金融科技之《网络安全审查办法》对保险行业的影响和应对

2020-05-12

2020年4月27日，国家网信办、国家发改委、工信部、公安部、国家安全部等12个部门联合发布了《网络安全审查办法》（以下简称“《办法》”），《办法》将于2020年6月1日正式实施。《办法》出台的主要目的是为了规范关键信息基础设施运营者采购网络产品和服务的安全审查机制。其中，金融行业被列入了关键信息基础设施的重要行业。根据《国家网络安全检查操作指南》，保险运营被列入了关键信息基础设施中的重点业务领域。因此，保险行业应当结合《办法》的要求做好合规工作，防范相关的法律风险。

一、《网络安全审查办法》对保险机构之适用

（一）《网络安全审查办法》对保险机构之主体适用

《办法》第二条规定，关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。因此，关键信息基础设施运营者（作为网络产品和服务的采购方）是网络安全审查的申报主体和责任主体，并且《办法》还规定关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

《中华人民共和国网络安全法》（以下简称“《网络安全法》”）第三十一条规定，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。虽然《办法》仍未明确“关键信息基础设施”的认定范围和认定方法，但《网络安全法》、《关键信息基础设施安全保护条例（征求意见稿）》^[1]都将金融业列入了关键信息基础设施重点关注的行业范围。

中央网络安全和信息化领导小组办公室于2016年发布的《国家网络安全检查操作指南》细化了关键信息基础设施业务判定表，其中金融行业主要包括：银行运营、证券期货交易、清算支付、保险运营^[2]四大业务领域。该指南还同时列举了关键信息基础设施的几大类别，包括：（1）网站类，如党政机关网站、企事业单位网站、新闻网站等；（2）平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；（3）生产业务类，如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。^[3]

保险运营的范围比较宽泛。从保险机构主体角度而言，一般包括保险公司和再保险公司，和一般保险业务紧密相关联的还有保险经纪机构、保险代理机构、保险公估机构、保险资产管理公司等。对于后者类型的保险机构，也应在《办法》的适用范围之内。从实质性标准角度，对于可能造成大量个人信息泄露或大量机构、企业敏感信息泄露或其他可能造成严重损害社会和经济秩序或危害国家安全的网站类、平台类或生产业务类信息系统或工业控制系统，都应作为关键信息基础设施加以保护。

（二）《网络安全审查办法》对保险机构之行为适用

保险机构作为关键信息基础设施运营者在采购网络产品和服务时，如存在影响或可能影响国家安全的风险，则应当依法进行网络安全审查。需要强调的是，并非所有的“网络产品和服务”都会纳入网络安全审查的范围，根据《办法》第二十条，“网络产品和服务”主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

对于保险公司而言，其信息化建设、管理等应符合国家及行业的有关规范、标准和监管部门的要求。《中国保险监督管理委员会关于印发<保险公司信息化工作管理指引（试行）>的通知》（保监发〔2009〕133号）对于保险公司信息化基础设施和信息系统的功能、性能和安全保障提出了具体要求。保险公司应当按照有效性、可用性和安全性的原则，至少保证其信息化基础设施和信息系统满足公司未来两年的业务发展要求^[4]；并该通知还对保险公司建设相应的计算机中心机房和灾备机房提出了要求^[5]; 此外，还要求保险公司建立与经营管理相适应的信息系统^[6]。上述所提及的计算机中心机房、灾备机房、信息系统应属于保险公司需要进行网络安全审查的网络产品和服务范围之内。另外，在判断相关网络产品和服务是否需要网络安全审查时，应把握重要性原则，即判断该网络产品或服务是否对保险公司的关键信息基础设施安全是否会构成重要影响，如是则应纳入网络安全审查，如否则不必。

（三）忽视《网络安全审查办法》的法律后果

《办法》第十九条规定，关键信息基础设施运营者违反《办法》的，根据《网络安全法》第六十五条规定处理，即使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。根据上述规定，关键信息基础设施运营者违反《网络安全审查办法》的规定，将面临行政处罚风险。

其次，虽然《办法》并未对未申报网络安全审查和未通过网络安全审查的采购合同的效力作出规定，但未进行网络安全审查很可能会导致合同在实际上无法履行，使得关键信息基础设施运营者与网络产品和服务供应商之间产生合同效力纠纷及违约纠纷。

第三，如果使用应当申报而没有申报安全审查的产品和服务，或者使用网络安全审查未通过的产品和服务以后带来关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损，产品和服务的供应中断等等，给国家安全造成严重危害后果，甚至还可能导致刑事责任。

二、保险机构进行网络安全审查之主要法律问题

（一）网络安全审查的主管机构和程序

《办法》规定，网络安全审查工作将由中央网络安全和信息化委员会统一领导，由国家网络安全审查办公室会同十一个国务院组成部门和直属机构共同建立网络安全审查工作机制。网络安全审查办公室为网络安全审查的主要负责机构（设在国家互联网信息办公室），负责制定网络安全审查相关制度规范，组织网络安全审查。^[7]在特别审查流程中，网络安全审查办公室既需要向网络安全审查工作机制成员单位征求意见，也需要向相关关键信息基础设施保护工作部门征求意见。^[8]

网络安全审查程序的启动方式分为两类：一类是关键信息基础设施运营者在预判采购网络产品和服务时可能影响国家安全时，向网络安全审查办公室进行申报；另一类是当网络安全审查工作机制成员单位认为影响或可能影响国家安全的，网络安全审查办公室按照程序报中央网络安全和信息化委员会批准，启动审查程序。

网络安全审查包括一般审查程序和特别审查程序。一般审查程序中，网络安全审查办公室自收到审查申报材料起10个工作内确定是否受理审查^[9]，确定受理审查后30个工作日完成初步审查，情况复杂的可以延长15个工作日^[10]。网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门在15个工作日内对初步审查结论建议意见一致的，网络安全审查办公室将审查结论通知运营者^[11]，一般审查程序结束。意见不一致的，则进入特别审查程序。特别审查程序一般在45个工作内完成，情况复杂的可以延长^[12]，审查结论建议报中央网络安全和信息化委员会批准后形成审查结论并通知运营者^[13]。

（二）网络安全审查的实体要素

《办法》要求关键信息基础设施运营者在采购“网络产品或者服务”影响或者可能影响“国家安全”时，对该产品和服务投入使用后可能带来的国家安全风险进行预判。^[14]虽然《办法》并未对“国家安全”的标准予以明确界定，但提供了判断是否存在国家安全风险主要考虑的因素，包括：

1. 产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

2. 产品和服务供应中断对关键信息基础设施业务连续性的危害；

3. 产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

4. 产品和服务提供者遵守中国法律、行政法规、部门规章情况；

5. 其他可能危害关键信息基础设施安全和国家安全的因素。^[15]

保险行业中的关键基础设施运营者应当做好风险预判，在对可能产生国家安全风险的网络产品和服务采购及时申报网络安全审查。具体的申报时间，国家网信办就《办法》的答记者问中指出，通常情况下，关键信息基础设施运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。如果在签署合同后申报网络安全审查，建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效，以避免因为没有通过网络安全审查而造成损失。^[16]

三、对保险机构之建议

（一）谨慎起草和修订网络产品和服务采购合同

相关的关键信息基础设施运营者在签订采购合同时应当注重在合同中对合同的生效条件、双方的权利义务和法律责任进行清晰的界定，以避免出现合同纠纷。考虑到网络安全审查的结果可能对合同效力带来不确定性，在订立合同时，可以考虑签订附生效条件的采购合同，即采购合同仅在不适用网络安全审查时或者网络安全审查通过以后才生效。相应地，双方也要约定如未通过网络安全审查各方的合同责任和法律后果，以避免产生纠纷。

此外，《办法》还要求网络产品和服务供应商配合网络安全审查，因此，如涉及网络安全审查，建议在采购合同中约定供应商的配合审查义务，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务^[17]，以及配合提供补充材料^[18]等。对于已经签订的采购合同，建议根据《办法》的要求对合同进行修订，以包含上述条款。

（二）对相关工作人员开展培训活动

建议保险企业中的相关关键信息基础设施运营者对法律合规部门、采购部门等相关工作人员开展相关培训，保证业务部门在实施采购前，了解相关法律法规的要求，做好相应的风险预判、审查申报及合同起草和修订等工作。

文中备注：

[1]《关键信息基础设施安全保护条例（征求意见稿）》第十八条。

[2]《国家网络安全检查操作指南》第3.2条。

[3]《国家网络安全检查操作指南》第3.1条。

[4]《保险公司信息化工作管理指引（试行）》第十八条。

[5]《保险公司信息化工作管理指引（试行）》第十九条。

[6]《保险公司信息化工作管理指引（试行）》第二十条。

[7]《网络安全审查办法》第四条。

[8]《网络安全审查办法》第十二条。

[9]《网络安全审查办法》第八条。

[10]《网络安全审查办法》第十条。

[11]《网络安全审查办法》第十一条。

[12]《网络安全审查办法》第十三条。

[13]《网络安全审查办法》第十二条。

[14]《网络安全审查办法》第5条。

[15]《网络安全审查办法》第九条。

[16] “《网络安全审查办法》答记者问”，中华人民共和国国家互联网信息办公室网站，载于http://www.cac.gov.cn/2020-04/27/c_1589535446378477.htm （最后访问于2020年5月5日）。

[17]《网络安全审查办法》第六条。

[18]《网络安全审查办法》第十四条。

本文作者：