2月15日,《網絡安全審查辦法》正式實施,這標志著數據安全合規監管市場的進一步完善。其實早在2017年5月,國傢互聯網信息辦公室印發瞭《網絡產品和服務安全審查辦法(試行)》。2020年4月,經試行3年後,國傢互聯網信息辦公室正式印發《網絡安全審查辦法》。該辦法實施僅一年半後,官方便發佈修訂稿,這正是為瞭應對一年以來的形勢變化,進一步增強對網絡空間重大風險挑戰的防范能力。
如今正式實施的《網絡安全審查辦法》,一是明確和細化瞭我國網絡安全審查的具體要求,為關鍵信息基礎設施運營者申報審查提供瞭指引。二是構建起瞭多部門協同配合的組織體系,為關鍵系統設備上線運行及服務采購設立瞭嚴格的安全門檻。三是建立瞭網絡安全產品和服務安全風險預判機制,從識別威脅、化解風險的角度,推動安全關口前移,強化供應鏈安全風險管控,提升網絡安全保障水平。
一、《網絡安全審查辦法》詳解
從試行到正式實施,近四年間的實踐和摸索,最終揚棄、濃縮、升華於新的辦法之中。
(一)審查內容
網絡安全審查重點評估關鍵信息基礎設施運營者采購網絡產品和服務可能帶來的國傢安全風險,包括:產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受幹擾或破壞,以及重要數據被竊取、泄露、毀損的風險;產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;產品和服務提供者遵守中國法律、行政法規、部門規章情況;其他可能危害關鍵信息基礎設施安全和國傢安全的因素。
(二)審查對象
《網絡安全審查辦法》的審查對象一直是網絡產品和服務,並非禁止、杜絕非國產網絡安全設備及服務。產品和服務的安全性也是相對的,其安全性很大程度上依賴於該產品和服務的使用主體、使用目的、使用方式以及產品供應渠道的可靠程度等因素。在修訂後的《網絡安全審查辦法》中,結合具體的業務場景進行審查,使網絡安全審查辦公室進行核驗及測試時,方向更明確。
(三)審查重點
1、產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受幹擾或者破壞的風險;
2、產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
3、產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
4、產品和服務提供者遵守中國法律、行政法規、部門規章情況;
5、核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險;
6、上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網絡信息安全風險;
7、其他可能危害關鍵信息基礎設施安全、網絡安全和數據安全的因素。
新增內容解讀
與上版相比,增加瞭對關鍵信息基礎設施及承載超100萬用戶個人信息的平臺對於中國法律、行政法規、部門規章的遵守情況;核心數據、重要數據或者大量個人信息的處理活動。並對掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,強制必須向網絡安全審查辦公室申報網絡安全審查。
內容解析:
2021年版並未對此做出強制要求,大傢可以參照2021年7月份幾傢互聯網企業赴外上市的審查結果。表明國傢對涉及大量用戶的網絡平臺運營者的監管態度,同時也展示瞭國傢對於《個人信息保護》、《中華人民共和國數據安全法》及《關鍵信息基礎設施保護條例》的重視程度和推動力度。
二、企業需構建的能力體系
(一)數據安全防護體系
企業和機構需要考慮建設體系化的數據安全能力,重視數據安全的體系規劃。數據安全治理建議圍繞“管理體系”“技術體系”“運營體系”三個維度開展,“數據安全管理體系”建設為“數據安全技術體系”建設提供頂層指導,“數據安全技術體系”建設為“數據安全運營體系”建設提供技術支撐,同樣的,“數據安全運營體系”建設為“數據安全技術體系”提供策略調整依據、為“數據安全管理體系”提供制度修訂依據。
(二)關鍵信息基礎設施平臺防護體系
企業和機構在支撐和保障關鍵信息基礎設施相關安全方面,可以依據識別認定、安全防護、監測預警、檢測評估、事件處置五大環節進行安全建設。將安全防護、監測預警、事件處置三大環節可以分解為“管理體系”、“技術體系”兩個維度開展安全保護工作。關鍵信息基礎設施經過“識別認定”後可根據其風險識別結果對其進行“技術體系“建設,加強安全防護,降低風險影響;”管理體系“作為頂層指導,協助並監督”技術體系“的建立;“技術體系”的落實為“檢測評估“的合規檢查提供技術支撐,另一方面”檢測評估“的技術檢測結果可對技術體系的健全提供優化建議,為關鍵信息基礎設施的識別認定提供風險更新依據,同時合規檢查可促進”管理體系“的更新與修訂。
三、社會高度關註的幾個問題
(一)赴港上市要不要申報網絡安全審查?
《網絡安全審查辦法》第七條明確,文件要求申報審查的情況之一是“赴國外上市”,未提及赴香港上市。當然,這不意味著赴港上市不用再考慮數據安全因素,而是指赴港上市不必主動申報審查。如果網絡安全審查機制成員單位認為赴港上市影響或可能影響國傢安全的,可以由國傢網絡安全審查辦公室報請中央網信委批準後進行審查。而且,在任何情況下,企業都應當履行數據安全保護義務,並遵守國傢關於數據出境安全管理等制度的有關規定。
(二)網絡安全審查與數據安全審查關系是什麼?
《網絡安全審查辦法》第二十二條明確,國傢對數據安全審查另有規定的,應當同時符合其規定。國傢互聯網信息辦公室在答記者問時指出,2021年9月1日,《中華人民共和國數據安全法》正式施行,明確規定國傢建立數據安全審查制度,網信辦據此對《網絡安全審查辦法》進行瞭修訂,將網絡平臺運營者開展數據處理活動影響或者可能影響國傢安全等情形納入網絡安全審查范圍,這說明,網絡安全審查是落實《中華人民共和國數據安全法》的要求,是在網絡數據領域的安全審查。當然,整個《中華人民共和國數據安全法》的范圍更廣。
(三)如何理解審查的啟動條件?
此前,外界普遍認為,某企業受到審查,是因為其已被列為關鍵信息基礎設施,采購的產品或服務可能影響國傢安全。這是對網絡安全審查啟動條件的誤讀。事實上,除瞭主動申報外,還可由網絡安全審查工作機制成員單位提請審查(《網絡安全審查辦法》第十六條),或由社會舉報(《網絡安全審查辦法》第十九條),這與被審查對象是否屬於關鍵信息基礎設施、是否采購產品或服務、是否赴國外上市沒有必然關系。
此外,《網絡安全審查辦法》還回應瞭社會的另一個關切:某些被審查企業被要求停止註冊新用戶,這顯然是一種防范風險擴大的措施。那麼,在審查結論還沒有作出的情況下,何時會采取此類措施呢?《網絡安全審查辦法》第十六條明確,為瞭防范風險,當事人應當在審查期間按照網絡安全審查要求采取預防和削減風險的措施。這說明,這類措施不是因主動申報而起,而是被審查機制成員單位發現威脅或風險後,采取的應對措施。
(四)網絡安全審查有無時限要求?
通常情況下,網絡安全審查在45個工作日內完成,情況復雜的會延長15個工作日。進入特別審查程序的審查項目,可能還需要45個工作日或者更長。根據《網絡安全審查辦法》要求,補充提供材料的時間不計入審查時限。
(五)網絡安全審查向誰申報?
根據《網絡安全審查辦法》,網絡安全審查辦公室設在國傢互聯網信息辦公室。具體工作委托中國網絡安全審查技術與認證中心承擔。中國網絡安全審查技術與認證中心在網絡安全審查辦公室的指導下,承擔接收申報材料、對申報材料進行形式審查、具體組織審查工作等任務。
(六)運營者申報網絡安全審查應當提交哪些材料?
1、申報書;2、關於影響或可能影響國傢安全的分析報告;3、采購文件、協議、擬簽訂的合同等;4、網絡安全審查工作需要的其他材料。
數字化轉型正在持續推進,信息基礎設施的互聯網化、移動化、大數據化和雲化對企業網絡安全提出更高的要求。新華三主動安全基於“雲智原生”戰略和“數字大腦2021”,將繼續發揮自身的技術優勢和創新優勢,成為廣大用戶可信賴的合作夥伴,在捍衛數字世界的道路上貢獻自己的安全力量。
