原標題:解讀《網絡安全審查辦法》及其對網絡安全產業(yè)供給的影響
日前�����,國家互聯網信息辦公室等十三部門聯合發(fā)布新版《網絡安全審查辦法》(以下簡稱《辦法》)��,自2022年2月15日起施行�����!掇k法》有哪些重點內容�����?其頒布實施將對網絡安全產業(yè)發(fā)展有何指導意義�?本文將從網絡安全產業(yè)的視角加以學習分析��。
一、《辦法》演進回顧
三個演進階段�����。原《辦法》自2020年6月1日施行�;2021年7月10日國家互聯網信息辦公室發(fā)布《辦法》(修訂稿)并公開征求社會意見���;2022年1月4日新《辦法》正式公布�����。
兩個修訂背景����。新《辦法》的修訂背景主要有兩個���。一是上位法規(guī)依據的發(fā)展變化���,主要是自2021年9月1日起同時施行的《數據安全法》和《關鍵信息基礎設施安全保護條例》����;二是網絡安全保護形勢的重要變化,即因國內個別企業(yè)赴國外上市等引發(fā)社會各界對數據安全保護問題的普遍關注����。
一條擴展主線����!掇k法》的核心立法目的在于保護關鍵信息基礎設施供應鏈安全���。與原版本相比�,《辦法》對于數據安全保護內容的強化,是其內容發(fā)展的另一條重要主線���。體現在對特定“當事人”赴國外上市行為可能引發(fā)的數據安全風險作出審查制度安排。
二�、《辦法》內容分析
從法律屬性來看�����,《辦法》集實體法和程序法特點為一體,對網絡安全審查涉及到的審查主體���、審查對象和內容�����、審查流程等做出了體系化的安排�����。其內容要點分析如下�。
(一)審查主體
《辦法》明確了網絡安全審查的監(jiān)管機制,即包括領導機制�、工作機制、執(zhí)行機制在內“三位一體”的監(jiān)管機制�。
首先,在網絡安全審查領導機制層面�����,明確“在中央網絡安全和信息化委員會領導下”���;其次����,在網絡安全審查工作機制層面,明確“國家互聯網信息辦公室會同中華人民共和國國家發(fā)展和改革委員會����、中華人民共和國工業(yè)和信息化部、中華人民共和國公安部���、中華人民共和國國家安全部、中華人民共和國財政部�����、中華人民共和國商務部��、中國人民銀行�����、國家市場監(jiān)督管理總局��、國家廣播電視總局����、中國證券監(jiān)督管理委員會、國家保密局�����、國家密碼管理局建立國家網絡安全審查工作機制”�����;再次�����,在網絡安全審查工作機制層面����,明確“網絡安全審查辦公室設在國家互聯網信息辦公室�,負責制定網絡安全審查相關制度規(guī)范���,組織網絡安全審查”。
與征求意見稿相比��,《辦法》將中國證券監(jiān)督管理委員會新增納入網絡安全審查工作機制���,不僅呼應了國外上市數據安全保護之立法目的,更意在強化后續(xù)相關網絡安全審查工作的專業(yè)性和權威性����。
�����。ǘ⿲彶閷ο
《辦法》對審查對象的規(guī)定�����,主要包括被審查者主體和被審查者行為兩方面�����。
首先���,從被審查者主體方面看�!掇k法》將被審查者統稱為“當事人”���,包括兩類主體�。一是關鍵信息基礎設施運營者,《辦法》刪除了征求意見稿對于運營者的定義(“是指經關鍵信息基礎設施保護工作部門認定的運營者”)���,很大程度上是因為《關鍵信息基礎設施安全保護條例》已經生效�,且明確規(guī)定了關基的認定程序���,此處從其規(guī)定即可�����,而不必再行明文���。二是網絡平臺運營者���,《辦法》對于網絡平臺運營者的范圍沒有做出具體規(guī)定,但從《辦法》第二條�、第七條等內容看,應當包括但不限于“掌握超過100萬用戶個人信息的網絡平臺運營”�,這只是網絡平臺運營者中的一類具體代表�。
其次,從被審查者行為方面看��������!掇k法》不僅明確了兩類不同主體有不同的審查側重點,也以專門條款明確列舉了一般的審查對象范圍��。一是審查側重點�����,對關基運營者側重于審查“采購網絡產品和服務”的行為���;對于平臺運營者則側重于“數據處理活動”�����;二是審查對象范圍��,即《辦法》第十條規(guī)定的7類重點風險因素��,包括是否存在設施被控制破壞�、業(yè)務連續(xù)性中斷�����、供應中斷、違反法規(guī)��、重要核心數據信息出境����、重要數據信息被外方控制利用、其他等情形��。
�����。ㄈ⿲彶榱鞒
《辦法》明確規(guī)定了網絡安全審查的兩類審查程序�����,即一般審查程序和特別審查程序��。
一是一般審查程序����。從《辦法》內容來看�,一般審查程序應當是大多數網絡安全審查案件適用的審查程序,包含審查發(fā)起��、審查期限和審查實施3個要點。(1)在審查發(fā)起方面���,一般審查程序的發(fā)起包括當事人“申報”發(fā)起(《辦法》第五條�����、第七條)��,和審查工作機制成員單位“研判”發(fā)起(《辦法》第十六條)兩種情況��。(2)在審查期限方面�,一般審查程序通常需在啟動審查后60個工作日內(在觸發(fā)特別程序時����,該期限將延長至150個工作日甚至更長)完成,包括:初步審查30工作日內(或45個工作日內)�、初步審查內部反饋意見(15個工作日內)。(3)在審查實施方面�����,一般審查程序由網絡安全審查辦公室具體組織實施�����,并按審查相關制度規(guī)范,將審查結論通知當事人或將審查轉入特別程序����。
二是特別審查程序��!掇k法》充分考量審查結論的權威性���、審慎性�,在一般審查程序基礎上專設“特別審查程序”���。“特別審查程序”在啟動條件���、審查期限、審查實施等方面�����,都體現了立法的謹慎性����。(1)啟動條件:《辦法》第十二條明確規(guī)定了“特別審查程序”的適用條件,即“網絡安全審查工作機制成員單位��、相關部門(對審查結論建議)意見不一致的�����,按照特別審查程序處理”����。(2)審查期限:對于特別審查程序的審查期限,也規(guī)定了較長的期限“90個工作日內完成���,情況復雜的可以延長”�����,且該期限不包含第十五條所規(guī)定的“提交補充材料的時間”��。(3)審查實施:《辦法》明確了特別程序需遵循更嚴格的實施流程����,包括聽取意見����、分析評估、提出結論建議�����、征求意見、報網信委批準����、形成結論、通知當事人等7個環(huán)節(jié)(《辦法》第十三條)���。
三�、《辦法》對產業(yè)供給的影響分析
《辦法》的正式發(fā)布���,進一步明確了對關鍵信息基礎設施供應鏈安全保護的相關要求�,為網絡安全產業(yè)的高質量發(fā)展指明了方向����。
一是提升關鍵信息基礎設施安全供給能力。網絡安全產業(yè)在落實《辦法》要求���、支撐和保障關鍵信息基礎設施供應鏈相關安全方面����,可發(fā)揮制度參與��、技術產品及方案提供、服務支撐三方面作用��。(1)在關基供應鏈保護制度參與方面����,網絡安全企業(yè)和行業(yè)可以通過自身業(yè)務實踐�,參與和支持相關的制度標準,如“關鍵信息基礎設施供應鏈安全要求”“關鍵信息基礎設施安全檢查評估要求”“關鍵信息基礎設施安全保護技術要求”等等��。(2)在關基供應鏈保護產品和方案方面����,強化關基安全相關技術研發(fā)和產品研制,如“關鍵信息基礎設施安全風險感知和識別”“關鍵信息基礎設施系統漏洞檢測”“關鍵信息基礎設施網絡威脅溯源和取證”等等��。(3)在關基供應鏈保護服務支撐方面����,強化試點和服務運營等能力全面服務關基保護相關工作,包括“關鍵信息基礎設施安全應急演練”“關鍵信息基礎設施安全培訓”“關鍵信息基礎設施安全一體化運營服務”等等��。
二是提升數據安全防護供給能力���。網絡安全產業(yè)在落實《辦法》相關要求���、支撐和保障數據安全方面�����,也可發(fā)揮至少三方面作用����。(1)在參與和支撐相關數據安全制度完善方面����,企業(yè)和行業(yè)可重點圍繞“數據出境安全評估”“重要網絡安全服務產品和服務目錄”“數據安全審查辦法”等方向,加強探索并積累實踐案例��。(2)在相關數據安全產品和方案方面��,重點開展“數據分類分級管理”“敏感數據識別”“數據安全風險評估”“數據安全審計”等技術產品方案研發(fā)���。(3)在有關數據安全服務支撐方面����,強化“數據安全應急”“重要數據災備與恢復”“數據溯源取證”服務支撐能力和隊伍建設等���。
《辦法》的發(fā)布不僅在管理方面優(yōu)化和完善了我國網絡安全審查制度的基本設計����,更為網絡安全產業(yè)的發(fā)展明確了方向。綠盟科技將繼續(xù)秉承“專攻術業(yè)����,成就所托”的宗旨�����,繼續(xù)深耕網絡安全�,務實創(chuàng)新、穩(wěn)步前行���,為我國網絡安全審查制度的完善和關鍵信息基礎設施保護工作的發(fā)展����,持續(xù)貢獻綿薄����。
投稿郵箱:chuanbeiol@163.com 詳情請訪問川北在線:http://dstuf.com/
