2020年4月27日(官方原文所写日期为4月13日),国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局12个部门共同发布了《网络安全审查办法》(下称“新办法正式稿”)。
2019年5月21日,国家互联网信息办公室曾发布《网络安全审查办法(征求意见稿)》(下称“新办法征求意见稿”)。新办法征求意见稿和新办法正式稿均明确废止2017年5月2日发布的《网络产品和服务安全审查办法(试行)》(下称“旧办法”)。本文将以介绍新办法正式稿的主要亮点为主线,兼评与新办法征求意见稿和旧办法的异同。
要点一:一类适用主体
旧办法第二条规定,关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查,即所有采购关系国家安全的产品和服务的网络运营者,均需进行网络安全审查。而新办法征求意见稿和新办法正式稿则均将适用范围聚焦于关键信息基础设施运营者。根据新办法第二条,关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。从文义上讲,“关键信息基础设施运营者”即指运营“关键信息基础设施”的企业。
按照《网络安全法》以及《关键信息基础设施安全保护条例(征求意见稿)》,“关键信息基础设施”是指一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统。《网络安全法》第三十一条和《关键信息基础设施安全保护条例(征求意见稿)》第十八条均列举了可能被识别为关键信息基础设施的行业和领域,包括能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、云计算、大数据、国防科工、大型装备、化工、食品药品、新闻等。
国家互联网信息办公室有关负责人就新办法正式稿相关问题答记者问时指出,根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当考虑申报网络安全审查。
需要注意的是,2016年6月,中央网络安全和信息化领导小组办公室发布的《国家网络安全检查操作指南》第3.2条明确了确定关键信息基础设施的三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失。
根据新办法正式稿第十九条,关键信息基础设施运营者的认定由关键信息基础设施保护工作部门负责。结合《关键信息基础设施安全保护条例(征求意见稿)》第十九条的规定,国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南,关键信息基础设施的识别和认定主要由行业主管部门或监管部门做出,并需要结合相关专家意见,可能需要具体问题具体分析。本文将不再多余赘述。
但总体而言,若企业运营的网络设备遭到破坏、丧失功能或者数据泄露后,可能严重危害到国家安全、国计民生、公共利益的,则这些企业很有可能会被认定为关键信息基础设施运营者。那么,其在采购网络产品和服务时需要注意,如果所采购的产品或服务有可能影响到国家安全的,就可能会受此办法所规制。
要点二:二类启动方式
新办法征求意见稿与正式稿均对两类可启动网络安全审查的方式作出规定,以下分别作出介绍:
第一类,由关键信息基础设施运营者启动。关键信息基础设施运营者在采购网络产品和服务时,通过自我预判认为所采购的产品和服务在投入使用后可能给国家带来安全风险,影响或者可能影响国家安全的,在制作安全风险报告后,向网络安全审查办公室进行申报,进入政府审查程序。根据新办法正式稿,关键信息基础设施保护工作部门可以制定本行业、本领域的预判指南,以更好地帮助相关企业把握风险预测的尺度,不贻误申报审查的适当时机。
第二类:由网络安全审查工作机制成员单位启动。当网络安全审查工作机制成员单位(下节具体列明)认为影响或可能影响国家安全的,网络安全审查办公室按照程序报中央网络安全和信息化委员会批准,启动审查程序。”
对于关键信息基础设施运营者或者网络安全审查工作机制成员单位判断产品和服务可能影响或可能影响到国家安全的的维度与因素,新办法正式稿主要提出了如下角度:
1)网络产品和服务的使用是否会对关键信息基础设施产生不良影响,包括该网络产品的使用是否可能导致关键信息基础设施被非法控制、干扰、破坏,以及导致重要数据被窃取、泄露、毁损等;
2)网络产品和服务的供应中断是否会影响关键信息基础设施业务的连续性;
3)产品和服务本身是否具有安全性、开放性、透明性和来源的多样性和可靠性,是否可能导致供应中断;
4)产品和服务提供者是否遵守中国法律、行政法规及部门规章;
5)其他可能危害关键信息基础设施安全和国家安全的因素。
以上几点,主要在于评估以及预测关键信息基础设施运营者所采购的相关产品和服务在投产使用后,是否会对构成关键信息基础设施的网络造成破坏、攻击或者由于安装了该产品、启用了相关服务后是否会存在其他安全隐患或者数据泄露的隐患,是否可能造成这些国家支柱企业、关键产业经济的业务造成不连续或者供应链中断,以及产品服务本身是否可靠,是否因其存在脆弱性、可攻击性、有限供应进而对整个关键信息基础设施的安全和稳定造成影响。如果判断后认为有任何因素触及的,则应当启动网络安全审查,无论是由企业自身发起还是由政府监管机构发起。
要点三:三类审查主体
旧办法规定由国家互联网信息办公室和有关部门共同成立网络安全审查委员会,对网络安全审查进行统一组织。而新办法正式稿则规定由中央网络安全和信息化委员会统一领导网络安全审查工作,由国家网络安全审查办公室会同11个国务院组成部门和直属机构共同建立网络安全审查工作机制,确立了上述图中的审查体系。也就是说,新办法正式稿详细、清晰地补充说明了旧办法第五条中提及的“有关部门”的具体所指。同时,根据新办法正式稿第四条,中央网络安全和信息化委员会负责统一领导与决策,而网络安全审查办公室则设在国家互联网信息办公室,负责制定网络安全审查的相关制度规范,并组织网络安全审查。
就审查主体的关系方面,上述图示的审查体系与新办法征求意见稿基本保持一致。但是,相较于新办法征求意见稿,新办法正式稿在网络安全审查工作机制成员单位后面新增了相关关键信息基础设施保护工作部门。在特别审查流程中,网络安全审查办公室既需要向网络安全审查工作机制成员单位征求意见,也需要向相关关键信息基础设施保护工作部门征求意见。
新办法正式稿没有设专款对“网络安全审查工作机制成员单位”和“相关关键信息基础设施保护工作部门”进行定义,但根据新办法正式稿第四条,“网络安全审查工作机制成员单位”应当包括所有发文机构,除国家互联网信息办公室外,另有国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局等11个国务院组成部门或直属机构。此外,根据新办法正式稿第二十条,关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。例如,参照《水利部办公厅关于印发<2020年水利网信工作要点>的通知》,关键信息基础设施保护工作部门可能包括水利部门。因此,需要根据具体关键信息基础设施所属行业,来确定关键信息基础设施保护工作部门,并在某些情况下,听取并征得它们对所管辖行业下属单位的报审事项发表的专业意见和建议也显得必要。
要点四:四项审查原则
相比于旧办法,新办法征求意见稿中新增了“促进先进技术应用”、“保护知识产权”等描述,旨在为企业营造良好营商环境,这一原则为新办法正式稿所沿用。新办法正式稿要求参与网络安全审查的相关机构和工作人员严格保护商业秘密和知识产权,对关键信息基础设施运营者提交的未公开信息和未公开材料予以严格保密。
此外,新办法正式稿还明确要求,关键信息基础设施运营者和网络产品和服务提供者如认为审查人员有失客观公正或者未履行保密义务,可以向网络安全审查办公室或有关部门举报。这样的规定能够让企业更加放心地自我申报,通过主动申报,提前预知和防范风险,对企业与国家双项得利。
需要注意的是,新办法正式稿删除了征求意见稿所提出的“提高关键信息基础设施安全可控水平”,而以“确保关键信息基础设施供应链安全”代替,这可能也体现出安全审查基础和原则的转变。根据国家互联网信息办公室有关负责人就新办法正式稿答记者问中的回复,网络安全审查的目的是维护国家网络安全,不是要限制或歧视国外产品和服务。此前新办法征求意见稿将“产品和服务提供者受外国政府资助、控制等情况”作为一项审查标准,而新办法正式稿则删除了此类表达,更多地关注网络产品和服务本身的供应链安全,而不是要限制或歧视国外产品和服务。由此,向关键信息基础设施运营者提供产品和服务的外企受到的阻碍将会减少。
综上,确立网络安全审查制度与流程,旨在①落实网络安全审查,保障国家安全、减少风险隐患;②确保关键信息基础设施供应链安全;同时③保护企业的商业秘密;④保护企业知识产权。
要点五:一套审查流程
旧办法第三条和第六条规定了网络安全审查以第三方评价与专家评估的方式进行。由官方认证的第三方机构进行评价,形成初步评价报告。再由专家委员会根据第三方评价报告,对该产品和服务的安全风险以及提供者的安全可信状况进行综合评估。新办法征求意见稿中则删除了这两项规定,虽然启动审查的方式可以有二种,但最后都应由政府主导进行审查和控制。
新办法征求意见稿中将实施审查的工作下放到了负责网络安全审查的网络安全审查办公室,并由中央网络安全和信息化委员会行使最后的批准决策权。当不同机构之间出现对所上报的内容有不同意见或者有利益冲突的情况时,设立统一的决策机构更有利于意见形成的高度统一,增加网络安全审查报告的公信度和效率水平,避免因联合决策机构一多而造成审批拖沓、相互推诿。因此,新办法正式稿依然保留了新办法征求意见稿中提出的网络安全审查在不同启动方式下的一整套流程。
第一,由关键信息基础设施运营者主动发起。关键信息基础设施运营者应当将申报材料(包括申报书、风险分析报告、采购文件或协议或拟签订的合同以及其他认为可支持审查所需的材料)发送至网络安全审查办公室(其设立在网信办,具体工作委托中国网络安全审查技术与认证中心承担)。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,负责接收申报材料,在收到上述申报材料后10个工作日内,对申报材料进行形式性审查后,确定是否需要进入实质性审查,并书面通知关键信息基础设施运营者。如需要进行实质性审查的,再具体组织下步审查工作。网络安全审查办公室应当在30个工作日内(情况复杂的,可以延长15个工作日)完成初步审查,包括将审查结论建议发给网络安全审查机制成员单位、相关关键信息基础设施保护工作部门征求意见。网络安全审查机制成员单位、相关关键信息基础设施保护工作部门应当在收到审查结论建议之日起15个工作日内书面回复意见。
如网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见一致,则由网络安全审查办公室将审查结论书面通知给关键信息基础设施运营者;如二者意见不一致,则进入特别审查程序并书面通知关键信息基础设施运营者。进入特别审查程序后,由网络安全审查办公室进一步听取相关部门和单位的意见,进行深入分析评估,再次形成审查结论建议,在征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门的意见后,按程序报中央网络安全和信息化委员会批准,形成审查结论并书面通知运营者。特别审查原则上也应当在45个工作日内完成,情况复杂的可以适当延长(但新办法正式稿和新办法征求意见稿均未说明最长时限)。同时,需要注意的是,提交补充材料的时间不计入上述审查时间。
第二,由网络安全审查工作机制成员单位发起。在任何国务院组成部门或直属机构认为网络产品和服务对国家安全有影响或可能造成影响的,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依办法进行审查。
下图为二类主体分别启动网络安全审查时的审查流程。
(点开可放大查阅图片)
要点六:采购合同
新办法征求意见稿第七条要求关键信息基础设施运营者与网络产品和服务提供者签署合同,可要求网络产品和服务提供者配合网络安全审查。新办法正式稿基本沿用了此做法,同时对配合义务进行了细化,包括可要求网络产品和服务提供者承诺不利用所提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。
与关键信息基础设施企业签署合同一方的网络产品和服务提供者往往比较担心是否会因此承担过重的合同义务。因为关键信息基础设施运营者往往因加持了网络安全审查这把“尚方宝剑”,对提供其网络产品的供应商实施更加严格的要求,包括在合同条款上增加更多的义务与责任。
虽然网络产品和服务提供商本身不属于《网络安全审查办法》的适用主体,但由于其向关键信息基础设施运营者提供网络产品与/或服务,因此,也建议其熟谙新办法正式稿的相关规定,以免在采购合同的条款和条件上被施加额外的义务。
首先,网络产品和服务提供商需要了解有可能会被申报网络安全审查的网络产品和服务的范围,主要包括:核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、 云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
根据《信息安全技术 网络产品和服务安全通用要求(征求意见稿)》第3.1条、第3.2条,“网络产品”指按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的硬件、软件和系统,例如计算机、信息终端、工控等相关设备,以及基础软件、系统软件等;“网络服务”指供方为满足需方要求提供的信息技术开发、应用活动,以及以网络技术为手段支持需方业务的一系列活动,例如云计算服务、网络通信服务、数据处理和存储服务、信息技术咨询服务、设计与开发服务、信息系统集成实施服务、信息系统运维服务等。
其次,网络产品和服务提供商需要厘清网络产品和服务与网络关键设备和网络安全专用产品的区别。网络关键设备和网络安全专用产品是由《网络安全法》首次提出的概念,但并未对其给出具体的定义,其前身是公安等部门要求进行检测认证的“计算机信息系统安全专用产品”,即用于保护计算机信息系统安全的专用硬件和软件产品(参见《计算机信息系统安全保护条例》第28条)。随着信息技术的发展,由于法律所保障的安全范围从信息系统扩展到整个网络,网络关键设备和网络安全专用产品的概念相应进行了扩充。可推论其属于网络产品和服务中用于网络安全保护的一种。
根据《网络安全法》第二十三条,国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录。2017年6月,国家互联网信息办公室会同工信部、公安部、国家认证认可监督管理委员会等部门颁布《网络关键设备和网络安全专用产品目录(第一批)》,首次明确了网络关键设备和网络安全专用产品的类型,包括路由器、交换机、服务器(机架式)、PLC设备4种网络关键设备,以及数据备份一体机、防火墙、入侵检测系统等11种网络安全专用产品[1]。
如果提供列入目录的网络关键设备和网络安全专用产品的供应商,只有按照相关国家标准的强制性要求,取得安全认证或者安全检测符合要求后[2],方可销售或者提供产品。因此,如果关键信息基础设施运营者采购了网络关键设备和网络安全专用产品,除了前文提及的会启动网络安全审查外,还可能会要求在合同中承诺提供的设备和产品本身已经拿到了安全认证证书或检测合格证明。
再次,新办法征求意见稿中有规定关键信息基础设施运营者与提供网络产品与服务提供商的合同可在通过网络安全审查后生效。新办法正式稿删除了此内容,可能是考虑与现有法规的一致性和严谨性。但是,在国家互联网信息办公室有关负责人就新办法正式稿相关问题答记者问时建议,关键信息基础设施运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。虽然新办法正式稿对于合同成效的约定看似有放松,但对于网络产品和服务提供商来说,不能放松警惕,因为有可能因审查而延迟了合同的签署时间,也不排除会在已经提供了产品或者服务后,合同还在报批审查的过程中迟迟签署不了,也可能因最后审查不能通过却已经产生了较多成本损失。因此,网络产品和服务提供商应当加强产品与服务的自身安全能力,并且做好充分的预估,未完成合同签署进入项目试运行有可能产生的风险。
要点七:违规后果
新办法正式稿保留了新办法征求意见稿的处罚条款,明确了处罚依据,即《网络安全法》第六十五条。根据该条,关键信息基础设施运营者存在应审未审或者使用审查未通过的网络产品或服务的,主管部门有可能责令其停止使用,并处以采购金额一倍以上十倍以下的罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。由于双罚制会对企业和责任人员都产生直接的处罚后果,因此不容被忽视,并需要提高警惕。对于可能被识别为关键信息基础设施运营者的企业,应当从网络产品或服务的采购环节着手,根据新办法正式意见稿的要求备齐申请材料并进行网络安全审查,否则需要承担相应的违规后果。
总体而言,新办法正式稿取代旧办法,限缩了需要进行网络安全审查的主体范围,既有利于减少行政压力,又有助于降低企业合规成本。同时,在重点保护好国家关键信息基础设施安全稳定运行的同时,保证企业供应链的不中断,建立有效的审查机制,避免因关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险。
由于目前关于关键信息基础设施的相关法律法规的实施有待进一步完善,因此,对于企业来说,《网络安全审查办法》的具体落地,既期待于后续进一步出台与关键信息基础设施相关的法律法规及其细则,也有赖于相关行业主管部门进一步出台相关指南,将《网络安全审查办法》中的各项要求做精细化解释。
注释:
[1] 网络关键设备和网络安全专用产品的内涵截止目前,仅包括列入目录的设备和产品。该目录未来是否会更新,有待进一步观察网信办等部门的立法进展。
[2] 2018年6月,国家认监委、工信部、公安部、国家互联网信息办公室联合发布《网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》,首次明确了具备资格的认证和检测机构,包含中国信息安全认证中心、中国信通院等16家机构。
附件:网络安全审查办法征求意见稿与正式稿对比
《网络安全审查办法(征求意见稿)》 (以下称“征求意见稿”) |
《网络安全审查办法》 (以下称“正式稿”) |
评述 |
2019年5月24日公开征求意见。 |
自2020年6月1日起实施。 |
/ |
第一条 为提高关键信息基础设施安全可控水平,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。 |
第一条 为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。 |
将“安全可控”改为“供应链安全”,暗含审查原则的转变,即网络安全,而非控制、限制或歧视国外产品和服务。
删除了“等法律法规”的表达,法律依据更加明确。 |
第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。法律、行政法规另有规定的,依照其规定。 |
第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。 |
删除了“法律、行政法规另有规定的,依照其规定”这一除外条款,更加严谨。 |
第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用、增强公正透明与保护知识产权相统一,坚持事前审查与持续监管、企业承诺与社会监督相结合,从产品和服务安全性、可能对国家安全带来的风险隐患等方面进行综合分析评判。 |
第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。 |
与征求意见稿基本一致,强调兼顾防范网络安全风险与促进先进技术应用、结合过程公正透明和知识产权保护、事前审查与持续监管、企业承诺和社会监督的审查原则。 |
第四条 中央网络安全和信息化委员会统一领导网络安全审查工作。
第五条 国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室,负责组织制定网络安全审查相关制度规定和工作程序、组织网络安全审查、监督审查决定的实施。 |
第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。
网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。 |
与征求意见稿基本一致,明确网络安全审查工作的领导部门为中央网络安全和信息化委员会;网络安全审查机制的建立部门为国家网信办、发改委、工信部、公安部、国安部、商务部、财政部、央行、市场监管总局、广电总局、国家保密局、国家密码管理局;网络安全审查部门设在国家网信办,负责制定网络安全审查相关的制度规范。
删去了网络安全审查办公室“监督审查决定的实施”这一职责,更符合实际。 |
第六条 运营者采购网络产品和服务时,应预判产品和服务上线运行后带来的潜在安全风险,形成安全风险报告。可能导致以下情况的,应当向网络安全审查办公室申报网络安全审查: (一)关键信息基础设施整体停止运转或主要功能不能正常运行; (二)大量个人信息和重要数据泄露、丢失、毁损或出境; (三)关键信息基础设施运行维护、技术支持、升级更新换代面临供应链安全威胁; (四)其他严重危害关键信息基础设施安全的风险隐患。 |
第五条 运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。 |
相比于征求意见稿中列举出应当申报网络安全审查的几种具体情形的做法,正式稿采取“影响或可能影响国家安全”的概括性表述,结合关键信息基础设施保护工作部门制定行业、领域预判指南这一方式,更具有开放性和可操作性。
此外,还明确关键信息基础设施保护工作部门可根据情况制定行业预判指南,从而更好的为企业提供操作指引。 |
第七条 对于申报网络安全审查的采购活动,运营者应通过采购文件、合同或其他有约束力的手段要求产品和服务提供者配合网络安全审查,并与产品和服务提供者约定网络安全审查通过后合同方可生效。 |
第六条 对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。 |
正式稿针对非法获取用户数据、非法控制和操纵用户设备、无正当理由中断供应等特定情形,进一步明确运营者要求产品和服务提供者配合网络安全审查的手段。
正式稿删去了要求运营者“与产品和服务提供者约定网络安全审查通过后合同方可生效”的表述,更加严谨。 |
第八条 运营者申报网络安全审查时,应当提交以下材料: (一)申报书; (二)本办法第六条中的安全风险报告; (三)采购合同、协议等; (四)网络安全审查办公室要求的其他材料。 |
第七条 运营者申报网络安全审查,应当提交以下材料: (一)申报书; (二)关于影响或可能影响国家安全的分析报告; (三)采购文件、协议、拟签订的合同等; (四)网络安全审查工作需要的其他材料。 |
与征求意见稿基本一致。 |
/ |
第八条 网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。 |
新增了时限要求,提高行政效率。 |
第十条 网络安全审查重点评估采购活动可能带来的国家安全风险,主要考虑以下因素: (一)对关键信息基础设施持续安全稳定运行的影响,包括关键信息基础设施被控制、被干扰和业务连续性被损害的可能性; (二)导致大量个人信息和重要数据泄露、丢失、毁损、出境等的可能性; (三)产品和服务的可控性、透明性以及供应链安全,包括因为政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性; (四)对国防军工、关键信息基础设施相关技术和产业的影响; (五)产品和服务提供者遵守国家法律与行政法规情况,以及承诺承担的责任和义务; (六)产品和服务提供者受外国政府资助、控制等情况; (七)其他可能危害关键信息基础设施安全和国家安全的因素。 |
第九条 网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素: (一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险; (二)产品和服务供应中断对关键信息基础设施业务连续性的危害; (三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险; (四)产品和服务提供者遵守中国法律、行政法规、部门规章情况; (五)其他可能危害关键信息基础设施安全和国家安全的因素。 |
网络安全审查的重点集中于国家安全风险,因此征求意见稿中关于个人信息泄露、丢失、毁损的风险在正式稿中被删去;而重要数据出境的可能性带来的风险由《网络安全法》《个人信息和重要数据出境安全评估管理办法》等数据出境相关法律法规规制。
将产品和服务提供者遵守部门规章的情况也纳入网络安全审查重点评估的范围,体现了更加严格的安全审查趋势。
删除“产品和服务提供者受外国政府资助、控制等情况”,体现由“安全可控”向“供应链安全”的转变。 |
第九条 网络安全审查办公室受理网络安全审查后,应在30个工作日内完成初步审查,情况复杂的可延长15个工作日。
第十一条第一款 网络安全审查办公室完成初步审查后,应形成审查结论建议,并送网络安全审查工作机制成员单位征求意见。审查结论建议包括通过审查、附条件通过审查、未通过审查三种情况。 |
第十条 网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。 |
相比于征求意见稿所规定的完成初步审查后形成审查结论建议并发送征求意见,正式稿规定先进行初步审查,排除不需要审查的情况,有利于提高网络安全审查的效率。
新增了“相关关键信息基础设施保护工作部门”。
删除了征求意见稿中对审查结论建议的三种情形。 |
第十一条第二款 网络安全审查工作机制成员单位应在15个工作日内书面回复意见。网络安全审查工作机制成员单位意见一致的,网络安全审查办公室以书面形式将审查结论反馈运营者;意见不一致的,进入特别审查程序并通知运营者。 |
第十一条 网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。
网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。 |
增加“相关关键信息基础设施保护工作部门”。
增加“自收到审查结论建议之日起”,更加严谨。 |
第十二条 进入特别审查程序的,网络安全审查办公室应进一步听取相关部门、专业机构、专家意见,进行深入分析评估,形成审查结论建议,征求网络安全审查工作机制成员单位意见后,按程序报中央网络安全和信息化委员会批准。 |
第十二条 按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。 |
删除“专业机构”和“专家意见”。
增加“相关关键信息基础设施保护工作部门”。
明确规定将特别审查程序的审查结论应当“书面通知运营者”,更加严谨。 |
第十三条 特别审查原则上应在45个工作日内完成,情况复杂的可以延长。 |
第十三条 特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。 |
增加“适当”,更加严谨。 |
第十四条 网络安全审查办公室要求提供补充材料等,运营者应予以配合。审查时间从提交补充材料之日起计算。
运营者应对所提供材料的真实性负责。在审查过程中拒绝按要求提供材料或故意提供虚假材料的,按未通过安全审查处理。 |
第十四条 网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。 |
删除“运营者应对所提供材料的真实性负责。在审查过程中拒绝按要求提供材料或故意提供虚假材料的,按未通过安全审查处理”,更符合实际。
明确要求“产品和服务提供者”予以配合,强化其义务。 |
第十九条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务采购活动、信息技术服务活动,网络安全审查办公室按程序报中央网络安全和信息化委员会批准,依照本办法进行审查。 |
第十五条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。 |
删除“采购活动、信息技术服务活动”,更加严谨。 |
第十五条 参与网络安全审查的人员对审查工作中获悉的信息等承担保密义务,不得用于审查以外的目的。 |
第十六条 参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。 |
明确对于参与网络安全审查的相关机构和人员负有的保密义务,明确其保密义务的范围包括企业的商业秘密、知识产权或审查工作中获悉的其他未公开信息,且规定未经信息提供方同意其不得将获悉的未公开信息向无关方披露。 |
/ |
第十七条 运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。 |
增加了运营者或网络产品和服务提供者权利。 |
第十六条 运营者加强安全管理,督促产品和服务提供者认真履行网络安全审查中作出的承诺。
网络安全审查办公室通过抽查、接受举报等形式加强事中事后监管。 |
第十八条 运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。
网络安全审查办公室通过接受举报等形式加强事前事中事后监督。 |
删除了网络安全审查办公室通过抽查的形式进行监督的方式。
增加了网络安全审查办公室的事前监督。 |
第十七条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。 |
第十九条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。 |
与征求意见稿一致,明确处罚依据为《网络安全法》第六十五条:关键信息基础设施的运营者违反《网络安全法》第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 |
第十八条 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。
安全可控是指产品和服务提供者不得利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,不得利用用户对产品和服务的依赖性牟取不正当利益或者迫使用户更新换代等。 |
第二十条 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。
本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、 云 计算 服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。 |
呼应第一条,删除“安全可控”,明确“网络产品和服务”的定义。 |
第二十条 涉及国家秘密信息的,依照国家有关保密规定执行。 |
第二十一条 涉及国家秘密信息的,依照国家有关保密规定执行。 |
/ |
第二十一条 本办法自 年 月 日起实施,《网络产品和服务安全审查办法(试行)》同时废止。 |
第二十二条 本办法自2020年6月1日起实施,《网络产品和服务安全审查办法(试行)》同时废止。 |
/ |