12部门联合发布《网络安全审查办法》 今年6月1日起实施

本篇文章4149字，读完约10分钟

人民网北京4月27日电(赵超)据微信公众账号“网信中国”，近日，包括国家互联网信息办公室和国家发展和改革委员会在内的12个部门联合发布了《网络安全审查办法》(以下简称《办法》)。国家互联网信息办公室负责人就《办法》的有关问题回答了记者的提问。

问:请介绍《办法》颁布的背景。

答:关键信息基础设施对国家安全、经济安全、社会稳定、公共卫生和安全至关重要。建立我国网络安全审查制度的目的是尽早发现和规避购买产品和服务给关键信息基础设施运营带来的风险和危害，确保关键信息基础设施的供应链安全，维护国家安全。《办法》的颁布为我国网络安全审查提供了重要的制度保障。

问:网络安全审查的法律依据是什么？

答:网络安全审查是根据《国家安全法》和《网络安全法》开展的工作。《国家安全法》第59条规定，国家建立国家安全审查监督制度和机制，对影响或者可能影响国家安全的网络信息技术产品和服务以及其他重大事项和活动进行国家安全审查。《网络安全法》第35条规定:“重要信息基础设施经营者购买可能影响国家安全的网络产品和服务，应当通过国家网络信息主管部门会同国务院有关部门组织的国家安全审查。”

问:网络安全审查的主要内容是什么？

答:网络安全审查的重点是评估关键信息基础设施运营商采购网络产品和服务可能带来的国家安全风险，包括:使用产品和服务带来的关键信息基础设施被非法控制、干扰或破坏，以及重要数据被窃取、泄露或损坏的风险；产品和服务供应中断对关键信息基础设施业务连续性的危害；产品和服务的安全性、公开性和透明度、来源的多样性、供应渠道的可靠性以及因政治、外交和贸易因素造成供应中断的风险；产品和服务提供商遵守中国法律、行政法规和部门规章；其他可能危及关键信息基础设施安全和国家安全的因素。

问:哪些网络运营商在购买产品和服务时需要考虑申请网络安全审查？

答:重点信息基础设施运营商购买影响或可能影响国家安全的网络产品和服务，应当按照《办法》进行网络安全审查。

根据《中央网络安全与信息化委员会关于重点信息基础设施安全保护有关事项的通知》精神，电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生、社会保障、国防科技工业等行业的重要网络和信息系统经营者在购买网络产品和服务时，应按照本办法要求考虑申请网络安全审查。

问:你什么时候申请网络安全审查？

答:在正常情况下，关键信息基础设施的运营商在与产品和服务提供商正式签署合同之前，应该报告网络安全审查。如果您在合同签订后申请网络安全审查，建议在合同中注明，只有在产品和服务采购通过网络安全审查后，合同才能生效，以避免因未通过网络安全审查而造成的损失。

问:网络安全审查有时间限制吗？

答:网络安全审查通常在45个工作日内完成，如果情况复杂，会延长15个工作日。

进入特别审查程序可能需要45个工作日或更长时间。

根据《办法》的要求，提供补充材料的时间不计入审查时限。

问:在审查过程中，如何确保关键信息基础设施运营商以及产品和服务提供商的商业秘密和知识产权？

答:网络安全审查充分尊重并严格保护企业的知识产权。《办法》规定，参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权，重点信息基础设施运营商、产品和服务提供商提交的未公开材料，以及在审查工作中了解到的其他未公开信息。公共信息负有保密义务；未经信息提供者同意，不得向无关方披露或用于检查以外的目的。关键信息基础设施的运营商或产品和服务的提供商，如果认为审查人员不公平、不客观，或未对审查过程中了解到的信息承担保密义务，可向网络安全审查办公室或相关部门报告。

问:网络安全审查会限制或歧视外国产品和服务吗？

答:《办法》明确规定了审查的内容。由此可见，网络安全审查的目的是维护国家网络安全，而不是限制或歧视外国产品和服务。

对外开放是我们的基本国策，我们欢迎外国产品和服务进入中国市场的政策没有改变。

问:违反《办法》的法律责任是什么？

答:根据《网络安全法》第65条，如果网络安全审查应申报而未申报，或者使用未通过网络安全审查的产品和服务，有关主管部门应责令其停止使用，购买金额将增加一倍以上。不足十倍的罚款；对直接负责的主管人员和其他直接责任人员处以一万元以上十万元以下的罚款。

问:网络安全审查应该向谁报告？

答:根据《办法》，网络安全审查办公室设在国家互联网信息办公室。具体工作委托给中国网络安全审查技术认证中心。

中国网络安全审查技术认证中心在网络安全审查办公室的指导下，承担接收申请材料、对申请材料进行正式审查、组织具体审查工作的任务。

《网络安全审查办法》全文如下:

全国互联网信息办公室主任庄

国家发展和改革委员会主任李锋

工业和信息技术部部长苗伟

公安部部长赵克志

陈文青国家安全部长

财政部部长刘坤

商务部部长钟山

中国人民银行行长易纲

国家市场监督管理局局长肖亚青

国家广播电视总局局长聂晨曦

国家保密局局长田静

国家密码管理局局长李兆宗

2020年4月13日

第一条为了保障关键信息基础设施的供应链安全，维护国家安全，根据《中华人民共和国国家安全法》和《中华人民共和国网络安全法》，制定本办法。

第二条重点信息基础设施运营商(以下简称运营商)购买影响或者可能影响国家安全的网络产品和服务，应当按照本办法进行网络安全审查。

第三条网络安全审查应当坚持防范网络安全风险与推进先进技术应用相结合、公平透明流程与知识产权保护相结合、事前审查与持续监督相结合、企业承诺与社会监督相结合、从产品和服务安全以及可能存在的国家安全风险等方面进行审查。

第四条在中央网络安全与信息化委员会的领导下，国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理局、国家广播电视总局、国家保密局和国家密码管理局建立国家网络安全审查机制。

网络安全审查办公室设在国家互联网信息办公室，负责制定相关系统规范和组织网络安全审查。

第五条运营商购买网络产品和服务时，应当预测产品和服务投入使用后可能存在的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室报告，进行网络安全审查。

重要的信息基础设施保护部门可以为自己的行业和领域制定预判准则。

第六条申请网络安全审查的采购活动，经营者应当通过采购文件和协议要求产品和服务提供者配合网络安全审查，包括承诺不非法获取用户数据、非法控制和操纵用户设备、无正当理由不中断产品供应或必要的技术支持服务。

第七条经营者申请网络安全审查时，应当提交以下材料:

(a)声明；

(二)影响或者可能影响国家安全的分析报告；

(三)拟签署的采购文件、协议、合同等；

(四)网络安全审查所需的其他材料。

第八条网络安全审查办公室应当在收到审查申请材料后10个工作日内，确定是否需要审查，并书面通知运营商。

第九条网络安全审查重点评估购买网络产品和服务可能带来的国家安全风险，主要考虑以下因素:

(1)由于使用产品和服务而带来的非法控制、干扰或破坏关键信息基础设施以及盗窃、泄露和破坏重要数据的风险；

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害；

(3)产品和服务的安全性、公开性和透明度、来源的多样性、供应渠道的可靠性以及因政治、外交和贸易因素造成供应中断的风险；

(四)产品和服务提供者遵守中国法律、行政法规和部门规章；

(五)其他可能危及关键信息基础设施安全和国家安全的因素。

第十条网络安全审查办公室认为有必要进行网络安全审查的，应当在向运营商发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论，并将审查结论发送给网络安全审查机构成员。单位和相关重点信息基础设施保护部门征求意见；如果情况复杂，可以延长15个工作日。

第十一条网络安全审查机构和相关重点信息基础设施保护部门的成员应当自收到审查结论和建议之日起15个工作日内书面答复。

网络安全审查机构成员和相关重点信息基础设施保护部门同意的，网络安全审查办公室将书面通知运营商审查结论；如有异议，按特殊审核程序处理，并通知操作者。

第十二条按照专项审查程序办理的，网络安全审查办公室应当听取相关部门和单位的意见，进行深入分析和评估，再次形成审查结论和建议，征求网络安全审查机构成员单位和相关重点信息基础设施保护部门的意见，并按程序报中央网络安全与信息化委员会批准后，形成审查结论并书面通知运营商。

第十三条专项检查程序一般应当在45个工作日内完成，情况复杂的，可以适当延长。

第十四条网络安全审查办公室要求提供补充材料的，经营者、产品和服务提供者应当予以配合。提交补充材料的时间不包括在评审时间内。

第十五条网络安全审查机构成员单位认为影响或者可能影响国家安全的网络产品和服务，应当按照程序报中央网络安全和信息技术委员会批准后，由网络安全审查办公室进行审查。

第十六条参与网络安全审查的相关机构和人员应当严格保护企业的商业秘密和知识产权，对经营者、产品和服务提供者提交的未公开材料以及审查工作中获悉的其他未公开信息承担保密义务；未经信息提供者同意，不得向无关方披露或用于检查以外的目的。

第十七条网络产品和服务的经营者或者提供者认为审查人员客观公正，或者对审查中获知的信息不承担保密义务的，可以向网络安全审查办公室或者有关部门报告。

第十八条运营商应当督促产品和服务提供商履行在网络安全审查中做出的承诺。

网络安全审查办公室通过接受举报和其他形式加强事前事后监督。

第十九条经营者违反本办法规定的，依照《中华人民共和国网络安全法》第六十五条的规定处理。

第二十条本办法所称重点信息基础设施经营者是指经重点信息基础设施保护部门认定的经营者。

本办法所称网络产品和服务主要是指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

第二十一条涉及国家秘密的信息，按照国家保密的有关规定执行。

第二十二条本办法自2020年6月1日起实施，《网络产品和服务安全审查办法(试行)》同时废止。

来源：搜狐微门户