为提高关键信息基础设施安全可控水平,维护国家安全,2018年5月24日0时0分,中央网信办对外发布了《网络安全审查办法(征求意见稿)》(以下简称“《审查办法》”)。该意见稿是由国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、国家安全部等部门联合起草,共涉及12个部门;征求意见截止至2019年6月24日。《审查办法》通过后将代替已于2017年6月1日生效的《网络产品和服务安全审查办法(试行)》实施。
该《审查办法》明确要求对于申报网络安全审查的采购活动,关键信息基础设施(以下简称“CII”)运营者需要通过采购文件、合同或其他有约束力的手段要求产品和服务提供者配合网络安全审查,并与产品和服务提供者约定网络安全审查通过后合同方可生效。由此可以看出,供应链网络安全审查将成为CII运营者必须履行的一项重要合规义务。
一、网络安全审查适用范围
与《网络产品和服务安全审查办法(试行)》相比,该《审查办法》缩小了安全审查制度的适用范围,仅适用于CII运营者。此外,该《审查办法》第十九条规定,网络安全审查工作机制[1]认为影响或可能国家安全的网络产品和服务采购活动、信息技术服务活动,依照《审查办法》进行审查。
二、需要申报网络安全审查的情形
根据《审查办法》第六条,CII运营者在采购网络产品和服务时,如预判产品和服务上线运行后可能会造成以下情况的,应申请网络安全检查:
(一) CII整体停止运转或主要功能不能正常运行;
(二) 大量个人信息和重要数据泄露、丢失、毁损或出境;
(三) CII运行维护、技术支持、升级更新换代面临供应链安全威胁;
(四) 其他严重危害CII安全的风险隐患。
简而言之,CII运营者拟将采购的网络产品和服务会对CII运行安全或国家安全造成严重风险隐患的,均需要向网络安全审查办公室申报网络安全审查。
三、网络安全审查的评估内容
该《审查办法》第十条明确了网络安全审查重点评估采购活动可能给国家安全带来的风险,主要包括:
(一) 对CII持续安全稳定运行的影响,包括CII被控制、被干扰和业务连续性被损害的可能性;
(二) 导致大量个人信息和重要数据泄露、丢失、毁损、出境等的可能性;
(三) 产品和服务的可控性、透明性以及供应链安全,包括因为政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性;
(四) 对国防军工、CII相关技术和产业的影响;
(五) 产品和服务提供者遵守国家法律与行政法规情况,以及承诺承担的责任和义务;
(六) 产品和服务提供者受外国政府资助、控制等情况;
(七) 其他可能危害CII安全和国家安全的因素。
其中,第3款明示了若供应商存在因政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性,则该供应合同无法通过网络安全审查。
四、 明确划分了网络安全审查机构的职责
《审查办法》明确了各网络安全审查机构的职责,如下:
五、网络安全审查程序
相较于《网络产品和服务安全审查办法(试行)》,该《审查办法》明确了网络安全审查的程序,包括普通审查程序和特别审查程序两种,具体流程请见图。
六、法律责任
《审查办法》第十七条规定了违反网络安全审查的处罚,依照《网络安全法》第六十五条规定进行处罚,即针对使用未经安全审查或者安全审查未通过的网络产品或者服务的CII运营者,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
[1] 即国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局。