日前,国家互联网信息办公室等十三部门联合发布新版《网络安全审查办法》(以下简称《办法》),自2022年2月15日起施行。《办法》有哪些重点内容?其颁布实施将对网络安全产业发展有何指导意义?本文将从网络安全产业的视角加以学习分析。
一、《办法》演进回顾
三个演进阶段。原《办法》自2020年6月1日施行;2021年7月10日国家互联网信息办公室发布《办法》(修订稿)并公开征求社会意见;2022年1月4日新《办法》正式公布。
两个修订背景。新《办法》的修订背景主要有两个。一是上位法规依据的发展变化,主要是自2021年9月1日起同时施行的《数据安全法》和《关键信息基础设施安全保护条例》;二是网络安全保护形势的重要变化,即因国内个别企业赴国外上市等引发社会各界对数据安全保护问题的普遍关注。
一条扩展主线。《办法》的核心立法目的在于保护关键信息基础设施供应链安全。与原版本相比,《办法》对于数据安全保护内容的强化,是其内容发展的另一条重要主线。体现在对特定“当事人”赴国外上市行为可能引发的数据安全风险作出审查制度安排。
二、《办法》内容分析
从法律属性来看,《办法》集实体法和程序法特点为一体,对网络安全审查涉及到的审查主体、审查对象和内容、审查流程等做出了体系化的安排。其内容要点分析如下。
(一)审查主体
《办法》明确了网络安全审查的监管机制,即包括领导机制、工作机制、执行机制在内“三位一体”的监管机制。
首先,在网络安全审查领导机制层面,明确“在中央网络安全和信息化委员会领导下”;其次,在网络安全审查工作机制层面,明确“国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制”;再次,在网络安全审查工作机制层面,明确“网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查”。
与征求意见稿相比,《办法》将中国证券监督管理委员会新增纳入网络安全审查工作机制,不仅呼应了国外上市数据安全保护之立法目的,更意在强化后续相关网络安全审查工作的专业性和权威性。
(二)审查对象
《办法》对审查对象的规定,主要包括被审查者主体和被审查者行为两方面。
首先,从被审查者主体方面看。《办法》将被审查者统称为“当事人”,包括两类主体。一是关键信息基础设施运营者,《办法》删除了征求意见稿对于运营者的定义(“是指经关键信息基础设施保护工作部门认定的运营者”),很大程度上是因为《关键信息基础设施安全保护条例》已经生效,且明确规定了关基的认定程序,此处从其规定即可,而不必再行明文。二是网络平台运营者,《办法》对于网络平台运营者的范围没有做出具体规定,但从《办法》第二条、第七条等内容看,应当包括但不限于“掌握超过100万用户个人信息的网络平台运营”,这只是网络平台运营者中的一类具体代表。
其次,从被审查者行为方面看。《办法》不仅明确了两类不同主体有不同的审查侧重点,也以专门条款明确列举了一般的审查对象范围。一是审查侧重点,对关基运营者侧重于审查“采购网络产品和服务”的行为;对于平台运营者则侧重于“数据处理活动”;二是审查对象范围,即《办法》第十条规定的7类重点风险因素,包括是否存在设施被控制破坏、业务连续性中断、供应中断、违反法规、重要核心数据信息出境、重要数据信息被外方控制利用、其他等情形。
(三)审查流程
《办法》明确规定了网络安全审查的两类审查程序,即一般审查程序和特别审查程序。
一是一般审查程序。从《办法》内容来看,一般审查程序应当是大多数网络安全审查案件适用的审查程序,包含审查发起、审查期限和审查实施3个要点。(1)在审查发起方面,一般审查程序的发起包括当事人“申报”发起(《办法》第五条、第七条),和审查工作机制成员单位“研判”发起(《办法》第十六条)两种情况。(2)在审查期限方面,一般审查程序通常需在启动审查后60个工作日内(在触发特别程序时,该期限将延长至150个工作日甚至更长)完成,包括:初步审查30工作日内(或45个工作日内)、初步审查内部反馈意见(15个工作日内)。(3)在审查实施方面,一般审查程序由网络安全审查办公室具体组织实施,并按审查相关制度规范,将审查结论通知当事人或将审查转入特别程序。
二是特别审查程序。《办法》充分考量审查结论的权威性、审慎性,在一般审查程序基础上专设“特别审查程序”。“特别审查程序”在启动条件、审查期限、审查实施等方面,都体现了立法的谨慎性。(1)启动条件:《办法》第十二条明确规定了“特别审查程序”的适用条件,即“网络安全审查工作机制成员单位、相关部门(对审查结论建议)意见不一致的,按照特别审查程序处理”。(2)审查期限:对于特别审查程序的审查期限,也规定了较长的期限“90个工作日内完成,情况复杂的可以延长”,且该期限不包含第十五条所规定的“提交补充材料的时间”。(3)审查实施:《办法》明确了特别程序需遵循更严格的实施流程,包括听取意见、分析评估、提出结论建议、征求意见、报网信委批准、形成结论、通知当事人等7个环节(《办法》第十三条)。
三、《办法》对产业供给的影响分析
《办法》的正式发布,进一步明确了对关键信息基础设施供应链安全保护的相关要求,为网络安全产业的高质量发展指明了方向。
一是提升关键信息基础设施安全供给能力。网络安全产业在落实《办法》要求、支撑和保障关键信息基础设施供应链相关安全方面,可发挥制度参与、技术产品及方案提供、服务支撑三方面作用。(1)在关基供应链保护制度参与方面,网络安全企业和行业可以通过自身业务实践,参与和支持相关的制度标准,如“关键信息基础设施供应链安全要求”“关键信息基础设施安全检查评估要求”“关键信息基础设施安全保护技术要求”等等。(2)在关基供应链保护产品和方案方面,强化关基安全相关技术研发和产品研制,如“关键信息基础设施安全风险感知和识别”“关键信息基础设施系统漏洞检测”“关键信息基础设施网络威胁溯源和取证”等等。(3)在关基供应链保护服务支撑方面,强化试点和服务运营等能力全面服务关基保护相关工作,包括“关键信息基础设施安全应急演练”“关键信息基础设施安全培训”“关键信息基础设施安全一体化运营服务”等等。
二是提升数据安全防护供给能力。网络安全产业在落实《办法》相关要求、支撑和保障数据安全方面,也可发挥至少三方面作用。(1)在参与和支撑相关数据安全制度完善方面,企业和行业可重点围绕“数据出境安全评估”“重要网络安全服务产品和服务目录”“数据安全审查办法”等方向,加强探索并积累实践案例。(2)在相关数据安全产品和方案方面,重点开展“数据分类分级管理”“敏感数据识别”“数据安全风险评估”“数据安全审计”等技术产品方案研发。(3)在有关数据安全服务支撑方面,强化“数据安全应急”“重要数据灾备与恢复”“数据溯源取证”服务支撑能力和队伍建设等。
《办法》的发布不仅在管理方面优化和完善了我国网络安全审查制度的基本设计,更为网络安全产业的发展明确了方向。绿盟科技将继续秉承“专攻术业,成就所托”的宗旨,继续深耕网络安全,务实创新、稳步前行,为我国网络安全审查制度的完善和关键信息基础设施保护工作的发展,持续贡献绵薄。