网络安全审查中的供应链安全与合规实践

来源:北京植德律师事务所

文章摘要
2021年7月2日及7月5日,国家互联网信息办公室(以下简称“网信办”)下属网络安全审查办公室(以下简称“网安办”)密集发布公告,对若干家境外上市互联网企业启动网络安全审查。

2021年7月2日及7月5日,国家互联网信息办公室(以下简称“网信办”)下属网络安全审查办公室(以下简称“网安办”)密集发布公告,对若干家境外上市互联网企业启动网络安全审查。据悉,这是网络安全审查制度设立以来网安办首次发布实施网络安全审查的公告。
就此话题,我们以本文主要回应如下三个企业普遍关心的热点问题:
什么是网络安全审查?
如何判断企业是否会面临网络安全审查?
实践中如何保障关键信息基础设施(以下简称“CII”)的供应链安全与合规?
一、什么是网络安全审查?
网络安全审查是由《网络安全法》[1]规定的,针对关键信息基础设施的运营者(以下简称“CIIO”)采购可能影响国家安全的网络产品和服务,而采取的监管审查,其本质上属于《国家安全法》[2]规定的国家安全审查的一部分。
为落实网络安全审查制度,2020年4月13日,网信办联合国务院下属国家发展和改革委员会、工业和信息化部等11部门发布了《网络安全审查办法》(以下简称“《办法》”),《办法》已于同年6月1日生效。
在网络安全审查中,一个关键的前提是判断企业是否属于CIIO。只有具备CIIO身份,才可能会面临网络安全审查。而这一概念又与CII密切相关,因此判断何种设施属于CII便成了识别CIIO身份的关键。
由于我国尚未发布关于CII的明确识别标准,实践中这一问题深深困扰企业。我们将试图从现有公开信息中探究如何较为准确地识别企业的相关设施是否属于CII、企业是否属于CIIO,进而判断企业是否可能会面临网络安全审查。
二、如何判断企业是否会面临网络安全审查?
2017年7月10日,网信办发布了《关键信息基础设施安全保护条例(征求意见稿)》[3],通过“定义+列举”的形式规定了CII,包括下列单位运行、管理的,一旦遭到破坏、丧失功能或者数据泄露可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统:

企业不属于上述单位范围,其运行、管理的网络设施和信息系统是否一定不属于CII?企业虽属于上述单位范畴,其运行、管理的网络设施和信息系统是否均属于CII?仅根据该征求意见稿仍难以准确判断,该征求意见稿提出的制定“关键信息基础设施识别指南”也尚未出台,实践中企业在CII判断方面存在诸多困惑。
我们注意到,全国人大常委会执法检查组在2017年12月24日向全国人大常委会所做《关于检查<中华人民共和国网络安全法><全国人民代表大会常务委员会关于加强网络信息保护的决定>实施情况的报告》[4]中提到:
“2016年,国家互联网信息办公室等部门组织开展了关键信息基础设施摸底排查工作,对1.1万个重要信息系统安全运行状况进行抽查和技术检测,完成了对金融、能源、通信、交通、广电、教育、医疗、社保等多个重点行业的网络安全风险评估”、“目前全行业共确定关键网络设施和重要信息系统11,590个”、“深入推进网络安全等级保护。……其中三级以上重要信息系统1.7万个,基本涵盖了所有关键信息基础设施。”
虽然当前CII的范围尚未公布,我们也有理由相信,随着科技的迅猛发展和广泛应用,相较2016年摸底排查的情况,当前CII范围可能有明显的扩大,且我们认为至少在一段时间内,CII的范围将作为保密事项不对外公布,但从上述报告内容我们可以推断出一个较为接近的CII范围,即,等保三级以上系统,有较大的可能性被认定为CII。
有鉴于此,我们建议拥有等保定级三级以上系统的企业,应当比照《办法》的规定进行国家安全风险预判与分析,以做好配合未来可能的监管执法的准备。
三、实践中如何保障CII的供应链安全与合规?
供应链安全与合规工作应当采取系统化的思路,我们提出以下合规思路与实践操作流程:

具体而言,CIIO应当采取如下供应链安全与合规措施:
1. 预判国家安全风险
根据《办法》规定,CIIO采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险,影响或者可能影响国家安全的,应当向网安办申报网络安全审查。
《办法》第9条列明了网络安全审查应当考虑的因素,我们认为该条不但体现了网安办的审查思路,同时也是CIIO预判和分析影响或可能影响国家安全的指引。前述因素包括:
(一) 因使用网络产品和服务导致关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(二) 产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三) 产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四) 产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五) 其他可能危害关键信息基础设施安全和国家安全的因素。
我们认为,除第(五)项兜底条款外,第(四)项是对网络产品和服务提供者的历史考察,而(一)至(三)项是对网络产品和服务未来风险的预判,将成为网络安全审查的重点。
2. 明确网络产品和服务应满足的安全目标
根据上述风险预判与分析指引,网络产品和服务的主要安全风险包括非法控制、信息泄露、服务中断等。为了减少使用网络产品和服务过程中的该等安全风险,CIIO首先应当确保网络产品和服务符合如下网络安全合规目标:

3. 开展供应链安全与合规尽职调查
为实现上述安全目标,CIIO应当对网络安全产品和服务展开合规尽职调查,以确保供应链安全。具体而言:
(1)针对网络关键设备和网络安全专用产品
对于列入《网络关键设备和网络安全专用产品目录》的设备和产品,在采购前,CIIO应确保拟采购的设备和产品符合相关国家标准的强制性要求,并经具备资格的机构安全认证合格或者安全检测符合要求。
(2)针对网络产品和服务供应商
CIIO应当优先选择符合下列条件的供应商:
a. 其网络安全保护措施符合中国法律法规、政策标准以及关键信息基础设施运营者自身的安全要求;
b. 其企业运转过程和安全措施透明;
c. 其对下级供应商、关键组件和服务的安全提供了进一步的核查;
d. 供应商对自身及其合作的外包服务开发商和开发人员,能够提供无过失、可靠或称职的官方证明、良好的背景审查资料、公民身份和国籍资料。
CIIO应从设计、开发、实施、验证、交付、支持过程等周期和环节,对供应商的经验进行分析,并评价供应商在开发网络产品和服务时接受的安全培训和积累的经验,以判断其安全能力。
此外,CIIO还应综合分析各方面的信息,包括执法部门披露的信息、网络安全通报、应急响应机构的风险提示等,尤其应当关注国家互联网应急中心(https://www.cert.org.cn)以及工信部网络安全威胁和漏洞信息共享平台(https://www.cstis.cn)发布的官方信息,以发现来自开发、生产、交付过程以及人员和环境的风险。该分析应尽可能覆盖到各层供应商和候选供应商。
4. 与网络产品和服务供应商的协议安排
CIIO应当与网络产品和服务供应商签订如下协议,以合同条款与条件约束供应商的行为:

5. 运营中的供应链保护措施
CIIO不但要对网络设备和服务供应商开展交易前期的合规尽职调查,并注重交易文本条款的设计,还应当在CII的运营过程中采取如下供应链保护措施,以防范国家安全风险:
a)对CII与供应链相关信息采取保密措施,包括但不限于关键信息基础设施用户的具体身份、网络产品和服务的用途、供应商身份、安全需求、设计说明书、测评结果、信息系统或组件配置等。
b)采取保护措施,降低攻击者利用供应链造成的危害,包括:
优先购买现货产品,避免购买定制设备;
在能提供相同产品的多个不同供应商中做选择,以防范供应商锁定风险;
优先选择国内供应商;
选择有声誉的企业,建立合格供应商列表;
储备足够的备用组件;
缩短采购决定和交付的时间间隔;
使用可信或可控的分发、交付和仓储手段;
在运输或仓储时使用防篡改包装。
c)定期检查、评审和审核供应商的服务交付。
当CIIO发现使用的网络产品、服务存在安全缺陷、漏洞等风险时,及时联系供应商,采取措施消除风险隐患,对存有重大风险的网络产品、服务,按相关规定报告关键信息基础设施安全保护工作部门。
除前述具体合规措施外,我们建议CIIO还应当从宏观层面提升对供应链安全问题的敏感性。中国当前启动针对CII的网络安全审查,据了解与当前复杂的国际关系密切相关。2021年6月30日,微软公司副总裁伯特在美国国会众议院司法委员会听证会上称,美执法部门过去5年每年向微软签发2,400至3,500份保密令,以获取其用户数据,未受到美国法院有效监管。7月5日,中国外交部发言人汪文斌称,美国逼迫企业开设“后门”、违规获取用户数据,对全球网络安全构成重大威胁[5]。由此可见,CII的供应链安全问题将愈发受到国家监管部门的关注,企业应当提高对国家竞争与博弈的敏感性,提前做好自身合规建设与布局,避免自身遭受重大经营损失,同时也避免因自身合规问题导致国家安全风险。
[1]《网络安全法》第35条
[2]《国家安全法》第59条
[3]《关键信息基础设施安全保护条例(征求意见稿)》第18条
[4]全国人民代表大会网站(http://www.npc.gov.cn/zgrdw/npc/zfjc/zfjcelys/2017-12/24/content_2036037.htm),访问时间2021年7月6日。
[5]中华人民共和国外交部网站:2021年7月5日外交部发言人汪文斌主持例行记者会(https://www.fmprc.gov.cn/web/fyrbt_673021/t1889810.shtml),访问时间2021年7月6日。

技术驱动法律,专业成就未来