第20条:
本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
也就是说,CIIO采购上述这些类型的设备和服务,都要受到审查,作为CIIO,首先要预判所采购的产品和服务是否可能会对国家安全产生影响,如果认为可能,应该要主动申报网络安全审查。从目前的公开信息看,我们无法得知某企业是否主动申报了网络安全审查,但从种种迹象猜测,可能是一个被动行为。
观察者网:目前有一些舆论认为,这次网络安全审查的启动,是《网络安全审查办法》自去年出台后的首个案例,这是否属实?如果是的话,是否传递出一些信号?
李天航:确实有这样的说法,目前从公开检索渠道来看的话,确实没有检索到其他案例。
这传递出一个什么样的信号?我们认为,首先就是国家要重点关注互联网领域的安全,尤其是关键信息基础设施的供应链安全。
《网络安全法》和《网络安全审查办法》更多是要规范CIIO采购网络产品和服务;同时还应该看到,不久前刚刚公布的《数据安全法》第24条,明确了:
国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查为最终决定。
也就是说,数据安全领域的国家安全审查决定不具备可诉性,相关市场主体对于国家相关部门做出的最终决定,无法通过复议、诉讼等渠道救济。所以企业对数据安全领域的国家安全审查必需重视起来。
上述网络安全领域和数据安全领域的安全审查,就对标了《国家安全法》第25条和第59条的内容,这两项审查制度彰显了国家对互联网领域和数据领域安全领域的国家安全越来越重视,这也会是今后执法的一个焦点。对企业来说,只要经营活动对国家安全可能有一定的影响,国家都会介入进行安全审查。
国家在互联网领域和数据安全领域的主导,会是一种新常态。
那么对掌握大量数据和资源的大型平台型企业来说,在这方面肯定要多加关注,对经营环境的变化要有预判,要主动配合国家网络安全体系的建设,而不能被动等待执法机关的工作,否则对自身经营业务将产生不利影响。
观察者网:您刚才提到了平台型企业,这个名词最近曝光度很高,那么平台的概念和“关键基础设施运营者”的概念,两者之间有怎样的关系?
李天航:平台型企业不是一个法律概念,但是“关键信息基础设施运营者”是一个法定概念。企业搭建平台来为供求双方提供服务,比如滴滴、阿里、京东,都是典型的平台型企业。