菠菜bob

当前位置:首页 > 产品中心
网络产品安全查看准则及相关合规危险——写于美国关于禁用华为设备的法案获批之后
发布时间:2021-07-27 05:16:45 来源:菠菜bob 作者:bob怎么注册

  据媒体报道,美国参议院于2020年2月27日同意了《安全和可信电信网络法》(Secure and Trusted Telecommunications Networks Act)(简称《电信法案》),该法案将制止运用联邦资金购买来自被视为国家安全要挟的公司(例如华为和中兴)的电信设备。此前,众议院已于2019年12月通过该法案。

  该法案先后通过美国众议院与参议院的同意,表现了美国关于电信设备影响网络安全及国家安全的高度注重。一起,该法案的施行也将影响一大批电信设备制造商,并并成为新的买卖壁垒。

  还有一个值得注重的音讯是,据媒体报道,美国政府3月10日表明,将再次延伸答应美国企业与我国电信设备制造商华为之间开展事务,直至5月15日。

  抛开政治要素不谈,仅从美国《电信法案》的立法条文来看,国家安全要素将逐步成为电信网络设备买卖的重要影响要素。与传统的出口控制比较,这一法案将境外电信网络产品的输入作为其重要的规制手法。这也充沛说明,在网络安全与信息安全范畴,早已超出了此前买卖制裁及出口控制的范畴,而是将约束其他国家电信网络设备的输入作为保证国家安全的重要行动。这一信号,值得予以充沛注重。一起,关于电信网络设备制造商而言,了解不同国家的电信网络设备进口控制,也成为合规及商场布局需求要点考量的问题。

  作为网络及电信大国,我国关于电信安全,或许网络安全中产品及设备运用中包含的相关危险早有认知。2017年6月1日施行的《网络安全法》将网络产品、设备以及服务(以下或统称为“网络产品”)的安全查看提高到了一个新的高度。

  本文将扼要介绍《安全和可信电信网络法》相关准则,并结合我国网络产品的安全查看准则进行剖析,以便协助企业辨认网络产品收购、运用以及跨境触及的危险。

  我国《网络安全法》关于网络产品也设置了安全查看准则,详细表现在两个方面,其一是根据《网络安全法》第二十三条的网络要害设备和网络安全专用产品安全认证和检测;其二是根据《网络安全法》第三十五条的收购网络产品和服务的安全查看。

  《网络安全法》第二十三条规矩,“网络要害设备和网络安全专用产品应当依照相关国家规范的强制性要求,由具有资历的组织安全认证合格或许安全检测符合要求后,方可出售或许供给。国家网信部分会同国务院有关部分拟定、发布网络要害设备和网络安全专用产品目录,并推进安全认证和安全检测成果互认,防止重复认证、检测。”

  上述规矩清晰了网络要害设备和网络安全专用产品的确认根据——由国家网信部分会同国务院有关部分拟定目录来确认,现在这个目录仅指于《网络安全法》收效当日发布并收效的《网络要害设备和网络安全专用产品目录(第一批)》。目录列入了4类网络要害设备和11类网络安全专用产品,一起对这些类别设备和产品的规模作出了进一步规矩。

  我国《网络安全法》关于网络产品也设置了安全查看准则,详细表现在两个方面,其一是根据《网络安全法》第二十三条的网络要害设备和网络安全专用产品安全认证和检测;其二是根据《网络安全法》第三十五条的收购网络产品和服务的安全查看。

  《网络安全法》第二十三条规矩,“网络要害设备和网络安全专用产品应当依照相关国家规范的强制性要求,由具有资历的组织安全认证合格或许安全检测符合要求后,方可出售或许供给。国家网信部分会同国务院有关部分拟定、发布网络要害设备和网络安全专用产品目录,并推进安全认证和安全检测成果互认,防止重复认证、检测。”

  上述规矩清晰了网络要害设备和网络安全专用产品的确认根据——由国家网信部分会同国务院有关部分拟定目录来确认,现在这个目录仅指于《网络安全法》收效当日发布并收效的《网络要害设备和网络安全专用产品目录(第一批)》。目录列入了4类网络要害设备和11类网络安全专用产品,一起对这些类别设备和产品的规模作出了进一步规矩。

  一起,《网络安全法》第二十三条的规矩要求在出售或许供给这些网络要害设备和网络安全专用产品前应当进行至少一种安全查看方法——安全认证或许安全检测。这两种安全查看方法的作用是相同的,所以为了防止重复认证、检测,之后会推进安全认证和安全检测成果互认。

  从2018年3月15日国家认证认可监督管理委员会、工业和信息化部、公安部、国家互联网信息办公室《关于发布承当网络要害设备和网络安全专用产品安全认证和安全检测使命组织名录(第一批)的布告》看来,现在能够进行网络要害设备和网络安全专用产品安全认证的组织仅有我国信息安全认证中心1家,认证合格后报国家认证认可监督管理委员会,能够进行网络要害设备安全检测的组织有11家,检测符合要求后报工业和信息化部,网络安全专用产品安全检测的组织别离有4家,检测符合要求后报公安部。能够看到网络要害设备和网络安全专用产品安全认证和检测这一准则下有三个不同的主管部分,不过从《网络安全法》的规矩来看,作用都应当是共同的。

  而未进行安全认证或检测的法令结果能够在《认证认可法令》第六十七条中找到——“列入目录的产品未经认证,私行出厂、出售、进口或许在其他运营活动中运用的,责令改正,处5万元以上20万元以下的罚款,有违法所得的,没收违法所得。”

  《网络安全法》第三十五条本来将安全查看的适用规模规矩在“要害信息根底设备的运营者收购网络产品和服务,或许影响国家安全的”景象下,但一起收效的《网络产品和服务安全查看方法(试行)》则表述为“联络国家安全的网络和信息系统收购的重要网络产品和服务”。

  在要害信息根底设备的详细确认细则没有正式发布的布景下,咱们能够对比下《网络安全法》第三十一条关于要害信息根底设备的定语——“国家对公共通讯和信息服务、动力、交通、水利、金融、公共服务、电子政务等重要职业和范畴,以及其他一旦遭到损坏、丢失功用或许数据走漏,或许严重危害国家安全、国计民生、公共利益的”。比较于“严重危害国家安全”,“联络国家安全”显着降低了门槛,能够了解为《网络产品和服务安全查看方法(试行)》对安全查看的适用规模进行了扩展,即,只需或许影响或联络国家安全,不管是否归于要害信息根底设备的运营者,都应当在收购过程中进行安全查看。

  根据《网络产品和服务安全查看方法(试行)》第五条的规矩,国家互联网信息办公室会同有关部分建立的网络安全查看委员会将是网络安全查看的主管部分。

  值得注重的一点是,《网络产品和服务安全查看方法(试行)》关于未实行网络安全查看职责的法令结果没有清晰规矩,而是含糊表述为“违背本方法规矩的,依照有关法令法规予以处理。”而《网络安全法》第六十五条则清晰规矩,“要害信息根底设备的运营者违背本法第三十五条规矩,运用未经安全查看或许安全查看未通过的网络产品或许服务的,由有关主管部分责令停止运用,处收购金额一倍以上十倍以下罚款;对直接担任的主管人员和其他直接职责人员处一万元以上十万元以下罚款。”这儿面的职责主体与《网络安全法》第三十五条保持共同,仍然是针对要害信息根底设备的运营者,但由此在法令联接上产生了一个问题——非要害信息根底设备的网络运营者,运用未经安全查看或许安全查看未通过的网络产品或许服务的,是否适用上面的处分规矩?严厉从法条的视点来了解,即便《网络产品和服务安全查看方法(试行)》将安全查看的规模扩展了,但“‘依照’有关法令法规予以处理”而非“‘参照’有关法令法规予以处理”的表述不能直接导出非要害信息根底设备的网络运营者违规应当依照《网络安全法》规矩的处分规矩处理,不过实践中是否选用上述了解方法仍是需求根据法令部分的定见或许注重之后是否会出弥补性规矩来完善两部法规之间的联接问题。

  归纳来看两类安全查看方法在适用规模、查看方式、主管部分、违法方式、法令结果上均存在不同,笔者整理后如下表所示:

  补白:“网络要害设备和网络安全专用产品安全认证和检测”的“职责主体”指自动进行认证或检测的职责主体,法令结果对应的职责主体应当扩展至收购方、运用方。

  结合前后文语境,《安全和可信电信网络法》中的电信设备和《网络安全法》中的网络设备、网络产品、网络服务是能够等价的,因而具有比较的根底和含义。

  整体来说,我国类似于设置白名单,只需通过安全认证、安全检测、安全查看就相当于进入了白名单,指定企业只能选用进入白名单的网络产品,不过要归入白名单的辐射规模也是有门槛的,简略来说有两个判别条件,一是进入“网络要害设备和网络安全专用产品目录”,二是“影响国家安全”。而美国的做规律类似于设置黑名单,不预设门槛,通过多种维度建立黑名单,针对性地制止企业选用进入黑名单的网络产品,当然实践中也或许是直接针对供货商,将特定供货商的悉数产品列入黑名单的队伍。因而,两国关于电信及网络产品准入安全查看选用的价值判别规范是不同的,我国偏重于从技术规范确认准入规范;而美国则以确认企业是否要挟国家安全作为准入规范。

  从供货商的视点来说,在美国,假如出产的产品被确认为要挟国家安全,则直接失去了运用联邦资金的客户,而且很有或许会影响其他客户的挑选。而且这种确认是被逼的,似乎永久悬在头上的达摩克利斯之剑,关于非美国本乡的企业这种影响应该会更明显。

  在我国,应当留意自己出产的产品是否在应当进行安全认证或安全检测的目录里或许是否现已触发了安全查看的条件,自动去请求安全认证、安全检测,或提示收购方自动去请求安全查看,企业能够具有更高的自动权,对未来能够有更安稳的预期。

  从收购方的视点来说,在美国,假如没有注重要挟国家安全的电信设备和服务清单而收购了清单内的设备和服务,或许会直接被掐断政府的财务补助,还或许触及其他民事及刑事职责。

  因而需求注重要挟国家安全的电信设备和服务清单,防止挑选清单内的设备和服务,当然,在清单之外,挑选规模或许会更大一些。

  在我国,假如收购了应当进行安全认证、安全检测或安全查看的网络产品而没有通过相应程序或许不合格,在面对经济处分危险的一起,更为严重的是面对停止运用的危险。究竟一般这些网络产品都是事务环节的重要支撑,不管是完全停用仍是整改都会对事务形成十分巨大的负面影响。

  因而收购过程中应当慎重挑选通过安全认证或安全检测的产品或服务,关于根底信息设备的运营者或许与国家安全联络比较严密的网络运营者来说,主张在收购流程中设置前置合规评价环节,以防止应当请求网络安全查看的收购没有通过网络安全查看而为日后的出产运营埋下危险。

  在各个国家都对网络安全日益注重,电信、网络设备及相关服务彼此嵌套益发杂乱的今日,跨境买卖也将不可防止的触及这个论题,假如供给的产品,乃至是产品中的一个部件不符合当地的查看方针,很或许形成供货商的违约,然后导致承当补偿或其他违约职责。与之相对的,假如不注重当地的查看方针,收购了境外应当通过必要查看程序但未通过查看的产品,或许收购了当地方针制止的产品,很或许导致后续的买卖或运营方案被逼推延乃至是停止,形成巨大的丢失。

  因而,主张在跨境买卖中,充沛注重两地的查看方针,了解产品的组成,及时实行相应查看手续,或许逃避被制止的产品或部件,以防止承当违约职责或其他商业危险。

返回上一页
菠菜bob-手机登录_怎么注册