2020年4月13日,国家网信办等十二个部门联合发布了《网络安全审查办法》(“《审查办法》”)。新出台的《审查办法》取代了之前关于网络产品和服务安全审查的相关规定(点击阅读原文查看我们对该法规的解读),并对关键信息基础设施(Critical Information Infrastructure,“CII”)运营者的网络供应链提出了更加严格的安全审查要求。《审查办法》于2020年6月1日正式生效。
在本文中,我们重点讨论《审查办法》中的关键问题,并对网络安全审查制度进行解读。
背景
《国家安全法》和《网络安全法》中均要求对CII运营者采购网络产品和服务建立相应的安全审查机制。在此基础上,2017年5月,国家网信办发布了《网络产品和服务安全审查办法(试行)》(“2017年办法”)。但是,由于没有确定关键信息基础设施运营者的范围,此办法的施行工作进展相对缓慢。
2020年,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局12个部门共同发布了新《审查办法》,对2017年办法进行了更新。新《审查办法》在2017年办法颁布不到三年时间内颁布,足以显示出CII供应链安全已成为中国政府的重点关注事项。
重点条款
一. 哪些网络运营者属于网络安全审查的范围?
《审查办法》要求,CII运营者采购网络产品和服务影响或可能影响国家安全的,必须进行网络安全审查。比较而言,2017年办法的范围更广,要求为关系国家安全的网络和信息系统采购的重要网络产品和服务均须进行网络安全审查。
《审查办法》规定了网络产品和服务的范围,包括核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备,云计算服务等可能对CII安全产生重要影响的网络产品和服务。
二. 谁负责进行网络安全审查?
《审查办法》载明了开展网络安全审查程序的审查机构:
网络安全审查办公室,设在国家互联网信息办公室,负责:
(1) 制定网络安全审查相关制度规范,组织网络安全审查;
(2) 进行网络安全初步审查,形成审查结论建议;
(3) 接受网络产品和服务提供者对审查工作中不当行为的举报。
国家网络安全审查工作机制,由中央网络安全和信息化委员会领导,国家互联网信息办公室等十二个部门组成组成,负责:
(1) 审查网络安全审查办公室的初步审查结论建议;
(2) 提议网络安全审查办公室启动网络安全审查。
关键信息基础设施保护工作部门,负责:
(1) 认定CII运营者;
(2) 制定本行业、本领域指南,用于预判网络产品和服务投入使用后可能带来的国家安全风险;
(3) 审查网络安全审查办公室的初步审查结论建议。
中共中央网络安全和信息化委员会办公室,是中共中央网络安全和信息化委员会的执行机构,并同时作为政府部门行使国家互联网信息办公室的职能,负责:
(1) 领导国家网络安全审查工作机制;
(2) 审议批准网络安全审查办公室按照特别程序(以下讨论)出具的审查结论建议;
(3) 根据网络安全审查工作机制成员单位的意见,批准启动网络安全审查。
三. 如何启动网络安全审查?
根据《审查办法》,网络安全审查可以通过两种方式启动:
CII运营者如认为使用采购的网络产品和服务影响或可能影响国家安全,应当向网络安全审查办公室提出申请,网络安全审查办公室将通知CII运营者是否启动审查;或
如果网络安全审查工作机制成员单位认为网络产品和服务影响或可能影响国家安全,网络安全审查工作机制成员单位要求网络安全审查办公室启动审查,但须经中央网络安全和信息化委员会批准。
四. 审查程序是什么?
审查程序分为普通程序和特别程序:
普通程序:网络安全审查办公室最长将在45个工作日内完成初步审查,并将其审查结论建议发送网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门征求意见。网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门须在15个工作日内书面回复意见。若网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门的意见与网络安全审查办公室的审查结论建议一致,网络安全审查办公室将书面告知运营者审查结论。
特别程序:如果网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见不一致,则适用特别程序。根据特别程序,网络安全审查办公室将进行重新评估,并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见,并报中央网络安全和信息化委员会批准后,将审查结论通知CII运营者。
审查程序是一个耗时的过程。在普通程序所需60个工作日的基础上,特别程序可能需要额外45个工作日才能完成,并且在某些复杂情况下还会延长。此外,CII运营者及其供应商向网络安全审查办公室提交补充材料所花费的时间不计入审查期限。
五. 审查将考虑哪些因素?
《审查办法》规定,在针对网络产品和服务的采购进行国家安全风险评估时,应考虑以下因素:
(1) CII被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(2) 产品和服务供应链中断对CII业务连续性造成的损害
(3) 产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(4) 产品和服务提供者遵守中国法律、行政法规和部门规章的情况;
(5) 其他可能危害CII安全和国家安全的因素。
六. CII经营者必须提交哪些材料?
CII运营者必须提交以下文件:
(1) 申报书;
(2) 关于网络产品和服务对国家安全的影响或可能影响的分析报告;
(3) 采购文件、协议和拟签订的合同;和
(4) 网络安全审查工作可能需要的其他材料。
七. 供应商对CII运营者有什么义务?
CII运营者可以通过供应协议和采购文件来要求网络产品和服务供应商协助并配合其进行网络安全审查,也可以要求供应商保证其不会非法获取用户数据或控制操纵用户设备,并且不会在没有正当理由的情况下中断供应链或技术支持。
CII运营者也可以要求供应商提供信息和文件以证明(a)网络产品和服务的安全性、开放性、透明度和可靠性;以及(b)供应商遵守中国法律、法规和规则的情况。
我们的观点
一. CII的范围仍待确定
虽然《审查办法》旨在加强对CII供应链的安全保护,但有关识别和监管CII的配套法规尚未发布。此外,负责识别CII的相关关键信息基础设施保护工作部门的范围也未明确。鉴于对CII运营者的认定以及对识别标准仍缺乏明确性,目前很难在实践中执行《审查办法》的相关要求。
截至目前,《网络安全法》对CII的描述较为笼统,仅规定关键信息基础设施包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。2017年7月,国家网信办公布了《关键信息基础设施安全保护条例(征求意见稿)》,但此后进展甚微。《审查办法》的公布将可能加快相关领域的立法进程,并最终将具体措施明确并予以执行。
二. 评审程序和标准尚需明确
《审查办法》虽然列出了审查过程中应考虑的主要风险,但缺乏详细的标准来评估是否会引发风险。根据《审查办法》,关键信息基础设施保护工作部门负责起草相关指南以预判在特定部门或行业使用网络产品和服务的国家安全风险。但是,在缺乏CII保护法规且关键信息基础设施保护工作部门范围不明的情况下,相关的指南文件将很难于近期颁布。
网络安全审查工作机制在审查过程中的作用也待明确。应当进一步明确网络安全审查工作机制的职责是由全体成员单位履行,还是是由选定/指定的个别成员单位履行,以及这些职责是由成员单位集体履行还是单独履行。例如,网络安全审查办公室完成初步审查后,是否应将其意见提交网络安全审查工作机制所有成员单位征求意见;网络安全审查工作机制发表集体意见还是每个成员单位发表单独意见?在网络安全审查工作机制成员单位发起审查时也会出现类似的问题。
三. 供应商面临的不确定性
向CII运营者提供某些网络产品和服务的供应商正面临着其产品和服务受到审查甚至因网络安全审查而失去供应合同的可能性。如上所述,供应商将有义务根据供应合同的条款为网络安全审查提供协助,并对网络产品和服务的安全性和可靠性作出承诺。
网络安全审查制度十分强调网络产品和服务供应不被中断,特别是由于“政治、外交和贸易”原因而中断。面对严峻复杂的国际形势,某些国家或外国投资的供应商的供应越来越可能被中断,因而很可能首当其冲地受到网络安全审查制度的影响。然而,使用外国制造或受其知识产权保护的零部件的中国供应商也可能难以证明在面临零部件供应中断时,他们的供应不会受到影响。CII运营者的供应商可以越来越多地在其网络产品和服务中使用本地制造或知识产权的零件,以满足网络安全审查的要求。
CII运营者及其供应商应在供应合同中加入相关条款,以应对供应订单受到网络安全审查的可能性和被给予不利审查结论的的后果,以及商业秘密和知识产权在审查过程中被泄露的风险。
结论
《审查办法》建立的安全审查制度在加强对CII供应链保护的同时,也给CII运营者的网络产品和服务供应商带来了不确定。尽管对CII保护的相关法律法规仍不健全,可能会妨碍《审查办法》的全面实施,但我们建议CII运营者和供应商仍要做好准备面对《审查办法》的实施。
本文由“壹伴编辑器”提供技术支持
如需更多信息,请联系我们。
Mark Robinson
Partner, Singapore
Mark.Robinson@hsf.com
Nanda Lau 刘依兰
Head of Shanghai office
Nanda.Lau@hsf.com
James Gong 龚钰
Of Counsel, Beijing
James.Gong@hsf.com
史密夫斐尔律师事务所是领先的全球一体化综合性律所,在全球各主要司法辖区设有26家办公室,拥有约3000位律师。本所根植大中华区市场30余年,北京、上海、香港三个办公室拥有强有力的律师团队,对中国的商业文化有着细致深入的体会和理解,为客户提供高效、优质的全方位法律服务。
史密夫斐尔与上海市自贸区的科伟律师事务所正式联营,通过科伟史密夫斐尔联营办公室 (Herbert Smith Freehills Kewei (FTZ) Joint Operation) 提供中国法及外国法服务。
