一直以来,网络安全是悬挂在企业头顶的达摩克利斯之剑。按照《网络安全法》的相关规定,在中华人民共和国境内建设、运营、维护和使用网络的企业应做好网络安全工作,包括做好网络安全等级保护制度;购买的网络产品、服务应服务国家标准的强制性要求;做好个人信息保护工作;落实网络实名制要求等。近年来,笔者在为大数据公司、互联网企业、高新技术企业等提供法律服务的过程中,梳理了网络安全的合规要点,形成以下系列文章,希望对读者有所裨益。
天衡研究丨网络安全系列(一)“网络实名制”认证模式的入刑风险(上)
天衡研究丨网络安全系列(一)“网络实名制”认证模式的入刑风险(下)
天衡研究 | 网络安全系列(二):一文解读网络安全等级保护制度
01
网络安全审查制度的历史沿革
所谓的网络安全审查制度,是指关键信息基础设施运营者采购网络产品和服务,数据处理者开展数据处理活动,影响或可能影响国家安全的,应当依法进行网络安全审查。
2016年《网络安全法》
全国人大常委会颁布的《网络安全法》第35条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”该条款确立了网络产品和服务的安全审查制度。
2017年《网络产品和服务安全审查办法(试行)》
在2017年国家互联网信息办公室发布《网络产品和服务安全审查办法(试行)》(下称“2017年版办法(试行)”,已失效),初步落地网络安全审查制度。《2017年版办法(试行)》生效日与《网络安全法》同在2017年6月1日,发布时间较为急迫,缺乏论证,正如其标题所示,仅为“试行”作用。举例来说,《2017年版办法》规定关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查,并且采用第三方评价与政府持续监管相结合的方式进行监管。但是,由于“重要网络产品和服务”的定义难以把握,实务中容易发展成全部的网络产品和服务均需进行网络安全审查,且审查主体一旦涉及第三方,容易导致权力寻租,关于国家安全的大事不可儿戏。
2019年《网络安全审查办法(征求意见稿)》
2019年,国家互联网信息办公室另行发布《网络安全审查办法(征求意见稿)》(下称“2019年版办法(征求意见稿)”),《2019年版办法(征求意见稿)》将审查对象界定为“关键信息基础设施运营者采购的网络产品和服务”,且出现“影响或可能影响国家安全的”才需要进行网络安全审查;监管主体不再包括外界第三方评价,而是“中央网络安全和信息化委员会统一领导网络安全审查工作”,“国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室,负责组织制定网络安全审查相关制度规定和工作程序、组织网络安全审查、监督审查决定的实施”。并对网络安全审查的流程,以及主动审查、被动审查的条件做了详细规定。
2020年《网络安全审查办法(2020年版)》
2020年,国家互联网信息办公室在征求意见并做了修改后,正式发布了《网络安全审查办法》(下称“2020年版办法”)。
2021年《网络安全审查办法(2021年版)》
2021年,随着数据成为国家的第五大生产要素,我国开始从国家战略高度重视数据安全。2021年6月30日,滴滴在美国纽交所上市事件成为《网络安全审查办法》将监管对象扩大至“网络平台运营者开展数据处理活动”的重要动因。滴滴上市后的第二天,网络安全审查办公室对滴滴实施网络安全审查,滴滴上市后第10天,国家互联网信息办公室发布《网络安全审查办法(修改草案征求意见稿)》(下称“2021年版办法(征求意见稿)”)。
《2021年版办法(征求意见稿)》新增“数据处理者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查”;“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”等。2021年12月28日,在吸收征求意见的基础上,国家正式发布《网络安全审查办法》(下称“2021年版办法”),该办法将于2022年2月15日正式生效。
笔者制作《<网络安全审查办法>重要修订的各版本比对表》,下载方式详见文章末尾。
02网络安全审查制度的概念厘清
对于如何理解《网络安全审查办法》的关键信息基础设施运营者、网络平台运营者等核心概念,一直以来争论不休。笔者认为,核心概念的厘清是理解《网络安全审查办法》的基石,必须熟练掌握。
(一)何为“关键信息基础设施运营者”
笔者认为,要理解何为“关键信息基础设施运营者”,首先需要理解“关键信息基础设施”的内涵。《网络安全法》第31条规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”
为此,国务院在2021年7月30日正式发布《关键信息基础设施安全保护条例》,该条例第2条规定:“本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”
可见,关键信息基础设施主要包括影响国民基础设施建设的重要网络设施、信息系统,那么,何为“重要网络设施”和“信息系统”呢?2020年9月22日公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》规定:“应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。关键信息基础设施清单实行动态调整机制,有关网络设施、信息系统发生较大变化,可能影响其认定结果的,运营者应及时将相关情况报告保护工作部门,保护工作部门应组织重新认定,将认定结果通知运营者,并报公安部。”
据此,初步判断,所谓的重要网络和信息系统应当包括符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等。
在理解“关键信息基础设施”的内涵后,就不难理解运营者的概念了。根据《2020年版办法》第20条规定:“本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。”那么,关键信息基础设施保护工作部门有哪些呢?《关键信息基础设施安全保护条例》进一步给出了答案,该条例第2条规定“本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”第8条规定:“本条例第2条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。”因此,可以看出关键信息基础设施保护工作部门主要包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门,具体来说主要包括工信部、发改委、交通运输部、水利部、中国人民银行、银保监会、证监会、国防部等。
综上所述,工信部、发改委、交通运输部、水利部、中国人民银行、银保监会、证监会、国防部如果能够出具认定关键信息基础设施运营者的名单,则该名单为最具权威性的认定文件。如未能出具具体名单,则应在《关键信息基础设施安全保护条例》的基础上,辅以关注前述部门的动态,方便跟踪认定关键信息基础设施运营者的最新认定方法。
(二)何为“网络平台运营者”
实际上,《2021年版办法(征求意见稿)》新增的监管对象并非“网络平台运营者”,而是“数据处理者”。所谓的“数据处理者”,按照《数据安全法》第2条对于数据处理的定义而言,“数据处理者”主要指“进行数据的收集、存储、使用、加工、传输、提供、公开等行为的运营者”。然而,正式版的《网络安全审查办法》将“数据处理者”修改为“网络平台运营者”,那么何为 “网络平台运营者”,2021年版《网络安全审查办法》并未对此作出界定。2021年版《网络安全审查办法》第7条规定掌握超过100万用户个人信息的网络平台运营者国外上市需要经过网络安全审查,是否意味着传统的制造业虽然掌握超过100万用户个人信息,但不属于网络平台运营者的角色,在国外上市中就不需要经过网络安全审查了呢?
《网络安全法》第76条第(三)款规定:“网络运营者,是指网络的所有者、管理者和网络服务提供者。”该条款虽然针对的仅是网络运营者,而非网络平台运营者,但结合《互联网平台分类分级指南(征求意见稿)》的相关定义和分类,大体可以知道网络平台运营者是指网络平台的所有者、管理者和网络服务提供者。网络平台大致分为网络销售类平台、生活服务类平台、社交娱乐类平台、信息资讯类平台、金融服务类平台以及计算应用类平台。具体如下表所示:
因此,所谓的平台不仅只包括第三方平台,还包括自营平台等,且此类平台涵盖面极广,可以是提供商品、服务、劳动力、信息,也可以是提供金融资金、计算能力等。有实务专家提出来,当企业掌握了100万以上用户个人信息时,其如果不涉及通过网络提供服务,是无法想象的。确实,在互联网时代,几乎所有大型企业都需要搭建平台以实现货销全球的战略,因此,笔者认为所谓的“网络平台运营者”就是该字面理解的意思,即:网络平台的所有者、管理者和网络服务提供者。
03网络安全审查制度的审查流程
《2017年版办法(试行)》对于网络安全审查制度的审查流程并未做过多规定,但此后无论是《2019年版办法(征求意见稿)》《2020年版办法》,还是《2021年版办法(征求意见稿)》抑或2021年正式版《网络安全审查办法》,都对于网络安全审查的流程做了较为详细的规定,当然2021年正式版《网络安全审查办法》在之前版本以及征求意见稿的基础上,做了新增和修改。具体为:
首先,对于关键信息基础设施运营者而言,当事人在采购网络产品和服务,应当预判该产品和服务投入使用后可能带来的国家安全风险,如认为可能影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查,同时当事人应当要求产品和服务提供者配合网络安全审查;对于网络平台运营者而言,如当事人掌握超过100万用户个人信息赴国外上市的,必须向网络安全审查办公室申报网络安全审查。
其次,当事人申报网络安全审查,应当提交材料包括:申报书;关于影响或者可能影响国家安全的分析报告;采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;网络安全审查工作需要的其他材料等。
再次,网络安全审查办公室应当自收到审查申报材料起10个工作日内,确定是否需要审查并书面通知当事人。网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。当网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起,应在15个工作日内书面回复意见。网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。
最后,如果因为意见不一致,进入特别审查程序的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知当事人。特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。
当然,网络安全审查办公室要求提供补充材料的,当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。
前文论述的均为当事人主动报请网络安全审查的情形,实际上,无论是2020版《网络安全审查办法》还是2021年正式版《网络安全审查办法》,都规定了网络安全审查工作机制成员单位的主动审查职权,即认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。滴滴事件正是经由中央网络安全和信息化委员会在极短时间内正式批准采取网络安全主动审查职权的典型案例。
具体流程详见下图:
