信息安全自主可控中隐藏的法律风险(上篇)

来源:天地人律师事务所

文章摘要
信息安全自主可控,不仅是国家层面的战略目标,也是民用领域在逆全球化大背景下的安身之本。 中央国家安全委员会成立后,我国安全领域立法进入加速模式。

信息安全自主可控,不仅是国家层面的战略目标,也是民用领域在逆全球化大背景下的安身之本。
中央国家安全委员会成立后,我国安全领域立法进入加速模式。《“十三五”国家信息化规划》提出“构建先进、安全、可控的核心技术与产品体系”。信息安全自主可控,不仅是国家层面的战略目标,也是民用领域在逆全球化大背景下的安身之本。笔者作为长沙市自主可控与信息安全产业链法律服务团队成员,长期关注信息安全领域,特以此文分享从业经验和心得。
所谓自主可控,广义上涵盖所有重要科技领域,狭义上仅指涉信息技术中的安全性和可控性。信息技术已成为产业升级的关键支撑力量。宏观层面,对国家和行业而言,信息网络及数据安全关乎生产力的稳定性及可持续性;微观层面,对具体企业而言,在逆全球化及监管日趋严格的今天,自主已成竞争力核心指标,可控决定技术应用的发展高度。
本文从自主可控的内涵出发,就民用领域“立足相对自主、追求绝对可控”的务实目标,总结由于自主可控缺位导致的常见法律风险,回应企业对该问题的关切。
01 什么是自主可控
自主是指拥有核心知识产权,可控是结果导向概念。在信息安全领域,自主是可控的基本前提,可控是自主的发展结果。
国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部等十二家机构联合制定发布并于今年6月1日起实施《网络安全审查办法》(简称《办法》),从《办法》第九条中可探求可控的内涵:
网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)其他可能危害关键信息基础设施安全和国家安全的因素。
《办法》细化了《国家安全法》《网络安全法》对自主可控的要求,《办法》第九条的前身,是《网络产品和服务安全审查办法(试行)》第四条,“试行办法”第四条将网络安全审查分成“安全性”审查和“可控性”审查,审查范围包括产品服务自身安全、供应链安全、用户信息安全、网络及用户利益风险、其他国家安全风险,与现行《办法》的内在要求一致。
云计算时代,ICT(信息通信技术)业务中的软件、硬件、服务及电信业间的界限愈加模糊,绝对的自主可控极具难度,原因在于:
(一)科技行业集合了全人类智慧,离不开个体间的创新合作、各领域的应用融合;
(二)为控制成本,重新打造已有的创新成果并非在所有情形下均有必要;
(三)重新开发技术成果过程漫长,解决不了企业的燃眉之急
因此,绝对自主可控与产业做大做强存在矛盾,民用信息产品拥有完全的自主知识产权既无必要也难以实现。
科技公司发展的真正土壤在于全球化,立足此规律务实相对自主允许企业站在巨人的肩膀上发展,实现成本控制的要求。民用领域,自主可控侧重可控性,企业(尤其是ICT行业的中小微企业)立足相对自主、追求绝对可控更具性价比和可行性。
但相对自主也会带来其他问题,与绝对可控之间存在较大张力,容易导致相对可控甚至失控。自主可控缺位将给企业带来风险、造成损失,具体如下。
02 行政法律风险
企业在自主可控议题上的行政法律风险主要来源于合规,即产品和服务要符合法律规范要求,包括本土、消费地、供应商所在地甚至中转地法律规范。自2017年6月1日《网络安全法》正式施行以来,国内网络安全和数据合规进入了加速立法、增强监管的模式,形成多层级、多方面、多行业的合规法律体系。下面就国内合规风险举例说明。
1 网络安全等级保护风险
《网络安全法》第二十一条确立了网络安全等级保护(简称“等保”)制度的总体要求,与此相关的部门规章及国家、行业标准多达数十项。
等保关注的是安全可控,对于技术产权自主性无强制要求。满足三级等保要求的信息系统,技术上已能对大多数网络攻击免疫。但现实中,企业通常忽视等保工作,或者将等保流于形式,局限于完成合同中的等保认证义务、取得等保证书,弱化了等保的体系化、持续化管理与技术要求。
不同行业应用、不同功能的信息系统,对等保的内在要求不一,企业通常未梳理弱项短板,以通过备案或等保认证作为信息保护的终点,导致触发安全风险。违反等保义务,依据《网络安全法》第五十九条《公安机关互联网安全监督检查规定》第二十一条之规定,可能被监管机构要求责令改正或受到警告、罚款等行政处罚;仅通过等保认证,未实质履行等保后安全管理义务,导致严重后果的,同样要承担法律责任。
2 移动 APP 应用安全风险
APP 作为企业精准投送产品与服务的渠道,是占据市场、绑定用户的有力方式,APP 安全可控,不仅关系到企业产品与服务安全,也关系移动终端用户信息安全。移动生态中,没有不依赖第三方成果的 APP 产品,故移动应用安全不仅要求企业注重本身技术的安全实施,还要求第三方服务(库)能经得起安全考验。
以广泛使用并被普遍认为安全性较高的互联网金融 APP 为例,根据国家互联网应急中心发布的《2019上半年我国互联网网络安全态势》披露,对105款互联网金融APP进行检测,发现安全漏洞高达505个。这些安全漏洞不仅能对企业和用户信息安全造成严重隐患,还能被黑产等以隐藏、混淆的方式进行漏洞二次利用实施难以溯源的攻击。

【图】互联网金融移动 APP 高危漏洞分布情况
事实上,利用 APP 安全漏洞实施数据窃取、资源盗用、流量劫持、入侵攻击的事件并不少见,2015年曝光的苹果应用开发平台 XcodeGhost 植入事件,就警示 ICT 企业在信息系统研发过程中,应采用受信任的 IDE 等基础设施,且在研发前进行安全审核,防止因疏于防范落入陷阱,产生严重后果或事件曝光后为他人的恶意行为承担责任。
3 个人信息、隐私监管风险
2019年以来,中央网信办、工信部、公安部、市场监管总局等四部门通过开展“APP违法违规收集使用个人信息专项治理”工作,加强了移动应用领域个人信息安全的治理。随着《民法典》的颁布实施,个人信息及隐私也将进一步受到重视,《个人信息保护法》《数据安全法》已进入全国人大的立法工作议程。
国内未来个人信息和隐私将告别刑事、行政等公权力保护为主的发展阶段,形成行、民、刑多层次法律保障体系,同时行政监管也会更加具体、力度进一步加大。涉及个人信息或隐私的采集、转化、加工等信息业务,尤其与敏感信息保护、数据跨境、电商金融等行业相关的 ICT 企业,需要提前做准备,对信息流转过程各个节点履行关联义务、承担相应法律责任。
在新的立法趋势下,数据安全合规将由主管部门检查、他人评估的传统方式,转为全过程受控、自证合规的新常态,无论采用他人产品、服务,还是自行研发开展相关业务,在技术层面清单式落实法律要求,将成为 ICT 企业的必修课。
未完待续
下篇,作者将继续介绍信息安全可控中的民事、刑事法律风险

技术驱动法律,专业成就未来