毀損的風險,;
(二)產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害;
(三)產(chǎn)品和服務(wù)的安全性,、開放性,、透明性、來源的多樣性,,供應(yīng)渠道的可靠性以及因為政治,、外交、貿(mào)易等因素導致供應(yīng)中斷的風險,;
(四)產(chǎn)品和服務(wù)提供者遵守中國法律,、行政法規(guī)、部門規(guī)章情況,;
(五)其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國家安全的因素,。
《審查辦法》強調(diào)了對供應(yīng)鏈安全的審核重心,結(jié)合中美貿(mào)易戰(zhàn)的影響及當前世界形勢,,重點提出對“供應(yīng)渠道的可靠性以及因為政治,、外交、貿(mào)易等因素導致供應(yīng)中斷的風險”審核,,這也與《審查辦法》的立法目的相吻合,。
五、審查程序
《審查辦法》將《審查辦法(試行)》規(guī)定的由第三方評估的審查方法調(diào)整為官方強制審查,,進一步完善了安全審查程序,,具體內(nèi)容如下:
(一)發(fā)起審查
根據(jù)《審查辦法》第五條、第十五條的規(guī)定,,影響或可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)當進行審查,,審查程序的發(fā)起方式有以下兩種:
1、運營者發(fā)起:運營者擬采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風險,,影響或者可能影響國家安全的,,應(yīng)當向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。
2,、成員單位發(fā)起:網(wǎng)絡(luò)安全審查工作機制成員單位認為影響或可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù),,由網(wǎng)絡(luò)安全審查辦公室按程序報中央網(wǎng)絡(luò)安全和信息化委員會批準后,,依照《審查辦法》規(guī)定進行審查。
(二)審查流程
根據(jù)《審查辦法》的規(guī)定,,審查程序如下:
1,、申報材料提交
根據(jù)《審查辦法》第七條的規(guī)定,運營者申報網(wǎng)絡(luò)安全審查,,應(yīng)當提交以下材料:
(一)申報書,;
(二)關(guān)于影響或可能影響國家安全的分析報告;
(三)采購文件,、協(xié)議,、擬簽訂的合同等;
(四)網(wǎng)絡(luò)安全審查工作需要的其他材料,。
2,、審查前置程序
根據(jù)《審查辦法》第八條的規(guī)定,網(wǎng)絡(luò)安全審查辦公室應(yīng)當自收到審查申報材料起,,10個工作日內(nèi)確定是否需要審查并書面通知運營者,。
3、審查流程
根據(jù)《審查辦法》第十條,、第十一條的規(guī)定,,網(wǎng)絡(luò)安全審查分初步審查、征求意見兩步,,具體內(nèi)容如下:
(1)初步審查
網(wǎng)絡(luò)安全審查辦公室認為需要開展網(wǎng)絡(luò)安全審查的,,應(yīng)當自向運營者發(fā)出書面通知之日起30個工作日內(nèi)完成初步審查,包括形成審查結(jié)論建議和將審查結(jié)論建議發(fā)送網(wǎng)絡(luò)安全審查工作機制成員單位,、相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門征求意見,;情況復雜的,可以延長15個工作日,。
(2)征求意見
網(wǎng)絡(luò)安全審查工作機制成員單位和相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門應(yīng)當自收到審查結(jié)論建議之日起15個工作日內(nèi)書面回復意見,。網(wǎng)絡(luò)安全審查工作機制成員單位、相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門意見一致的,,網(wǎng)絡(luò)安全審查辦公室以書面形式將審查結(jié)論通知運營者,。
4、特別審查程序
(1)特別審查程序適用情形
根據(jù)《審查辦法》第十一條的規(guī)定,,審查過程中網(wǎng)絡(luò)安全審查工作機制成員單位,、相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門意見不一致的,按照特別審查程序處理,,并通知運營者,。
(2)特別審查程序
根據(jù)《審查辦法》第十一條、十二條的規(guī)定,,按照特別審查程序處理的,,網(wǎng)絡(luò)安全審查辦公室應(yīng)當聽取相關(guān)部門和單位意見,進行深入分析評估,,再次形成審查結(jié)論建議,,并征求網(wǎng)絡(luò)安全審查工作機制成員單位和相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門意見,按程序報中央網(wǎng)絡(luò)安全和信息化委員會批準后,,形成審查結(jié)論并書面通知運營者,。特別審查程序一般應(yīng)當在45個工作日內(nèi)完成,情況復雜的可以適當延長,。
5,、審核中各方行為要求
根據(jù)《審查辦法》第六條、第十四條,、第十六條,、第十八條的規(guī)定,網(wǎng)絡(luò)安全審查過程中對運營商,、產(chǎn)品和服務(wù)提供者及參與網(wǎng)絡(luò)安全審查的相關(guān)機構(gòu)和人員的行為要求如下:
(1)對運營者,、產(chǎn)品和服務(wù)提供者的行為要求
對于申報網(wǎng)絡(luò)安全審查的采購活動,運營者應(yīng)通過采購文件,、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查,,包括承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶數(shù)據(jù)、非法控制和操縱用戶設(shè)備,,無正當理由不中斷產(chǎn)品供應(yīng)或必要的技術(shù)支持服務(wù)等,。運營者應(yīng)當督促產(chǎn)品和服務(wù)提供者履行上述承諾。
網(wǎng)絡(luò)安全審查辦公室要求提供補充材料的,,運營者,、產(chǎn)品和服務(wù)提供者應(yīng)當予以配合。提交補充材料的時間不計入審查時間,。
(2)對參與網(wǎng)絡(luò)安全審查的相關(guān)機構(gòu)和人員的行為要求
參與網(wǎng)絡(luò)安全審查的相關(guān)機構(gòu)和人員應(yīng)嚴格保護企業(yè)商業(yè)秘密和知識產(chǎn)權(quán),,對運營者、產(chǎn)品和服務(wù)提供者提交的未公開材料,,以及審查工作中獲悉的其他未公開信息承擔保密義務(wù),;未經(jīng)信息提供方同意,不得向無關(guān)方披露或用于審查以外的目的,。
6,、事后監(jiān)督措施
根據(jù)《審查辦法》第十七條、第十八條的規(guī)定,,運營者或網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者認為審查人員有失客觀公正,,或未能對審查工作中獲悉的信息承擔保密義務(wù)的,可以向網(wǎng)絡(luò)安全審查辦公室或者有關(guān)部門舉報,。網(wǎng)絡(luò)安全審查辦公室通過接受舉報等形式加強事前事中事后監(jiān)督,。
六,、法律責任
《審查辦法(試行)》未明確規(guī)定違規(guī)行為具體適用的處罰標準?!秾彶檗k法》則明確規(guī)定,,違反《審查辦法》規(guī)定的,按照根據(jù)《網(wǎng)絡(luò)安全法》第六十五條的規(guī)定處理,。
根據(jù)《網(wǎng)絡(luò)安全法》第六十五條的規(guī)定,,運營者使用未經(jīng)安全審查或者安全審查未通過的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的,由有關(guān)主管部門責令停止使用,,處采購金額一倍以上十倍以下罰款,;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
七,、結(jié)語
隨著5G,、工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)中心,、云計算等新一代信息基礎(chǔ)設(shè)施的大規(guī)模建設(shè)和應(yīng)用,,信息基礎(chǔ)設(shè)施的安全問題也成為大眾關(guān)注的焦點。從全球來看,,開展網(wǎng)絡(luò)安全審查成為各國防范關(guān)鍵基礎(chǔ)設(shè)施安全風險的通用做法,,《審查辦法》通過建立多部門協(xié)同機制、明確網(wǎng)絡(luò)安全審查的具體要求和程序等為我國網(wǎng)絡(luò)安全審查的實踐道路提供依據(jù),?!秾彶檗k法》出臺后,對于企業(yè)運營者來說,,需加強整體的網(wǎng)絡(luò)安全合規(guī)工作,,熟悉《審查辦法》規(guī)定的網(wǎng)絡(luò)安全審查的具體情形,避免因不滿足審查要求喪失商業(yè)機會,,乃至遭受行政處罰,。
(作者:張雨晨、劉鵬,,康達律師事務(wù)所)