盟盟说“法”
大数据法律研究团队与首席数据官联盟共同推出的法律专栏——盟盟说“法”。盟盟说“法”将主要针对互联网以及大数据行业企业,推出系列原创文章,将最新大数据法律研究成果深入浅出的呈现给大家,盟盟说“法”将会在每周一或周四的首席数据官联盟公众号和大家见面,敬请关注。
2017年6月1日,《网络安全法》正式实施;
2017年6月1日,四部委联合发布《网络关键设备和网络安全专用产品目录(第一批)》;
2017年6月1日,《网络产品和服务安全审查办法(试行)》正式实施。
图片来自网络
作者:吴丹君 周天一 北京观韬中茂(上海)律师事务所
《网络安全法》(以下简称“《网安法》”)将“网络”定义为由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,但却未对“网络产品”下定义。在网络产品的外延暂不清晰的情况下,我们可以初步将“网络产品和服务”理解为一切基于上述系统产生的产品和服务的总称。本文将系统总结《网络安全法》及其配套法规中与网络产品有关的规定,从三个层次分析解读新规下网络产品和服务。
第一层次:《网络安全法》的基础性规定
《网安法》第二十二条对普通网络产品提出了四点基本要求。第一,网络产品和服务的提供者不得设置恶意程序。由于《网安法》并未就恶意程序进行定义,我们建议可以参照8月9日工信部发布的《公共互联网网络安全威胁监测与处置办法》(以下称“《监测与处置办法》”)关于“公共互联网网络安全威胁”的规定,网络产品和服务提供者应当重点监测产品或服务中可能存在的木马、病毒、僵尸程序、钓鱼网站、钓鱼电子邮件、移动恶意程序、恶意IP地址、恶意域名、恶意URL、恶意电子信息等,一经发现,立即采取清除、停止服务或屏蔽等措施。
第二,网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。根据《监测与处置办法》,网络产品和服务存在的安全隐患包括硬件漏洞、代码漏洞、业务逻辑漏洞、弱口令、后门等,网络产品和服务提供者针对上述问题应及时采取整改措施,消除安全隐患。
第三,网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。目前常见的安全维护方式包括定期进行系统加固、补丁升级、漏洞修复、病毒查杀等。
第四,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。网络产品和服务提供者在收集用户信息时,应当严格依据《网安法》第四章的规定,建立健全用户信息保护制度;收集、使用个人信息遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;不得泄露、篡改、毁损收集的个人信息;未经被收集者同意,不得向他人提供个人信息;采取技术或其他措施确保收集的个人信息的安全,防止信息泄露、毁损、丢失;及时处理保证相关信息无法识别特定个人并建立必要的投诉举报机制。
第二层次:《网络关键设备和网络安全专用产品目录(第一批)》的要求
现行《网安法》对网络关键设备和网络安全专用产品规定了安全认证或检测要求,即销售或者提供这类产品之前,须经具备资格的机构安全认证合格或者安全检测符合相关国家标准的强制性要求。需要注意的是,即使无偿提供上述设备和产品,也必须经过安全认证或检测。国家网信部门也将会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,推动安全认证和安全检测结果互认,避免重复认证及检测。今年6月1日,《网络关键设备和网络安全专用产品目录(第一批)》(以下称“《设备和产品目录》”)已由国家网信办、工信部、公安部以及国家认证认可监督管委会联合公告发布。
《设备和产品目录》并未对具备资格的安全认证或安全检测机构进行明确规定,仅说明相关机构需经国家认证认可监督管委会、工信部、公安部、国家网信办依据有关规定共同认定方具备资格。近期,我们团队也接到了一些客户关于具备资格的安全认证或检测机构如何确定的咨询,在向多家测评机构了解情况后我们得知,相关认证检测机构的资质尚未确定,建议网络产品和服务提供商可严密关注检测标准、检测机构、后续目录等最新动态。
首批《设备和产品目录》共十五类,其中网络关键设备四类,分别是路由器、交换机、服务器(机架式)和可编程逻辑控制器(PLC设备);网络安全专用产品有九类,分别是数据备份一体机、防火墙(硬件)、WEB应用防火墙(WAF)、入侵检测系统(IDS)、入侵防御系统(IPS)、安全隔离与信息交换产品(网闸)、反垃圾邮件产品、网络综合审计系统、网络脆弱性扫描产品和安全数据库系统。《设备和产品目录》对设备或产品的范围作了规定,只有吞吐量、内存容量以及其他各类指标达到一定数量级才会被纳入安全认证或检测的范围,《设备和产品目录》可以看作针对网络产品和服务提供者的第二层次的要求。广大网络产品和服务提供者应当及时检测生产的上述设备和产品的各项指标,比照《设备和产品目录》所示的表格范围,及时进行安全认证与检测。
图片来自网络
第三层次:CIIO及重要信息系统依据《网安法》和《网络产品和服务安全审查办法(试行)》采购的要求
《网安法》首次提出了“关键信息基础设施”的概念并将整个第三章第二节专门规定相关内容,其中对关键信息基础设施运营者(以下称“CIIO”)采购的网络产品和服务也提出了要求,网络产品和服务提供者向CIIO供应网络产品和服务的,即使是普通网络产品和服务,也应当签订安全保密协议,明确安全保密义务和责任,若供应的网络产品和服务可能影响国家安全的,还应当通过国家网信部门会同国务院有关部门组织的国家安全审查。因此,向CIIO提供网络产品和服务使得提供者面临更大的合规风险,也对其提出更高的要求。
今年6月1日正式实施的《网络产品和服务安全审查办法(试行)》(以下称“《审查办法》”)对《网络法》规定的国家安全审查进行了细化,只要是关系国家安全的网络和信息系统采购的重要网络产品和服务,都应当经过安全审查。安全审查的重点审查网络产品和服务的安全性、可控性,包括产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险以及其他可能危害国家安全的风险。此外,《审查办法》要求产品和服务提供者配合安全审查工作,并对提供材料的真实性负责。
针对向CIIO供应的网络产品和服务,我们建议,首先,无论是普通的网络产品和服务亦或关系国家安全的重要网络产品和服务,网络产品和服务提供者在供应过程中都要签订安全保密协议,积极履行安全保密义务和责任;其次,对于关系国家安全的重要网络产品和服务,产品和服务提供者应积极开展生产过程中的风险审查,完善内控制度,尤其需要关注相关部件生产、测试、交付、技术支持过程中的供应链安全风险;最后,网络产品和服务提供者应积极配合网络安全审查工作,必要时提供详实的审查材料。
结语
综上所述,在提供网络产品和服务时,应当符合《网安法》第二十二条的基本要求,不得设置恶意程序,发现网络产品、服务存在安全缺陷、漏洞等风险时,立即采取补救措施,及时告知用户并上报主管机关,在运营过程中持续提供安全维护,涉及用户信息的还应当严格遵守《网安法》及相关法律法规的规定;在提供网络关键设备和网络安全专用产品时,对相关设备和产品是否符合《设备和产品目录》规定的范围进行检测,符合条件的进行安全认证或检测;在向CIIO供应网络产品和服务时,任何网络产品和服务都要签订安全保密协议,履行保密义务,承担保密责任。涉及国家安全的网络产品和服务,还必须接受安全审查。网络产品和服务提供者需根据自身产品和服务涉及的具体范围制定和完善风控制度,规避合规风险。
吴丹君律师
首席数据官联盟首席法律顾问
观韬中茂(上海)律师事务所 合伙人
毕业于华东政法大学,专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,常年为互联网、电子、高新技术行业提供优质法律服务,执业领域为公司业务、兼并收购、私募股权与投资基金、酒店等。现担任首席数据官联盟专家组成员及执行法律顾问
电邮(E):wudj@guantao.com
王渝伟律师
首席数据官联盟首席法律顾问
观韬中茂(上海)律师事务所 合伙人
毕业于西南政法大学及华东政法大学,专注于数据信息、网络安全、征信等新兴行业领域的法律服务,主要执业领域为资本市场、私募、银行金融、公司业务与并购,现担任首席数据官联盟专家组成员、首席联盟律师以及中国数据共享公约组织副理事长。
电邮(E):wangyw@guantao.com
大数据法律研究团队,由吴丹君、王渝伟律师领衔,是国内最早专注于数据信息领域精耕研究及服务的律师团队,业务领域包括企业数据信息管理保护、隐私保护体系建设、数据公开、网络安全、征信等。我们协助客户了解法律政策、应对合规风险,为企业提供一站式的交钥匙合规法律服务产品,不断突破已取得的成就,在专业与创造力、资源与商业考量相结合下,打造全方位的法律服务。