关键信息基础设施安全保护新标准,《网络安全审查办法(征求意见稿)》要点详解
为提高关键信息基础设施安全可控水平,维护国家安全,国家互联网信息办公室国家互联网信息办公室会同国家发展和改革委员会等11个部门联合起草了《网络安全审查办法(征求意见稿)》(以下简称《征求意见稿》),并于2019年5月21日向社会公开征求意见,意见反馈截止时间为2019年6月24日。
纵览全文,《征求意见稿》可视为《网络安全法》第三十五条“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”,以及《国家安全法》第二十五条“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”的细化和补充。《征求意见稿》通过后将替代2017年6月1日起实施的《网络产品和服务安全审查办法(试行)》(以下简称“《办法》”),且在适用范围、审查流程、领导机制上就《办法》进行了重大调整。该稿规定了关键信息基础设施运营者在采购网络产品和服务时预判风险的具体衡量标准,并明确网络安全审查工作由中央网络安全和信息化委员会统一领导,下设于国家互联网信息办公室的网络安全审查办公室负责具体审查工作。
《征求意见稿》详细地规定了网络安全审查工作的具体流程,是监管部门进行网络安全审查工作的行动指南,也是关键信息基础设施运营者(以下简称运营者)履行网络安全管理义务的重要依据。
首先,《征求意见稿》的被审查主体为经关键信息基础设施保护工作部门认定的关键信息基础设施运营者。根据《网安法》第三十二条“按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作”以及已经结束意见征求但尚未正式生效的《关键信息基础设施安全保护条例(征求意见稿)》第十九条“国家行业主管或监管部门按照关键信息基础设施识别指南,组织识别本行业、本领域的关键信息基础设施,并按程序报送识别结果”, 此处的“关键信息基础设施保护工作部门”应指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的国家行业主管或监管部门。
第二,《征求意见稿》的审查对象为影响或可能影响国家安全的网络产品和服务采购行为。
第三,网络安全审查程序的启动主要来源于运营者的申报。运营者采购网络产品和服务时,必须预判产品和服务上线运行后带来的潜在安全风险,形成安全风险报告。当采购网络产品和服务可能会导致《征求意见稿》第六条所规定的四种情况时,需要主动向网络安全审查办公室申报网络安全审查。此外,如果运营者未主动申报,而网络安全审查工作机制成员单位认为该网络产品和服务采购活动、信息技术服务活动影响或可能影响国家安全的,经网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,仍可能会进入网络安全审查程序。
第四,《征求意见稿》强调坚持事前审查与持续监管的结合。网络安全审查是事前审查的重点工作,网络安全审查办公室亦会通过抽查、接受举报等形式加强事中事后监管。因此,运营者不可因通过了网络安全审查即放松对于安全管理的要求,应时刻督促产品和服务提供者认真履行网络安全审查中作出的承诺,保障网络安全。
在事中事后监管中,《征求意见稿》援引《网络安全法》第六十五条对违反规定的运营者进行处理:关键信息基础设施的运营者使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
最后,为能直观理解《征求意见稿》的相关规定,本文将以图示方式梳理网络安全审查的具体流程:
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
