《网络安全审查办法》解读
文/张金龙
北京岳成律师事务所北京总所律师助理
国家安全一直是党和国家以及广大人民群众关注的重点领域,特别是在如今互联网时代,信息技 术的大数据化,使得人们生活越来越离不开网络信息技术,该领域也成为各国竞相发展的领域。随着 网络信息技术的发展,亦引发诸多安全问题,特别是涉及国家安全方面,是各国争相防控风险的重点。 为此,我国制定《网络安全审查办法》,针对网络安全问题进行审查,以维护并保障国家安全。《网 络安全审查办法》(以下简称"该办法")2021年12月 28日发布,于2022年2月15日生效。下面我 们从六个方面就该办法带大家进行初步了解。
第一,关键信息基础设施运营者、网络平台运营者在从事相关网络活动过程中影响或可能影响国 家安全的,依照该办法的规定进行网络安全审查。从中可以看出网络安全审查的范围主要为是否影响 或者可能影响国家安全。前述关键信息基础设施运营者的相关活动指的是采购网络产品和服务,而网 络平台运营者的相关活动指的是开展数据处理活动。此外,该办法第二十一条规定网络产品和服务的 定义,即网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储 设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网 络安全和数据安全有重要影响的网络产品和服务。
第二,该办法概括式的规定网络安全审查的方式,主要为坚持防范网络安全风险与促进先进技术 应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监 督相结合、事前事中事后监督等方式进行网络安全审查。其中该办法十九条明确写明事前事中事后监 督的方式可通过接受举报等形式加强。此外,网络安全审查办公室设在国家互联网信息办公室,负责 制定网络安全审查相关制度规范,组织网络安全审查。
第三,该办法主要规定关键信息基础设施运营者、网络平台运营者需要进行网络安全审查的情形。 1.对于关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的 国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。除此 之外,对于申报网络安全审查的采购活动,应当通过采购文件、协议等要求产品和服务提供者配合网 络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备, 无正当理由不中断产品供应或者必要的技术支持服务等。2. 对干网络平台运营者,掌握超过 100万用户 个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。3.该办法第 十六条亦规定网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及 数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。
第四,该办法也明确申报网络安全审查需要提供的材料。主要为∶申报书、关于影响或者可能影 响国家安全的分析报告、采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申 请文件、网络安全审查工作需要的其他材料。除以上材料外,在网络安全审查过程中,网络安全审查 办公室要求提供补充材料的,当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入 审查时间。值得注意的是,为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和 消减风险的措施。此外,当事人亦应当督促产品和服务提供者履行网络安全审查中作出的承诺。
第五,对于网络安全审香重点评估的风险对象主要从以下因素考虑∶ 1 产品和服务使用后带来的 关键信息基础设施被非法控制、遭受干扰或者破坏的风险。2.产品和服务供应中断对关键信息基础设 施业务连续性的危害。3.产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以 及因为政治、外交、贸易等因素导致供应中断的风险。4.产品和服务提供者遵守中国法律、行政法规、 部门规章情况。5.核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境 的风险。6.上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、 恶意利用的风险,以及网络信息安全风险。7.其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
第六,该办法规定了网络安全审查的程序。1.网络安全审查办公室应当自收到符合规定的审查申 报材料起 10个工.作日内,确定是否需要审香并书面通知当事人。2.网络安全审香办公室认为需要开展 网络安全审查的,应当自向当事人发出书面通知之日起 30个工作日内完成初步审查,包括形成审查结 论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可 以延长15个工作日。3.网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起 15 个工作日内书面回复意见。网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办 公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。4.按 照特别审查程序处理的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估,再 次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安 全和信息化委员会批准后,形成审查结论并书面通知当事人。5.特别审查程序一般应当在 90 个工作日 内完成,情况复杂的可以延长。
本次《网络安全审查办法》的生效,可见互联网时代,网络安全问题越来越是国家关注的重点, 特别是可能影响国家安全的情况下,国家加大对网络安全进行审查是一种趋势。因此,符合该办法的 当事人,应当积极进行网络安全审查,为国家的安全保驾护航。
