云亭法评|中美网络产品和服务交易安全审查制度概述

中美网络产品和服务交易安全审查制度概述

作者/肖义刚 赵明睿（北京云亭律师事务所）

在当前中美对抗的大背景下，中美两国对关键信息基础设施供应链的安全以及网络安全审查机制的重视和保护都到了前所未有的高度，中美两国均建立了较为严格的网络安全审查机制。本文旨在梳理中美两国对网络产品和服务交易的安全审查制度，以帮助信息基础设施的网络服务供应商在提供相关网络产品和服务的交易过程中即做到合法也要做到合规，以避免企业因不清楚相关制度和流程而触碰到安全管控的红线而给企业带来巨大的法律和商业风险。

一、本文背景

随着信息化进程的不断发展，信息基础设施被应用于金融、军事、通信、交通等重要领域，这些基础设施一旦遭到损害，则可能对国家经济甚至政治军事安全造成不可挽回的严重损伤。这些信息基础设施被我国《网络安全法》称为关键信息基础设施（Critical Information Infrastructure，下称CII），并纳入国家安全保护范围。而CII的正常运营需要大量网络产品和服务的支持，该供应链很可能成为境外势力网络攻击渗透的媒介，需要特别保护。

自2010年声称遭到中国间谍攻击以来，中美之间网络安全问题开始升温；2018年以来，随着中美贸易摩擦的持续发酵，美国以国家安全为由先后对中兴、华为、TikTok进行制裁；2020年3月，奇虎360捕获并披露了美国中情局对中国重点单位长达十一年的网络攻击渗透。在此背景下，中美两国都愈发重视CII供应链保护，并立法建立了对网络产品和服务的安全审查机制：2020年4月27日，我国网信办等12部委颁布《网络安全审查办法》；2021年1月19日，美国商务部发布《确保信息和通信技术及服务供应链安全》规则。

这便对网络产品和服务的采购者与供应商提出了挑战——如果未遵守安全审查的规定，则可能被追究法律责任；如果未通过安全审查，可能影响合同效力，带来违约损失。网络产品和服务的交易双方需要充分了解现行法律规定与立法动态，以规避潜在的商业和法律风险。

二、国内法律规定解读

《网络安全审查办法》（下称“《办法》”）的出台，建立了我国的网络安全审查机制。作为基础或补充的法律规范，还包括《国家安全法》《网络安全法》两部法律，《关键信息基础设施安全保护条例（征求意见稿）》（下称“《保护条例》”）等行政法规，以及《关键信息基础设施网络安全框架》《关键信息基础设施边界确定方法》等国家标准。

下面本文将解读国内法律中值得交易者注意的几个问题。

1、需要特别关注安全审查的单位范围

我国网络安全审查制度主要从CII运营者（网络产品和服务的采购方）的角度出发，规定了其采购环节的义务与责任；而供应商在个案审查中负有审查的义务。因此，主要是CII运营者及其供应商需要特别关注安全审查。

那么，CII运营者如何认定呢？

《办法》第二十条第一款规定：“本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。”该款明确了由CII保护工作部门事先认定的原则，即不强制要求未被事先认定的网络运营者申报网络安全审查。

不过值得注意的是，国家网信办在就《办法》的答记者问中，要求重点行业领域的重要网络和信息系统的运营者，即使未被事先认定为CII运营者，也应当尽早采取措施建立内部配套合规机制，根据《办法》考虑申报网络安全审查。这便意味着，即使未被认定，重点行业领域的网络运营者及其供应商也应对安全审查制度予以特别关注。

那么，重点行业领域的范围是怎样的呢？

《网络安全法》第三十一条列举了“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等”重点行业和领域。

《保护条例》第十八条同样以非穷尽式列举的方式，规定了CII相关重点行业领域的范围如下：

（一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；

（三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

（四）广播电台、电视台、通讯社等新闻单位；

（五）其他重点单位。

总的来说，如果采购方是被有关部门认定的CII运营者，或者是处于上述重点行业领域、可能被认定为CII运营者的单位，那么该单位及其网络产品和服务的供应商应当对我国网络安全审查制度予以特别关注。

2、可能面临安全审查的网络产品和服务范围

并非所有CII运营者采购的网络产品和服务均需进行安全审查。要适用安全审查程序，需要具备两个要素：

首先，在网络产品和服务的类别方面，《办法》第二十条第二款作出了如下具体表述：“本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。”

其次，在产品和服务类别符合上述规定的前提下，其影响或可能影响国家安全，才应进行安全审查。对这一条件的判断有两种途径：一是根据《办法》第五条，CII运营者自行预判风险，认为影响或可能影响国家安全的，向网络安全审查办公室申报；二是根据《办法》第十五条，网络安全审查机制成员单位认为影响或可能影响国家安全的，网络安全审查办公室经中央网络安全和信息化委员会批准，可主动进行审查。

鉴于有关部门依职权审查的情况下交易双方较为被动且缺乏充分准备，建议被认定或可能被认定为CII运营者的采购方积极履行风险预判义务，主动申报。根据《办法》第五条第二款的规定，CII保护工作部门可以制定本行业、本领域预判指南。待预判指南出台后，可依据指南进行风险预判；而在此之前，可参考《办法》第九条规定的网络安全审查的主要考虑因素进行判断，其内容如下：

（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（五）其他可能危害关键信息基础设施安全和国家安全的因素。

3、安全审查制度对交易双方的要求

下文将分为安全审查前、中、后三个阶段讨论交易双方的义务。

a.审查前阶段

在进行安全审查前的阶段，采购方主要应当完成两项工作，其一是上文所述的风险预判工作，其二是按照法律规定签订包含特定内容的合同、协议。风险预判工作的内容在前文已有过讨论，这里不再赘述。下文将对采购方应纳入合同的内容进行梳理。

首先，应当与供应商签订安全保密协议。

《网络安全法》第三十六条规定：“关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。”

其次，应当在合同中要求供应商配合安全审查。

《办法》第六条规定：“对于申报网络安全审查的采购活动，运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。”

此外，值得注意的是，《办法》征求意见稿中曾明确要求CII运营者应当在采购协议中与产品和服务提供者约定网络安全审查通过后合同方可生效。虽然正式公布的《办法》删除了这一规定，但是网信办答记者问时仍然建议在采购协议中规定这一生效条件。这是因为，对于需要申报网络安全审查的采购，如果没有通过网络安全审查，CII运营者就不能将采购的网络产品和服务投入使用，否则需要承担相应的法律责任。

因此，为了避免网络安全审查结果的不确定性及相应合同纠纷等风险，建议在采购协议中明确约定网络安全审查是采购协议的生效条件。

对于供应商来说，其义务便是配合采购方签订上述协议内容，包括安全保密协议与配合安全审查的承诺。同样建议供应商明确合同生效条件及未通过安全审查时的合同责任和义务。

b.审查阶段

在审查阶段中，运营者主要义务便是提交申报材料。根据《办法》第七条规定，运营者应当提交的申报材料如下：

（一）申报书；

（二）关于影响或可能影响国家安全的分析报告；

（三）采购文件、协议、拟签订的合同等；

（四）网络安全审查工作需要的其他材料。

此外，运营者与供应商共同承担着提交补充材料的义务。《办法》第十四条规定：“网络安全审查办公室要求提供补充材料的，运营者、产品和服务提供者应当予以配合。”

c.审查后阶段

审查结束后，供应商应当履行其合同约定的承诺，而运营者应当督促供应商的履行。

《办法》第十八条规定：“运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。网络安全审查办公室通过接受举报等形式加强事前事中事后监督。”

4、审查流程和时限

根据《办法》第八条，网络安全审查办公室应当在10个工作日内确定是否需要审查并书面通知运营者。

根据《办法》第十条，若开展安全审查，应当在30个工作日内完成初步审查，形成审查结论建议并发送至其他有关单位征求意见；情况复杂的，可以延长15个工作日。

根据《办法》第十一条，收到审查结论建议的单位应在15个工作日内书面回复意见。各单位意见一致的，形成审查结论书面通知运营者；不一致的，进入特别审查程序并通知运营者。

根据《办法》第十三条，特别审查程序一般应当在45个工作日内完成，情况复杂的可以适当延长。

综上可知，自申报之日，通常情况下审查周期为10+30+15=55个工作日之内；情况复杂的，审查周期为10+30+15+15=70个工作日之内；进入特别审查程序的，审查周期为55+45=100个工作日之内；进入特别审查程序且情况复杂的，最长可达70+45=115个工作日以上。建议申报安全审查的网络产品和服务的交易双方对情况复杂程度作出评估，留出充足时间用以等待审查结论，以免延误后续生产或运营，或因合同违约等造成损失。

除此以外，《办法》第十四条还明确规定，提交补充材料的时间不计入审查时间。因此，为了尽快收到审查结论，建议交易双方积极准备补充材料，可以考虑提前整理可能需要的补充材料。

5、可能承担的法律责任

采购方违反安全审查相关的法律规定时，可能依《网络安全法》和《保护条例》承担相应责任。

《网络安全法》第六十五条规定了违反安全审查义务的法律责任如下：

关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

该法第五十九条则规定了违反签订保密协议义务的法律责任：

关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

另外，《保护条例》第四十九条规定：“国家机关关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接负责人员依法给予处分。”

除此之外，依据《网络安全法》第七十四条的规定，交易双方还可能因其违法行为承担民事责任、行政责任甚至刑事责任。例如，违反安全审查义务的情况下，交易双方很可能需要向对方承担合同违约责任。

6、知识产权与商业秘密的保护与救济

在知识产权与商业秘密的保护方面，《办法》第十六条规定：“参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权，对运营者、产品和服务提供者提交的未公开材料，以及审查工作中获悉的其他未公开信息承担保密义务；未经信息提供方同意，不得向无关方披露或用于审查以外的目的。”

《办法》第十七条还规定了知识产权和商业秘密受到侵害的救济途径：“运营者或网络产品和服务提供者认为审查人员有失客观公正，或未能对审查工作中获悉的信息承担保密义务的，可以向网络安全审查办公室或者有关部门举报。”

另外，建议网络产品和服务的供应商考虑在采购合同中约定必要的保密或防火墙机制，以避免因安全审查而导致其知识产权和技术秘密的不当泄露。

三、美国法律规定简述

美国对关键基础设施的保护源于1998年的《保护美国关键基础设施》总统令（Presidential Decision Directive /NSC－63）。2014年，美国发布《提高关键基础设施网络安全框架》（Framework for Improving Critical Infrastructure Cybersecurity V1.0），并力图将其推行为国际标准。

2019年，特朗普发布《确保信息和通信技术及服务供应链安全》总统令（Executive Order on Securing the Information and Communications Technology and Services Supply Chain），宣布国家进入紧急状态，禁止在信息和通信领域进行所谓“可能对国家安全构成风险的交易”。

2021年1月19日，美国商务部发布《确保信息和通信技术及服务供应链安全》规则（Securing the Information and Communications Technology and Services Supply Chain，以下简称“《规则》”），落实了上述总统令的要求，建立并完善了美国对信息和通信技术及服务（以下简称ICTS）供应链的安全审查机制。

《规则》规定，针对ICTS的采购、进口、转让、安装、交易或使用等活动，如果这些ICTS是由外国对手政府拥有、控制，或由在外国对手的管辖或指示下的人员设计、开发、制造或提供，并构成总统令中确定的某些不适当或不可接受的风险的，商务部长可以发起安全审查，并最终发布是否禁止交易的最终决定。

值得注意的是，在中美对抗的背景下，我国被美国视为外国对手，我国公民与美国公民之间进行的网络产品和服务交易，较可能引起安全审查。我国扮演网络产品和服务提供者的企业，在对美交易过程中，应当特别关注《规则》中确立的安全审查机制，规避相关风险。下文将针对《规则》关于安全审查机制的规定进行简述。

1、可能面临安全审查的ICTS范围

《规则》对适用的ICTS类别进行了极为明确的清单化规定，包括：

（1）交易一方为《关键基础设施安全和恢复能力指南》（A Guide to Critical Infrastructure Security and Resilience）中指定为关键基础设施的部门，包括化学药品、商业设施、通信设施、关键制造业、水坝、国防基础工业、紧急服务、能源行业、金融服务、食品与农业、政府设施和公共健康、信息技术、核工业、交通系统、政府设施、废水处理。

（2）包含下列物项的软件、硬件或任何其他产品和服务：（a）无线局域网；（b）移动网络（包括5G）；（c）卫星载荷；（d）卫星运行和操作；（e）无线接入点；（f）电缆接入点；（g）核心网络系统；（h）长途和短途网络。

（3）在ICTS交易前12个月内，使用、处理或保留，或预计将使用、处理或保留超过100万美国人的敏感个人数据的数据托管或计算服务中不可或缺的软件、硬件或任何其他产品或服务。

（4）在ICTS交易前12个月内，向美国人出售超过一百万台下列ICTS产品：（a）联网传感器、网络摄像头及任何其他端点监视或监控装置；（b）路由器、调制解调器及任何其他家庭联网设备；（c）无人机或任何其他无人驾驶空中系统。

（5）在ICTS交易前12个月内，向超过一百万美国人提供主要用于连接和通过互联网进行通信的软件，包括桌面应用程序、移动应用程序、游戏应用程序以及基于web的应用程序。

（6）用于整合人工智能、机器学习、量子密钥分发、无人机、自动决策系统、先进机器人的ICTS。

同时，《规则》还确定了适用豁免制度，明确了不纳入评估范围的ICTS，包括：（1）涉及作为美国政府工业安全计划授权交易的美国人采购的ICTS；（2）美国外国投资委员会（CFIUS）正在进行审查、或已经审查过的ICTS交易。

2、安全审查中风险评估考虑因素

根据《规则》，商务部长在确定是否存在风险时，将考虑以下因素：

（1）由国家情报局局长根据总统令提交的威胁评估报告中指明的风险；

（2）由国土安全部长、国防部长或国家情报局局长（或其指定人员）根据联邦采购安全委员会的建议发布的禁止令中指明的风险；

（3）《国防部联邦采购条例》和《联邦采购条例》中规定的风险；

（4）国土安全部长根据总统令确定的存在漏洞的实体、硬件、软件和服务；

（5）国土安全部网络安全和基础设施安全局确定的对执行“国家关键职能”的实际和潜在威胁；

（6）如果ICTS漏洞被利用，可能对美国公共和私营部门造成的后果的性质、危害程度和可能性；

（7）商务部长认为的其他风险。

如果商务部长认为遵循上述规定，很可能会对美国国家安全造成不寻常和特别的损害，则可以豁免适用上述规定。本条规定赋予了美国商务部长较大的自由裁量空间，存在据此针对我国企业滥用安全审查程序的可能性。

3、审查程序流程

《规则》确定的ICTS交易审查程序包含初步审查、磋商、最终决定这三个主要流程：

a.初步审查

一旦发现ICTS交易可能符合所设定的风险标准，商务部即可启动审查。在进行初步审查期间，商务部长应通知相关机构负责人，并与其协商，以确定ICTS交易是否符合规定的风险标准。

如果认定ICTS交易没有相关风险，则审查活动不再进行，但并不排除未来可能根据其他情况再次进行审查的可能。

如果认定ICTS交易存在相关风险，则商务部长应签署书面的初步决定书，阐明为何认定交易存在风险，说明商务部长是否已初步决定禁止交易，或提出允许交易的缓解措施。同时，商务部应通过在《联邦公报》公布或其他方式将初步决定的副本送达ICTS交易各方。

在商务部长发出通知后的30天内，ICTS交易的任何一方均可对初步决定作出回应，或声称导致初步决定的情况不再存在，要求撤销或者缓和初步决定。如果在30天内未收到回复，商务部长可以决定发布最终决定。

b.磋商

在收到ICTS交易各方的回复之后，商务部长可以决定是否要求交易各方补充信息，并与其他机构负责人再次协商并寻求一致意见，以确定是否禁止ICTS交易。

如果各审查机构之间无法达成共识，则商务部长应将提议的最终决定和有关机构负责人的反对意见通知总统。在收到总统指示后，部长应发布最终决定。

c.最终决定

除非商务部长通过书面方式决定延长期限，则应当在审查启动后的180天内发布最终决定，包括：禁止交易，不禁止交易，允许交易但应采取缓解措施。

如果商务部长确定某项ICTS交易应当被禁止，则有权决定采取必要的限制性措施，以解决ICTS交易造成的不适当或不可接受的风险。