2017年5月2日,国家互联网信息办公室(“网信办”)发布了《网络产品和服务安全审查办法(试行)》(“《审查办法》”),《审查办法》将于2017年6月1日起正式实施。尽管《审查办法》仅有十六条规定,但其构建了网络产品和服务安全审查的基本制度框架,是《中华人民共和国网络安全法》(“《网安法》”)确立的网络安全整体制度建设的重要组成部分。此次正式发布的《审查办法》较网信办于2017年2月4日发布的《网络产品和服务安全审查办法(征求意见稿)》(“《征求意见稿》”)在多个方面做出了改进,但仍有一些内容有待进一步澄清或完善。本文拟对网络产品和服务安全审查制度的主要内容、《审查办法》的修改亮点及遗留问题进行简要梳理,为企业合规提供有益指引。

网络产品和服务安全审查的制度框架

审查办法分别从审查范围、审查内容、审查机构、网络产品和服务提供者的权利和义务,以及法律责任等方面逐步搭建了网络产品和服务安全审查的基本制度框架,具体内容总结如下:

制度框架
审查范围 关系国家安全的网络和信息系统采购的重要网络产品和服务(第2条) 可能影响国家安全的公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他关键信息基础设施的运营者采购网络产品和服务(第10条)
审查内容 网络产品和服务的安全性、可控性: 1. 产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险; 2. 产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险; 3. 产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险; 4. 产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险; 5. 其他可能危害国家安全的风险。(第4条)
审查机构 国家互联网信息办公室会同有关部门成立的网络安全审查委员会:负责审议、统一、协调工作(第5条) 网络安全审查办公室:具体组织实施(第5条) 关键信息基础设施保护工作部门:确定关键信息基础设施的运营者采购的产品和服务是否影响国家安全(第10条) 网络安全审查专家委员会:综合评估(第6条) 国家依法认定的网络安全审查第三方机构:第三方评价(第7条) 金融、电信、能源、交通等重点行业和领域主管部门:本行业、本领域的安全审查(第9条)
网络产品和服务提供者的权利义务 义务:配合网络安全审查工作,对提供材料的真实性负责(第12条) 权利(救济途径):认为第三方机构等相关单位和人员有失客观公正,或未能对审查工作中获悉的信息承担安全保密义务的,可以向网络安全审查办公室或者有关部门举报。(第14条)
法律责任 违反本办法规定的,依照有关法律法规予以处理。(第15条)

《审查办法》较《征求意见稿》的修改亮点

1. 删除“公共利益”

《审查办法》第一条[1]明确了其制定依据是《中华人民共和国国家安全法》(“《国安法》”)、《网安法》等相关法律法规。根据《国安法》第五十九条[2],国家建立国家安全审查和监管的制度和机制,针对的是“影响或者可能影响国家安全的网络信息技术产品和服务”。《网安法》第三十五条规定“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。

《审查办法》将《征求意见稿》第一条、第二条、第四条第(5)项中的“公共利益”删除,体现了在上位法的授权范围内严格制定实施办法的要求,避免对安全审查的产品和服务的范围以及审查过程中的判断标准进行任意扩大化解释。

2. 澄清重点审查标准

《审查办法》第四条明确网络安全审查重点审查网络产品和服务的安全性和可控性,其中最值得注意的是第四条的第(2)项。第(2)项将《征求意见稿》中“审查产品及关键部件研发、交付、技术支持过程中的风险”修改为“审查产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险”。

产品的研发过程涉及企业的专有技术及商业秘密等核心商业资源,要求审查研发过程中的风险,将极大增加企业的负担,并对保障企业的专有技术及商业秘密在审查过程中不受非法侵害提出更高的要求。此外,考虑到通常情况下产品研发方案落地并能实现生产后,评估其实际安全风险才更具有可操作性和实践意义,《审查办法》将审查起始点从“研发环节”延后至“生产、测试环节”也是综合考虑现实商业实践后做出的有益改进。

值得注意的是上述第四条第(2)项明确提出要审查“供应链安全风险”。结合《审查办法》第三条[3],可以看出网信办对网络产品和服务的审查倾向于实施全方位的“过程控制”,而不是“节点控制”。考虑到网络产品和服务供应链的复杂性以及多样化商业模式(比如外包情况),仅针对终端产品和服务进行审查难以保证达到网络安全审查的目的。将审查范围扩展到网络产品和服务供应链的各个环节,而不仅仅是终端产品和服务及其直接提供者,具有现实意义。

3. 明确“黑白名单”

《审查办法》第二条规定“关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查”;第十条也明确了“……重要行业和领域以及其他关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家安全审查……”,与《网安法》第三十五条相呼应并衔接。同时,《审查办法》删除了《征求意见稿》的第十条“党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务”。

上述修改澄清了《征求意见稿》公布后采购方及供应方共同面对的一项重大疑问,即对于未进行审查的处于“灰色”地带的网络产品和服务,是否可以采购?以及对于不属于“党政部门或重点行业”的采购方是否有所限制?《审查办法》的现行条文已明确了无论是否属于“党政部门或重点行业”,只要采购的产品和服务属于“关系国家安全的网络和信息系统的重要网络产品和服务”,均应经过网络安全审查,即将“未进行审查”(灰名单)和“未通过审查”(黑名单)的产品和服务完全排除在允许采购的范围之外。

4. 增强审查结果的透明度

《审查办法》第八条与《征求意见稿》相一致,规定“……对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果”;第十三条将《征求意见稿》中“网络安全审查办公室不定期发布对网络产品和服务提供者的安全评估报告”修改为“……不定期发布网络产品和服务安全评估报告”。

此前《征求意见稿》中“网络产品和服务的审查”与“网络产品和服务提供者的安全评估”之间的关系不明确,且“网络产品和服务提供者安全评估报告”的用途和影响也难以判断。有些企业甚至担心对提供者的安全评估报告是否相当于一份“企业黑名单”,凡是在此报告中被消极评价的供应商所提供的所有网络产品和服务都会受到安全评估报告的影响。《审查办法》在一定程度上厘清了相关问题,明确评估报告是针对“网络产品和服务”,而不是对“提供者”安全性和可信性的定性结果。此外,不定期发布评估报告能够对有采购需求的企业等主体在采购产品或服务时提供明确的指引,增强了在实践中的可操作性。

5. 增加救济途径及罚则

《审查办法》第十四条[4]赋予网络产品和服务提供者在认为第三方机构的评估有失客观公正等情况下向网络安全审查办公室进行举报的权利。第十五条则明确了对违反《审查办法》的行为的依法处理。新增的救济途径与罚则条款弥补了《征求意见稿》中的缺失。

《审查办法》尚待进一步澄清或完善的内容

1. 须经审查的产品和服务范围

《审查办法》第二条规定“关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查”。但“关系国家安全的网络和信息系统”的定义和范围,以及如何判断此类网络和信息系统中的哪些部分构成“重要网络产品和服务”仍然没有在《审查办法》中予以明确,《审查办法》的适用范围对企业而言仍具有不确定性。

结合《网安法》和《审查办法》上下文,可以初步判断“关系国家安全的网络和信息系统”至少应包括“关键信息基础设施”。据悉,网信办有望于近期发布“关键信息基础设施识别指南”,从而为《审查办法》第二条项下的部分适用范围的判断提供指引。但是,除“关键信息基础设施”之外的“其他关系国家安全的网络和信息系统”的边界如何划定?判断标准以及决定机构的不明确等遗留问题仍然有待未来通过详细指南提供可操作的指引。

此外,“重要网络产品和服务”的概念仍然过于宽泛,如不进一步细化识别标准,很容易导致实践中的任意扩大适用,给企业带来巨大的不确定性。由于《审查办法》的上位法包括《网安法》,实践中是否可以考虑在现行的网络安全法规框架体系下比照类似的标准执行?例如,《网安法》第二十三条[5]规定的“网络关键设备和网络安全专用产品目录”是否可以作为识别“重要网络产品和服务”的部分参照?

2. 对网络产品和服务“提供者”及“供应链”的审查

《审查办法》第三条[6]和第十一条[7]删除了《征求意见稿》中与“对网络产品和服务提供者进行审查”相关的表述,并且第十三条[8]也相应地将“发布对网络产品和服务提供者的安全评估报告”修改为“发布网络产品和服务安全评估报告”。上述修改明确了安全审查着眼于“网络产品和服务”本身,而非“提供者”。之前企业所担心的针对企业本身的安全审查从以上改动来看,似乎已经排除在安全审查之外。

然而,值得注意的是,《审查办法》第四条对于审查内容的规定中,仍然保留了“产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险”。此外,《审查办法》第六条[9]也仍然将“网络产品和服务提供者的安全可信状况”纳入了网络安全审查专家委员会综合评估的考虑因素之中。因此从《审查办法》目前的条文来看,尚不能排除对于“网络产品和服务提供者”的审查。

最后,如上所述,《评估办法》第三条和第四条第(2)项明确提出要审查“供应链安全风险”,尽管将审查扩展到整个供应链对于识别与防范安全风险是必要的,但“供应链”审查是否有可能扩展至产品和服务提供者以及所有相关技术、生产等外包服务方或支持方?这一问题仍有待在今后的操作实践中予以澄清。

3. 救济途径

如上文所述,《审查办法》第十四条规定了网络产品和服务提供者在认为第三方机构的评估有失客观公正等情况下向网络安全审查办公室进行举报的权利。然而《审查办法》但并未设置提供者就网络安全审查办公室的审查决定进行救济或申诉的途径。例如,如果审查未通过,提供者是否可以就经改进后的同样产品和服务申请再次审查?如果提供者在对第三方机构的评估并无异议的前提下,对网络安全审查办公室公布的审查决定提出异议,提供者是否以及可以向什么机构提出申诉?

4. 罚则宽泛不明确

《审查办法》第十五条规定“违反本办法规定的,依照有关法律法规予以处理”。除《网安法》第六十五条[10]对关键信息基础设施的运营者采购未经审查或审查未通过的网络产品和服务的罚则外,“有关法律法规”的表述过于宽泛,会导致相关方就可能产生的惩罚及责任后果缺乏明确的预期。

5. 有待进一步确认的程序

《审查办法》第七条规定“国家依法认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作”。但对于其中“依法”的依据尚不明确,网信部门是否会制定具体的第三方机构资质、认定标准及具体程序,仍有待进一步确认。

此外,《审查办法》第八条[11]中规定“网络安全审查办公室按照国家有关要求……按程序确定审查对象……”,但目前确定审查对象的具体程序还未有明确规定,未来网信部门是否会制定并公布相关的程序规定也将是企业关心的焦点。

《审查办法》作为《网安法》配套实施细则之一,在《网安法》生效之前率先成文并公布,宏观上体现了国家坚决维护国家安全与网络主权的决心和执行力,另一方面也可以看出国家对于网络产品和服务安全审查的重视程度。尽管目前《审查办法》的具体操作方式方法还有待澄清,但不可否认的是《审查办法》已经构建了网络产品和服务安全审查的基本制度框架。可以预见的是网络产品和服务安全审查工作将在《审查办法》生效后全面展开。考虑到安全审查结果不仅限制企业、机关和单位等主体的特定网络产品和服务的采购,也可能直接影响企业网络产品和服务的销售,我们将与企业一起密切关注《审查办法》操作指南的进展以及执法实践,尽量避免企业的经营活动受到负面影响。