網絡產品是企業開展網絡商業活動的重要載體形式,保障網絡產品的安全是維護網絡安全的關鍵環節,網絡產品的安全可控更是我國網絡安全的保障基礎。從企業合規的角度出發,識別和規避產品的網絡安全合規風險是企業整體合規的重要組成部分,更是產品得以實現市場價值的關鍵。本文旨在從五個方面分析產品的網絡安全合規要點,為產品的網絡安全合規評估提供思路。
一、網絡產品提供者的一般安全義務
《網絡安全法》(以下簡稱“《網安法》”)第22條規定了網絡產品提供者的網絡安全保護義務,為了符合安全保障義務的要求,網絡產品提供者應當關注以下四個方面:
1. 網絡產品要符合相關國家標準的強制性要求
國家標準是對重要產品等需要在全國範圍內統一適用的技術要求,若網絡產品已有相應的國家標準,那麼產品提供者在研發、設計、製造、供應等各個環節都應當符合相關國家標準的強制性要求。目前網絡產品的標準多為推薦性的行業標準,國家對推薦性標準採鼓勵使用態度,雖並非強制要求,但產品若能儘量符合這些標準,無疑可以減少合規風險。對於尚未制定強制性國家標準的網絡產品,按照《產品質量法》的規定,也必須符合保障人體健康和人身、財產安全的要求。
2. 不得設置惡意程序
《網絡產品和服務安全通用要求(徵求意見稿)》(以下簡稱“《安全通用要求》”)規定了對惡意程序的防範要求。根據該規定,不植入惡意程序僅為對產品提供者最低限度的要求,網絡產品提供者更具有防範惡意程序的義務。例如,網絡產品提供者應當避免在產品中設置隱蔽接口或未明示功能模塊;建立和和實施網絡產品的完整性保護措施,減少產品的關鍵組件、數據被篡改的風險;通過用戶協議、產品使用說明書等途徑,承諾提供的網絡產品不包含惡意程序、隱蔽接口或未明示功能模塊。
3.安全風險應對
《網安法》第22條第1款規定網絡產品提供者在發現安全缺陷、漏洞等風險後負有采取補救措施、及時告知用戶並報告有關主管部門的義務。為了更好地應對安全風險,在缺陷漏洞管理上,產品提供者首先應當保障產品的設計和開發安全,在設計、開發環節識別安全風險,制定安全策略,並在產品交付前進行安全性測試,控制安全風險。產品上線後,產品提供者還應當對其進行定期核查,排除安全風險隱患。
4. 在規定期限內持續提供安全維護
基於對用戶合理信賴利益的保護,產品提供者應當保障網絡產品的可用性和持續性,在法律規定或約定的期限內,不得因業務變更、產權變更等原因單方面中斷或終止安全維護。
二、網絡安全等級保護合規評估
1. 網絡定級
依據《網絡安全等級保護條例(徵求意見稿)》(以下簡稱“《等保條例》”)第15條的規定,產品提供者應當根據安全保護等級劃分標準,完成相應的安全保護等級要求。
網絡產品包含不同的信息系統,所涉及的數據信息類型也有所不同。不同類型數據遭到破壞或洩露後對社會秩序、公共利益、國家安全的危害程度有所不同,相應的數據網絡系統可能被認定為不同的安全保護等級。例如,如網絡產品中的某信息系統涉及個人敏感信息、金融數據,且一旦遭到破壞可能會對社會秩序和公共利益造成嚴重損害或對國家安全造成嚴重損害,那麼產品中的這部分數據網絡系統就應當參照《網安法》和《信息系統安全等級保護基本要求》中第三等級的安全保護等級要求履行相應的安全保護義務。
2. 網絡產品採購合規要求
根據《等保條例》第28條的規定,網絡運營者應當採購、使用符合國家法律法規和有關標準規範要求的網絡產品和服務。第三級以上網絡運營者應當採用與其安全保護等級相適應的網絡產品和服務;對重要部位使用的網絡產品,應當委託專業測評機構進行專項測試。因此,網絡產品提供者採購網絡產品同樣要落實網絡安全等級保護制度的規定,設立內部產品採購制度。網絡安全等級被認定為第三級或以上網絡產品提供者應當設立嚴格的採購流程,對採購方資質進行審查,並對採購方相關信息,採購產品的設備型號等產品信息進行登記審查。對重要部位使用的網絡產品,應當委託專業測評機構進行專項測試,根據測試結果選擇符合要求的網絡產品。
三、個人信息安全保護
《網安法》第22條第3款規定:“網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示並取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關於個人信息保護的規定。”在個人信息安全保護方面,網絡產品應當符合以下要求:
1. 個人信息的收集
《網安法》第41條要求網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。因此,網絡產品具有收集個人信息功能的,產品提供者應當在向用戶明確告知所提供產品的不同業務功能分別收集的個人信息類型,以及收集、使用個人信息的規則,並獲得用戶的授權同意。
根據《個人信息安全規範2019草案》(以下簡稱“《草案》”)5.3規定,當產品提供多項需收集個人信息的業務功能時,個人信息控制者不得強迫個人信息主體接受產品或服務所提供的業務功能及相應的個人信息收集請求。具體而言,網絡產品提供者不得通過捆綁產品各項業務功能等方式,要求用戶一次性接受並授權同意各項業務功能收集個人信息的請求。如果採用這種“一攬子授權”的方式,可能違反收集個人信息的最小化要求以及合法、正當、必要原則。因此,網絡產品開始收集個人信息的條件應為個人信息主體的主動填寫、點擊、勾選等自主行為。
另外,值得網絡產品提供者關注的是,產品若涉及收集個人財產信息、健康生理信息、生物識別信息等個人敏感信息的,必須符合更嚴格的個人信息保護要求。在收集個人敏感信息時,首先應取得個人信息主體的明示同意,即需要個人信息主體作出書面聲明或者肯定性動作,例如主動勾選、主動點擊“同意”等。此外,收集個人敏感信息還對網絡產品提供者提出了劃分產品基本業務功能和擴展業務功能的要求。根據《草案》5.5規定,產品提供者在收集個人敏感信息之前,應向用戶告知所提供產品的基本業務功能及所必需收集的個人敏感信息,並告知拒絕提供或拒絕同意將帶來的影響;產品的其他擴展業務功能需要收集個人敏感信息時,還應向用戶逐一說明個人敏感信息為完成何種擴展業務功能所必需,並允許用戶逐項選擇是否提供或同意自動採集個人敏感信息。當用戶拒絕時,可不提供相應的擴展業務功能,但不應以此為理由影響基本業務功能的質量。因此,產品提供者應當按照《草案》附錄C的規定對產品進行定位,以“據個人信息主體選擇、使用所提供產品或服務的根本期待和最主要的需求”為劃分標準,區分自身產品的基本業務功能和擴展業務功能,並在此基礎之上採取不同的個人敏感信息收集方式。
最後,網絡產品還應當設置用戶撤回授權和註銷渠道。用戶有權隨時在線撤回對其個人信息的授權,而且撤回擴展業務功能的授權不應影響用戶對基本業務功能的使用。此外,網絡產品應當顯著標示用戶註銷入口,保證用戶棄置賬號後對其賬號的註銷權以及賬號內留存個人信息和數據的刪除權。註銷渠道的設計應當簡便,不得頻繁徵求用戶同意,避免出現註銷難的情形。
2. 個人信息的使用和分享
《個人信息安全規範2019草案》“8.7 第三方接入管理”規定當個人信息控制者在其產品或服務中接入具備收集個人信息功能的第三方產品或服務時,應滿足(a)應建立第三方產品或服務接入管理機制和工作流程,必要時應建立安全評估等機制設置接入條件;(b)應與第三方產品或服務提供者通過合同等形式明確雙方的安全責任及應實施的個人信息安全措施;(c)應向個人信息主體明確標識產品或服務由第三方提供等8項要求。
據此,網絡產品中有第三方數據處理者或其他第三方接入情況時,應在隱私政策或用戶協議中明確告知用戶第三方的存在及處理使用數據的範圍等,同時應與第三方在合作協議中對雙方安全責任進行明晰,和第三方應實施的個人安全措施。
四、特殊網絡產品
網絡關鍵設備和網絡安全專用產品,以及向CIIO提供的網絡產品屬於兩類特殊的網絡產品。相較於一般網絡產品而言,特殊網絡產品的合規要求更高,其提供者面臨的合規風險也更大。
1. 網絡關鍵設備和網絡安全專用產品
《網安法》第23條規定,網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後,方可銷售或者提供。網絡關鍵設備和網絡安全專用產品的銷售者或提供者需要關注以下問題:
(1)“網絡關鍵設備和網絡安全專用產品”的認定
2017年6月1日,《網絡關鍵設備和網絡安全專用產品目錄(第一批)》(以下簡稱“《目錄》”)已由國家網信辦、工信部、公安部以及國家認證認可監督管委會聯合公告發布,為“網絡關鍵設備和網絡安全專用產品”的認定提供了明確指引。因此,網絡產品提供者可以參考《目錄》所涉產品類型及產品標準,進行自我認定。符合相應要求的網絡產品提供者應切實履行網絡安全認證和檢測義務。
(2)認證或檢測機關是否具備相應資質
在進行認證或檢測時,審查認證或檢測機關是否具備相應的資質是一個至關重要的問題,否則將直接導致認證或檢測無效。2018年7月16日,《承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務機構名錄(第一批)》已由國家認監委、工信部、公安部及國家互聯網信息辦公室聯合發佈。網絡運營者應當根據該《名錄》選擇相應認證檢測機構。
(3)認證或檢測依據的標準必須是相關國家標準
網絡關鍵設備和網絡安全專用產品的提供者或銷售者必須注意兩個方面的問題:一是嚴格按照我國網絡(信息)安全產品對應的國家標準予以認證和檢測;二是及時關注相關標準的動態變化可能導致的認證效力轉化而引發的法律風險。
2. 向CIIO提供的網絡產品
《網安法》第36條規定,關鍵信息基礎設施的運營者採購網絡產品和服務,應當按照規定與提供者簽訂安全保密協議,明確安全和保密義務與責任。《網絡產品和服務安全審查辦法(試行)》第2條規定:“關係國家安全的網絡和信息系統採購的重要網絡產品和服務,應當經過網絡安全審查。”第10條規定關鍵信息基礎設施的運營者採購網絡產品和服務,可能影響國家安全的,應當通過網絡安全審查。
因此,針對向CIIO供應的網絡產品,首先,無論是普通的網絡產品亦或是關係國家安全的重要網絡產品,產品提供者在供應過程中都要與CIIO簽訂安全保密協議,積極履行安全保密義務和責任;其次,若供應的網絡產品可能影響國家安全的,還應當通過網絡安全審查。《網絡產品和服務安全審查辦法(試行)》第4條規定了安全審查的內容,重點在於審查網絡產品和服務的安全性、可控性,主要包括產品自身的安全風險,產品及關鍵部件生產、測試、交付、技術支持過程中的供應鏈安全風險等。因此,對於關係國家安全的重要網絡產品,產品提供者應積極開展生產過程中的風險審查,完善內控制度,尤其需要關注相關部件生產、測試、交付、技術支持過程中的供應鏈安全風險。
五、產品互聯網資質許可或備案
《互聯網信息服務管理辦法》(以下簡稱“《辦法》”)規定通過互聯網向上網用戶提供信息的服務活動需要經過許可或備案的行政審批程序,對經營性互聯網信息服務實行許可制度;對非經營性互聯網信息服務實行備案制度。若產品提供者在線上銷售產品,或者基於產品提供線上的有償附加服務,則屬於經營性互聯網信息服務,應當根據《辦法》第7條的規定申請辦理增值電信業務經營許可證。
如果產品提供者僅利用企業網站進行產品展示或自我宣傳的,則僅需根據《辦法》第8條的規定辦理備案手續。需要注意的是,若其提供的是新聞、出版、教育、醫療保健、藥品和醫療器械等產品相關的互聯網信息服務,在申請經營許可或者履行備案手續前,提供者還應當依法經有關主管部門審核同意。
產品提供者基於產品提供線上的附加服務,還構成增值電信業務,即利用公共網絡基礎設施提供的電信與信息服務的業務。根據《電信條例》第9條,經營增值電信業務,業務覆蓋範圍在兩個以上省、自治區、直轄市的,須經國務院信息產業主管部門審查批准,取得《跨地區增值電信業務經營許可證》;業務覆蓋範圍在一個省、自治區、直轄市行政區域內的,須經省、自治區、直轄市電信管理機構審查批准,取得《增值電信業務經營許可證》。根據增值電信業務經營許可證中不同的業務種類,目前常見經營許可證類有ICP證、SP證、ISP證、EDI證等,取得一類許可證不意味著可以從事所有增值電信業務。產品提供者應當根據自身經營業務核查《電信業務分類目錄(2015版)》,取得一項或多項可以涵蓋其經營業務範圍的許可證,取得相應的互聯網資質。
另外,根據《電信條例》第53條之規定,“國家對電信終端設備、無線電通信設備和涉及網間互聯的設備實行進網許可制度”。比如內置4G無線上網卡的遠程醫療器械具有連入公共網絡的功能,那麼該款產品必須符合國家規定的標準並取得進網許可證,否則不得接入公用電信網使用和在國內銷售。
結 語
綜上所述,企業可以從一般安全義務、網絡安全等級保護、個人信息安全保護、特殊網絡產品、互聯網資質許可或備案這五個方面對自身合規情況進行評估,核查合規是否已達到法律規定要求的水平,以確保產品市場價值的實現和企業自身網絡安全合規風險的規避。
閱讀更多 e安教育 的文章
