摘要
网络产品是企业开展网络商业活动的重要载体形式,保障网络产品的安全是维护网络安全的关键环节,网络产品的安全可控更是我国网络安全的保障基础。从企业合规的角度出发,识别和规避产品的网络安全合规风险是企业整体合规的重要组成部分,更是产品得以实现市场价值的关键。本文旨在从五个方面分析产品的网络安全合规要点,为产品的网络安全合规评估提供思路。
作者 | 观韬中茂上海办公室 吴丹君
责编 | 观韬中茂上海办公室 狄青
网络产品是企业开展网络商业活动的重要载体形式,保障网络产品的安全是维护网络安全的关键环节,网络产品的安全可控更是我国网络安全的保障基础。从企业合规的角度出发,识别和规避产品的网络安全合规风险是企业整体合规的重要组成部分,更是产品得以实现市场价值的关键。本文旨在从五个方面分析产品的网络安全合规要点,为产品的网络安全合规评估提供思路。
一、网络产品提供者的一般安全义务
《网络安全法》(以下简称“《网安法》”)第22条规定了网络产品提供者的网络安全保护义务,为了符合安全保障义务的要求,网络产品提供者应当关注以下四个方面:
(一)网络产品要符合相关国家标准的强制性要求
国家标准是对重要产品等需要在全国范围内统一适用的技术要求,若网络产品已有相应的国家标准,那么产品提供者在研发、设计、制造、供应等各个环节都应当符合相关国家标准的强制性要求。目前网络产品的标准多为推荐性的行业标准,国家对推荐性标准采鼓励使用态度,虽并非强制要求,但产品若能尽量符合这些标准,无疑可以减少合规风险。对于尚未制定强制性国家标准的网络产品,按照《产品质量法》的规定,也必须符合保障人体健康和人身、财产安全的要求。
(二)不得设置恶意程序
《网络产品和服务安全通用要求(征求意见稿)》(以下简称“《安全通用要求》”)规定了对恶意程序的防范要求。根据该规定,不植入恶意程序仅为对产品提供者最低限度的要求,网络产品提供者更具有防范恶意程序的义务。例如,网络产品提供者应当避免在产品中设置隐蔽接口或未明示功能模块;建立和实施网络产品的完整性保护措施,减少产品的关键组件、数据被篡改的风险;通过用户协议、产品使用说明书等途径,承诺提供的网络产品不包含恶意程序、隐蔽接口或未明示功能模块。
(三)安全风险应对
《网安法》第22条第1款规定网络产品提供者在发现安全缺陷、漏洞等风险后负有采取补救措施、及时告知用户并报告有关主管部门的义务。为了更好地应对安全风险,在缺陷漏洞管理上,产品提供者首先应当保障产品的设计和开发安全,在设计、开发环节识别安全风险,制定安全策略,并在产品交付前进行安全性测试,控制安全风险。产品上线后,产品提供者还应当对其进行定期核查,排除安全风险隐患。
(四)在规定期限内持续提供安全维护
基于对用户合理信赖利益的保护,产品提供者应当保障网络产品的可用性和持续性,在法律规定或约定的期限内,不得因业务变更、产权变更等原因单方面中断或终止安全维护。
二、网络安全等级保护合规评估
(一)网络定级
依据《网络安全等级保护条例(征求意见稿)》(以下简称“《等保条例》”)第15条的规定,产品提供者应当根据安全保护等级划分标准,完成相应的安全保护等级要求。
网络产品包含不同的信息系统,所涉及的数据信息类型也有所不同。不同类型数据遭到破坏或泄露后对社会秩序、公共利益、国家安全的危害程度有所不同,相应的数据网络系统可能被认定为不同的安全保护等级。例如,如网络产品中的某信息系统涉及个人敏感信息、金融数据,且一旦遭到破坏可能会对社会秩序和公共利益造成严重损害或对国家安全造成严重损害,那么产品中的这部分数据网络系统就应当参照《网安法》和《信息系统安全等级保护基本要求》中第三等级的安全保护等级要求履行相应的安全保护义务。
(二)网络产品采购合规要求
根据《等保条例》第28条的规定,网络运营者应当采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务。第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务;对重要部位使用的网络产品,应当委托专业测评机构进行专项测试。因此,网络产品提供者采购网络产品同样要落实网络安全等级保护制度的规定,设立内部产品采购制度。网络安全等级被认定为第三级或以上网络产品提供者应当设立严格的采购流程,对采购方资质进行审查,并对采购方相关信息,采购产品的设备型号等产品信息进行登记审查。对重要部位使用的网络产品,应当委托专业测评机构进行专项测试,根据测试结果选择符合要求的网络产品。
三、个人信息安全保护
《网安法》第22条第3款规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”在个人信息安全保护方面,网络产品应当符合以下要求:
(一)个人信息的收集
《网安法》第41条要求网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。因此,网络产品具有收集个人信息功能的,产品提供者应当在向用户明确告知所提供产品的不同业务功能分别收集的个人信息类型,以及收集、使用个人信息的规则,并获得用户的授权同意。
根据《个人信息安全规范2019草案》(以下简称“《草案》”)5.3规定,当产品提供多项需收集个人信息的业务功能时,个人信息控制者不得强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。具体而言,网络产品提供者不得通过捆绑产品各项业务功能等方式,要求用户一次性接受并授权同意各项业务功能收集个人信息的请求。如果采用这种“一揽子授权”的方式,可能违反收集个人信息的最小化要求以及合法、正当、必要原则。因此,网络产品开始收集个人信息的条件应为个人信息主体的主动填写、点击、勾选等自主行为。
另外,值得网络产品提供者关注的是,产品若涉及收集个人财产信息、健康生理信息、生物识别信息等个人敏感信息的,必须符合更严格的个人信息保护要求。在收集个人敏感信息时,首先应取得个人信息主体的明示同意,即需要个人信息主体作出书面声明或者肯定性动作,例如主动勾选、主动点击“同意”等。此外,收集个人敏感信息还对网络产品提供者提出了划分产品基本业务功能和扩展业务功能的要求。根据《草案》5.5规定,产品提供者在收集个人敏感信息之前,应向用户告知所提供产品的基本业务功能及所必需收集的个人敏感信息,并告知拒绝提供或拒绝同意将带来的影响;产品的其他扩展业务功能需要收集个人敏感信息时,还应向用户逐一说明个人敏感信息为完成何种扩展业务功能所必需,并允许用户逐项选择是否提供或同意自动采集个人敏感信息。当用户拒绝时,可不提供相应的扩展业务功能,但不应以此为理由影响基本业务功能的质量。因此,产品提供者应当按照《草案》附录C的规定对产品进行定位,以“据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求”为划分标准,区分自身产品的基本业务功能和扩展业务功能,并在此基础之上采取不同的个人敏感信息收集方式。
最后,网络产品还应当设置用户撤回授权和注销渠道。用户有权随时在线撤回对其个人信息的授权,而且撤回扩展业务功能的授权不应影响用户对基本业务功能的使用。此外,网络产品应当显著标示用户注销入口,保证用户弃置账号后对其账号的注销权以及账号内留存个人信息和数据的删除权。注销渠道的设计应当简便,不得频繁征求用户同意,避免出现注销难的情形。
(二)个人信息的使用和分享
《个人信息安全规范2019草案》“8.7 第三方接入管理”规定当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务时,应满足(a)应建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;(b)应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;(c)应向个人信息主体明确标识产品或服务由第三方提供等8项要求。
据此,网络产品中有第三方数据处理者或其他第三方接入情况时,应在隐私政策或用户协议中明确告知用户第三方的存在及处理使用数据的范围等,同时应与第三方在合作协议中对双方安全责任进行明晰,和第三方应实施的个人安全措施。
四、特殊网络产品
网络关键设备和网络安全专用产品,以及向CIIO提供的网络产品属于两类特殊的网络产品。相较于一般网络产品而言,特殊网络产品的合规要求更高,其提供者面临的合规风险也更大。
(一)网络关键设备和网络安全专用产品
《网安法》第23条规定,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。网络关键设备和网络安全专用产品的销售者或提供者需要关注以下问题:
1.“网络关键设备和网络安全专用产品”的认定。
2017年6月1日,《网络关键设备和网络安全专用产品目录(第一批)》(以下简称“《目录》”)已由国家网信办、工信部、公安部以及国家认证认可监督管委会联合公告发布,为“网络关键设备和网络安全专用产品”的认定提供了明确指引。因此,网络产品提供者可以参考《目录》所涉产品类型及产品标准,进行自我认定。符合相应要求的网络产品提供者应切实履行网络安全认证和检测义务。
2. 认证或检测机关是否具备相应资质。
在进行认证或检测时,审查认证或检测机关是否具备相应的资质是一个至关重要的问题,否则将直接导致认证或检测无效。2018年7月16日,《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)》已由国家认监委、工信部、公安部及国家互联网信息办公室联合发布。网络运营者应当根据该《名录》选择相应认证检测机构。
3. 认证或检测依据的标准必须是相关国家标准。
网络关键设备和网络安全专用产品的提供者或销售者必须注意两个方面的问题:一是严格按照我国网络(信息)安全产品对应的国家标准予以认证和检测;二是及时关注相关标准的动态变化可能导致的认证效力转化而引发的法律风险。
(二)向CIIO提供的网络产品
《网安法》第36条规定,关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。《网络产品和服务安全审查办法(试行)》第2条规定:“关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。”第10条规定关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过网络安全审查。
因此,针对向CIIO供应的网络产品,首先,无论是普通的网络产品亦或是关系国家安全的重要网络产品,产品提供者在供应过程中都要与CIIO签订安全保密协议,积极履行安全保密义务和责任;其次,若供应的网络产品可能影响国家安全的,还应当通过网络安全审查。《网络产品和服务安全审查办法(试行)》第4条规定了安全审查的内容,重点在于审查网络产品和服务的安全性、可控性,主要包括产品自身的安全风险,产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险等。因此,对于关系国家安全的重要网络产品,产品提供者应积极开展生产过程中的风险审查,完善内控制度,尤其需要关注相关部件生产、测试、交付、技术支持过程中的供应链安全风险。
五、产品互联网资质许可或备案
《互联网信息服务管理办法》(以下简称“《办法》”)规定通过互联网向上网用户提供信息的服务活动需要经过许可或备案的行政审批程序,对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度。若产品提供者在线上销售产品,或者基于产品提供线上的有偿附加服务,则属于经营性互联网信息服务,应当根据《办法》第7条的规定申请办理增值电信业务经营许可证。
如果产品提供者仅利用企业网站进行产品展示或自我宣传的,则仅需根据《办法》第8条的规定办理备案手续。需要注意的是,若其提供的是新闻、出版、教育、医疗保健、药品和医疗器械等产品相关的互联网信息服务,在申请经营许可或者履行备案手续前,提供者还应当依法经有关主管部门审核同意。
产品提供者基于产品提供线上的附加服务,还构成增值电信业务,即利用公共网络基础设施提供的电信与信息服务的业务。根据《电信条例》第9条,经营增值电信业务,业务覆盖范围在两个以上省、自治区、直辖市的,须经国务院信息产业主管部门审查批准,取得《跨地区增值电信业务经营许可证》;业务覆盖范围在一个省、自治区、直辖市行政区域内的,须经省、自治区、直辖市电信管理机构审查批准,取得《增值电信业务经营许可证》。根据增值电信业务经营许可证中不同的业务种类,目前常见经营许可证类有ICP证、SP证、ISP证、EDI证等,取得一类许可证不意味着可以从事所有增值电信业务。产品提供者应当根据自身经营业务核查《电信业务分类目录(2015版)》,取得一项或多项可以涵盖其经营业务范围的许可证,取得相应的互联网资质。
另外,根据《电信条例》第53条之规定,“国家对电信终端设备、无线电通信设备和涉及网间互联的设备实行进网许可制度”。比如内置4G无线上网卡的远程医疗器械具有连入公共网络的功能,那么该款产品必须符合国家规定的标准并取得进网许可证,否则不得接入公用电信网使用和在国内销售。
结语
综上所述,企业可以从一般安全义务、网络安全等级保护、个人信息安全保护、特殊网络产品、互联网资质许可或备案这五个方面对自身合规情况进行评估,核查合规是否已达到法律规定要求的水平,以确保产品市场价值的实现和企业自身网络安全合规风险的规避。
本文仅为我们对相关法律、法规及政策的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。
Email: wudj@guantao.com
声明:本文来自观韬中茂律所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
