星环科技网络安全审查

　　星环科技：网络安全审查
　　数据安全监管
　　【发行人概述】
　　星环信息科技（上海）股份有限公司（以下简称星环科技或发行人）于2022年6月8日通过科创板上市委审议。星环科技是大数据基础软件开发商。
　　【反馈回复】
　　请发行人进一步说明：（1）依据《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等，发行人提供的主要产品和服务是否属于《关键信息基础设施安全保护条例》规定的安全可信的网络产品和服务，是否需配合网络安全审查，是否存在不满足监管要求的风险；（2）在当前强化网络和数据安全监管的背景下，发行人主要客户的采购政策是否发生变化，是否对发行人影响，是否存在因不具备相关资质而导致客户流失的情形。
　　请保荐机构和发行人律师核查并发表明确意见。
　　回复：
　　（一）依据《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等，发行人提供的主要产品和服务是否属于《关键信息基础设施安全保护条例》规定的安全可信的网络产品和服务，是否需配合网络安全审查，是否存在不满足监管要求的风险；
　　1、依据《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等，发行人提供的主要产品和服务是否属于《关键信息基础设施安全保护条例》规定的安全可信的网络产品和服务
　　《网络安全审查办法》第二十一条规定：网络产品和服务包括大型数据库和应用软件、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。根据《招股说明书》、发行人提供的资料及说明，发行人是一家企业级大数据基础软件开发商，围绕数据的集成、存储、治理、建模、分析、挖掘和流通等数据全生命周期向金融、电子政务、能源、公共通信和信息服务、公共服务等重要行业和领域客户提供基础软件及服务，发行人所提供的主要产品和服务属于《网络安全审查办法》第二十一条规定的网络产品和服务的范畴。
　　《关键信息基础设施安全保护条例》（以下简称《关基条例》）第十九条规定：运营者（即关键信息基础设施运营者，下同）应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查；《中华人民共和国网络安全法》（以下简称《网络安全法》）第十六条规定：国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。经本所律师核查，截至本补充法律意见书出具日，就《关基条例》和《网络安全法》规定的安全可信的网络产品和服务，尚无法律法规进一步明确规定其定义、范围或标准。鉴于此，参考《网络安全法施行前夕国家互联网信息办公室网络安全协调局负责人答记者问》（以下简称《网信办答记者问》）中的相关回复：安全可信与自主可控、安全可控一样，至少包括以下三个方面含义：一是保障用户对数据可控，产品或服务提供者不应该利用提供产品或服务的便利条件非法获取用户重要数据，损害用户对自己数据的控制权；二是保障用户对系统可控，产品或服务提供者不应通过网络非法控制和操纵用户设备，损害用户对自己所拥有、使用设备和系统的控制权；三是保障用户的选择权，产品和服务提供者不应利用用户对其产品和服务的依赖性，限制用户选择使用其他产品和服务，或停止提供合理的安全技术支持，迫使用户更新换代，损害用户的网络安全和利益。
　　根据《招股说明书》、发行人提供的资料及说明，并经本所律师参照《网信办答记者问》开展核查，发行人主要销售大数据基础软件业务相关的软件产品和技术服务，以及为客户提供应用与解决方案；发行人的大数据基础软件产品包括大数据与云基础平台、分布式关系型数据库、数据开发与智能分析工具。发行人所提供产品和服务符合《网信办答记者问》关于安全可信的释义，应当属于安全可信的网络产品和服务。
　　此外，根据发行人提供的资料及说明，发行人亦取得若干证明发行人所提供网络产品和服务安全可信性的第三方认证。
　　2、是否需配合网络安全审查，是否存在不满足监管要求的风险
　　（1）是否需配合网络安全审查
　　《网络安全法》《中华人民共和国数据安全法》（以下简称《数据安全法》）《关基条例》《网络安全审查办法》等相关法律法规关于网络安全审查的主要规定如下表所示：（略）
　　1）发行人无需主动申报网络安全审查
　　根据《网络安全审查办法》第二条的规定，关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当进行网络安全审查。截至本补充法律意见书出具日，发行人未直接从事关键信息基础设施的运营，亦不涉及作为网络平台运营者开展数据处理活动。因此，发行人不属于主动申报网络安全审查的直接责任方。
　　2）发行人需要根据客户要求配合网络安全审查
　　报告期内，发行人主要客户中包括关键信息基础设施运营者（以下简称关基运营者），若该等作为关基运营者的客户预判采购发行人的产品及服务影响或者可能影响国家安全，则该等关基运营者应当向网络安全审查办公室（以下简称网安办）申报网络安全审查，并由网安办决定是否需要开展网络安全审查，且发行人可能需要配合该等客户申报或开展网络安全审查。具体分析如下：
　　i）发行人提供的主要产品及服务属于需要配合网络安全审查的范围
　　如上文所述，发行人是一家企业级大数据基础软件开发商，围绕数据的集成、存储、治理、建模、分析、挖掘和流通等数据全生命周期提供基础软件及服务，发行人所提供的主要产品和服务构成《网络安全审查办法》规定的网络产品和服务。
　　ii）发行人的客户包含关基运营者
　　根据《关基条例》第二条的规定，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。根据《关基条例》第十条的规定，保护工作部门（即《关基条例》第二条规定的重要行业和领域的主管部门、监督管理部门，负责关键信息基础设施安全保护工作）根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。考虑到发行人的主要客户涉及金融、电子政务、能源、公共通信和信息服务、公共服务等重要行业和领域，且该等客户的重要网络设施、信息系统一旦遭到破坏、丧失功能或者数据泄露，则可能导致严重危害国家安全、国计民生、公共利益，并结合发行人部分主要客户的确认，发行人的主要客户中包含关基运营者。
　　iii）发行人配合网络安全审查的其他条件及方式
　　根据《网络安全审查办法》第五条的规定，关基运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险；影响或者可能影响国家安全的，应当向网安办申报网络安全审查。根据《网络安全审查办法》第六条的规定，对于申报网络安全审查的采购活动，关基运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查；根据《网络安全审查办法》第十五条的规定，网络安全审查办公室要求提供补充材料的，当事人、产品和服务提供者应当予以配合。
　　因此，若作为关基运营者的发行人客户预判采购发行人的产品和服务影响或可能影响国家安全，则应当向网安办申报网络安全审查，并提供必要材料。同时，在网安办开展网络安全审查过程中，关基运营者可能要求作为其涉及网络安全审查的关键信息基础设施的系统组件供应商（或潜在供应商）的发行人配合完成特定测试及提供有关证明材料等。
　　基于上述，考虑到发行人主要产品及服务的属性以及发行人主要客户所处行业和领域，如发行人客户预判采购发行人的产品及服务需申报网络安全审查，则发行人应当配合作为关基运营者的该等客户完成网络安全审查。
　　报告期内，发行人配合少量客户（包括直接客户及终端客户，本节下同）完成与发行人所提供产品及服务相关的渗透测试、漏洞扫描等与网络安全审查或网络安全等级保护测试相关的核查工作，前述客户所覆盖行业领域包括金融、电子政务、交通、公共通信和信息服务、公共服务。根据保荐机构及本所律师对发行人部分前述客户的访谈，受访人均确认：截至访谈时，发行人配合参与的网络安全等级保护测试均获得预期结果。发行人亦确认：截至本补充法律意见书出具日，不存在仅因发行人所提供产品或服务导致客户实施的前述审查或测试未获得预期结果的情形。
　　此外，发行人坚持底层自主研发，对大数据软件产品在数据存储管理层、计算引擎层、编译器层、资源管理层实现了统一重构，目前底层技术已基本实现自主研发，仅有少量组件存在使用开源软件的情形。
　　发行人亦出具书面说明：如有关主管部门或相关客户通知或要求发行人进一步配合网络安全审查、网络安全等级保护测试或其他与数据及网络安全相关的审查、评价或测试的，发行人将按照《网络安全审查办法》等相关法规规定，积极配合并提供必要协助。
　　（2）是否存在不满足监管要求的风险
　　《网络安全法》《数据安全法》《关基条例》《网络安全审查办法》等相关法律法规对网络产品、服务的提供者提出了一系列监管要求。根据《招股说明书》、发行人提供的资料及说明，并经本所律师进行核查，截至本补充法律意见书出具日，发行人不存在不满足监管要求的风险。
　　【律证分析】
　　笔者曾在《格灵深瞳：数据安全的合规性如何论证？》一文中总结了数据安全的风险和应对措施。在星环科技的案例中，审核还关注到网络安全审查的问题。
　　发行人是一家大数据基础软件开发商，围绕数据的集成、存储、治理、建模、分析、挖掘和流通等向客户提供基础软件及服务，其所提供的主要产品和服务属于《网络安全审查办法》定义的网络产品和服务的范畴。鉴于发行人未直接从事关键信息基础设施的运营，亦不涉及作为网络平台运营者开展数据处理活动，因此发行人并不属于主动申报网络安全审查的直接责任方。
　　根据相关法律规定，关基运营者（即关键信息基础设施的运营者）采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险；影响或者可能影响国家安全的，应当向网安办申报网络安全审查。对于申报网络安全审查的采购活动，关基运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查；网络安全审查办公室要求提供补充材料的，当事人、产品和服务提供者应当予以配合。
　　因发行人主要客户中包括关基运营者，如客户预判采购发行人的产品及服务影响或者可能影响国家安全，则该等关基运营者应当向网安办申报网络安全审查，并由网安办决定是否需要开展网络安全审查，而发行人则可能需要配合该等客户申报或开展网络安全审查。
　　【参考法规文件】
　　《中华人民共和国网络安全法》（2017。06。01修订）
　　第三十五条关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
　　《中华人民共和国数据安全法》（2021。09。01生效）
　　第二十四条国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
　　依法作出的安全审查决定为最终决定。
　　《网络安全审查办法》（2022。02。15生效）
　　第二条关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。
　　前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。
　　第五条关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。
　　关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。
　　第六条对于申报网络安全审查的采购活动，关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。
　　第九条网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内，确定是否需要审查并书面通知当事人。
　　第十条网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：
　　（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；
　　（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；
　　（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；
　　（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；
　　（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；
　　（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；
　　（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
　　第十一条网络安全审查办公室认为需要开展网络安全审查的，应当自向当事人发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见；情况复杂的，可以延长15个工作日。
　　第十五条网络安全审查办公室要求提供补充材料的，当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。
　　第二十一条本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。
　　《关键信息基础设施安全保护条例》（2021。09。01生效）
　　第二条本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
　　第十条保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。
　　第十九条运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。