日前,國家網際網路資訊辦公室等十三部門聯合釋出新版《網路安全審查辦法》(以下簡稱《辦法》),自2022年2月15日起施行。《辦法》有哪些重點內容?其頒佈實施將對網路安全產業發展有何指導意義?本文將從網路安全產業的視角加以學習分析。
一、《辦法》演進回顧
三個演進階段。原《辦法》自2020年6月1日施行;2021年7月10日國家網際網路資訊辦公室釋出《辦法》(修訂稿)並公開徵求社會意見;2022年1月4日新《辦法》正式公佈。
兩個修訂背景。新《辦法》的修訂背景主要有兩個。一是上位法規依據的發展變化,主要是自2021年9月1日起同時施行的《資料安全法》和《關鍵資訊基礎設施安全保護條例》;二是網路安全保護形勢的重要變化,即因國內個別企業赴國外上市等引發社會各界對資料安全保護問題的普遍關注。
一條擴充套件主線。《辦法》的核心立法目的在於保護關鍵資訊基礎設施供應鏈安全。與原版本相比,《辦法》對於資料安全保護內容的強化,是其內容發展的另一條重要主線。體現在對特定“當事人”赴國外上市行為可能引發的資料安全風險作出審查制度安排。
二、《辦法》內容分析
從法律屬性來看,《辦法》集實體法和程式法特點為一體,對網路安全審查涉及到的審查主體、審查物件和內容、審查流程等做出了體系化的安排。其內容要點分析如下。
(一)審查主體
《辦法》明確了網路安全審查的監管機制,即包括領導機制、工作機制、執行機制在內“三位一體”的監管機制。
首先,在網路安全審查領導機制層面,明確“在中央網路安全和資訊化委員會領導下”;其次,在網路安全審查工作機制層面,明確“國家網際網路資訊辦公室會同中華人民共和國國家發展和改革委員會、中華人民共和國工業和資訊化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局建立國家網路安全審查工作機制”;再次,在網路安全審查工作機制層面,明確“網路安全審查辦公室設在國家網際網路資訊辦公室,負責制定網路安全審查相關制度規範,組織網路安全審查”。
與徵求意見稿相比,《辦法》將中國證券監督管理委員會新增納入網路安全審查工作機制,不僅呼應了國外上市資料安全保護之立法目的,更意在強化後續相關網路安全審查工作的專業性和權威性。
(二)審查物件
《辦法》對審查物件的規定,主要包括被審查者主體和被審查者行為兩方面。
首先,從被審查者主體方面看。《辦法》將被審查者統稱為“當事人”,包括兩類主體。一是關鍵資訊基礎設施運營者,《辦法》刪除了徵求意見稿對於運營者的定義(“是指經關鍵資訊基礎設施保護工作部門認定的運營者”),很大程度上是因為《關鍵資訊基礎設施安全保護條例》已經生效,且明確規定了關基的認定程式,此處從其規定即可,而不必再行明文。二是網路平臺運營者,《辦法》對於網路平臺運營者的範圍沒有做出具體規定,但從《辦法》第二條、第七條等內容看,應當包括但不限於“掌握超過100萬使用者個人資訊的網路平臺運營”,這只是網路平臺運營者中的一類具體代表。
其次,從被審查者行為方面看。《辦法》不僅明確了兩類不同主體有不同的審查側重點,也以專門條款明確列舉了一般的審查物件範圍。一是審查側重點,對關基運營者側重於審查“採購網路產品和服務”的行為;對於平臺運營者則側重於“資料處理活動”;二是審查物件範圍,即《辦法》第十條規定的7類重點風險因素,包括是否存在設施被控制破壞、業務連續性中斷、供應中斷、違反法規、重要核心資料資訊出境、重要資料資訊被外方控制利用、其他等情形。
(三)審查流程
《辦法》明確規定了網路安全審查的兩類審查程式,即一般審查程式和特別審查程式。
一是一般審查程式。從《辦法》內容來看,一般審查程式應當是大多數網路安全審查案件適用的審查程式,包含審查發起、審查期限和審查實施3個要點。(1)在審查發起方面,一般審查程式的發起包括當事人“申報”發起(《辦法》第五條、第七條),和審查工作機制成員單位“研判”發起(《辦法》第十六條)兩種情況。(2)在審查期限方面,一般審查程式通常需在啟動審查後60個工作日內(在觸發特別程式時,該期限將延長至150個工作日甚至更長)完成,包括:初步審查30工作日內(或45個工作日內)、初步審查內部反饋意見(15個工作日內)。(3)在審查實施方面,一般審查程式由網路安全審查辦公室具體組織實施,並按審查相關制度規範,將審查結論通知當事人或將審查轉入特別程式。
二是特別審查程式。《辦法》充分考量審查結論的權威性、審慎性,在一般審查程式基礎上專設“特別審查程式”。“特別審查程式”在啟動條件、審查期限、審查實施等方面,都體現了立法的謹慎性。(1)啟動條件:《辦法》第十二條明確規定了“特別審查程式”的適用條件,即“網路安全審查工作機制成員單位、相關部門(對審查結論建議)意見不一致的,按照特別審查程式處理”。(2)審查期限:對於特別審查程式的審查期限,也規定了較長的期限“90個工作日內完成,情況複雜的可以延長”,且該期限不包含第十五條所規定的“提交補充材料的時間”。(3)審查實施:《辦法》明確了特別程式需遵循更嚴格的實施流程,包括聽取意見、分析評估、提出結論建議、徵求意見、報網信委批准、形成結論、通知當事人等7個環節(《辦法》第十三條)。
三、《辦法》對產業供給的影響分析
《辦法》的正式釋出,進一步明確了對關鍵資訊基礎設施供應鏈安全保護的相關要求,為網路安全產業的高質量發展指明瞭方向。
一是提升關鍵資訊基礎設施安全供給能力。網路安全產業在落實《辦法》要求、支撐和保障關鍵資訊基礎設施供應鏈相關安全方面,可發揮制度參與、技術產品及方案提供、服務支撐三方面作用。(1)在關基供應鏈保護制度參與方面,網路安全企業和行業可以透過自身業務實踐,參與和支援相關的制度標準,如“關鍵資訊基礎設施供應鏈安全要求”“關鍵資訊基礎設施安全檢查評估要求”“關鍵資訊基礎設施安全保護技術要求”等等。(2)在關基供應鏈保護產品和方案方面,強化關基安全相關技術研發和產品研製,如“關鍵資訊基礎設施安全風險感知和識別”“關鍵資訊基礎設施系統漏洞檢測”“關鍵資訊基礎設施網路威脅溯源和取證”等等。(3)在關基供應鏈保護服務支撐方面,強化試點和服務運營等能力全面服務關基保護相關工作,包括“關鍵資訊基礎設施安全應急演練”“關鍵資訊基礎設施安全培訓”“關鍵資訊基礎設施安全一體化運營服務”等等。
二是提升資料安全防護供給能力。網路安全產業在落實《辦法》相關要求、支撐和保障資料安全方面,也可發揮至少三方面作用。(1)在參與和支撐相關資料安全制度完善方面,企業和行業可重點圍繞“資料出境安全評估”“重要網路安全服務產品和服務目錄”“資料安全審查辦法”等方向,加強探索並積累實踐案例。(2)在相關資料安全產品和方案方面,重點開展“資料分類分級管理”“敏感資料識別”“資料安全風險評估”“資料安全審計”等技術產品方案研發。(3)在有關資料安全服務支撐方面,強化“資料安全應急”“重要資料災備與恢復”“資料溯源取證”服務支撐能力和隊伍建設等。
《辦法》的釋出不僅在管理方面最佳化和完善了我國網路安全審查制度的基本設計,更為網路安全產業的發展明確了方向。綠盟科技將繼續秉承“專攻術業,成就所託”的宗旨,繼續深耕網路安全,務實創新、穩步前行,為我國網路安全審查制度的完善和關鍵資訊基礎設施保護工作的發展,持續貢獻綿薄。