本文发表于LexisNexis《投资“清”谈》专栏。
作者:任清 |潘静怡
《网络安全法》于2016年11月7日颁布,并将于2017年6月1日施行。作为网络安全领域的基础性法律,该法适用于“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理”【1】等各个方面。本文将梳理《网络安全法》中与网络产品有关的规定,将其概括为两条原则和三组要求,在此基础上简要分析对网络产品供应商尤其是外国和外资厂商的影响。
首先需要说明的是,《网络安全法》并未给“网络产品”下定义,因此其外延尚不清晰。换言之,某一特定产品是否属于网络产品,是否应遵守下文述及的原则和要求,需要结合产品的具体情况进行分析。初步看,网络产品的范围与《国家安全法》中的“网络信息技术产品”相当,包括但不限于通常所说的网络设备,例如还包括了智能手机等信息终端。
一、 两条原则
(一)推广“安全可信”的网络产品
近年来,“安全可信”或“安全可控”已成为网络安全领域的关键词之一,受到国内外关注。《网络安全法》第十六条对此作出原则性规定,即国务院和省级人民政府应当“统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品”。
《网络安全法》对于何为安全可信未作出界定。在该法通过当日举行的新闻发布会上,中央网信办网络安全协调局负责人就此回答了记者的提问。该负责人表示,安全可信与自主可控、安全可控的基本含义和基本要求是一致的,至少包括三方面的要求:第一,网络产品和服务提供者不应利用提供产品和服务的便利条件来非法获取用户系统中的信息、用户设备中自己的信息或者不应该损害用户对自己信息的自主权、支配权;第二,网络产品和服务提供者不应利用提供产品和服务的便利条件非法控制、非法操纵用户的系统、用户的设备,损害用户对自己系统、设备的控制权;第三,网络产品和服务的提供者不应利用用户对产品和服务的依赖搞不正当竞争,谋取不正当利益,比如停止不必要的安全服务、搞垄断经营等。该负责人强调,提出安全可信要求“不是要限制国外的技术、产品”。【2】
该负责人的以上回答有助于我们理解“安全可信”的内涵。实际上,上述第一、第二项要求体现在了《网络安全法》第二十二条(见下文)中。另一方面,正如该负责人所表示,“安全可信”这个概念还在发展之中,会根据互联网的发展和网络安全形势的发展不断丰富、不断完善,因此有关部门未来可能会针对网络产品规定新的“安全可信”要求,相关企业应予留意。
(二)网络安全和网络产品的标准化
《网络安全法》第十五条规定,国家建立和完善网络安全标准体系,国家标准委和其他有关部门组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准;第二十二条规定,网络产品应当符合相关国家标准的强制性要求;第二十三条规定,网络关键设备和网络安全专用产品应当符合相关国家标准的强制性要求。
此前,中央网信办等三部委于2016年8月发布了《关于加强国家网络安全标准化工作的若干意见》,其中有几点尤其值得注意。其一,理顺了工作机制,明确由全国信息安全标准化技术委员会对网络安全国家标准进行统一技术归口,统一组织申报、送审和报批。其二,提出要整合精简强制性标准,在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准。换言之,其他领域将仅制定推荐性的国家标准或行业标准。第三,提出要“推动国家网络安全相关重大工程或科研项目成果转化为国家标准”,似乎意在提高国家标准的自主知识产权含量。第四,制定标准时要“兼顾我国在世界贸易组织(WTO)等国际组织中承诺的国际义务”,这主要指的是WTO《技术性贸易壁垒协定》第2条所规定的义务,包括非歧视、不得对国际贸易造成不必要的限制等。第四,在优先制定的重点标准中,提到了关键信息基础设施保护、网络安全审查、关键信息技术产品、互联网电视终端产品等领域的标准。
网络产品供应商应密切关注相关标准尤其是含有强制性要求的国家标准的制定动态,并可积极参与标准制定工作。
二、 三组要求
(一)对普通网络产品的四点基本要求
《网络安全法》第二十二条对普通网络产品提出了四点基本要求。第一,网络产品、服务的提供者不得设置恶意程序。第二,网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。第三,网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。第四,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
违反上述要求的,将承担较严重的法律责任。其中,违反前三项要求的,由有关主管部门责令改正并给予警告;拒不改正或者导致危害网络安全等后果的,对企业处5万元以上50万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。【3】
违反第四项要求、侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,并可单处或者并处警告、没收违法所得、处违法所得1倍以上10倍以下罚款;没有违法所得的,处100万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。【4】
(二)对网络关键设备和网络安全专用产品的额外要求
《网络安全法》第二十三条对网络关键设备和网络安全专用产品规定了额外的认证或检测要求,即销售或者提供这类产品之前,须经具备资格的机构安全认证合格或者安全检测符合相关国家标准的强制性要求。需注意的是,即使无偿提供这类产品,也须经过安全认证或检测。
网络关键设备和网络安全专用产品目录(或者说哪些产品属于网络关键设备和网络安全专用产品)由国家网信办会同国务院有关部门制定、公布。国家网信办等部门将推动安全认证和安全检测结果的互认,避免重复认证、检测。
(三)对关键信息基础设施运营者采购网络产品的额外要求
《网络安全法》对于关键信息基础设施运营者采购网络产品和服务提出了更严格的要求。第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。第三十六条规定,关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
根据《网络安全法》第三十一条的规定,关键信息基础设施包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,其具体范围由国务院制定。
从表面上看,前述严格要求是针对关键信息基础设施的运营者提出的,违反前述要求时将由运营者承担法律责任。但相应地,向关键信息基础设施销售网络产品的供应商也受到影响,其产品可能需要经过国家安全审查,而且供应商需要签署安全保密协议、承担安全保密责任。
三、对外国或外资厂商的影响
《网络安全法》与网络产品相关的规定统一适用于国产品和进口产品、本土企业和外商投资企业。无论进口或国产、本土或外资厂商生产,(1)在中国销售或提供的所有网络产品,均须符合国家标准中的强制性要求,不得设置恶意程序,发现缺陷或漏洞时应立即采取补救措施,应当持续提供安全维护,如果收集用户信息应向用户明示并取得同意;(2)在中国销售或提供网络关键设备和网络安全专用产品,均须经安全认证合格或者安全检测符合相关国家标准的强制性要求;(3)供应用于关键信息基础设施的网络产品,可能影响国家安全的,均应经过国家安全审查。
尽管如此,国家标准、安全认证或检测、国家安全审查等有可能对进口产品和/或外商投资企业产品在中国境内的销售造成更大的影响。外国和外资厂商应密切关注相关国家标准以及《网络安全法》相关实施细则的制定动态。
尾注
【1】《网络安全法》第二条。
【2】中国人大网,《全国人大常委会办公厅2016年11月7日新闻发布会》,http://www.npc.gov.cn/npc/zhibo/zzzb39/node_381.htm。
【3】《网络安全法》第六十条。
【4】《网络安全法》第六十四条。