简评《网络安全审查办法》:以CIIO为审查抓手,确保供应链安全

来源:TMT法律论坛

文章摘要
2020年4月27日,国家互联网信息办公室(“国家网信办”)会同国家发展和改革委员会等12部局联合发布《网络安全审查办法》(“2020版审查办法”),取代国家网信办2017年发布的《网络产品和服务安全

2020年4月27日,国家互联网信息办公室(“国家网信办”)会同国家发展和改革委员会等12部局联合发布《网络安全审查办法》(“2020版审查办法”),取代国家网信办2017年发布的《网络产品和服务安全审查办法(试行)》(“2017版审查办法”),并将于2020年6月1日正式实施。早在2019年5月24日,国家网信办即出台《网络安全审查办法(征求意见稿)》(“2019版征求意见稿”),当时就已提出了以关键信息基础设施运营者为抓手进行治理的核心思路,体现出我国网络安全审查监管趋势。
重点一:国家安全更聚焦,确保CII供应链安全
网络安全审查制度法律基础来源于《国家安全法》第五十九条,“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的网络信息技术产品和服务得以进行国家安全审查”。《网络安全法》第三十五条,“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”
因此,网络安全审查制度的立法目标锁定于维护国家安全,相较于2017版审查办法,2020版审查办法更为聚焦国家安全的立法目的,关注关键信息基础设施这种特殊对象的供应链安全,主要区别如下:

重点二:以CIIO为网络安全审查重要抓手,实行网络安全审查申报制度
在2017版审查办法中,网络安全审查的适用范围是“关系国家安全的网络和信息系统采购的重要网络产品和服务”,网络产品和服务提供者属于规制的对象。但在2020版审查办法中,关键信息基础设施运营者(Critical Information Infrastructure Operator,“CIIO”,或称“运营者”)被当做整个网络安全审查的抓手,这也与2019版征求意见稿一脉相承。CIIO要组织和督促网络产品和服务提供者配合网络安全审查,签署合同,履行网络安全审查的承诺[2]。根据2020版审查办法第十九条规定,CIIO违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理[3]。相较于2017版审查办法,2020版审查办法的主要修改点和评析如下:

此外,结合过程公开透明与保护知识产权相结合的立法宗旨,相较2017版审查办法,2020版审查办法通过第十六条强调了参与网络安全审查的相关机构和人员保密义务的具体对象为商业秘密、知识产权,不仅保护运营者还保护产品、服务提供者的未公开信息,未经许可不得随意披露或超出审查目的使用,强化了知识产权等企业合法权益保护的部分。2020版审查办法还通过第十七条新增了对于有失客观公正或者未承担保密义务的情形的举报条款,呼应了立法目标中的过程公开透明的要求,对于运营者或者产品、服务提供者进行保护。
重点三:安全审查内容反映当前国际环境的焦点,坚定对外开放的国策
立法目的的变化带来安全审查内容的区别,2017版审查办法重点审查网络产品和服务的安全性、可控性,而2020版审查办法重点评估采购网络产品和服务可能带来的国家安全风险,具体分析如下:

重点四:审查程序更透明
在审查程序上,2020版审查办法基本延续2019年版征求意见稿的框架,对于2017版审查办法进行了重大修改,由CIIO主动申报,并设置了报中央网络安全和信息化委员会批准的特别程序。

相比于2017版审查办法,2020版审查办法在审查流程上更加完善,对每个审查阶段的时限、时限起算点予以明确规定,避免因时限起算点不清而造成的时间拖延,例如规定网络安全审查办公室初步审查应在向运营者发出书面通知之日起30个工作日内完成[5]。同时,强调将审查过程中的相关意见、结论通知关键信息基础设施运营者,程序上更加透明,例如新增“网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者”[6]。
结语
本次2020版审查办法的修订,体现了国家维护国家安全、强调关键信息基础设施运营的供应链安全的立法目标,将网络安全审查改“被动确定”为“主动申报”,减轻网络安全审查工作机构的负担,也在有利于更加精确、灵活认定网络安全审查对象。对于关键信息基础设施保护部门可制定行业相关的预判标准的规定为企业下一阶段的网络安全审查工作提供了参考依据。在审查内容上聚焦维护国家安全的立法目的,排除了个人信息的相关规定,体现了对于重要数据和个人信息分轨治理的思路。对于申报程序和流程的规定更为透明,提高了网络安全审查的效率,保证运营者的知情权。强调了过程透明以及相关机构保护运营者和服务产品提供商的商业秘密和知识产权的义务,赋予运营方和产品、服务提供者投诉有失客观公正或者未承担保密义务的情形的权利,更充分的保障相关企业的合法利益。
为了进一步降低企业网络安全和风险,建议相关企业开展整体的网络安全合规工作,包括网络产品和服务采购制度、等级保护及网络安全制度建设、与重要数据密切相关的数据分类分级制度建设等。
[注]
[1] 科技日报,“供应链透明是种有效达成安全可控的手段”,资料来源:http://www.cac.gov.cn/2015-04/09/c_1114910428.htm, 访问日期:2020年4月27日。
[2] 《网络安全审查办法》第六条第十八条
[3] 根据《网络安全法》第六十五条规定,应当申报网络安全审查而没有申报的,或者使用网络安全审查未通过的产品和服务,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
[4] 国家互联网信息办公室有关负责人:《网络安全审查办法》答记者问,资料来源:https://baijiahao.baidu.com/s?id=1665099797545921769&wfr=spider&for=pc,访问时间:2020年4月27日。
[5] 《网络安全审查办法》第十条
[6] 《网络安全审查办法》第八条

技术驱动法律,专业成就未来