新规速递 | 《网络安全审查办法》要点解读

余昕刚李瑞等中伦视界 2022-07-31

作者：余昕刚李瑞刘利柯

2020年4月27日，国家网信办、国家发改委、工信部、公安部、国家安全部等12个部门联合发布了《网络安全审查办法》（“《办法》”）[1]。《办法》在《国家安全法》和《网络安全法》相关条款的基础上，落地了针对关键信息基础设施运营者（Critical Information Infrastructure Operator，“CII运营者”）采购网络产品和服务的安全审查机制。在该机制下，CII运营者在采购网络产品和服务前需要预判该产品和服务投入使用后可能带来的国家安全风险，如果影响或者可能影响国家安全，应当事前申报网络安全审查。

国家网信办于2019年5月24日首次发布了《办法》征求意见稿（“征求意见稿”）[2]，彼时正值美国商务部发布《确保信息通信技术与服务供应链安全》行政令征求公众意见不久[3]。仅时隔一年，《办法》就正式通过，这也与当前的国际政治经济形势密不可分。虽然《办法》中并未直接提及，但正如上述美国版网络安全审查规定的制定背景指出，关键信息基础设施的网络产品和服务供应链会受到境外干预（foreign interference activity）的影响，因此，为我国CII运营商供应网络产品与服务的外国或外商投资供应商更需要特别关注《办法》所可能带来的影响。

《办法》将于2020年6月1日正式施行，过渡期仅有1个月左右。在此期间内，我们建议CII运营者和网络产品和服务供应商（“供应商”）积极就《办法》对网络产品和服务的采购和供应流程可能带来的影响进行评估，以免制度正式落地后因采购和供应流程无法满足网络安全监管要求而导致商业和法律风险。就此，本文将以问答的形式对网络安全审查制度的相关要点进行解读，力求帮助CII运营者和供应商初步了解网络安全审查制度可能对采购和供应实务产生的影响。

哪些网络运营者受制于网络安全审查？

关键信息基础设施运营者（作为网络产品和服务的采购方）是网络安全审查的申报主体和责任主体。尽管如此，《办法》仍规定了供应商在个案审查中负有配合网络安全审查的义务，包括提供审查机构要求补充的材料等。

关于“CII运营者”的范围，《办法》明确了由关键信息基础设施保护工作部门事先认定（而非由网络运营者自主评估）的原则，即不强制要求未被关键信息基础设施保护工作部门事先认定的网络运营者根据《办法》申报网络安全审查。这与国家网信办此前发布的《关键信息基础设施安全保护条例（征求意见稿）》中确定的由行业主管或监管部门组织识别本行业、本领域的关键信息基础设施的原则一脉相承[4]，将大大降低网络运营者在运营合规方面的不确定性和成本。截至目前，尚未有相关部门发布特定行业和领域CII运营者的认定结果，受制于《办法》的CII运营者的范围仍待审查及执法实践的进一步明确。

值得特别注意的是，国家网信办在就《办法》的答记者问[5]中明确了部分涉及网络安全审查的重点行业领域，包括电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等，并要求以上行业领域的重要网络和信息系统的运营者，即使未被事先认定为CII运营者，也应当尽早采取措施建立内部配套合规机制，根据《办法》考虑申报网络安全审查。

CII运营者的哪些网络产品和服务采购行为应当进行网络安全审查？

首先，从产品和服务的类别来看，并非所有网络产品和服务都会落入网络安全审查的范围。根据《办法》，属于审查范围的网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务等。但同时，《办法》也规定了“其他对关键信息基础设施安全有重要影响的网络产品和服务”作为审查执法中的“兜底条款”。

其次，即使采购对象为上述网络产品和服务，采购行为也并不必然要进行网络安全审查。根据《办法》，只有CII运营者经自行、个案预判为会“影响或可能影响国家安全”的采购行为才需要进行网络安全审查。值得注意的是，《办法》删除了征求意见稿中关于CII运营者在预判阶段形成“安全风险报告”的要求和通用的预判标准，而授权各行业关键信息基础设施保护工作部门制定本行业、本领域预判指南，这也为审查和执法中预留了更大的灵活性和操作空间。

但是，从实践角度来说，在网络安全审查制度实施初期，无论各行业关键信息基础设施保护工作部门是否会在《办法》正式施行之前陆续发布预判指南， CII运营者都应考虑放宽预判标准、更大范围地向审查机构进行咨询和申报，并根据审查机构现阶段的审查和执法态度及趋势调整未来的合规策略，以免制度实施早期因合规不足导致正常业务流程的中断。

网络安全审查主要审查哪些方面？有哪些审查标准？

根据《办法》，网络安全审查重点评估CII运营者采购网络产品和服务可能带来的国家安全风险，主要考虑以下方面：

(1) 产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

(2) 产品和服务供应中断对关键信息基础设施业务连续性的危害；

(3) 产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

(4) 产品和服务提供者遵守中国法律、行政法规、部门规章情况；

(5) 其他可能危害关键信息基础设施安全和国家安全的因素。

相较于征求意见稿，《办法》删除了部分非技术性考量因素，如对国防军工、关键信息基础设施相关技术和产业的影响、产品和服务提供者受外国政府资助、控制等情况，以增强审查的中立性。但是，考虑到许多国家的网络安全审查制度都会将此类因素纳入评估范围，其是否会“实际上”对审查结果产生影响，仍需审查和执法实践进一步明确。

此外，我们预计在未来的审查实践中，行业主管或监管部门与审查机构很可能还会共同制定详细的审查标准，以便于相关方开展申报工作并降低审查中的不确定性。

网络安全审查由哪个机构开展？申报材料包括哪些？

根据《办法》，网络安全审查办公室（国家互联网信息办公室的下设部门，“审查办公室”）负责受理申报和初步审查，网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门参与审查，而仅在特别程序（参见下文问答7）中，由中央网络安全和信息化委员会负责批准（以上合称“审查机构”）。而审查实践中的具体工作将由中国网络安全审查技术与认证中心（CCRC）承担，包括接收申报材料、对申报材料进行形式审查、具体组织审查工作等。

审查机构尚未公布申报材料的模板。根据《办法》，申报材料应当包括：申报书、关于影响或可能影响国家安全的分析报告、采购文件、协议、拟签订的合同等、网络安全审查工作需要的其他材料等。

CII运营者应在采购流程中的哪个环节申报网络安全审查？

国家网信办在就《办法》的答记者问中指出，CII运营者应当在与供应商正式签署合同前申报网络安全审查；如果在签署合同后申报网络安全审查，建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效。由此可见，买卖双方至晚应当在履行合同义务之前申报网络安全审查，以避免因为采购行为没有通过审查、合同最终无法履行而导致各方损失。

此外，考虑到是否通过网络安全审查将是采购合同能否履行至关重要，CII运营者应尽量将预判网络产品和服务投入使用后可能带来的国家安全风险等工作安排在采购的早期流程，并作为遴选供应商的一项考察因素，而非在采购条件谈判的后期才开始考虑网络安全审查。

对于网络安全审查，CII运营者与供应商签订采购合同时应特别注意哪些方面？

总体而言，双方应当充分意识到网络安全审查结果可能对合同效力带来的不确定性。根据征求意见稿，审查结果包括通过审查、附条件通过审查和未通过审查三种，虽然《办法》删除了对审查结果种类的规定，但是我们预期审查结果仍可能是与此类似且相当灵活的。因此，CII运营者和产品和服务供应商可以考虑将网络安全审查作为采购合同的一项生效条件，即采购合同仅在不适用网络安全审查时或者无条件通过网络安全审查后（或审查附加的条件已满时）才生效。与此相关，双方也要考虑约定产品和服务未通过网络安全审查时各方的合同责任和义务，以免产生纠纷。

对于CII运营者而言，其还应当考虑通过采购文件、协议等要求供应商配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备、无正当理由不中断产品供应或必要的技术支持服务等。

而对于产品和服务供应商而言，鉴于审查中可能涉及关于产品和服务的商业秘密和知识产权，其应当考虑在采购合同中与CII运营方约定必要的保密或防火墙机制，以避免因安全审查而导致其知识产权和技术秘密的不当泄露。

网络安全审查有哪些流程？需要多长的审查周期？

根据《办法》，网络安全审查的流程和审查时限如下图所示：

点击图片查看大图

受理网络安全审查：在CII运营者提交申报后，审查办公室在10个工作日内应确定是否需要进行网络安全审查并作出书面通知（“受理通知”）；
初步审查：对于受理的申报，CII将受理后30个工作日内完成初步审查以及将审查结论建议和将审查结论建议（“初步审查意见”）发送网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门征求意见；对于情况复杂的申报，初步审查可以延长15个工作日；
意见反馈：网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门将在收到审查办公室的初步审查意见后15个工作日内书面向审查办公室给出回复意见（“回复意见”）；如回复意见与初步审查意见一致，则审查办公室以书面形式将审查结论通知申报人，如不一致的，审查办公室将通知申报人进入特别审查程序；
特别审查：审查办公室将在45个工作日内听取相关部门和单位意见，形成特别审查结论建议，并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见，并在报中央网络安全和信息化委员会批准后，书面通知申报人审查结论；对于情况复杂的申报，特别审查可以适当延长。
因此，通常情况下，网络安全审查将在45个工作日内完成，情况复杂的会延长15个工作日。对于进入特别程序的审查，审查周期可能会为90个工作日或者更长。此外，根据《办法》，CII运营者和供应商应审查机构要求补充材料的时间不计入审查时限。

违反网络安全审查的后果和责任？

首先，未进行网络安全审查可能会导致采购合同的效力存在不确定性。征求意见稿中曾明确要求CII运营者应当将通过审查作为合同生效条件，虽然正式通过的《办法》中删除了此等要求，但是国家网信办仍在就《办法》的答记者问中作出了类似的建议。并且，考虑到《网络安全法》中对于“应报未报”的法律责任，未进行网络安全审查很可能会导致合同在实际上无法履行，产生合同效力上的纠纷。

其次，《办法》规定了审查机构对于CII运营者的采购行为主动发起审查的权力。因此，即使采购行为经CII运营者预判无需进行申报，审查机构仍能够挑战CII运营者的该等判断，要求CII运营者进行申报并主动开展审查。

最后，有关主管部门还有权根据《网络安全法》进行调查“应报未报”或者使用网络安全审查未通过的产品和服务的情形。根据调查结果责令CII运营者停止使用相关网络产品和服务，并对CII运营者处采购金额一倍以上十倍以下罚款；除此之外，有关主管部门还可以对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

小结

《办法》从网络产品和服务的采购环节出发，通过引入针对采购行为的个案网络安全审查，加强了对相关主体网络安全的监管力度。对于CII运营者，为了降低生产运营中网络产品和服务采购的合规风险，应当尽快建立配套的内部合规制度，对相关采购文件进行修改以体现法律要求，并将网络安全审查作为纳入到标准化的采购流程之中；而对于产品和服务供应商，应当进一步加强整体的网络安全合规工作，包括等级保护及网络安全制度建设、个人信息和重要数据制度建设等，同时积极配合CII运营者的审查申报，以免因不满足审查要求而丧失重要的商业机会。

[注]

[1] 参见《网络安全审查办法》，访问地址：http://www.cac.gov.cn/2020-04/27/c_1589535450769077.htm。

[2] 参见国家互联网信息办公室关于《网络安全审查办法（征求意见稿）》公开征求意见的通知，访问地址：http://www.cac.gov.cn/2019-05/24/c_1124532846.htm。

[3] 参见Federal Register, Securing the Information and Communications Technology and Services Supply Chain，访问地址：https://www.federalregister.gov/documents/2019/05/17/2019-10538/securing-the-information-and-communications-technology-and-services-supply-chain。

[4] 参见《关键信息基础设施安全保护条例（征求意见稿）》第19条，访问地址：http://www.cac.gov.cn/2017-07/11/c_1121294220.htm。

[5] 参见《网络安全审查办法》答记者问，访问地址：http://www.cac.gov.cn/2020-04/27/c_1589535446378477.htm

The End

作者简介

余昕刚律师

北京办公室合伙人

业务领域：反垄断与竞争法, 资本市场/证券, 收购兼并

李瑞律师

北京办公室合伙人

业务领域：收购兼并, 合规/政府监管, 反垄断与竞争法

刘利柯

北京办公室公司部