2020年4月27日,国家网信办、发改委等12个部门联合发布了《网络安全审查办法》(以下简称《办法》),《办法》于2020年6月1日起正式实施。“这是我国依法治网的法律重器,是网络安全治理的又一个重要里程碑。”门嘉平博士表示。

                                                                                        “两个主体”是荣辱与共

        《办法》明确了主要适用主体为关键信息基础设施运营者。此外,《办法》中还规定了另一个间接义务主体:产品和服务提供者。与关键信息基础设施运营机构合作的网络安全企业出售的产品,只有按照相关国家标准的强制性要求,取得安全认证或者安全检测且符合要求后,方可进行销售。运营商在采购此类产品,启动安全审查时需要《办法》中明确规定的影响或可能影响国家安全的分析报告。

                                                                                     “供应链安全”是重中之重

       《办法》第九条对于可能影响国家安全的因素做出了详细描述,总结为供应链安全问题,这与《办法》第一条呼应,指出了制定《办法》的目的在于确保关键信息基础设施供应链安全,从而维护国家安全。

从供应链安全的角度而言,网络产品和服务的采购对于关键信息基础设施的运行带来不同层面的影响,包括可能导致关键信息基础设施被非法控制、重要信息泄露、产品组件遭遇中断威胁等。尤其是产品组件断供威胁,它不仅是关键信息基础设施厂商可能面临的威胁,也是网络安全厂商应该时刻防范的危险。

                                                                                       “协议条款”要慎之又慎

        作为网络产品和服务供应商,网络安全厂商应主动在与运营商签订采购文件、协议中增加相应条款,说明自身企业产品确定已得到相关第三方机构的安全检测认证证书,以方便关键信息基础设施运营机构运营者了解已采购的产品安全性,在需要申报网络安全审查时,方便提供相关材料。

同时,为了更好地保护供应商相关产品的知识产权和商业机密,建议与运营商签订合同条款中加入必要的知识产权和商业机密保护机制,从而避免因安全审查造成产权和机密外泄进而产生不必要的损失。