《网络安全审查办法》及其合规导向变化

本文作者：原浩 黄道丽

在历时两年多的试行基础上，《网络安全审查办法》（“《办法》”）正式发布，取代《网络产品和服务安全审查办法（试行）》。《办法》整体上更加聚焦于国家安全和关键信息基础设施（CII），体现出网络安全审查制度两年多来的演化痕迹和经验沉积。

一、多部委参与，体现网信部门协调基础法律地位

《办法》有十二家部委机构参与制定，反映了网络安全审查涵盖CII行业、领域的跨部门特点，同时明确审查机构“网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查”。按照答记者问的表述：“具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心（“认证中心”）在网络安全审查办公室的指导下，承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务”，关注已久的“网络安全审查第三方机构”认证中心地位和职责分工终于落定。

二、明确了申报者范围

原规定“关系国家安全和公共利益的信息系统使用的重要网络产品和服务，应当经过网络安全审查”，关键信息基础设施运营者采购的网络产品和服务，可能影响国家安全的，应当经过网络安全审查”，而是否影响国家安全，又规定“关键信息基础设施运营者采购的网络产品和服务是否影响国家安全，由关键信息基础设施保护工作部门确定”，对此《办法》澄清为：关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。

按照答记者问的澄清，根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神，电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时，应当按照《办法》要求考虑申报网络安全审查。据此，网络运营者等《网络安全法》主体对于是否需要进行网络安全审查，应该可以得出确切的答案。

三、审查原则

原规定为“坚持企业承诺与社会监督相结合，第三方评价与政府监管相结合，实验室检测、现场检查、在线监测、背景调查相结合，对网络产品和服务及其提供者进行网络安全审查”，《办法》进一步明确为“网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务安全性、可能带来的国家安全风险等方面进行审查”，将安全与发展的关系、透明度、中立性、持续性作出了适当延展。从整体上，这些原则显得更像“原则”，因此未来实际审查牵涉的方面也会比原规定更丰富庞杂。实际上无论是审查原则、启动触发条件或是审查过程，都对申报者的“理解能力”提出了更高的要求。

四、审查的考虑要素

《办法》将原规定的若干审查要素重新进行了梳理，原第（一）条和第（三）条整合并纳入第（一）条，将原第（二）条和第（四）条重新表述为第（三）条，并强调了非技术导致的供应中断风险（如果将《办法》的第（二）条可以理解为“技术导致的供应中断”），此外增加考虑了供应商对中国法律的合规性情况（第（四）条）。整体而言，表述更为凝练和“委婉”。

五、更为清晰的申报流程

《办法》首先排除了原规定“金融、电信、能源等重点行业主管部门，根据国家网络安全审查工作要求，组织开展本行业、本领域网络产品和服务安全审查工作”带来的困惑，明确的申报流程和主要步骤一般包括：（1）申报者在采购网络产品服务之前进行国家安全风险预判；（2）经预判可能影响国家安全的，向网络安全审查办公室（通过认证中心）申报网络安全审查；（3）同时，申报者可通知产品和服务提供者配合审查；（4）提交材料，申报网络安全审查；（5）10个工作日内完成确定，属于需要审查的，书面通知运营者；（6）30个工作日内完成初步审查，并形成审查结论建议，将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见；（7）网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见，将审查结论通知运营者；（8）如两者意见不一致，进入特别审查程序，最终经报中央网络安全和信息化委员会批准，形成审查结论并书面通知运营者。

六、非申报者启动的流程

除运营者作为申报者启动审查申报之外，《办法》还规定“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查”，即网络安全审查工作机制成员单位可主动申请对特定网络产品、服务适用网络安全审查。较原规定“国家有关部门要求、全国性行业协会建议、市场反映和企业申请”的宽泛表述，更为聚焦和内敛。

七、从CII运营者角度的其他法律风险问题

按照《办法》和答记者问，关键信息基础设施运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。如果在签署合同后申报网络安全审查，建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效，以避免因为没有通过网络安全审查而造成损失。

对于这里的将“产品和服务采购通过网络安全审查”是否可以作为合同生效要件，我们认为：采购合同中各方可以分别约定合同成立和生效要件。如CII运营者未进行类似生效要件规定的，则未来在发生法律争议或损失时，将难以以需经过网络安全审查为由主张合同无效，因此这一条款尤为必要。

此外，《办法》对一些原规定中的不合理条款进行了剔除，例如第十条等。并强化了对包括对运营者和产品和服务提供者在内的各方商业秘密等知识产权保护规定，当然第十六条“参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权”，将商业秘密和知识产权并列的表述可能似不严谨。对于审查结论，《办法》规定为“通知运营者”而不再是随意性的“发布”，也契合了上述保护意识。

八、其他问题

对于实质上网络安全审查内容，未来是按照《认证认可条例》等规定，进行认证中心认证规制的标准化还是进行其他安排的审查要素细化，尚有待进一步观察。在运营者之外，《办法》对产品、服务提供者增加和转移的隐性义务规定也将导致供应链关系的深刻变化，企业应结合适用性与否的基本判断，进一步评估《办法》带来的成本、投入与合规风险。

声明：本文来自西交苏州信息安全法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。