一、前言
2016年11月全国人大常委会制定通过的《网络安全法》从根本上填补了我国综合性网络信息安全基本大法、核心的网络信息安全法和专门法律的三大空白。2017年5月2日,作为《网络安全法》配套实施办法,国家互联网信息办公室正式发布了《网络产品和服务安全审查办法(试行)》(“《审查办法》”)。该《审查办法》成为首个正式生效的《网络安全法》的重要配套办法,并将于2017年6月1日与《网络安全法》同日正式实施。
《网络安全法》和《审查办法》创建的网络产品和服务的安全审查制度对网络的运营者,特别是关键信息基础设施的运营者对网络产品和服务采购的合规性以及供应链管控提出了新的要求,并将对我国网络产品和服务的千亿市场产生重大影响。
二、网络产品和服务采购中的合规注意事项
《网络安全法》和《审查办法》并未创设网络产品和服务的市场准入许可或审批[1];但要求关键信息基础设施的运营者采购的网络产品和服务,可能影响国家安全的,应当经过网络安全审查;否则,关键信息基础设施的运营者将受到处罚。《网络安全法》和《审查办法》中涉及网络产品和服务采购的规定和合规要求如下。在采购流程中,关键信息基础设施的运营者可将法律规定或合规要求转化为网络产品和服务的供应商的合同义务和违约责任,以约束供应商,确保网络产品和服务的安全可控性。
合规要求 | 法律规定 | 法律风险 | 合规要点 | |
1 | 网络产品和服务需通过国家安全审查 | 《网络安全法》第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。 《审查办法》第二条 关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。 | 第六十五条 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 | 1、要求供应商提供网络产品和服务的网络安全审查评估报告;2、在招标文件或采购协议中,加入如下供应商义务条款:供应商应采取措施确保其提供的网络产品和服务已经通过或将通过国家安全审查;并设定相应的违约责任条款。 |
2 | 网络产品、服务应当符合相关国家标准的强制性要求 | 《网络安全法》第二十二条:网络产品、服务应当符合相关国家标准的强制性要求。 | 《网络安全法》第七十一条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。 第七十四条 违反本法规定,给他人造成损害的,依法承担民事责任。 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 | 在招标文件或采购协议中,加入如下供应商义务条款:供应商应确保其提供的网络产品和服务符合相关国家标准的强制性要求,并设定违约责任条款。 |
3 | 网络产品、服务无恶意程序 | 《网络安全法》第二十二条 网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 | 《网络安全法》第六十条 违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款: (一)设置恶意程序的; (二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的; (三)擅自终止为其产品、服务提供安全维护的。 | 1、对潜在供应商的网络产品、服务在正式采购前进行测试或试用;2、在招标文件或采购协议中,加入供应商义务条款:网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;并设定相应的违约责任条款。 |
4 | 网络产品和服务的持续安全维护 | 《网络安全法》第二十二条网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。 | 《网络安全法》第六十条 | 1、对潜在供应商的供应链、持续安全维护能力进行考察和评估;和/或2、在招标文件或采购协议中,加入供应商义务条款:网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护;和/或3、网络产品、服务的提供者就近设立备品、备件库,确保备品、备件一定期限的可获得性;供应商确保产品、服务的长期可供应;软件更新、升级版本的可获得性。和/或4、要求供应商对其产品的源代码进行提存,以确保应急情形下网络的安全和补救措施。并设定违约责任。 |
5 | 网络产品、服务接口的合规性 | 《网络安全法》第二十二条网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。 | 《网络安全法》第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 | 1、对潜在供应商的网络产品、服务在正式采购前进行前期测试或试用;2、在招标文件或采购协议中,加入供应商义务条款:供应商确保其网络产品、服务符合其产品说明书描述,未有未公开接口;不得未经授权访问网络;不得未经授权收集个人信息。并设定相应的违约责任条款。3、合同履行过程中加强供应商的网络接入和访问管理、授权限制,签署接入授权协议。 |
6 | 网络关键设备和网络安全专用产品须获得销售许可证 | 《网络安全法》第二十三条网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。 | 《网络安全法》第七十一条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。 第七十四条 违反本法规定,给他人造成损害的,依法承担民事责任。 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 | 1、在招标文件或采购协议中,加入供应商义务条款:供应商确保其提供网络关键设备和网络安全专用产品的销售或者提供符合国家强制性规定,并获得相应许可、资质或证书。并设定相应的违约责任条款。2、要求供应商提供或具备“计算机信息系统安全专用产品销售许可证”或“商用密码产品销售许可证”等销售许可证书,进行核查,或作为采购前提条件。 |
7 | 供应商的安全和保密义务 | 《网络安全法》第三十六条 关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。 | 《网络安全法》第七十一条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。 第七十四条 违反本法规定,给他人造成损害的,依法承担民事责任。 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 | 在招标文件或采购协议中,加入供应商的网络安全保障义务和保密义务。或者将特定的安全保密协议作为采购协议的附件或补充协议进行签署。 |
为防范网络安全风险,提高网络产品和服务安全可控水平,降低法律风险,网络的运营者,特别是关键信息基础设施的运营者在对网络产品和服务的采购过程中应注意网络产品和服务的比对和选择,招标文件和中标条件、采购协议和安全保密协议、供应商安全保障协议等采购文件的撰写和设计,以确保采购的合规性。合规措施要点为本文作者依据过往实践经验总结,仅供参考。
