文│中国法学会法治研究所副研究员 刘金瑞
近日,国家互联网信息办公室与国家发展和改革委员会等12个部门联合发布了《网络安全审查办法》(以下简称《办法》),取代了《网络产品和服务安全审查办法(试行)》(以下简称《试行办法》)。此次《办法》修订的重要背景之一是:基于网络安全考虑而出台限制贸易措施,目前已经成为影响国与国经济贸易关系的重要因素。2019年5月,美国总统特朗普签署第13873号行政令《确保信息通信技术与服务供应链安全》,以“外国竞争对手”威胁美国国家安全威胁为由,禁止交易、使用外国信息技术和服务;2019年11月,美国商务部发布了落实行政令的《规则草案》;二者共同构成了美国信息通信技术与服务交易评估审查制度。
如何切实发挥网络安全审查制度维护国家安全的作用,同时又不对正常的跨国经济贸易造成壁垒,成为《办法》修订的重要任务。对此,作为部门规章的《办法》,严格贯彻《国家安全法》《网络安全法》的规定,突出维护国家安全的价值定位,聚焦关键信息基础设施运营者采购的网络产品和服务,规定了我国关键信息基础设施供应链安全审查的基本制度架构,相较于作为规范性文件的《试行办法》有了非常大的变化和提升。以下对《办法》的五大重要变化做一简要评析。
一、立法定位和适用范围更加聚焦维护国家安全
网络安全审查制度的上位法依据是《国家安全法》第59条和《网络安全法》第35条。前者规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的网络信息技术产品和服务进行国家安全审查;后者规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
《办法》严格贯彻上位法的规定,价值定位突出维护国家安全。一是明确立法目的是“确保关键信息基础设施供应链安全,维护国家安全”(第1条)。二是明确规定适用于“关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的”情形(第2条),这里的“网络产品和服务”主要是指“核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务”(第20条)。这改变了《试行办法》把所有网络产品和服务纳入网络安全审查的做法,适用范围更加聚焦。三是在审查原则中明确“从产品和服务安全性、可能带来的国家安全风险等方面进行审查”(第3条)。四是在审查内容上明确“重点评估采购网络产品和服务可能带来的国家安全风险”,并列明了应当考虑的五项因素(第9条)。聚焦维护国家安全和供应链安全,有利于将网络安全审查制度与《网络安全法》确立的“网络关键设备和网络安全专用产品安全认证和安全检测”制度区分开来。
二、理顺了统一领导、相互协作的工作机制
《办法》理顺了网络安全审查统一协作的工作机制,改变了《试行办法》“国家互联网信息办公室会同有关部门成立网络安全审查委员会”的机制设计,也删除了其中金融、电信、能源、交通等重点行业和领域主管部门分别组织开展安全审查工作的规定。
具体而言,一是明确了由中央网络安全和信息化委员会统一领导网络安全审查工作,切实加强中央的集中统一领导,将有力推进审查工作落地实施;二是明确了《试行办法》“会同有关部门”的“有关部门”是指国家发展和改革委员会、工业和信息化部等11个部门,并要求国家互联网信息办公室会同这些部门建立国家网络安全审查工作机制(以下简称审查工作机制);三是明确了网络安全审查办公室(以下简称审查办公室)设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查,通过接受举报等形式加强事前事中事后监督;四是明确了关键信息基础设施保护工作部门可以针对本行业、本领域运营者采购网络产品和服务可能带来的国家安全风险制定预判指南。(第4条、第5条、第18条)
三、审查重点进一步突出了供应链安全
《办法》进一步明确网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,并列明了应当主要考虑的五项因素,相较于《试行办法》更加全面,具体包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。(第9条)
相较于2019年5月发布的《网络安全审查办法(征求意见稿)》,《办法》进一步突出了审查重点:一是明确“产品和服务使用后带来的重要数据被窃取、泄露、毁损的风险”属于国家安全风险,删除了“大量个人信息泄露、丢失、毁损、出境等的可能性”,有利于将涉及国家安全的重要数据和一般涉及个人和商业利益的个人信息区分开来。二是删除了“对国防军工、关键信息基础设施相关技术和产业的影响”“产品和服务提供者受外国政府资助、控制等情况”等,是因为这些情形下真正担忧的供应链中断风险完全可以被“产品和服务供应中断对关键信息基础设施业务连续性的危害”“产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”等情形所涵盖,而且更新后表述更强调产品和服务本身的安全性、可靠性以及关键信息基础设施的供应链安全,避免仅以企业接受政府资助或支持就武断地认为其提供的产品和服务并不安全。
四、规定了关键信息基础设施运营者申报和配合义务
《办法》更加聚焦关键信息基础设施供应链安全,将网络安全审查的主要义务主体和制度抓手设定成“关键信息基础设施运营者”(以下简称运营者),明确规定了运营者的网络安全审查申报和配合义务。这改变了《试行办法》将“网络产品和服务提供者”作为网络安全审查主要义务主体的规定。
具体而言,一是运营者采购网络产品和服务的,如果预判该产品和服务投入使用后影响或者可能影响国家安全的,应当向审查办公室申报网络安全审查,并提交必要的材料,包括:申报书,关于影响或可能影响国家安全的分析报告,采购文件、协议、拟签订的合同等,以及审查需要的其他材料(第5条、第7条)。二是运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等(第6条)。三是审查办公室要求提供补充材料的,运营者应当予以配合(第14条)。四是运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺(第18条)。如果运营者违反上述申报和配合义务,《办法》规定将依照《网络安全法》第65条的规定处理。
五、确立了具体清晰、操作性强的审查程序
相较于《试行办法》,《办法》删除了第三方评价、专家委员会评估等内部工作程序,进一步明确了网络安全审查的流程和时限要求,确立了具体清晰的审查程序。如此,既可以对运营者申报提供明确指引,也可以防止审查久拖不决。
一是明确了启动审查的两种方式:一种是运营者自己预判评估国家安全风险后主动向审查办公室申报,由审查办公室确定是否启动审查;另一种是审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由审查办公室按程序报中央网络安全和信息化委员会批准后启动审查。(第5条、第15条)
二是明确了一般审查程序:审查办公室应当自收到运营者申报材料起10个工作日内确定是否需要审查并书面通知运营者;需要审查的,应当自通知运营者之日起30个工作日内完成初步审查,包括形成审查结论建议并发送审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见,情况复杂的可以延长15个工作日;机制成员单位和保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见,意见一致的,审查办公室将审查结论书面通知运营者。(第8条、第10条、第11条)
三是明确了特殊审查程序:对于按照一般审查程序形成的审查结论建议,审查工作机制成员单位、相关关键信息基础设施保护工作部门意见不一致的,启动特别审查程序,并通知运营者。按照特别审查程序处理的,审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求审查工作机制成员单位和相关保护工作部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者;特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。(第12条、第13条)
对比《办法》确立的网络安全审查制度与美国信息通信技术与服务交易评估审查制度来看,可以发现美国的制度设计存在较大不确定性:一是评估审查范围非常宽泛,并不限于关键信息基础设施供应链安全。只要该交易包含外国或外国国民的利益,涉及由外国对手拥有、控制、管辖或指派的人设计、开发、制造或提供的信息通信技术或服务,可能对美国信息通信技术或服务行业、关键基础设施、数字经济安全造成不当风险,或者对美国国家安全或国民安全造成不可接受的风险,就可以进行审查。二是评估审查标准并不够明确。所谓的“不当风险”“不可接受的风险”“外国或外国国民的利益”“外国对手”等术语,语义模糊并不确定。三是评估审查程序并不够透明。美国商务部启动评估审查程序时,并不需要通知当事方,当事方只有收到美商务部部长的初步评估裁定才知道自己被评估审查,这之后才可以提出书面意见和证明材料,时限为30天,美商务部部长将据此作出最终裁定;美商务部部长可以为了美国国家安全利益改变或免除该草案所规定的任何程序。美国这种审查制度,难以对企业提供明确指引,会对很多跨国信息通信技术与服务企业的正常交易造成不利影响甚至贸易壁垒。
总之,《网络安全审查办法》作为我国网络安全审查领域首部专门性立法,标志着我国网络安全审查制度已经基本形成。该办法进一步申明了我国通过网络安全审查制度来切实维护国家安全的决心,也充分表达了不能以网络安全之名肆意设置贸易壁垒的中国立场,从国际范围来看也树立了网络安全审查立法的示范。《办法》的颁行实施,必将极大地推动和指引我国网络安全审查工作开展,进一步促进我国关键信息基础设施供应链安全保护水平的提升,有利于切实提高维护我国网络空间安全的能力,把网络强国建设不断推向前进。
(本文刊登于《中国信息安全》杂志2020年第5期)