2021年7月10日,国家互联网办公室发布《网络安全审查办法(修订草案征求意见稿)》(以下简称“《审查办法(征求意见稿)》”),主要针对2020年4月13日发布的现行《网络安全审查办法》(以下简称“《审查办法》”)进行修订,并向社会公开征求意见。本次《审查办法(征求意见稿)》是自2017年5月2日《网络产品和服务安全审查办法(试行)》(已废止)发布以来,国家对网络安全审查制度立法的再次重大修订,并且第一次结合了数据安全审查的相关内容,且对目前市场上关注的中概股企业赴国外上市需要关注的网络安全审查问题做出应对。
本文作为上篇将首先介绍《审查办法(征求意见稿)》相较于《审查办法》的主要修订要点,并在下篇对其可能对相关企业实务的影响进行分析并提出相关建议,以期帮助企业开展合规工作并预防发生风险。
第一部分 修订要点快评
1. 网络安全和数据安全并举:《审查办法(征求意见稿)》上位法依据增加2021年6月10日第十三届全国人大常委会第二十九次会议审议并通过并将于2021年9月1日实施的《中华人民共和国数据安全法》(以下简称“《数据安全法》”),网络安全审查的启动条件与保护客体,不再局限于防范《网络安全法》下关于关键信息基础设施运营者采购网络产品和服务面临的供应链安全风险进而产生国家风险,同时也包括《数据安全法》规定的数据处理者开展数据处理活动可能对国家安全造成的风险,由此推动《数据安全法》规定的“数据安全审查制度”在操作层面的落地。
2. 明确对符合一定条件的国外上市运营者要事先审查:近期网络安全审查办公室对相关国外上市的中概股企业发布网络安全审查的通知,是中国政府第一次公开以网络安全审查的名义启动对中概股企业的审查,引发市场对于国外上市的中概股企业是否需要适用网络安全前置审批的问题有所担忧。此次《审查办法(征求意见稿)》新增第六条规定了掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查,首次明确中国政府对于符合一定标准的国外上市的中概股企业应当履行网络安全前置审查程序的监管态度。但由于《审查办法(征求意见稿)》对于“国外上市”的概念未作特别规定,且目前尚处于征求意见稿阶段,因此如何具体实施还有待《审查办法》终审稿出台或者实践中加以明确。
3. 审查要点新增对企业的重要数据、核心数据、大量用户数据是否存在窃取、泄露、毁损或出境以及是否有可能被国外机构影响、控制、非法利用等的风险排查。
4. 审查主体新增中国证监会,与国外上市运营者的前置审查要求相匹配。
5. 延长了特殊审查流程为3个月:当网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见不一致时,需征求有关部门意见并报中央网络安全和信息化委员会批准的特别审查流程,《审查办法(征求意见稿)》将该特别审查流程的期限由45个工作日延长至3个月,特别复杂时,还可以再延长。
6. 网络产品和服务新增重要通信产品。
第二部分:修订要点详细解读
修订要点一:上位法依据增加《数据安全法》,审查客体范围扩大
根据《审查办法(征求意见稿)》第一条规定:“为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》,制定本办法。” 相较于《审查办法》,本次《审查办法(征求意见稿)》新增了《数据安全法》作为其上位法依据。此次之举,除了进一步补充监管机关在实践中的网络安全审查依据和基础,亦推动了《数据安全法》中有关数据安全审查制度的落地。具体分析如下:
在《数据安全法》颁布以前,网络安全审查办公室制定《审查办法》的上位法依据主要是《中华人民共和国国家安全法》和《中华人民共和国网络安全法》(以下简称“《网络安全法》”),并且主要提出了对关键信息基础设施运营者(关于“关键信息基础设施”的定义将在修订要点二中详述)采购网络产品和服务的审查要求。《网络安全法》第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。同时《网络安全法》第六十五条明确了对未遵守第三十五条采购审查义务的关键信息基础设施运营者,实行企业和直接负责人双罚制。根据该条,关键信息基础设施运营者存在应审未审或者使用审查未通过的网络产品或服务的,主管部门有可能责令其停止使用,并处以采购金额一倍以上十倍以下的罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
《数据安全法》出台后,第二十四条确立了数据安全审查制度。根据该条规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。”该条将《网络安全法》仅针对“关键信息基础设施运营者采购活动影响国家安全”而进行网络安全审查的范围扩充至审查“影响国家安全的数据处理活动”。由于《数据安全法》项下的“数据”涵盖范围更为宽泛,本次修订便顺势将审查客体扩展至“网络安全和数据处理活动安全”同时审查的范围,修订要点二中将更为详细地进行论述。
根据近期国家网信部门实施的审查实践,为防范国家数据安全风险,确已将“数据安全”纳入了审查范围。作为《数据安全法》的下位法,《数据安全管理办法(征求意见稿)》自2019年5月28日发布以来,目前仍然处于征求意见的状态。笔者认为,随着《数据安全法》的正式实施,该办法也会如同《审查办法》沉寂一年后又有新的进展一样,甚至很有可能也会将数据安全审查纳入其规制范围。而在《数据安全管理办法》正式稿未出台的这段过渡期,由《审查办法(征求意见稿)》将《数据安全法》纳入其上位法依据之一,夯实监管部门在本阶段同时实施网络安全与数据安全双重审查,也是切实可行的变通方法。
修订要点二:明确对所有数据处理者及国外上市主体的审查义务,审查对象及范围扩大
如修订要点一所论述,原先《审查办法》主要适用于“关键信息基础设施运营者”,《审查办法(征求意见稿)》将审查对象扩展至“开展数据处理活动的数据处理者”。如前所述,《数据安全法》中的“数据”范围十分广泛,泛指一切对信息的记录,而不论其呈现形式(电子/其他方式)、收集方式(通过网络/非通过网络)和数据的内容(个人信息/重要数据/其他数据)。因此,对应修订要点一中所讨论的审查客体范围扩充,审查对象的范围也相应扩展到“开展数据处理活动的数据处理者”,一切也在情理之中。具体来说,既包括对数据处理者如何控制《个人信息保护法(草案)》的保护对象“个人信息”的审查,又囊括了对《网络安全法》中网络运营数据的审查。以下,我们将针对审查对象逐一进行分析:
“关键信息基础设施”是指一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统。[1]《网络安全法》第三十一条和《关键信息基础设施安全保护条例(征求意见稿)》第十八条均列举了可能被识别为关键信息基础设施的行业和领域,包括能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、云计算、大数据、国防科工、大型装备、化工、食品药品、新闻等。
企业在初步确认所涉业务属于上方列举的重要行业和领域后,可以依据《关键信息基础设施边界确定方法》进一步评估其是否存在“一旦遭到破坏或者丧失功能,会严重危害国家安全、经济安全、社会稳定、公众健康和安全”的不利后果和是否依赖信息化进行运行,来识别、筛选关键业务。有时支撑同一关键业务的关键信息基础设施可能属于一个运营者,也可能分属于多个运营者。因此,在识别出关键业务之后,根据关键业务对信息化的依赖程度和依赖关系进行系统评估,梳理支撑同一关键业务的关键信息基础设施的分布和运营情况,再进一步明确具体对应的关键信息基础设施运营者,识别核心信息流,并根据核心信息流识别关键信息基础设施最大可能的边界和进行关键性评估等后续工作。
在相关国外上市的中概股企业被网络安全审查办法公告首次要求启动网络安全审查后的几天内《审查办法(征求意见稿)》发布并公开征求社会意见,如前所述,其适用对象从“关键信息基础设施运营者”扩大到“开展数据处理活动的数据处理者”,那么是否可以解读为国家已经将已被要求审查的那些互联网平台的属性有了明确的定性呢,是否因其掌握了国家重要数据和大量用户数据而属于“关键信息基础设施运营者”呢?根据《国家网络安全检查操作指南》第3.1条,关键信息基础设施也包括网站类和平台类系统,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台。但上述网站/平台如被划定为“关键信息基础设施运营者”,根据第3.2条第(三)项,还需要符合相关条件:如,(1)注册用户[2]数超过1000万;或(2)活跃用户(每日至少登陆一次)数超过100万;或(3)日均成交订单额或交易额超过1000万元;或(4)“日均访问量超过100万人次”;以及(5)一旦发生网络安全事故,可能造成:1000万元以上的直接经济损失;直接影响超过1000万人工作、生活;超过100万人个人信息泄露;造成大量机构、企业敏感信息泄露;大量地理、人口、资源等国家基础数据泄露;严重损害社会和经济秩序,或危害国家安全。
但鉴于《国家网络安全检查操作指南》的文件性质只能算是实践指南,因此对于“关键信息基础设施运营者”的认定还需要根据《关键信息基础设施安全保护条例(征求意见稿)》第十九条所言,应当由行业主管部门最终确定。《审查办法(征求意见稿)》第二十一条也同样提到由关键信息基础设施保护工作部门认定。在《审查办法(征求意见稿)》出台(即向社会征求意见扩大网络安全审查对象)前,网络安全审查办公室对相关国外上市的中概股企业发布网络安全审查通知的依据,除有可能是依职权对关键信息基础设施运营者进行安全审查(如前所述,官方目前并无明确定论被审查的互联网平台属于关键信息基础设施运营者),也有可能是根据《审查办法》第十五条,“监管机构认为影响或可能影响国家安全的网络产品和服务,依职权进行审查。”该审查理由的上位法依据是《国家安全法》第59 条,即所确立的对影响或者可能影响国家安全的网络信息技术产品和服务进行国家安全审查的要求。考虑到中国企业在国外上市极有可能导致需要接受国外监管机构的管辖和调查,特别是国外监管机构可能在上市申报、监管执法等场景中向中国运营者调取或要求其披露中国境内敏感数据(比如高精地图数据、用户行踪轨迹信息等),监管机构完全有理由以“可能影响国家安全的网络信息技术产品和服务”为依据,将相关企业纳入网络安全的审查范围。
值得注意的是,《审查办法(征求意见稿)》新增并特别强调了对国外上市主体的网络安全审查义务。第六条明确提出,“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。对于此条,有必要明晰几个概念:
(1)100万用户如何理解?此处的“用户”,笔者认为与《国家网络安全检查操作指南》中提到的“注册用户”是同一个概念,即既包括了C端用户,也包括了B端用户。前者比较好理解,但B端用户的个人信息通常是B端最终用户提供的个人信息,比如云服务平台客户的最终用户个人信息。那么云服务企业(如SaaS平台)赴国外上市是否需要向网络安全审查办公室申报网络安全审查呢?我们注意到《审查办法(征求意见稿)》第六条所用的词为“掌握”,而非“控制”或者“拥有”,因此从文义解释,该条也可能适用于ToB的企业(如SaaS平台),但具体适用范围和标准仍有待监管进一步明确。此外提示关注,此处100万用户个人信息的数量比《国家网络安全检查操作指南》中认定“关键信息基础设施运营者”1000万注册用户的门槛大幅降低,既印证了网络安全审查不仅只适用于关键信息基础设施运营者,也表达了监管有对于赴国外上市企业可能执行更严标准的寓意。
(2)运营者的范围是多大?《审查办法(征求意见稿)》第二条将关键信息基础设施运营者和数据处理者都称为运营者。但《数据安全法》第三十一条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”因此,从现行法规来看,关键信息基础设施运营者也属于数据处理者,《审查办法(征求意见稿)》形成终审稿时,将“数据处理者”改为“其他数据处理者”可能更为周严。故,运营者即等同于所有数据处理者。
(3)国外上市所指的范围是多大?《审查办法(征求意见稿)》用的词为“国外”而非“境外”,是否可以排除对香港上市的适用问题也是市场关注的焦点。根据《新华社新闻信息报道中的禁用词和慎用词(2016年7月修订)》第四十条规定,应区分国境与关境概念。国境是指一个国家行使主权的领土范围,从国境的角度讲,港澳属“境内”;关境是指适用同一海关法或实行同一关税制度的区域,从关境的角度讲,港澳属单独关税区,相对于内地属于“境外”。此外,根据《中华人民共和国出境入境管理法》第八章附则第八十九条明确规定,由中国内地前往港澳台地区为出境,《中华人民共和国证券法》(以下简称“《证券法》”)[3]、《网络安全法》[4]及其相关配套规则所常用的“境内”和“境外”的概念,而非“国内”和“国外”的概念,因此从文义角度理解,《审查办法(征求意见稿)》采用了“国外”而非其他法律法规中常用的“境外”的表述,可能想表明赴香港上市并不在《审查办法(征求意见稿)》第六条的规制范围之列,但“国外”的最终含义仍有待《审查办法(征求意见稿)》形成终审稿或实践中加以明确。此外,“上市”的概念也有待进一步明确,虽然《审查办法(征求意见稿)》在第八条“运营者申报网络安全审查应当提交的材料中”中新增加“拟提交的IPO材料”,但我们理解“上市”的概念要比“IPO”更为宽泛,目前市场上常见的美股De-SPAC交易、借壳上市(RTO)、直接上市(Direct Listing)等都可能属于“上市”范畴并需要按照《审查办法(征求意见稿)》第八条的规定提交上市申报材料。
随着全球各国对于数据主权的保护及各国之间科技发展日益激烈的竞争,各国不断加强对数据安全流动的监管。本次《审查办法(征求意见稿)》新增对赴国外上市主体的网络安全审查义务,与《数据安全法》中数据出境安全管理和数据安全制度的要求遥相呼应。需要注意的是,如第2点所阐述,《数据安全法》第三十一条对于关键信息基础设施的运营者以及其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理都有所规制,因此,对于不属于“关键信息基础设施的运营者”的赴国外上市的其他数据处理者和已在国外上市的中概股企业,都需遵守《审查办法(征求意见稿)》的规定。
(4)审查的启动方式是什么?根据《审查办法(征求意见稿)》第六条,符合条件的赴国外上市中概股企业,应当主动向网络安全审查办公室申报网络安全审查。经过审查(具体审查形式也有待进一步明确,比如有可能是书面审查辅以问询,还有可能是入场实地审查)之后,才能向国外相关证券监管机构提交上市申请。如果以上企业未按要求履行安全审查申报,不但有可能会引发网络安全审查工作机制成员单位依职权启动审查程序,还有可能会被依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定进行处罚。至于如何启动申报程序、申报材料需要递交哪些、多少时限可获审查通过,目前还有待终审稿出台及相关文件给出操作指南。
修订要点三:审查要点新增重要数据、核心数据
《审查办法(征求意见稿)》第十条补充增加了在网络安全审查中重点评估采购活动、数据处理活动以及国外上市可能带来国家安全风险时需要考虑的另外二点重要因素,即“(五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”,以及“(六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。以上因素正与《数据安全法》的要求相呼应。
何为核心数据以及重要数据?《数据安全法》第二十一条已有提及,即关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。对于重要数据,《网络安全法》中虽有提到,但并未阐释具体定义;《数据安全管理办法(征求意见稿)》和《信息安全技术 数据出境安全评估指南(草案)》对重要数据有定义,但定义没有非常清晰且两者都未生效,后者作为指南性文件也不具有法律效力。相信随着《数据安全法》的实施以及《审查办法(征求意见稿)》的通过,后续各地区、各部门制定的重要数据具体目录能成为有效的参考,并进一步增强数据分类分级保护制度的落地性与实践性。
如果说《审查办法(征求意见稿)》第十条第(五)项是在规制涉及持有核心数据、重要数据或者大量个人信息的企业在数据出境前需要启动风险评估及提交审查;第(六)项则明确要求中概股企业需要防范核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险,故对于无论是拟上市还是已上市的中概股企业,均有必要提前自我审查是否存在重要数据、核心数据出境或者不当批露的问题,也需要提前预备可能被要求接受监管机构审查的工作。
《数据安全法》规定了违法国家核心数据管理制度和未按照数据出境管理规定向境外提供重要数据的罚则,即根据第四十五条规定,违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。根据第四十六条规定,违反数据出境管理归档,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
此外,根据《数据安全法》第三十条的规定,重要数据处理者还应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量、收集、存储、加工、使用数据的情况、面临的数据安全风险及其应对措施等。
修订要点四:审查主体新增中国证券监督管理委员会
根据现行《审查办法》,中央网络安全和信息化委员会统一领导网络安全审查工作,由国家网络安全审查办公室会同11个国务院组成部门和直属机构共同建立网络安全审查工作机制,确立了下图审查体系。网络安全审查办公室设在国家互联网信息办公室下,负责制定网络安全审查的相关制度规范,并组织网络安全审查,中国网络安全审查技术与认证中心认证承担具体执行工作。[5]
根据现行《审查办法》,“网络安全审查工作机制成员单位”包括除国家互联网信息办公室以外的所有发文机关,即国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局,即下图除中国证券监督管理委员会(CSRC)(红色字体标注)的11个国务院组成部门或直属机构。
此次《审查办法(征求意见稿)》沿用了前述结构,新增网络安全审查工作成员单位中国证券监督管理委员会(CSRC),构成第13个有权审查主体。2021年7月6日,中共中央办公厅、国务院办公厅印发《关于依法从严打击证券违法活动的意见》(以下简称“《意见》”),该意见明确提出了“完善数据安全、跨境数据流动、涉密信息管理等相关法律法规”、“压实境外上市公司信息安全主体责任”、“加强跨境信息提供机制与流程的规范管理”等要求。《审查办法(征求意见稿)》此次修订将有利于CSRC对于落实上述《意见》的要求并会同其他审查部门依职权主动发起网络安全审查。
此外,《审查办法(征求意见稿)》对于特别审查程序的处理更加谨慎。网络安全审查办公室在听取相关部门和单位意见、展开深入分析、评估并再次形成审查结论后,对报送意见征求的部门从原先的网络安全审查工作机制成员单位和关键信息基础设施保护工作部门,扩宽到了网络安全审查工作机制成员单位+相关部门意见,最后才按程序报中央网络安全和信息化委员会批准,形成审查结论并书面通知运营者。这也体现了《审查办法(征求意见稿)》扩大审查对象的用意保持一致,即对不属于“关键信息基础设施”数据处理者的复审意见由相关行业部门来出具更符合实践要求。
修订要点五:审查材料及审查时间变更
《审查办法(征求意见稿)》总体上沿用了现行《审查办法》的审查流程,仍然采用以下两类方式:
第一类,运营者主动发起审查。
(1)由关键信息基础设施运营者启动。关键信息基础设施运营者在采购网络产品和服务时,通过自我预判认为所采购的产品和服务在投入使用后可能给国家带来安全风险,影响或者可能影响国家安全的,在制作安全风险报告后,向网络安全审查办公室进行申报,进入政府审查程序。期待关键信息基础设施保护工作部门可以制定本行业、本领域的预判指南,以更好地帮助相关企业把握风险预测的尺度,不贻误申报审查的适当时机。
(2)由掌握超过100万用户个人信息的赴国外上市运营者启动。由于本文修订要点二中已经对该类启动方式作了详细分析,故不再赘述。
当启动网络安全与数据安全的审查启动后,网络安全审查办公室应当在30个工作日内(情况复杂的,可以延长15个工作日)完成初步审查,包括将审查结论建议发给网络安全审查机制成员单位、相关关键信息基础设施保护工作部门征求意见。网络安全审查机制成员单位、相关关键信息基础设施保护工作部门应当在收到审查结论建议之日起15个工作日内书面回复意见。
如网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见一致,则由网络安全审查办公室将审查结论书面通知给关键信息基础设施运营者;如二者意见不一致,则进入特别审查程序并书面通知关键信息基础设施运营者。进入特别审查程序后,由网络安全审查办公室进一步听取相关部门和单位的意见,进行深入分析评估,再次形成审查结论建议,在征求网络安全审查工作机制成员单位和相关部门的意见后,按程序报中央网络安全和信息化委员会批准,形成审查结论并书面通知运营者。
第二类:由网络安全审查工作机制成员单位启动。当上文所述国务院下属12个组成部门和直属机构认为影响或可能影响国家安全的,网络安全审查办公室按照程序报中央网络安全和信息化委员会批准,启动审查程序。对于审查机构依职权启动的审查,没有再区分一般程序和特别程序,因此,一旦中央网络安全和信息化委员会批准审查结果,即为终局决定。
此次《审查办法(征求意见稿)》在第八条“运营者申报网络安全审查应当提交的材料中”中增加“拟提交的IPO材料” ,此外还延长了特殊审查流程的时间,即:当网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见不一致时,需征求有关部门意见并报中央网络安全和信息化委员会最后批准决策的特别审查流程,《审查办法(征求意见稿)》将该特别审查流程的期限由45个工作日延长至3个月,并且对于情况复杂的可以延长。删除了《审查办法》中的“适当”两字,即代表当情况过于复杂的,审查期限也存在不可预估的风险。
上图为两类主体分别启动网络安全审查时的审查流程
要点六:网络产品和服务新增重要通信产品
《审查办法(征求意见稿)》第二十一条,除兜底表述,对于网络产品和服务的范围,在核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务以外,增加了“重要通信产品”。对于哪些产品属于“重要通信产品”仍有待进一步明确。
关键信息基础设施运营者采购网络产品和服务时会需要签署采购合同,可能要求网络产品和服务提供者配合进行网络安全审查,比如要求网络产品和服务提供者承诺不利用所提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等,以保障供应链安全和业务连续性。
国家互联网信息办公室有关负责人曾就《审查办法》相关问题答记者问时建议,关键信息基础设施运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。对于网络产品和服务提供商来说,如果提供列入《网络关键设备和网络安全专用产品目录(第一批)》的网络关键设备和网络安全专用产品的供应商,只有按照相关国家标准的强制性要求,取得安全认证或者安全检测符合要求后[6],方可销售或者提供产品。并且,应当加强产品与服务的自身安全能力,做好充分风险预估。
结语
针对本次《审查办法(征求意见稿)》的发布,建议企业在日常运营过程中,时刻关注监管机构近年来不断加密、加快的监管趋势和执法依据位阶上升、监管尺度不断细化的要求,提升自身有关核心数据、重要数据、用户个人信息保护义务的合规水准,严格审查在采购关键产品(比如核心网络设备、重要通信产品等)、服务(比如云服务、大数据分析服务等)过程中的供应链风险问题,并从组织层面和系统层面双向提高防止数据泄露、窃取或毁损等安全事件的数据保障措施:例如在电信大数据领域中[7],对终端设备实施安全鉴别机制;对采集程序的接入实施强身份认证,例如Kerberos[8],LDAP[9]等。同时还应当保证上传程序自身的安全机制,建议使用SFTP[10]、基于Kerberos认证的Flume[11]、Kafka[12]等;设置组织内部统一的网络安全与数据安全策略;对相关软件配置安全基线、设置访问控制权限;限制对核心网设备执行端口镜像类操作;对冗余传输数据要求及时切断;以及需要加强在数据传输过程中的审计日志管理等。相关防范措施,我们还将在下篇中具体阐释。
注释:
[1] 参考《网络安全法》第三十一条和《关键信息基础设施安全保护条例(征求意见稿)》第十八条。
[2] 笔者理解此处注册用户通常是指C端客户,但针对ToB企业,其客户注册为网站/App等用户的,也应当同样适用。
[3] 如《证券法》第2条规定“在中华人民共和国境内,股票、公司债券、存托凭证和国务院依法认定的其他证券的发行和交易,适用本法”,第224条规定“境内企业直接或者间接到境外发行证券或者将其证券在境外上市交易,应当符合国务院的有关规定”。
[4] 《网络安全法》第37条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定”。
[5] 来源于网信办就《审查办法》答记者问。网址:https://www.thepaper.cn/newsDetail_forward_13467262,最后访问时间2021年7月11日 。
[6] 2018年6月,国家认监委、工信部、公安部、国家互联网信息办公室联合发布《网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》,首次明确了具备资格的认证和检测机构,包含中国信息安全认证中心、中国信通院等16家机构。
[7] 引用自《电信领域大数据安全防护实现指南(草案)》。
[8] Kerberos是指一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。
[9] LDAP(Lightweight Directory Access Protocol,轻型目录访问协议)是指一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式的目录信息。
[10] SFTP(SSH File Transfer Protocol,安全文件传送协议)是指通过数据流连接,提供文件访问、传输和管理功能的网络传输协议。
[11] Flume是指由Cloudera公司提供的一个高可用的,高可靠的,分布式的海量日志采集、聚合和传输的系统,一般用于日志采集,可以定制很多数据源,适合数据安全性要求相对不高的操作。
[12] Kafka是指由Linkedin公司研发的一个高吞吐量、分布式的数据采集框架。一般用于日志缓存,是一个可持久的分布式消息队列,自带存储,适合数据安全性要求较高的操作。
点击“相关下载”,可查阅《审查办法》与《审查办法(征求意见稿)》条款对比。