《网络安全审查办法》:严把风险防控关
来源:人民邮电报 更新时间:2022-02-25

为落实《数据安全法》等法律法规的要求,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部等十三部门联合修订发布了《网络安全审查办法》,自2022年2月15日起施行。该办法强化了对网络平台运营者赴国外上市可能带来国家安全风险,对掌握超过100万用户个人信息的网络平台运营者赴国外上市,施行强制性网络安全审查。

为何修订?有力承接落实上位法法律规定

国家安全审查是《国家安全法》设立的一项基础性国家安全审查和监管的制度和机制。《国家安全法》第五十九条规定:“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。”网络安全审查制度与数据安全审查制度是《网络安全法》《数据安全法》和《关键信息基础设施安全保护条例》确立的两项重要国家安全审查制度。

2020年6月1日施行的《网络安全审查办法》(以下简称原《审查办法》)第二条提出:“关键信息基础设施运营者(以下简称‘运营者’)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。”可见,原《审查办法》中的网络安全审查,主要是依据《网络安全法》针对关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全情形的安全审查制度。

随着《数据安全法》于2021年9月1日正式实施,影响或者可能影响国家安全的数据处理活动也将面临国家安全审查。由于原《审查办法》只涉及了《网络安全法》中的“网络安全审查”制度,没有涉及《数据安全法》中的“数据安全审查”内容,因此有必要在原《审查办法》的基础上增加数据安全审查的内容。

新修订的《网络安全审查办法》第一条规定:“为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》,制定本办法。”

从上述立法目的看,《网络安全审查办法》的上位法涉及三部法律和一部国务院条例,修订后的《网络安全审查办法》在《国家安全法》和《网络安全法》的基础上,增加了《数据安全法》和《关键信息基础设施安全保护条例》的法律依据。其中《数据安全法》明确提出“国家建立数据安全审查制度”;《关键信息基础设施安全保护条例》要求“关键信息基础设施的运营者采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查”。

这里需要说明,《网络安全法》和《关键信息基础设施安全保护条例》均要求关键信息基础设施的运营者采购网络产品和服务可能影响国家安全的,应当通过国家安全审查。但是《网络安全法》于2017年6月1日开始实施,当时尚没有出台《网络安全审查办法》,《网络安全法》第三十五条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”《网络安全法》实施后的三年,《网络安全审查办法》于2020年6月1日实施,正式确立了网络安全审查的规则和适用。因此,2021年9月1日开始实施的《关键信息基础设施安全保护条例》第十九条则规定:“采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。”《网络安全法》仅规定“应当通过国家网信部门会同国务院有关部门组织的国家安全审查”;《关键信息基础设施安全保护条例》则要求“应当按照国家网络安全规定通过安全审查”,更强调了依网络安全审查规则通过安全审查。

有何特色?网络安全审查需要企业自查把关

《网络安全审查办法》从关键信息基础设施的运营者采购网络产品和服务,以及数据处理者开展数据处理活动的安全性和可能带来的国家安全风险两大视角,确立了网络与数据安全审查的原则。《网络安全审查办法》第三条明确了网络安全审查的“四个相结合”原则:一是坚持防范网络安全风险与促进先进技术应用相结合;二是坚持过程公正透明与知识产权保护相结合;三是事前审查与持续监管相结合;四是企业承诺与社会监督相结合。

值得注意的是,保障网络安全和数据安全,维护国家安全和发展利益是关键信息基础设施运营者和数据处理者的法定主体责任。因此,网络与数据安全审查应当以企业自查把关为前提,并对其网络产品和服务的采购活动以及数据处理活动的安全性、合法性、风险性作出承诺,有效预防和化解国家安全风险,同时要接受社会的监督。

《网络安全审查办法》要求,关键信息基础设施运营者申报网络安全审查的采购活动时,应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,并承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。与此同时,关键信息基础设施运营者还应当督促产品和服务提供者履行在网络安全审查中作出的上述承诺。

如何把握?重点关注涉及安全风险因素

国家网络安全审查,主要针对关键信息基础设施运营者采购网络产品和服务,以及网络平台运营者开展数据处理活动,影响或者可能影响国家安全的风险因素。

根据《网络安全审查办法》第十条的规定,网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

从上述影响或者可能影响国家安全风险因素和审查权重上看,《网络安全审查办法》第十条(一)至(四)主要强调与关键信息基础设施相关的网络产品和服务引发的国家安全风险因素。需要指出的是,并不是关键信息基础设施运营者采购的所有网络产品和服务均需要进行国家网络安全审查,《网络安全审查办法》所指的“网络产品和服务”主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。

《网络安全审查办法》第十条(五)、(六)主要是针对核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险,以及上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险等。目前,我国数据立法将数据分为一般数据、重要数据、核心数据,这个数据分类的方法主要是基于数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度。

总之,《网络安全审查办法》第十条在原《审查办法》第九条网络安全审查重点评估的五大国家安全风险因素的基础上新增了两项重要因素:一是核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;二是上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。同时,新增加一条并列为《网络安全审查办法》第七条,即“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”这是一条强制性规定,也是一条不可逾越的红线,任何网络平台运营者都必须严格遵守。