一直以來,網絡安全是懸掛在企業頭頂的達摩克利斯之劍。按照《網絡安全法》的相關規定,在中華人民共和國境內建設、運營、維護和使用網絡的企業應做好網絡安全工作,包括做好網絡安全等級保護制度;購買的網絡產品、服務應服務國家標準的強制性要求;做好個人信息保護工作;落實網絡實名制要求等。近年來,筆者在為大數據公司、互聯網企業、高新技術企業等提供法律服務的過程中,梳理了網絡安全的合規要點,形成以下系列文章,希望對讀者有所裨益。
天衡研究丨網絡安全系列(一)“網絡實名制”認證模式的入刑風險(上)
天衡研究丨網絡安全系列(一)“網絡實名制”認證模式的入刑風險(下)
天衡研究 | 網絡安全系列(二):一文解讀網絡安全等級保護制度
01
網絡安全審查制度的歷史沿革
所謂的網絡安全審查制度,是指關鍵信息基礎設施運營者采購網絡產品和服務,數據處理者開展數據處理活動,影響或可能影響國家安全的,應當依法進行網絡安全審查。
2016年《網絡安全法》
全國人大常委會頒布的《網絡安全法》第35條規定:“關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。”該條款確立了網絡產品和服務的安全審查制度。
2017年《網絡產品和服務安全審查辦法(試行)》
在2017年國家互聯網信息辦公室發布《網絡產品和服務安全審查辦法(試行)》(下稱“2017年版辦法(試行)”,已失效),初步落地網絡安全審查制度。《2017年版辦法(試行)》生效日與《網絡安全法》同在2017年6月1日,發布時間較為急迫,缺乏論證,正如其標題所示,僅為“試行”作用。舉例來說,《2017年版辦法》規定關系國家安全的網絡和信息系統采購的重要網絡產品和服務,應當經過網絡安全審查,并且采用第三方評價與政府持續監管相結合的方式進行監管。但是,由于“重要網絡產品和服務”的定義難以把握,實務中容易發展成全部的網絡產品和服務均需進行網絡安全審查,且審查主體一旦涉及第三方,容易導致權力尋租,關于國家安全的大事不可兒戲。
2019年《網絡安全審查辦法(征求意見稿)》
2019年,國家互聯網信息辦公室另行發布《網絡安全審查辦法(征求意見稿)》(下稱“2019年版辦法(征求意見稿)”),《2019年版辦法(征求意見稿)》將審查對象界定為“關鍵信息基礎設施運營者采購的網絡產品和服務”,且出現“影響或可能影響國家安全的”才需要進行網絡安全審查;監管主體不再包括外界第三方評價,而是“中央網絡安全和信息化委員會統一領導網絡安全審查工作”,“國家互聯網信息辦公室會同國家發展和改革委員會、工業和信息化部、公安部、國家安全部、商務部、財政部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局建立國家網絡安全審查工作機制。網絡安全審查辦公室設在國家互聯網信息辦公室,負責組織制定網絡安全審查相關制度規定和工作程序、組織網絡安全審查、監督審查決定的實施”。并對網絡安全審查的流程,以及主動審查、被動審查的條件做了詳細規定。
2020年《網絡安全審查辦法(2020年版)》
2020年,國家互聯網信息辦公室在征求意見并做了修改后,正式發布了《網絡安全審查辦法》(下稱“2020年版辦法”)。
2021年《網絡安全審查辦法(2021年版)》
2021年,隨著數據成為國家的第五大生產要素,我國開始從國家戰略高度重視數據安全。2021年6月30日,滴滴在美國紐交所上市事件成為《網絡安全審查辦法》將監管對象擴大至“網絡平臺運營者開展數據處理活動”的重要動因。滴滴上市后的第二天,網絡安全審查辦公室對滴滴實施網絡安全審查,滴滴上市后第10天,國家互聯網信息辦公室發布《網絡安全審查辦法(修改草案征求意見稿)》(下稱“2021年版辦法(征求意見稿)”)。
《2021年版辦法(征求意見稿)》新增“數據處理者開展數據處理活動,影響或者可能影響國家安全的,應當按照本辦法進行網絡安全審查”;“掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查”等。2021年12月28日,在吸收征求意見的基礎上,國家正式發布《網絡安全審查辦法》(下稱“2021年版辦法”),該辦法將于2022年2月15日正式生效。
筆者制作《<網絡安全審查辦法>重要修訂的各版本比對表》,下載方式詳見文章末尾。
02網絡安全審查制度的概念厘清
對于如何理解《網絡安全審查辦法》的關鍵信息基礎設施運營者、網絡平臺運營者等核心概念,一直以來爭論不休。筆者認為,核心概念的厘清是理解《網絡安全審查辦法》的基石,必須熟練掌握。
(一)何為“關鍵信息基礎設施運營者”
筆者認為,要理解何為“關鍵信息基礎設施運營者”,首先需要理解“關鍵信息基礎設施”的內涵。《網絡安全法》第31條規定:“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。”
為此,國務院在2021年7月30日正式發布《關鍵信息基礎設施安全保護條例》,該條例第2條規定:“本條例所稱關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。”
可見,關鍵信息基礎設施主要包括影響國民基礎設施建設的重要網絡設施、信息系統,那么,何為“重要網絡設施”和“信息系統”呢?2020年9月22日公安部發布《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》規定:“應將符合認定條件的基礎網絡、大型專網、核心業務系統、云平臺、大數據平臺、物聯網、工業控制系統、智能制造系統、新型互聯網、新興通訊設施等重點保護對象納入關鍵信息基礎設施。關鍵信息基礎設施清單實行動態調整機制,有關網絡設施、信息系統發生較大變化,可能影響其認定結果的,運營者應及時將相關情況報告保護工作部門,保護工作部門應組織重新認定,將認定結果通知運營者,并報公安部。”
據此,初步判斷,所謂的重要網絡和信息系統應當包括符合認定條件的基礎網絡、大型專網、核心業務系統、云平臺、大數據平臺、物聯網、工業控制系統、智能制造系統、新型互聯網、新興通訊設施等。
在理解“關鍵信息基礎設施”的內涵后,就不難理解運營者的概念了。根據《2020年版辦法》第20條規定:“本辦法中關鍵信息基礎設施運營者是指經關鍵信息基礎設施保護工作部門認定的運營者。”那么,關鍵信息基礎設施保護工作部門有哪些呢?《關鍵信息基礎設施安全保護條例》進一步給出了答案,該條例第2條規定“本條例所稱關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。”第8條規定:“本條例第2條涉及的重要行業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門。”因此,可以看出關鍵信息基礎設施保護工作部門主要包括公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的主管、監管部門,具體來說主要包括工信部、發改委、交通運輸部、水利部、中國人民銀行、銀保監會、證監會、國防部等。
綜上所述,工信部、發改委、交通運輸部、水利部、中國人民銀行、銀保監會、證監會、國防部如果能夠出具認定關鍵信息基礎設施運營者的名單,則該名單為最具權威性的認定文件。如未能出具具體名單,則應在《關鍵信息基礎設施安全保護條例》的基礎上,輔以關注前述部門的動態,方便跟蹤認定關鍵信息基礎設施運營者的最新認定方法。
(二)何為“網絡平臺運營者”
實際上,《2021年版辦法(征求意見稿)》新增的監管對象并非“網絡平臺運營者”,而是“數據處理者”。所謂的“數據處理者”,按照《數據安全法》第2條對于數據處理的定義而言,“數據處理者”主要指“進行數據的收集、存儲、使用、加工、傳輸、提供、公開等行為的運營者”。然而,正式版的《網絡安全審查辦法》將“數據處理者”修改為“網絡平臺運營者”,那么何為 “網絡平臺運營者”,2021年版《網絡安全審查辦法》并未對此作出界定。2021年版《網絡安全審查辦法》第7條規定掌握超過100萬用戶個人信息的網絡平臺運營者國外上市需要經過網絡安全審查,是否意味著傳統的制造業雖然掌握超過100萬用戶個人信息,但不屬于網絡平臺運營者的角色,在國外上市中就不需要經過網絡安全審查了呢?
《網絡安全法》第76條第(三)款規定:“網絡運營者,是指網絡的所有者、管理者和網絡服務提供者。”該條款雖然針對的僅是網絡運營者,而非網絡平臺運營者,但結合《互聯網平臺分類分級指南(征求意見稿)》的相關定義和分類,大體可以知道網絡平臺運營者是指網絡平臺的所有者、管理者和網絡服務提供者。網絡平臺大致分為網絡銷售類平臺、生活服務類平臺、社交娛樂類平臺、信息資訊類平臺、金融服務類平臺以及計算應用類平臺。具體如下表所示:
因此,所謂的平臺不僅只包括第三方平臺,還包括自營平臺等,且此類平臺涵蓋面極廣,可以是提供商品、服務、勞動力、信息,也可以是提供金融資金、計算能力等。有實務專家提出來,當企業掌握了100萬以上用戶個人信息時,其如果不涉及通過網絡提供服務,是無法想象的。確實,在互聯網時代,幾乎所有大型企業都需要搭建平臺以實現貨銷全球的戰略,因此,筆者認為所謂的“網絡平臺運營者”就是該字面理解的意思,即:網絡平臺的所有者、管理者和網絡服務提供者。
03網絡安全審查制度的審查流程
《2017年版辦法(試行)》對于網絡安全審查制度的審查流程并未做過多規定,但此后無論是《2019年版辦法(征求意見稿)》《2020年版辦法》,還是《2021年版辦法(征求意見稿)》抑或2021年正式版《網絡安全審查辦法》,都對于網絡安全審查的流程做了較為詳細的規定,當然2021年正式版《網絡安全審查辦法》在之前版本以及征求意見稿的基礎上,做了新增和修改。具體為:
首先,對于關鍵信息基礎設施運營者而言,當事人在采購網絡產品和服務,應當預判該產品和服務投入使用后可能帶來的國家安全風險,如認為可能影響或者可能影響國家安全的,應當向網絡安全審查辦公室申報網絡安全審查,同時當事人應當要求產品和服務提供者配合網絡安全審查;對于網絡平臺運營者而言,如當事人掌握超過100萬用戶個人信息赴國外上市的,必須向網絡安全審查辦公室申報網絡安全審查。
其次,當事人申報網絡安全審查,應當提交材料包括:申報書;關于影響或者可能影響國家安全的分析報告;采購文件、協議、擬簽訂的合同或者擬提交的首次公開募股(IPO)等上市申請文件;網絡安全審查工作需要的其他材料等。
再次,網絡安全審查辦公室應當自收到審查申報材料起10個工作日內,確定是否需要審查并書面通知當事人。網絡安全審查辦公室認為需要開展網絡安全審查的,應當自向當事人發出書面通知之日起30個工作日內完成初步審查,包括形成審查結論建議和將審查結論建議發送網絡安全審查工作機制成員單位、相關部門征求意見;情況復雜的,可以延長15個工作日。當網絡安全審查工作機制成員單位和相關部門應當自收到審查結論建議之日起,應在15個工作日內書面回復意見。網絡安全審查工作機制成員單位、相關部門意見一致的,網絡安全審查辦公室以書面形式將審查結論通知當事人;意見不一致的,按照特別審查程序處理,并通知當事人。
最后,如果因為意見不一致,進入特別審查程序的,網絡安全審查辦公室應當聽取相關單位和部門意見,進行深入分析評估,再次形成審查結論建議,并征求網絡安全審查工作機制成員單位和相關部門意見,按程序報中央網絡安全和信息化委員會批準后,形成審查結論并書面通知當事人。特別審查程序一般應當在90個工作日內完成,情況復雜的可以延長。
當然,網絡安全審查辦公室要求提供補充材料的,當事人、產品和服務提供者應當予以配合。提交補充材料的時間不計入審查時間。
前文論述的均為當事人主動報請網絡安全審查的情形,實際上,無論是2020版《網絡安全審查辦法》還是2021年正式版《網絡安全審查辦法》,都規定了網絡安全審查工作機制成員單位的主動審查職權,即認為影響或者可能影響國家安全的網絡產品和服務以及數據處理活動,由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后,依照本辦法的規定進行審查。滴滴事件正是經由中央網絡安全和信息化委員會在極短時間內正式批準采取網絡安全主動審查職權的典型案例。
具體流程詳見下圖:
