三層次解讀新規(guī)下網(wǎng)絡產(chǎn)品和服務

網(wǎng)絡產(chǎn)品大數(shù)據(jù) 法律

吳丹君周天一 | 2017-09-21 11:06

【數(shù)據(jù)猿導讀】在網(wǎng)絡產(chǎn)品的外延暫不清晰的情況下，我們可以初步將“網(wǎng)絡產(chǎn)品和服務”理解為一切基于上述系統(tǒng)產(chǎn)生的產(chǎn)品和服務的總稱。本文將系統(tǒng)總結(jié)《網(wǎng)絡安全法》及其配套法規(guī)中與網(wǎng)絡產(chǎn)品有關(guān)的規(guī)定，從三個層次分析解讀新規(guī)下網(wǎng)絡產(chǎn)品和服務

來源：數(shù)據(jù)猿作者：吳丹君周天一北京觀韜中茂（上海）律師事務所

2017年6月1日，《網(wǎng)絡安全法》正式實施；

2017年6月1日，四部委聯(lián)合發(fā)布《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄（第一批）》；

2017年6月1日，《網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》正式實施。

《網(wǎng)絡安全法》（以下簡稱“《網(wǎng)安法》”）將“網(wǎng)絡”定義為由計算機或者其他信息終端及相關(guān)設備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng)，但卻未對“網(wǎng)絡產(chǎn)品”下定義。在網(wǎng)絡產(chǎn)品的外延暫不清晰的情況下，我們可以初步將“網(wǎng)絡產(chǎn)品和服務”理解為一切基于上述系統(tǒng)產(chǎn)生的產(chǎn)品和服務的總稱。本文將系統(tǒng)總結(jié)《網(wǎng)絡安全法》及其配套法規(guī)中與網(wǎng)絡產(chǎn)品有關(guān)的規(guī)定，從三個層次分析解讀新規(guī)下網(wǎng)絡產(chǎn)品和服務。

第一層次：《網(wǎng)絡安全法》的基礎性規(guī)定

《網(wǎng)安法》第二十二條對普通網(wǎng)絡產(chǎn)品提出了四點基本要求。第一，網(wǎng)絡產(chǎn)品和服務的提供者不得設置惡意程序。由于《網(wǎng)安法》并未就惡意程序進行定義，我們建議可以參照8月9日工信部發(fā)布的《公共互聯(lián)網(wǎng)網(wǎng)絡安全威脅監(jiān)測與處置辦法》（以下稱“《監(jiān)測與處置辦法》”）關(guān)于“公共互聯(lián)網(wǎng)網(wǎng)絡安全威脅”的規(guī)定，網(wǎng)絡產(chǎn)品和服務提供者應當重點監(jiān)測產(chǎn)品或服務中可能存在的木馬、病毒、僵尸程序、釣魚網(wǎng)站、釣魚電子郵件、移動惡意程序、惡意IP地址、惡意域名、惡意URL、惡意電子信息等，一經(jīng)發(fā)現(xiàn)，立即采取清除、停止服務或屏蔽等措施。

第二，網(wǎng)絡產(chǎn)品、服務的提供者發(fā)現(xiàn)其網(wǎng)絡產(chǎn)品、服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。根據(jù)《監(jiān)測與處置辦法》，網(wǎng)絡產(chǎn)品和服務存在的安全隱患包括硬件漏洞、代碼漏洞、業(yè)務邏輯漏洞、弱口令、后門等，網(wǎng)絡產(chǎn)品和服務提供者針對上述問題應及時采取整改措施，消除安全隱患。

第三，網(wǎng)絡產(chǎn)品、服務的提供者應當為其產(chǎn)品、服務持續(xù)提供安全維護；在規(guī)定或者當事人約定的期限內(nèi),不得終止提供安全維護。目前常見的安全維護方式包括定期進行系統(tǒng)加固、補丁升級、漏洞修復、病毒查殺等。

第四，網(wǎng)絡產(chǎn)品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；涉及用戶個人信息的，還應當遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個人信息保護的規(guī)定。網(wǎng)絡產(chǎn)品和服務提供者在收集用戶信息時，應當嚴格依據(jù)《網(wǎng)安法》第四章的規(guī)定，建立健全用戶信息保護制度；收集、使用個人信息遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意；不得泄露、篡改、毀損收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息；采取技術(shù)或其他措施確保收集的個人信息的安全，防止信息泄露、毀損、丟失；及時處理保證相關(guān)信息無法識別特定個人并建立必要的投訴舉報機制。

第二層次：《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄（第一批）》的要求

現(xiàn)行《網(wǎng)安法》對網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品規(guī)定了安全認證或檢測要求，即銷售或者提供這類產(chǎn)品之前，須經(jīng)具備資格的機構(gòu)安全認證合格或者安全檢測符合相關(guān)國家標準的強制性要求。需要注意的是，即使無償提供上述設備和產(chǎn)品，也必須經(jīng)過安全認證或檢測。國家網(wǎng)信部門也將會同國務院有關(guān)部門制定、公布網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄，推動安全認證和安全檢測結(jié)果互認，避免重復認證及檢測。今年6月1日，《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄（第一批）》（以下稱“《設備和產(chǎn)品目錄》”）已由國家網(wǎng)信辦、工信部、公安部以及國家認證認可監(jiān)督管委會聯(lián)合公告發(fā)布。

《設備和產(chǎn)品目錄》并未對具備資格的安全認證或安全檢測機構(gòu)進行明確規(guī)定，僅說明相關(guān)機構(gòu)需經(jīng)國家認證認可監(jiān)督管委會、工信部、公安部、國家網(wǎng)信辦依據(jù)有關(guān)規(guī)定共同認定方具備資格。近期，我們團隊也接到了一些客戶關(guān)于具備資格的安全認證或檢測機構(gòu)如何確定的咨詢，在向多家測評機構(gòu)了解情況后我們得知，相關(guān)認證檢測機構(gòu)的資質(zhì)尚未確定，建議網(wǎng)絡產(chǎn)品和服務提供商可嚴密關(guān)注檢測標準、檢測機構(gòu)、后續(xù)目錄等最新動態(tài)。

首批《設備和產(chǎn)品目錄》共十五類，其中網(wǎng)絡關(guān)鍵設備四類，分別是路由器、交換機、服務器（機架式）和可編程邏輯控制器（PLC設備）；網(wǎng)絡安全專用產(chǎn)品有九類，分別是數(shù)據(jù)備份一體機、防火墻（硬件）、WEB應用防火墻（WAF）、入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、安全隔離與信息交換產(chǎn)品（網(wǎng)閘）、反垃圾郵件產(chǎn)品、網(wǎng)絡綜合審計系統(tǒng)、網(wǎng)絡脆弱性掃描產(chǎn)品和安全數(shù)據(jù)庫系統(tǒng)?！对O備和產(chǎn)品目錄》對設備或產(chǎn)品的范圍作了規(guī)定，只有吞吐量、內(nèi)存容量以及其他各類指標達到一定數(shù)量級才會被納入安全認證或檢測的范圍，《設備和產(chǎn)品目錄》可以看作針對網(wǎng)絡產(chǎn)品和服務提供者的第二層次的要求。廣大網(wǎng)絡產(chǎn)品和服務提供者應當及時檢測生產(chǎn)的上述設備和產(chǎn)品的各項指標，比照《設備和產(chǎn)品目錄》所示的表格范圍，及時進行安全認證與檢測。

第三層次：CIIO及重要信息系統(tǒng)依據(jù)《網(wǎng)安法》和《網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》采購的要求

《網(wǎng)安法》首次提出了“關(guān)鍵信息基礎設施”的概念并將整個第三章第二節(jié)專門規(guī)定相關(guān)內(nèi)容，其中對關(guān)鍵信息基礎設施運營者（以下稱“CIIO”）采購的網(wǎng)絡產(chǎn)品和服務也提出了要求，網(wǎng)絡產(chǎn)品和服務提供者向CIIO供應網(wǎng)絡產(chǎn)品和服務的，即使是普通網(wǎng)絡產(chǎn)品和服務，也應當簽訂安全保密協(xié)議，明確安全保密義務和責任，若供應的網(wǎng)絡產(chǎn)品和服務可能影響國家安全的，還應當通過國家網(wǎng)信部門會同國務院有關(guān)部門組織的國家安全審查。因此，向CIIO提供網(wǎng)絡產(chǎn)品和服務使得提供者面臨更大的合規(guī)風險，也對其提出更高的要求。

今年6月1日正式實施的《網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》（以下稱“《審查辦法》”）對《網(wǎng)絡法》規(guī)定的國家安全審查進行了細化，只要是關(guān)系國家安全的網(wǎng)絡和信息系統(tǒng)采購的重要網(wǎng)絡產(chǎn)品和服務，都應當經(jīng)過安全審查。安全審查的重點審查網(wǎng)絡產(chǎn)品和服務的安全性、可控性，包括產(chǎn)品和服務自身的安全風險，以及被非法控制、干擾和中斷運行的風險；產(chǎn)品及關(guān)鍵部件生產(chǎn)、測試、交付、技術(shù)支持過程中的供應鏈安全風險；產(chǎn)品和服務提供者利用提供產(chǎn)品和服務的便利條件非法收集、存儲、處理、使用用戶相關(guān)信息的風險；產(chǎn)品和服務提供者利用用戶對產(chǎn)品和服務的依賴，損害網(wǎng)絡安全和用戶利益的風險以及其他可能危害國家安全的風險。此外，《審查辦法》要求產(chǎn)品和服務提供者配合安全審查工作，并對提供材料的真實性負責。

針對向CIIO供應的網(wǎng)絡產(chǎn)品和服務，我們建議，首先，無論是普通的網(wǎng)絡產(chǎn)品和服務亦或關(guān)系國家安全的重要網(wǎng)絡產(chǎn)品和服務，網(wǎng)絡產(chǎn)品和服務提供者在供應過程中都要簽訂安全保密協(xié)議，積極履行安全保密義務和責任；其次，對于關(guān)系國家安全的重要網(wǎng)絡產(chǎn)品和服務，產(chǎn)品和服務提供者應積極開展生產(chǎn)過程中的風險審查，完善內(nèi)控制度，尤其需要關(guān)注相關(guān)部件生產(chǎn)、測試、交付、技術(shù)支持過程中的供應鏈安全風險；最后，網(wǎng)絡產(chǎn)品和服務提供者應積極配合網(wǎng)絡安全審查工作，必要時提供詳實的審查材料。

結(jié)語

綜上所述，在提供網(wǎng)絡產(chǎn)品和服務時，應當符合《網(wǎng)安法》第二十二條的基本要求，不得設置惡意程序，發(fā)現(xiàn)網(wǎng)絡產(chǎn)品、服務存在安全缺陷、漏洞等風險時，立即采取補救措施，及時告知用戶并上報主管機關(guān)，在運營過程中持續(xù)提供安全維護，涉及用戶信息的還應當嚴格遵守《網(wǎng)安法》及相關(guān)法律法規(guī)的規(guī)定；在提供網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品時，對相關(guān)設備和產(chǎn)品是否符合《設備和產(chǎn)品目錄》規(guī)定的范圍進行檢測，符合條件的進行安全認證或檢測；在向CIIO供應網(wǎng)絡產(chǎn)品和服務時，任何網(wǎng)絡產(chǎn)品和服務都要簽訂安全保密協(xié)議，履行保密義務，承擔保密責任。涉及國家安全的網(wǎng)絡產(chǎn)品和服務，還必須接受安全審查。網(wǎng)絡產(chǎn)品和服務提供者需根據(jù)自身產(chǎn)品和服務涉及的具體范圍制定和完善風控制度，規(guī)避合規(guī)風險。

來源：數(shù)據(jù)猿

收藏分享

聲明：數(shù)據(jù)猿尊重媒體行業(yè)規(guī)范，相關(guān)內(nèi)容都會注明來源與作者；轉(zhuǎn)載我們原創(chuàng)內(nèi)容時，也請務必注明“來源：數(shù)據(jù)猿”與作者名稱，否則將會受到數(shù)據(jù)猿追責。