- +1
网络产品安全审查制度及相关合规风险——写于美国关于禁用华为设备的法案获批之后
吴卫明
锦天城律师事务所
高级合伙人 吴卫明博士
wuweiming@allbrightlaw.com
更多详情
刘昀东 锦天城律师事务所 律师
前言
据媒体报道,美国参议院于2020年2月27日批准了《安全和可信电信网络法》(Secure and Trusted Telecommunications Networks Act)(简称《电信法案》),该法案将禁止使用联邦资金购买来自被视为国家安全威胁的公司(例如华为和中兴)的电信设备。此前,众议院已于2019年12月通过该法案。
该法案先后通过美国众议院与参议院的批准,体现了美国对于电信设备影响网络安全及国家安全的高度重视。同时,该法案的施行也将影响一大批电信设备制造商,并并成为新的贸易壁垒。
还有一个值得关注的消息是,据媒体报道,美国政府3月10日表示,将再次延长允许美国企业与中国电信设备制造商华为之间开展业务,直至5月15日。
抛开政治因素不谈,仅从美国《电信法案》的立法条文来看,国家安全因素将逐渐成为电信网络设备贸易的重要影响因素。与传统的出口管制相比,这一法案将境外电信网络产品的输入作为其重要的规制手段。这也充分说明,在网络安全与信息安全领域,早已超出了此前贸易制裁及出口管制的范畴,而是将限制其他国家电信网络设备的输入作为保障国家安全的重要举措。这一信号,值得予以充分关注。同时,对于电信网络设备制造商而言,了解不同国家的电信网络设备进口管制,也成为合规及市场布局需要重点考量的问题。
作为网络及电信大国,我国对于电信安全,或者网络安全中产品及设备使用中蕴含的相关风险早有认知。2017年6月1日实施的《网络安全法》将网络产品、设备以及服务(以下或统称为“网络产品”)的安全审查提升到了一个新的高度。
本文将简要介绍《安全和可信电信网络法》相关制度,并结合我国网络产品的安全审查制度进行分析,以便帮助企业识别网络产品采购、使用以及跨境涉及的风险。
一、《安全和可信电信网络法》概述
根据《安全和可信电信网络法》的内容,可以看出其立法目的是禁止使用联邦资金(补贴)购买威胁国家安全的电信设备或服务;并为因为无法使用前述电信设备或服务导致的可能性损失提供补偿。(To prohibit certain Federal subsidies from being used to purchase communications equipment or services posing national security risks, to provide for the establishment of a reimbursement program for the replacement of communications equipment or services posing such risks, and for other purposes.)
为了实现上述立法目的,美国联邦政府将通过多种方式对威胁国家安全的电信设备及服务进行认定,并通过清单的方式予以明确(SEC. 2. DETERMINATION OF COMMUNICATIONS EQUIPMENT OR SERVICES POSING NATIONAL SECURITY RISKS.部分的内容)。其次,美国联邦政府制定了针对建立安全和可信电信网络的补偿计划,提供补贴用于升级电信设备及服务的资本支出,但是不能将这些补贴用于购买、租赁或以其他方式获得这些电信设备及服务,也不得用于维护已有的电信设备及服务(SEC. 3. PROHIBITION ON USE OF CERTAIN FEDERAL SUBSIDIES.及SEC. 4. SECURE AND TRUSTED COMMUNICATIONS NETWORKS REIMBURSEMENT PROGRAM.部分的内容)。
二、我国网络产品安全审查的法律依据
我国《网络安全法》对于网络产品也设置了安全审查制度,具体表现在两个方面,其一是基于《网络安全法》第二十三条的网络关键设备和网络安全专用产品安全认证和检测;其二是基于《网络安全法》第三十五条的采购网络产品和服务的安全审查。
(一)网络关键设备和网络安全专用产品安全认证和检测
《网络安全法》第二十三条规定,“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。”
上述规定明确了网络关键设备和网络安全专用产品的认定依据——由国家网信部门会同国务院有关部门制定目录来确定,目前这个目录仅指于《网络安全法》生效当日发布并生效的《网络关键设备和网络安全专用产品目录(第一批)》。目录列入了4类网络关键设备和11类网络安全专用产品,同时对这些类别设备和产品的范围作出了进一步规定。
我国《网络安全法》对于网络产品也设置了安全审查制度,具体表现在两个方面,其一是基于《网络安全法》第二十三条的网络关键设备和网络安全专用产品安全认证和检测;其二是基于《网络安全法》第三十五条的采购网络产品和服务的安全审查。
(一)网络关键设备和网络安全专用产品安全认证和检测
《网络安全法》第二十三条规定,“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。”
上述规定明确了网络关键设备和网络安全专用产品的认定依据——由国家网信部门会同国务院有关部门制定目录来确定,目前这个目录仅指于《网络安全法》生效当日发布并生效的《网络关键设备和网络安全专用产品目录(第一批)》。目录列入了4类网络关键设备和11类网络安全专用产品,同时对这些类别设备和产品的范围作出了进一步规定。
同时,《网络安全法》第二十三条的规定要求在销售或者提供这些网络关键设备和网络安全专用产品前应当进行至少一种安全审查方式——安全认证或者安全检测。这两种安全审查方式的效果是一样的,所以为了避免重复认证、检测,之后会推动安全认证和安全检测结果互认。
从2018年3月15日国家认证认可监督管理委员会、工业和信息化部、公安部、国家互联网信息办公室《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》看来,目前可以进行网络关键设备和网络安全专用产品安全认证的机构仅有中国信息安全认证中心1家,认证合格后报国家认证认可监督管理委员会,可以进行网络关键设备安全检测的机构有11家,检测符合要求后报工业和信息化部,网络安全专用产品安全检测的机构分别有4家,检测符合要求后报公安部。可以看到网络关键设备和网络安全专用产品安全认证和检测这一制度下有三个不同的主管部门,不过从《网络安全法》的规定来看,效果都应当是一致的。
而未进行安全认证或检测的法律后果可以在《认证认可条例》第六十七条中找到——“列入目录的产品未经认证,擅自出厂、销售、进口或者在其他经营活动中使用的,责令改正,处5万元以上20万元以下的罚款,有违法所得的,没收违法所得。”
(二)采购网络产品和服务的安全审查
《网络安全法》第三十五条原本将安全审查的适用范围规定在“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的”情形下,但同时生效的《网络产品和服务安全审查办法(试行)》则表述为“关系国家安全的网络和信息系统采购的重要网络产品和服务”。
在关键信息基础设施的具体认定细则尚未正式发布的背景下,我们可以对比下《网络安全法》第三十一条对于关键信息基础设施的定语——“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的”。相比于“严重危害国家安全”,“关系国家安全”明显降低了门槛,可以理解为《网络产品和服务安全审查办法(试行)》对安全审查的适用范围进行了扩大,即,只要可能影响或关系国家安全,无论是否属于关键信息基础设施的运营者,都应当在采购过程中进行安全审查。
根据《网络产品和服务安全审查办法(试行)》第五条的规定,国家互联网信息办公室会同有关部门成立的网络安全审查委员会将是网络安全审查的主管部门。
值得关注的一点是,《网络产品和服务安全审查办法(试行)》对于未履行网络安全审查义务的法律后果没有明确规定,而是模糊表述为“违反本办法规定的,依照有关法律法规予以处理。”而《网络安全法》第六十五条则明确规定,“关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”这里面的责任主体与《网络安全法》第三十五条保持一致,仍然是针对关键信息基础设施的运营者,但由此在法律衔接上产生了一个问题——非关键信息基础设施的网络运营者,使用未经安全审查或者安全审查未通过的网络产品或者服务的,是否适用上面的处罚规则?严格从法条的角度来理解,即使《网络产品和服务安全审查办法(试行)》将安全审查的范围扩大了,但“‘依照’有关法律法规予以处理”而非“‘参照’有关法律法规予以处理”的表述不能直接导出非关键信息基础设施的网络运营者违规应当按照《网络安全法》规定的处罚规则处理,不过实践中是否采纳上述理解方式还是需要依据执法部门的意见或者关注之后是否会出补充性规定来完善两部法规之间的衔接问题。
(三)两类安全审查对比
综合来看两类安全审查方式在适用范围、审查形式、主管部门、违法形式、法律后果上均存在差别,笔者梳理后如下表所示:
备注:“网络关键设备和网络安全专用产品安全认证和检测”的“责任主体”指主动进行认证或检测的责任主体,法律后果对应的责任主体应当扩大至采购方、使用方。
三、中美两国制度比较、企业的法律风险及合规建议
(一)中美两国制度比较
结合前后文语境,《安全和可信电信网络法》中的电信设备和《网络安全法》中的网络设备、网络产品、网络服务是可以等价的,因此具有比较的基础和意义。
总体来说,中国类似于设置白名单,只要通过安全认证、安全检测、安全审查就相当于进入了白名单,指定企业只能选用进入白名单的网络产品,不过要纳入白名单的辐射范围也是有门槛的,简单来说有两个判断条件,一是进入“网络关键设备和网络安全专用产品目录”,二是“影响国家安全”。而美国的做法则类似于设置黑名单,不预设门槛,通过多种维度确立黑名单,针对性地禁止企业选用进入黑名单的网络产品,当然实践中也可能是直接针对供应商,将特定供应商的全部产品列入黑名单的行列。因此,两国对于电信及网络产品准入安全审查采用的价值判断标准是不同的,中国偏重于从技术标准认定准入标准;而美国则以认定企业是否威胁国家安全作为准入标准。
(二)供应商的合规风险及建议
从供应商的角度来说,在美国,如果生产的产品被认定为威胁国家安全,则直接失去了使用联邦资金的客户,而且很有可能会影响其他客户的选择。并且这种认定是被动的,仿佛永远悬在头上的达摩克利斯之剑,对于非美国本土的企业这种影响应该会更显著。
在中国,应当注意自己生产的产品是否在应当进行安全认证或安全检测的目录里或者是否已经触发了安全审查的条件,主动去申请安全认证、安全检测,或提示采购方主动去申请安全检查,企业可以拥有更高的主动权,对未来可以有更稳定的预期。
(三)采购方的合规风险及建议
从采购方的角度来说,在美国,如果没有关注威胁国家安全的电信设备和服务清单而采购了清单内的设备和服务,可能会直接被掐断政府的财政补助,还可能涉及其他民事及刑事责任。
因此需要关注威胁国家安全的电信设备和服务清单,避免选择清单内的设备和服务,当然,在清单之外,选择范围可能会更大一些。
在中国,如果采购了应当进行安全认证、安全检测或安全审查的网络产品而没有经过相应程序或者不达标,在面临经济处罚风险的同时,更为严重的是面临停止使用的风险。毕竟通常这些网络产品都是业务环节的重要支撑,无论是彻底停用还是整改都会对业务造成非常巨大的负面影响。
因此采购过程中应当谨慎选择经过安全认证或安全检测的产品或服务,对于基础信息设施的运营者或者与国家安全联系比较紧密的网络运营者来说,建议在采购流程中设置前置合规评估环节,以避免应当申请网络安全审查的采购没有经过网络安全审查而为日后的生产经营埋下隐患。
(四)对跨境贸易过程中的启示
在各个国家都对网络安全日益重视,电信、网络设备及相关服务相互嵌套愈发复杂的今天,跨境贸易也将不可避免的涉及这个话题,如果提供的产品,甚至是产品中的一个部件不符合当地的审查政策,很可能造成供应商的违约,从而导致承担赔偿或其他违约责任。与之相对的,如果不关注当地的审查政策,采购了境外应当经过必要审查程序但未经过审查的产品,或者采购了当地政策禁止的产品,很可能导致后续的交易或经营计划被迫推迟甚至是终止,造成巨大的损失。
因此,建议在跨境贸易中,充分关注两地的审查政策,了解产品的组成,及时履行相应审查手续,或者回避被禁止的产品或部件,以避免承担违约责任或其他商业风险。
本文作者:
吴卫明律师
邮箱:wuweiming@allbrightlaw.com
刘昀东律师
邮箱:james.liu@allbrightlaw.com
法律服务咨询:
融法小助手16601790642(同微信)
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问http://renzheng.thepaper.cn。
- 报料热线: 021-962866
- 报料邮箱: news@thepaper.cn
互联网新闻信息服务许可证:31120170006
增值电信业务经营许可证:沪B2-2017116
© 2014-2024 上海东方报业有限公司