拟上市企业数据合规问询分析及建议(三)

来源:凌科安时律师事务所

文章摘要
问题三 发行人提供的主要产品和服务是否属于《关键信息基础设施安全保护条例》规定的安全可信的网络产品和服务?发行人提供的主要产品和服务是否需配合网络安全审查?

问题三
发行人提供的主要产品和服务是否属于《关键信息基础设施安全保护条例》规定的安全可信的网络产品和服务?发行人提供的主要产品和服务是否需配合网络安全审查?
一、问询目的
关键信息基础设施是经济社会运行的神经中枢,保障关键信息基础设施的安全,对维护国家网络安全、网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有十分重大的意义。因此,不仅关键信息基础设施的运营者采购网络产品和服务,应当通过国家网信部门会同国务院有关部门组织的国家安全审查,产品和服务提供者也要配合网络安全审查,审查范围包括:承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。对于拟在境内上市的企业而言,提供安全可信的网络产品和服务、配合网络安全审查有助于发现和解决潜在的安全漏洞、威胁和风险,确保数据和系统不容易受黑客、病毒、勒索软件等威胁的攻击。随着《网络安全法》及其配套法律法规的完善,证券监管部门将加强对拟境内上市企业网络安全与信息合规的审查,围绕资本市场促进网信事业发展,加强网信和证券监管工作的协调联动,充分发挥资本市场资源配置作用,促进企业落实主体责任,深化行业监督管理。
二、法律依据
01、《中华人民共和国网络安全法》
第十条建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
第三十五条关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
第二十二条网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
第二十三条网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
02《网络安全审查办法》
第二条关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。
第五条关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。
第六条对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。
第七条掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
第十条网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
第十一条网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。
第十六条网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。
第十九条当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。网络安全审查办公室通过接受举报等形式加强事前事中事后监督。
第二十一条本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。
03、《中华人民共和国数据安全法》
第二十四条国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。
第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第四十条国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
04、《关键信息基础设施安全保护条例》
第二条本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
第九条保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。
第十条保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
第十九条运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
第二十条运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。
三、回复要点
对于第一个问题,根据《关键信息基础设施安全保护条例》第十九条规定,“运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。”发行人回复要点如下:
1、发行人应当根据《网络安全审查办法》第二十一条规定并结合其业务模式说明提供的主要产品和服务是否安全可信。由于目前尚无法律法规明确规定“安全可信的网络产品和服务”的定义、范围或标准,因此部分发行人参考了《<网络安全法>施行前夕国家互联网信息办公室网络安全协调局负责人答记者问》的相关回复,即从网络产品和服务是否能够保障用户对数据可控、保障用户对系统可控、保障用户的选择权三个方面来说明其可信性。另外,发行人也可以从提供的网络产品和服务是否符合相关国家标准的强制性要求、是否经由具备资格的机构安全认证合格等方面补充说明。
对于第二个问题,可供发行人参考的回复要点如下:
1、发行人首先应说明其提供的主要产品服务是否属于需配合网络安全审查的范围。根据《数据安全法》第二十四条、《网络安全法》第三十五条《网络安全审查办法》第二条《关键信息基础设施安全保护条例》第十九条规定,提供网络产品和服务的发行人既未直接从事关键信息基础设施的运营,亦不涉及作为网络平台运营者开展数据处理活动的,不属于主动申报网络安全审查的责任方。但是,如果发行人的客户向其采购网络产品和服务需要申报网络安全审查的,则发行人有配合其进行网络安全审查的法律义务。因此,向发行人采购网络产品和服务的客户是否是关键基础设施运营者是首先应当明确的。
2、关键基础设施运营者需要申报网络安全审查的情形为:当发行人的客户是关键基础设施运营者,其采购网络产品和服务影响或可能会影响国家安全的,则需要申报网络安全审查。如发行人的客户是关键基础设施运营者,该客户曾经在采购发行人的产品及服务时申报了网络安全审查,则发行人如何配合该类客户完成网络安全审查将成为回复的论证要点之一。如该客户今后在采购发行人的产品及服务时将要申报网络安全审查,则发行人应通过采购文件、协议等要求产品和服务提供者配合网络安全审查。
四、律师建议
1、确保其产品或服务在符合相关国家标准的强制性要求,并经具备资格的机构安全认证合格或者安全检测符合要求的情况下向关基运营者提供,并且在有效期内提供安全维护,保障网络产品的可用性和持续性,保障关键基础设施供应链安全。
2、发行人应注意了解其客户是否属于关键基础设施运营者,并协助关基运营者履行网络安全审查的义务。在关基运营者认为有必要对网络产品和服务进行网络安全审查时,发行人应尽量配合提供所需的信息和资料,完成与发行人所提供产品及服务相关的渗透测试、漏洞扫描等与网络安全审查或网络安全等级保护测试相关的核查工作。这不仅可以确保其自身产品和服务的安全性,满足合规性要求,也有助于巩固其与客户之间的合作关系。
3、拟上市的网络产品和服务的供应商作为这一问题的重点问询对象,日后应当更加重视网络安全审查。发行人可以在日常工作中针对网络安全审查做专项培训、专项核查,提高员工的安全意识,同时也应当建立完善的内控制度,对于关系国家安全的重要网络产品,应积极开展生产过程中的风险审查,完成相应的安全保护等级要求。

技术驱动法律,专业成就未来