2022网络安全审查办法解读


2022年01月14日

作者:董皓、戴博文

2022年1月4日,国家互联网信息办公室(简称“国家网信办”)公布了新的《网络安全审查办法》,该新办法将于2022年2月15日正式生效。

背景

“网络安全审查”是我国《网络安全法》所提出的制度。根据《网络安全法》的规定,关键信息基础设施运营者(简称“关基运营者”)在采购网络产品和服务时,如存在影响或可能影响国家安全的可能,就必须进行「网络安全审查」。

国家网信办曾在2020年4月颁布过一版《网络安全审查办法》。但在颁布后一年多的时间,监管都没有针对企业启动过任何网络安全审查。直到2021年7月,国家网信办才启动了第一起网络安全审查行动——被审查的企业是滴滴出行。其原因主要在于滴滴出行没有在赴美上市前主动申报网络安全审查,导致监管的严厉反弹。此后不久,监管对同期赴美上市的「BOSS直聘」、「满帮集团」等企业也启动了网络安全审查程序。

此次颁布的新版《网络安全审查办法》(简称“新办法”),可以理解为监管结合上述几个网络安全审查案件的实践之后,对原有版本进行的调整与更新。

适用情形

根据新办法,网络安全审查适用于两大类情形(新办法第2条、第7条):

  • 关键信息基础设施的运营者(“简称关基运营者”)采购网络产品和服务,影响或者可能影响国家安全的
  • 网络平台运营者(尤其是掌握超过100万用户个人信息的平台运营者)开展数据处理活动,影响或者可能影响国家安全的

第一类情形中,值得注意的是并非所有采购都要进行网络安全审查。根据新办法第21条,只有核心网络设备等重要设备和服务的采购,才会触发网络安全审查。

新办法所规定的第二类情形实际上突破了《网络安全法》的范围。《网络安全法》仅要求对关基运营者进行网络安全审查,而并没有要求对网络平台运营者启动网络安全审查。但2021年以来,国家网信办在一系列规章草案中,一再针对网络平台运营者(尤其是掌握超过100万以上用户个人信息的平台运营者)采取监管行动。这次的新办法把平台运营者专门提出来,似乎是在等不及有关部门对这些平台运营者作出属于“关键信息基础设施运营者”的认定的情况下,直接将网络安全审查的范围作了统一的扩展。

执法机关和审查程序

根据新办法,“网络安全审查办公室”是负责网络安全审查的机构。“网络安全审查办公室”设立于国家网信办内,对每个案件行使初步审查的职权。在完成初审后,“网络安全审查办公室”应当形成初步的审查结论建议,并将初步结论建议发送给与被审查对象所在行业有关的主管部门征求意见(第11条、第12条)。

上述程序和职权安全,实际上是对《网络安全法》第三十五条所述“国家网信部门会同国务院有关部门组织的国家安全审查”的细化。

根据新办法,审查程序一般应当在2个月内完成(包括网信办的初审和有关部门的复核)。如果有关部门未与网信办在初步审查结论建议上达成一致,则会触发一个“特别审查程序”。根据新办法,这个特别审查程序应当在3个月内完成。

不过,新办法中对监管的审查时限预留了充分的变通空间:一方面,新办法明确规定,“情况复杂的”案件,就可以延长时限;另一方面,新办法还特别规定:在审查过程中,如果监管要求当事人提供补充材料,则当事人提交补充材料的时间将不计入审查时间。(新办法第14条、第15条)。在上述规则下,审查时间实际上就可以无限延长。

网络安全审查的关注点

根据新办法,网络安全审查所评估的事项主要包括(新办法第10条):

  • 关键信息基础设施被非法控制、遭受干扰或者被破坏的风险
  • 如果产品和服务供应中断,被审查关基运营者的业务是否可以持续
  • 因政治、外交、贸易等因素导致的供应中断给关键信息基础设施的稳定运营所带来的风险
  • 重要数据被窃取、泄露、毁损及非法出境的风险
  • 关键基础设施和大型网络平台被外国政府影响、控制、恶意利用的风险

新办法中,没有对网络安全审查的结论是否公布、如何公布予以规定,这给监管留下了较大的空间。相信在以后的实践中,还需要进一步观察和完善。

(作者董皓律师,系国际隐私从业者协会(IAPP)认证信息隐私管理人(CIPM)、香港个人资料保护专员协会会员)


返回