一直以來,網(wǎng)絡(luò)安全是懸掛在企業(yè)頭頂?shù)倪_摩克利斯之劍。按照《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定,在中華人民共和國境內(nèi)建設(shè)、運營、維護和使用網(wǎng)絡(luò)的企業(yè)應(yīng)做好網(wǎng)絡(luò)安全工作,包括做好網(wǎng)絡(luò)安全等級保護制度;購買的網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)服務(wù)國家標準的強制性要求;做好個人信息保護工作;落實網(wǎng)絡(luò)實名制要求等。近年來,筆者在為大數(shù)據(jù)公司、互聯(lián)網(wǎng)企業(yè)、高新技術(shù)企業(yè)等提供法律服務(wù)的過程中,梳理了網(wǎng)絡(luò)安全的合規(guī)要點,形成以下系列文章,希望對讀者有所裨益。
天衡研究丨網(wǎng)絡(luò)安全系列(一)“網(wǎng)絡(luò)實名制”認證模式的入刑風(fēng)險(上)
天衡研究丨網(wǎng)絡(luò)安全系列(一)“網(wǎng)絡(luò)實名制”認證模式的入刑風(fēng)險(下)
天衡研究 | 網(wǎng)絡(luò)安全系列(二):一文解讀網(wǎng)絡(luò)安全等級保護制度
01
網(wǎng)絡(luò)安全審查制度的歷史沿革
所謂的網(wǎng)絡(luò)安全審查制度,是指關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),數(shù)據(jù)處理者開展數(shù)據(jù)處理活動,影響或可能影響國家安全的,應(yīng)當依法進行網(wǎng)絡(luò)安全審查。
2016年《網(wǎng)絡(luò)安全法》
全國人大常委會頒布的《網(wǎng)絡(luò)安全法》第35條規(guī)定:“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。”該條款確立了網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全審查制度。
2017年《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》
在2017年國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》(下稱“2017年版辦法(試行)”,已失效),初步落地網(wǎng)絡(luò)安全審查制度。《2017年版辦法(試行)》生效日與《網(wǎng)絡(luò)安全法》同在2017年6月1日,發(fā)布時間較為急迫,缺乏論證,正如其標題所示,僅為“試行”作用。舉例來說,《2017年版辦法》規(guī)定關(guān)系國家安全的網(wǎng)絡(luò)和信息系統(tǒng)采購的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)當經(jīng)過網(wǎng)絡(luò)安全審查,并且采用第三方評價與政府持續(xù)監(jiān)管相結(jié)合的方式進行監(jiān)管。但是,由于“重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)”的定義難以把握,實務(wù)中容易發(fā)展成全部的網(wǎng)絡(luò)產(chǎn)品和服務(wù)均需進行網(wǎng)絡(luò)安全審查,且審查主體一旦涉及第三方,容易導(dǎo)致權(quán)力尋租,關(guān)于國家安全的大事不可兒戲。
2019年《網(wǎng)絡(luò)安全審查辦法(征求意見稿)》
2019年,國家互聯(lián)網(wǎng)信息辦公室另行發(fā)布《網(wǎng)絡(luò)安全審查辦法(征求意見稿)》(下稱“2019年版辦法(征求意見稿)”),《2019年版辦法(征求意見稿)》將審查對象界定為“關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”,且出現(xiàn)“影響或可能影響國家安全的”才需要進行網(wǎng)絡(luò)安全審查;監(jiān)管主體不再包括外界第三方評價,而是“中央網(wǎng)絡(luò)安全和信息化委員會統(tǒng)一領(lǐng)導(dǎo)網(wǎng)絡(luò)安全審查工作”,“國家互聯(lián)網(wǎng)信息辦公室會同國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部、商務(wù)部、財政部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局建立國家網(wǎng)絡(luò)安全審查工作機制。網(wǎng)絡(luò)安全審查辦公室設(shè)在國家互聯(lián)網(wǎng)信息辦公室,負責組織制定網(wǎng)絡(luò)安全審查相關(guān)制度規(guī)定和工作程序、組織網(wǎng)絡(luò)安全審查、監(jiān)督審查決定的實施”。并對網(wǎng)絡(luò)安全審查的流程,以及主動審查、被動審查的條件做了詳細規(guī)定。
2020年《網(wǎng)絡(luò)安全審查辦法(2020年版)》
2020年,國家互聯(lián)網(wǎng)信息辦公室在征求意見并做了修改后,正式發(fā)布了《網(wǎng)絡(luò)安全審查辦法》(下稱“2020年版辦法”)。
2021年《網(wǎng)絡(luò)安全審查辦法(2021年版)》
2021年,隨著數(shù)據(jù)成為國家的第五大生產(chǎn)要素,我國開始從國家戰(zhàn)略高度重視數(shù)據(jù)安全。2021年6月30日,滴滴在美國紐交所上市事件成為《網(wǎng)絡(luò)安全審查辦法》將監(jiān)管對象擴大至“網(wǎng)絡(luò)平臺運營者開展數(shù)據(jù)處理活動”的重要動因。滴滴上市后的第二天,網(wǎng)絡(luò)安全審查辦公室對滴滴實施網(wǎng)絡(luò)安全審查,滴滴上市后第10天,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)安全審查辦法(修改草案征求意見稿)》(下稱“2021年版辦法(征求意見稿)”)。
《2021年版辦法(征求意見稿)》新增“數(shù)據(jù)處理者開展數(shù)據(jù)處理活動,影響或者可能影響國家安全的,應(yīng)當按照本辦法進行網(wǎng)絡(luò)安全審查”;“掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查”等。2021年12月28日,在吸收征求意見的基礎(chǔ)上,國家正式發(fā)布《網(wǎng)絡(luò)安全審查辦法》(下稱“2021年版辦法”),該辦法將于2022年2月15日正式生效。
筆者制作《<網(wǎng)絡(luò)安全審查辦法>重要修訂的各版本比對表》,下載方式詳見文章末尾。
02網(wǎng)絡(luò)安全審查制度的概念厘清
對于如何理解《網(wǎng)絡(luò)安全審查辦法》的關(guān)鍵信息基礎(chǔ)設(shè)施運營者、網(wǎng)絡(luò)平臺運營者等核心概念,一直以來爭論不休。筆者認為,核心概念的厘清是理解《網(wǎng)絡(luò)安全審查辦法》的基石,必須熟練掌握。
(一)何為“關(guān)鍵信息基礎(chǔ)設(shè)施運營者”
筆者認為,要理解何為“關(guān)鍵信息基礎(chǔ)設(shè)施運營者”,首先需要理解“關(guān)鍵信息基礎(chǔ)設(shè)施”的內(nèi)涵。《網(wǎng)絡(luò)安全法》第31條規(guī)定:“國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,實行重點保護。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦法由國務(wù)院制定。”
為此,國務(wù)院在2021年7月30日正式發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》,該條例第2條規(guī)定:“本條例所稱關(guān)鍵信息基礎(chǔ)設(shè)施,是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。”
可見,關(guān)鍵信息基礎(chǔ)設(shè)施主要包括影響國民基礎(chǔ)設(shè)施建設(shè)的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng),那么,何為“重要網(wǎng)絡(luò)設(shè)施”和“信息系統(tǒng)”呢?2020年9月22日公安部發(fā)布《貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見》規(guī)定:“應(yīng)將符合認定條件的基礎(chǔ)網(wǎng)絡(luò)、大型專網(wǎng)、核心業(yè)務(wù)系統(tǒng)、云平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、智能制造系統(tǒng)、新型互聯(lián)網(wǎng)、新興通訊設(shè)施等重點保護對象納入關(guān)鍵信息基礎(chǔ)設(shè)施。關(guān)鍵信息基礎(chǔ)設(shè)施清單實行動態(tài)調(diào)整機制,有關(guān)網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)發(fā)生較大變化,可能影響其認定結(jié)果的,運營者應(yīng)及時將相關(guān)情況報告保護工作部門,保護工作部門應(yīng)組織重新認定,將認定結(jié)果通知運營者,并報公安部。”
據(jù)此,初步判斷,所謂的重要網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)當包括符合認定條件的基礎(chǔ)網(wǎng)絡(luò)、大型專網(wǎng)、核心業(yè)務(wù)系統(tǒng)、云平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、智能制造系統(tǒng)、新型互聯(lián)網(wǎng)、新興通訊設(shè)施等。
在理解“關(guān)鍵信息基礎(chǔ)設(shè)施”的內(nèi)涵后,就不難理解運營者的概念了。根據(jù)《2020年版辦法》第20條規(guī)定:“本辦法中關(guān)鍵信息基礎(chǔ)設(shè)施運營者是指經(jīng)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門認定的運營者。”那么,關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門有哪些呢?《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》進一步給出了答案,該條例第2條規(guī)定“本條例所稱關(guān)鍵信息基礎(chǔ)設(shè)施,是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。”第8條規(guī)定:“本條例第2條涉及的重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門是負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門。”因此,可以看出關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門主要包括公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的主管、監(jiān)管部門,具體來說主要包括工信部、發(fā)改委、交通運輸部、水利部、中國人民銀行、銀保監(jiān)會、證監(jiān)會、國防部等。
綜上所述,工信部、發(fā)改委、交通運輸部、水利部、中國人民銀行、銀保監(jiān)會、證監(jiān)會、國防部如果能夠出具認定關(guān)鍵信息基礎(chǔ)設(shè)施運營者的名單,則該名單為最具權(quán)威性的認定文件。如未能出具具體名單,則應(yīng)在《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》的基礎(chǔ)上,輔以關(guān)注前述部門的動態(tài),方便跟蹤認定關(guān)鍵信息基礎(chǔ)設(shè)施運營者的最新認定方法。
(二)何為“網(wǎng)絡(luò)平臺運營者”
實際上,《2021年版辦法(征求意見稿)》新增的監(jiān)管對象并非“網(wǎng)絡(luò)平臺運營者”,而是“數(shù)據(jù)處理者”。所謂的“數(shù)據(jù)處理者”,按照《數(shù)據(jù)安全法》第2條對于數(shù)據(jù)處理的定義而言,“數(shù)據(jù)處理者”主要指“進行數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等行為的運營者”。然而,正式版的《網(wǎng)絡(luò)安全審查辦法》將“數(shù)據(jù)處理者”修改為“網(wǎng)絡(luò)平臺運營者”,那么何為 “網(wǎng)絡(luò)平臺運營者”,2021年版《網(wǎng)絡(luò)安全審查辦法》并未對此作出界定。2021年版《網(wǎng)絡(luò)安全審查辦法》第7條規(guī)定掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者國外上市需要經(jīng)過網(wǎng)絡(luò)安全審查,是否意味著傳統(tǒng)的制造業(yè)雖然掌握超過100萬用戶個人信息,但不屬于網(wǎng)絡(luò)平臺運營者的角色,在國外上市中就不需要經(jīng)過網(wǎng)絡(luò)安全審查了呢?
《網(wǎng)絡(luò)安全法》第76條第(三)款規(guī)定:“網(wǎng)絡(luò)運營者,是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。”該條款雖然針對的僅是網(wǎng)絡(luò)運營者,而非網(wǎng)絡(luò)平臺運營者,但結(jié)合《互聯(lián)網(wǎng)平臺分類分級指南(征求意見稿)》的相關(guān)定義和分類,大體可以知道網(wǎng)絡(luò)平臺運營者是指網(wǎng)絡(luò)平臺的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。網(wǎng)絡(luò)平臺大致分為網(wǎng)絡(luò)銷售類平臺、生活服務(wù)類平臺、社交娛樂類平臺、信息資訊類平臺、金融服務(wù)類平臺以及計算應(yīng)用類平臺。具體如下表所示:
因此,所謂的平臺不僅只包括第三方平臺,還包括自營平臺等,且此類平臺涵蓋面極廣,可以是提供商品、服務(wù)、勞動力、信息,也可以是提供金融資金、計算能力等。有實務(wù)專家提出來,當企業(yè)掌握了100萬以上用戶個人信息時,其如果不涉及通過網(wǎng)絡(luò)提供服務(wù),是無法想象的。確實,在互聯(lián)網(wǎng)時代,幾乎所有大型企業(yè)都需要搭建平臺以實現(xiàn)貨銷全球的戰(zhàn)略,因此,筆者認為所謂的“網(wǎng)絡(luò)平臺運營者”就是該字面理解的意思,即:網(wǎng)絡(luò)平臺的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。
03網(wǎng)絡(luò)安全審查制度的審查流程
《2017年版辦法(試行)》對于網(wǎng)絡(luò)安全審查制度的審查流程并未做過多規(guī)定,但此后無論是《2019年版辦法(征求意見稿)》《2020年版辦法》,還是《2021年版辦法(征求意見稿)》抑或2021年正式版《網(wǎng)絡(luò)安全審查辦法》,都對于網(wǎng)絡(luò)安全審查的流程做了較為詳細的規(guī)定,當然2021年正式版《網(wǎng)絡(luò)安全審查辦法》在之前版本以及征求意見稿的基礎(chǔ)上,做了新增和修改。具體為:
首先,對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者而言,當事人在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)當預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風(fēng)險,如認為可能影響或者可能影響國家安全的,應(yīng)當向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查,同時當事人應(yīng)當要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查;對于網(wǎng)絡(luò)平臺運營者而言,如當事人掌握超過100萬用戶個人信息赴國外上市的,必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。
其次,當事人申報網(wǎng)絡(luò)安全審查,應(yīng)當提交材料包括:申報書;關(guān)于影響或者可能影響國家安全的分析報告;采購文件、協(xié)議、擬簽訂的合同或者擬提交的首次公開募股(IPO)等上市申請文件;網(wǎng)絡(luò)安全審查工作需要的其他材料等。
再次,網(wǎng)絡(luò)安全審查辦公室應(yīng)當自收到審查申報材料起10個工作日內(nèi),確定是否需要審查并書面通知當事人。網(wǎng)絡(luò)安全審查辦公室認為需要開展網(wǎng)絡(luò)安全審查的,應(yīng)當自向當事人發(fā)出書面通知之日起30個工作日內(nèi)完成初步審查,包括形成審查結(jié)論建議和將審查結(jié)論建議發(fā)送網(wǎng)絡(luò)安全審查工作機制成員單位、相關(guān)部門征求意見;情況復(fù)雜的,可以延長15個工作日。當網(wǎng)絡(luò)安全審查工作機制成員單位和相關(guān)部門應(yīng)當自收到審查結(jié)論建議之日起,應(yīng)在15個工作日內(nèi)書面回復(fù)意見。網(wǎng)絡(luò)安全審查工作機制成員單位、相關(guān)部門意見一致的,網(wǎng)絡(luò)安全審查辦公室以書面形式將審查結(jié)論通知當事人;意見不一致的,按照特別審查程序處理,并通知當事人。
最后,如果因為意見不一致,進入特別審查程序的,網(wǎng)絡(luò)安全審查辦公室應(yīng)當聽取相關(guān)單位和部門意見,進行深入分析評估,再次形成審查結(jié)論建議,并征求網(wǎng)絡(luò)安全審查工作機制成員單位和相關(guān)部門意見,按程序報中央網(wǎng)絡(luò)安全和信息化委員會批準后,形成審查結(jié)論并書面通知當事人。特別審查程序一般應(yīng)當在90個工作日內(nèi)完成,情況復(fù)雜的可以延長。
當然,網(wǎng)絡(luò)安全審查辦公室要求提供補充材料的,當事人、產(chǎn)品和服務(wù)提供者應(yīng)當予以配合。提交補充材料的時間不計入審查時間。
前文論述的均為當事人主動報請網(wǎng)絡(luò)安全審查的情形,實際上,無論是2020版《網(wǎng)絡(luò)安全審查辦法》還是2021年正式版《網(wǎng)絡(luò)安全審查辦法》,都規(guī)定了網(wǎng)絡(luò)安全審查工作機制成員單位的主動審查職權(quán),即認為影響或者可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)以及數(shù)據(jù)處理活動,由網(wǎng)絡(luò)安全審查辦公室按程序報中央網(wǎng)絡(luò)安全和信息化委員會批準后,依照本辦法的規(guī)定進行審查。滴滴事件正是經(jīng)由中央網(wǎng)絡(luò)安全和信息化委員會在極短時間內(nèi)正式批準采取網(wǎng)絡(luò)安全主動審查職權(quán)的典型案例。
具體流程詳見下圖:
