网络产品和服务安全审查

NO.1

这是我们发布的第一篇文章

得伟君尚

《中华人民共和国网络安全法》（下称《网络安全法》）作为我国网络安全领域的基本法，创设了诸多的网络安全领域的制度性规定，其中一项重要制度就是网络安全审查制度。《网络安全法》第35条规定，“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。目前而言，网络产品和服务安全审查制度的具体要求主要规定在《网络产品和服务安全审查办法(试行)》（下称《审查办法》）中，该办法由国家互联网信息办公室于2017年5月2日发布，并于2017年6月1日和《网络安全法》同日开始实施。下文将主要围绕《审查办法》的规定对网络产品和服务安全审查制度进行解读。

一

安全审查的重要意义和目的

Cyber Security Law

在网络安全复杂化、网络威胁全球化的今天，关键网络基础设施已成为网络攻击的主要目标，并可能引发极为严重的灾难性后果。特别是网络产品和服务的供应链风险是关键信息基础设施面临的主要安全风险之一。关键信息基础设施所部署的信息技术产品和服务是否安全，将直接决定国家和社会能否良好运行。为了防止关键信息基础设施因使用的产品和服务存在安全缺陷或其他隐患而受到攻击、破坏，或者其存储、处理的数据资源被窃取、泄露，从而危害国家安全，我国《网络安全法》遵循世界贸易组织国家安全例外原则，对关键信息基础设施运营者采购网络产品或者服务的国家安全审查作出了要求。

二

安全审查的适用范围和对象

Cyber Security Law

对于网络产品和服务安全审查制度，首先需要明确的就是哪些网络产品和服务需要进行安全审查。过大的审查范围可能会不利于整个安全审查制度的落地施行，在《审查办法》的最初征求意见稿中，对于适用安全审查，除国家安全因素外，还提及了“公共利益”的考量因素。在最终发布的《审查办法》中，则相比征求意见稿对安全审查制度的适用范围作了限缩，在第1条立法目的和第2条适用范围中均去除了“公共利益”的考量。具体地，《审查办法》第2条规定“关系国家安全的网络和信息系统采购的重要网络产品和服务，应当经过网络安全审查”。

因此，可以理解为是否需要进行安全审查的判断标准就是该产品和服务是否可能会影响国家安全。对于具体哪些情形可能被认定为“涉及影响国家安全”，《审查办法》第10条作了部分的细化规定，即公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域以及其他可能影响国家安全的关键信息基础设施的运营者采购网络产品和服务，应当通过网络安全审查。故而，我们也可以理解为对于一般的网络运营者，其信息和网络安全尚不足以威胁国家安全，因此一般的网络运营者采购网络产品和服务，并不需经过网络安全审查。

但是具体到何为“可能影响国家安全”，《审查办法》只规定“产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定”，也就是事实上仍然需要有待进一步具体的实施细则颁布出台后才能明确。

三

安全审查的方式

Cyber Security Law

关于安全审查如何启动以及具体以何种方式开展安全审查，主要规定在《审查办法》的第3条和第8条中。

《审查办法》第8条规定了按照国家有关要求、根据全国性行业协会建议和用户反映等多种形式，启动安全审查程序。故依据上述规定，我们理解，网络安全审查不以企业申请为前提要件，审查部门可以依职权直接启动安全审查程序。

《审查办法》第3条规定“坚持企业承诺与社会监督相结合，第三方评价与政府持续监管相结合，实验室检测、现场检查、在线监测、背景调查相结合，对网络产品和服务及其供应链进行网络安全审查。”我们理解，据此规定，安全审查将以第三方评价与政府持续监管相结合的方式进行，且由网络安全审查专家委员会在第三方评价基础上再进行综合评估。

因此，我们预计，最终审查结论具体还是以第三方审查为主，主管部门主要进行监督，可能同时会采取抽查的方式对这些评估结果进行综合评估，不可能都全面进行综合评估，否则这一工作量将非常大。

四

安全审查的负责机构

Cyber Security Law

按照《审查办法》第5条、第6条和第7条的规定，网络安全审查的领导和具体负责机构主要包括网络安全审查委员会、网络安全审查办公室、网络安全审查专家委员会和第三方评价机构等。

·网络安全审查委员会

网络安全审查委员会将承担网络安全审查的组织、领导和协调工作，由于网络安全审查涉及多个行业和多个部门，网络安全审查委员会将会是一个跨部门的联席机构，包括国家互联网信息办公室成员及其他有关部门，而国家互联网信息办公室将会起到协调和组织的功能。

·网络安全审查办公室

网络安全审查办公室作为网络安全审查委员会的下设机构，将在网络安全审查委员会的指导下，具体负责组织实施网络安全审查，包括具体确定审查对象，组织第三方机构、专家委员会对网络产品和服务进行网络安全审查，在一定范围内通报审查结果，不定期发布网络产品和服务安全评估报告等。

·网络安全审查专家委员会

网络安全审查专家委员会是由网络安全审查委员会聘请相关专家组成的专门委员会，依据第三方机构的评价结果，对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。

·第三方评价机构

根据《审查办法》第7条的规定，国家将依法认定网络安全审查第三方机构，承担网络安全审查中的第三方评价工作。第三方机构将作为外部评估机构，配合网络安全审查办公室和网络安全专家委员会，完成对重要网络产品和服务的网络安全审查。专家委员会在第三方评价的基础上提出综合评估后，由网络安全审查委员会形成最终的审查结论。

同时，《审查办法》还对第三方评价机构的审查内容和审查义务作出了明确要求。根据《审查办法》第11条和第12条的规定，第三方机构应当坚持客观、公正、公平的原则，按照国家有关规定，参照有关标准，重点从产品和服务及其供应链的安全性、可控性，安全机制和技术的透明性等方面进行评价，并对评价结果负责。同时，第三方机构和其工作人员对审查工作中获悉的信息等承担安全保密义务，不得用于网络安全审查以外的目的。

五

安全审查的内容

Cyber Security Law

根据《审查办法》第4条的规定，网络安全审查重点审查网络产品和服务的安全性、可控性，主要包括：

（一）产品和服务自身的安全风险，以及被非法控制、干扰和中断运行的风险；

（二）产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险；

（三）产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险；

（四）产品和服务提供者利用用户对产品和服务的依赖，损害网络安全和用户利益的风险；

（五）其他可能危害国家安全的风险。

从《审查办法》的规定来看，审查的核心是产品和服务的安全性与可控性，具体又可以分为两个主要方面，即一方面是产品自身以及其供应链的安全风险，另一方面是重点防范产品和服务提供者实施不法行为的风险。

六

法律责任

Cyber Security Law

关于违反网络产品和服务安全审查的法律责任在《网络安全法》第65条有明确规定：关键信息基础设施的运营者违反本法第35条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

《审查办法》第15条规定，违反本办法规定的，依照有关法律法规予以处理。此外，《审查办法》在第12条还对网络产品和服务提供者的配合义务提出了明确要求：网络产品和服务提供者应当对网络安全审查工作予以配合，并对提供材料的真实性负责。如果网络产品和服务提供者提供的审查材料存在真实性问题，很可能将承担相应的行政责任。

网络安全审查制度的出台在宏观上体现了国家坚决维护国家安全与网络主权的决心和执行力，是确保国家安全的重要威慑手段，同时也是防范网络安全风险的一项重要举措。尽管目前试行的《审查办法》在具体操作方式方法可能还有待进一步落实与细化，但不可否认的是，《审查办法》已经构建了网络产品和服务安全审查的基本制度框架。考虑到安全审查结果不仅限制机关和企事业单位等主体的特定网络产品和服务的采购，也可能直接影响企业网络产品和服务的销售经营活动，因此，我们将持续密切关注《审查办法》进一步细则规定的进展以及具体执法实践，为避免企业的经营活动受到负面影响提供帮助。