2021年7月5日,据中国网信办官网的消息,国家网络安全审查办公室发布关于对“运满满”、“货车帮”、“BOSS直聘”实施网络安全审查的公告。
这是在7月2日对“滴滴出行”启动网络安全审查之后,4天内由监管机关连续发起的对多家企业的多个网络安全审查事件。同时,网络安全审查办公室在公告中强调,为配合网络安全审查工作,防范风险扩大,审查期间,被审查主体须停止新用户注册。
值得特别注意的,对“滴滴出行”启动网络安全审查,是《网络安全审查办法》生效以来的首次监管机构以公告形式进行的主动审查。
面临监管机关的一系列审查行动,网络安全审查在审查什么?哪些企业会涉及到网络安全审查?企业面临网络安全审查时如何面对?德恒律师将以问答提纲的形式,为企业来快速分析梳理网络安全审查核心要点,以方便企业更好地了解,争取早日达到符合网络安全审查要求,乃至网络安全和数据安全的合规状态。
Q1: 什么是网络安全审查?
A: 从狭义来说,网络安全审查是指,依据国家互联网信息办公室等12部门于2020年联合颁布并自2020年6月1日起实施的《网络安全审查办法》,为了确保关键信息基础设施供应链安全,维护国家安全,对构成关键信息基础设施运营者的企业进行的专项审查。
从广义来讲,除《网络安全审查办法》之外,网络安全审查还可包括为了确保企业达到网络安全和保障数据安全的状态和能力,由监管机关所作的相关全面的依法审查。这其中企业应承担的确保网络安全义务,需要依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》及一系列配套法规进行把握。
Q2: 网络安全审查由谁来组织/作为申报接收机构?
A: 按照《网络安全审查办法》明确规定,网络安全审查的组织和发起机构,为设在国家互联网信息办公室的网络安全审查办公室。
关于具体工作,委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。
鉴于网络安全审查涉及的范围较广,在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。
Q3: 所有企业全部需要面临网络安全审查吗?
A: 狭义的角度来讲,构成关键信息基础设施运营者的企业需要进行或可能面临网络安全审查。
广义角度来讲,在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理的全部企业,都有履行网络安全保护、保障国家安全和数据安全合规要求的义务,面临着涉及网络安全、数据安全和国家安全的相关依法审查。
Q4: 什么是关键信息基础设施(运营者)?
A: 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。国家实现“关键基础设施和重要领域信息系统及数据的安全可控”。
运营关键信息基础设施的企业主体,即为关键信息基础设施运营者。
▲关键信息基础设施(CII)制度发展一览
Q5: 网络安全审查主要是审查什么?
A: 审查会重点评估作为关键信息基础设施运营者的企业采购网络产品和服务可能带来的国家安全风险。
国家安全风险包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。
网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
同时,企业必须注意的是,将于9月1日起实施的《中华人民共和国数据安全法》中明确提及,“对影响或者可能影响国家安全的数据处理活动进行国家安全审查”。这意味着未来网络安全审查将伴随数据安全审查同步进行。
Q6: 网络安全审查是需要企业主动的,还是被动的?
A: 通常情况下,企业作为关键信息基础设施运营者,需提前预判,在可能带来国家风险的情况下,应当在与产品和服务提供方正式签署合同前主动申报网络安全审查。提交申报书、分析报告、采购文件、拟签订的合同及所需其他材料。
同时,一旦网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照《网络安全审查办法》的规定进行审查。
所以,对狭义的网络安全审查而言,以企业主动申报为一般原则和需承担的责任;以监管机关主动审查为补充。如果无法做到主动申报并通过审查,企业是可能被动的遭遇监管机关的主动审查的。
Q7: 除了作为运营者的企业之外,网络安全审查是否对其他主体构成限制?
A: 狭义的网络安全审查范畴内,除了作为关键信息基础设施运营者的企业,产品和服务提供者也需要依法承担必要的责任和义务。
《网络安全审查办法》明确规定,“运营者应当督促产品和服务提供者履行网络安全审查中做出的承诺”。“网络安全审查办公室通过接受举报等形式加强事前、事中、事后监督”。
Q8:网络安全审查的时限要求为多久?
A: 通常情况下,网络安全审查在45个工作日内完成,情况复杂的会延长15个工作日。其中,补充提供材料的时间不计入审查时限。
进入特别审查程序的审查项目,可能还需要45个工作日或者复杂情况所需更长时间。
特别审查程序是指,网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。
Q9: 违反网络安全审查须承担的责任?
A: 根据《网络安全法》第六十五条规定,应当申报网络安全审查而没有申报的,或者使用网络安全审查未通过的产品和服务,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
根据《数据安全法》规定,违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
《数据安全法》规定,违反法律规定向境外提供重要数据,……,情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
Q10: 面临网络安全审查,企业应当注意的合规重点有哪些?
A: 我们建议,对于达到法规要求进行网络安全审查的企业,建立系统而完整的企业网络安全及数据安全合规体系,有效风险预评估,依法主动申报才是根本的解决路径。
除此之外,企业客户需重点关注关键信息基础设施主动识别、重要数据的梳理和确认、合法采购网络产品和服务、数据的合法获得和合法处理、个人信息的合法收集及有针对性保护措施,以及可能出现的数据跨境传输,在(跨境)并购或上市过程中满足对网络安全和数据安全的合规措施和申报审查等合规义务。
本文尝试以精简易读的方式,为大家快速梳理和分析中国目前施行的网络安全审查制度。
企业如何面对网络安全审查——从滴滴等被启动审查程序来看我国网络安全审查制度
作者:黄金鹏来源:德恒律师事务所

2021年7月5日,据中国网信办官网的消息,国家网络安全审查办公室发布关于对“运满满”、“货车帮”、“BOSS直聘”实施网络安全审查的公告。