文丨天元律师事务所 方有明 曹怀顺（上海分所）
2021年7月以来，网络安全审查办公室接连发布公告，对多家互联网平台实施网络安全审查，“网络安全审查”一时间成为业界热点，作为企业来说，要不要主动申请网络安全审查？哪些企业需要主动申请？需要采取哪些措施应对？本文拟从企业合规路径角度做简要分析。
一
何为“网络安全审查”
根据《网络安全审查办法》（简称“《审查办法》”）第二条和第三条的规定，“网络安全审查”是对关键信息基础设施运营者采购网络产品和服务，在影响或可能影响国家安全的情形下，从产品和服务安全性、可能带来的国家安全风险等方面进行的审查。
从前述定义来看，明确哪些企业需要进行网络安全审查，关键在于明确“关键信息基础设施”的定义和范围，下文将予详述。
二
哪些企业需要网络安全审查
结合现有相关法律法规，《网络安全法》（简称“《网安法》”）首先对关键信息基础设施进行了原则性的概念界定，《关键信息基础设施安全保护条例（征求意见稿）》（简称“《保护条例》”）在《网安法》的基础上，从单位主体角度进行了相应的释明，而《关于开展关键信息基础设施网络安全检查的通知》的附件《网络安全检查操作指南》（中网办发﹝2016﹞3号，简称“《操作指南》”）则从步骤、方法、标准等角度对关键信息基础设施的认定提供了可操作的细化指引。
（一）
关键信息基础设施的认定
《网安法》对于关键信息基础设施做了法律层面的界定。第三十一条规定，关键信息基础设施是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的”设施。
《保护条例》在《网安法》的基础上，从单位主体角度对关键信息基础设施做了进一步释明。其第十八条规定，下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：
1.
政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；
2.
电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；
3.
国防科工、大型装备、化工、食品药品等行业领域科研生产单位；
4.
广播电台、电视台、通讯社等新闻单位；
5.
其他重点单位。
若仅依据前述规定，企业只能明确自己是否属于该行业和领域，但是否达到关键信息基础设施所要求的标准仍不明确。对此《操作指南》提供了量化的认定标准，可供相关企业参考。
《操作指南》将关键信息基础设施分为三大类，
●
一是网站类，如党政机关网站；
●
二是平台类，如即时通信、网上购物、网上支付、搜索引擎、地图、音视频等网络服务平台；
●
三是生产业务类，如工业控制系统、大型数据中心、云计算平台等。
《操作指南》提出了确定关键信息基础设施的步骤。
步骤一是确定关键业务，比如以金融行业为例，其关键业务包括银行运营、证券期货交易、清算支付、保险运营等；
步骤二是确定支撑关键业务的信息系统或工业控制系统，如电力行业火电企业的发电机组控制系统、管理信息系统等；
步骤三是根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
值得一提的是，《操作指南》给出了网站类、平台类、生产服务类认定关键信息基础设施的具体标准，比如以平台类为例，“符合以下条件之一的，可认定为关键信息基础设施：1.注册用户数超过1000万，或活跃用户（每日至少登陆一次）数超过100万。2.日均成交订单额或交易额超过1000万元。”
企业可结合自身所在行业，以及业务量、数据量等判断自身所运营的设施是否属于“关键信息基础设施”。
（二）
存疑情形下应主动申报
我们认为，若企业处于前述相关行业和领域，标准上符合《操作指南》的规定，应主动申报网络安全审查。《审查办法》第五条也要求运营者主动预判相关产品和服务可能的国家安全风险，若影响或可能影响国家安全，则应主动申报网络安全审查。
若企业对其是否需要网络安全审查存在疑问，我们建议可结合自身所在行业，书面向相应的主管部门进行咨询，以得到其明确的答复。相关主管部门是指“网络安全审查工作机制成员单位”，包括发改委、工信部门、公安部门、国安部门、财政部门、商务部门、人民银行、市场监管局、广电局、保密局、密码管理局，由网信办负责统筹。网络安全审查工作机制成员单位有权主动开展审查。
三
网络安全审查主要查什么
（一）
审查的对象
网络安全审查主要审查关键信息基础设施运营者所采购的网络产品和服务。《审查办法》第二十条明确了前述“产品和服务”的具体内涵，主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
对于前述“产品和服务”的具体认定标准，《网络关键设备和网络安全专用产品目录（第一批）》（简称“《产品目录》”）中所列的具体标准可供参考。比如其中规定的“网络关键设备”相关参数可作为认定“核心网络设备”的参考标准，范围包括：
1.
路由器，参数为：整系统吞吐量（双向）≥12Tbps、整系统路由表容量≥55万条；
2.
交换机，参数为：整系统吞吐量（双向）≥30Tbps、整系统包转发率≥10Gpps；
3.
服务器，参数为：机架式，CPU数量≥8个、单CPU内核数≥14个、内存容量≥256GB；
4.
可编程逻辑控制器（PLC设备），参数为：控制器指令执行时间≤0.08微秒）。
再比如《产品目录》中“网络安全专用产品”的相关参数可作为“网络安全设备”的参考标准，例如数据备份一体机的参数为：备份容量≥20T、备份速度≥60MB/s、备份时间间隔≤1小时；防火墙（硬件）的参数为：整机吞吐量≥80Gbps、最大并发连接数≥300万、每秒新建连接数≥25万等。
（二）
审查的维度
《审查办法》第九条规定了审查的重点维度，其核心在于国家安全风险，包括：
1.
产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；
2.
产品和服务供应中断对关键信息基础设施业务连续性的危害；
3.
产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；
4.
产品和服务提供者遵守中国法律、行政法规、部门规章情况；
5.
其他可能危害关键信息基础设施安全和国家安全的因素。
对于审查的具体切入角度，尚未生效的国标《信息安全技术 关键信息基础设施安全检查评估指南（征求意见稿）》的内容可供企业参考，比如其中的合规检查内容可以作为网络安全审查具体维度的一个切入点，如政策文件要求落实情况、安全标准执行情况、信息安全等级保护落实情况、个人信息和重要数据保护情况、安全管理机构设置和人员安全管理情况、安全管理保障体系落实情况、备份与恢复情况、应急响应与处置情况等。
考虑到日趋复杂的国际环境，若采购国外产品和服务的，该供应商所在国家是否存在可能中断供应或维护也将成为审查的必要考虑因素之一，企业在使用国外产品和服务的过程中，如涉及到数据出境的，应当遵守数据出境的相关规定进行评估，对此问题，我们将在后续文章中展开分析。
四
网络安全审查的申报
对于需要进行网络安全审查的企业，应当按照《审查办法》的规定提交相应书面材料。《审查办法》第七条规定了运营者申报网络安全审查所需提交的材料，包括：
1.
申报书；
2.
关于影响或可能影响国家安全的分析报告；
3.
采购文件、协议、拟签订的合同等；
4.
网络安全审查工作需要的其他材料。
目前，“中国网络安全审查技术与认证中心”（简称“认证中心”）受托开展网络安全审查工作，企业可向该中心提出申请。
（一）
  申报材料注意事项
目前认证中心并未公开申请材料的格式和具体要求，仅提供给个别申请审查的企业。据我们了解，申报书一般会包括申请主体信息，如单位全称、办公地址、注册地、（是否）上市情况、注册资金、员工人数、单位类型、法定代表人、联系人。除前述主体信息外，企业所采购的产品和服务的情况，如产品和服务的类型和具体参数、提供主体信息、所在国家等也是需披露的内容。
对于“影响或可能影响国家安全的分析报告”，我们认为以下内容是需要的：企业的关键信息基础设施描述、认定识别情况、主要核心资产情况、承载核心业务情况、面临的主要威胁和系统安全能力的描述情况等，技术检测结果说明，包括主要安全威胁、安全漏洞、面临的安全风险进行说明等。
对于采购文件、协议、拟签订的合同，《审查办法》要求运营者通过采购文件、协议要求产品和服务提供者配合审查，并要求提供者承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。因此，我们建议企业在合同文本签署方面，增加关于网络安全、数据安全等方面的条款，在选择供应商时加强对供应商资质、数据网络等方面安全保障能力的审查，仔细调查供应商是否遵守了法律法规及相关标准所提出的数据合规要求，在此前提下，要求供应商签署相应的承诺函后再考虑采购产品和服务，并强化合作过程中的监督，发现问题时及时终止合作。
对于供应商的产品是否符合相应的要求，可以参考《网络关键设备和网络安全专用产品安全认证实施规则》，采购已得到认证的产品。
（二）
  合规立制才能防患于未然
目前，除了《审查办法》外，已有多项高位阶的法律法规对关键信息基础设施的安全问题进行了规定，如《国家安全法》、《网安法》、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》等，在具体的措施指引上，也有多个国标可供参考，虽然部分国标尚未生效，但其内容可作为企业开展数据合规、安全保障工作的指引。
如对于关键信息基础设施的具体边界如何认定，可以参考《信息安全技术 关键信息基础设施边界确定方法（征求意见稿）》；对于需要采取哪些安全控制措施的，可以参考《信息安全技术 关键信息基础设施安全控制措施（征求意见稿）》、《信息安全技术 关键信息基础设施网络安全保护要求（征求意见稿）》等；关于安全检查评估，可以参考《信息安全技术 关键信息基础设施安全检查评估指南（征求意见稿）》等，只有未雨绸缪，才能行稳致远。
网络安全审查仅是网络安全数据安全和数据合规的一个方面，我国《数据安全法》将于2021年9月1日生效，《个人信息保护法》也离正式出台越来越近，关于数据安全、个人信息保护、数据出境等方面的法律法规将日渐完善和成熟，相关法规所规定的处罚措施也是极为严格，企业需尽快从数据收集、存储、共享、使用、跨境等多个方面建章立制，从制度、技术、设备等多个层面，按照国家法律法规、标准的要求切实建立有效的网络安全和数据合规体系，才能切实保障网络及数据安全，控制风险，有效应对数据、网络安全事件。