安全合规/法案--30--《网络安全审查办法》原文及解读
第一条
为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。
【解读】
该条明确了《网络安全审查办法》的立法目的和制定依据。
从立法目的看,将立法目的明确在确保关键信息基础设施供应链安全,旨在从采购环节就开始防范和控制对关键信息基础设施的风险和危害,最终目的在于维护国家安全。
从制定依据看,明确了其上位法依据为《国家安全法》和《网络安全法》。具体条款依据为《国家安全法》第五十九条和《网络安全法》第三十五条规定。其中,前者规定,“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的网络信息技术产品和服务,以及其他重大事项和活动,进行国家安全审查”。后者规定,“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。
第二条
关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
【解读】
该条明确了《网络安全审查办法》的适用范围。
从适用范围看,该条款明确了《网络安全审查办法》的适用主体和适用情形两个要点:
第一点,适用主体为关键信息基础设施运营者。
第二点,适用情形,影响或可能影响国家安全。根据《国家安全法》第二条,“国家安全是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力”。从更加具体的角度,《网络安全审查办法》第五条将制定预判指南的权力赋予关键信息基础设施保护工作部门。不同行业、不同领域判断是否影响或可能影响国家安全的标准可能会有所不同。
第三条
网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。
【解读】
该条明确了网络安全审查的审查原则。
从审查原则看,强调了坚持事前审查,并综合考虑了网络安全审查和促进先进技术应用、过程公正透明和保护知识产权之间的平衡。事前审查的有效介入,能够更好地做到未雨绸缪,一定程度上将风险和隐患从源头处降低和消除。《网络安全审查办法》中的规定,平衡了网络安全审查的各项因素,能够更好地兼顾发展和安全的关系,实现在安全的基础上有序发展、在发展的过程中保障安全。
第四条
在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。
网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。
【解读】
该条明确了网络安全审查的工作机制和主要负责机构。
从工作机制看,第四条的第一款明确了网络安全审查的领导机构和具体负责部委。从十二个具体负责部委看,网络安全审查工作机制涉及的有关部门基本涵盖了与网络安全密切相关的国家各重要管理部门。
从主要负责机构看,网络安全审查办公室设置在国家网信办,有利于网络安全审查工作的常态化和有效运行。就具体工作职责而言,负责制定网络安全审查相关制度规范、组织网络安全审查,基本涵盖了网络安全审查的主要工作职责。
第五条
运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。
【解读】
该条明确了网络安全审查的风险预判要求、申报机构和预判指南的制定主体。
从风险预判要求看,运营者在采购网络产品和服务前,无需制作专门的安全风险报告,但从规范管理角度,可以书面记录风险预判的结果,以备不时之需。
从申报机构看,申报机构为网络安全审查办公室,具体审查工作由网络安全审查办公室委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。
从预判指南的制定主体看,规定了“关键信息基础设施保护工作部门可以制定本行业、本领域预判指南”,将制定预判指南的权力赋予了关键信息基础设施保护工作部门,为不同行业、不同领域影响或者可能影响国家安全的情形保留了弹性的立法空间。运营者应及时根据所在行业和领域的预判指南,进行风险预判,并根据风险预判结果决定是否申报网络安全审查。若无法准备把握是否需要进行安全审查,稳妥起见,可以先行申报,等待网络安全审查办公室给出是否需要审查的书面通知。
第六条
对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。
【解读】
该条明确了运营者应要求产品和服务提供者配合网络安全审查的要求。
从运营者应要求产品和服务提供者配合网络安全审查看,运营者可以要求产品和服务提供者配合网络安全审查,配合审查有利于网络安全审查的深入和顺利进行,而要做到该点,需要通过采购文件、协议等要求进行落实。
该条引申出了一个问题,何时申报网络安全审查?对此,通常情况下,运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。如果在签署合同后申报网络安全审查,建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效,以避免因为没有通过网络安全审查而造成损失。
第七条
运营者申报网络安全审查,应当提交以下材料:
(一)申报书;
(二)关于影响或可能影响国家安全的分析报告;
(三)采购文件、协议、拟签订的合同等;
(四)网络安全审查工作需要的其他材料。
【解读】
该条明确了申报网络安全审查的材料要求。
从申报网络安全审查的材料要求看,分析报告可以参照后续关键信息基础设施保护工作部门制定的预判指南,指明触发了预判指南规定的哪种情形。若所在行业和领域尚未出台预判指南,可以先行参照《办法》第九条规定的网络安全审查重点评估的风险因素,分析可能带来的国家安全风险。
第八条
网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。
【解读】
该条明确了确定是否需要审查的程序要求。
从确定是否需要审查的程序要求看,运营者在无法确定是否需要申请网络安全审查的情况下,可以先行提交申报材料,经网络安全审查办公室认定。
第九条
网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)其他可能危害关键信息基础设施安全和国家安全的因素。
【解读】
该条明确了网络安全审查的主要考虑因素。
从网络安全审查的主要考虑因素看,网络安全审查的目的是维护国家网络安全,不是要限制或歧视国外产品和服务;《网络安全审查办法》进一步强化了对供应链安全的要求,有助于在新形势下更好地维护网络安全和国家安全。
第十条
网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。
【解读】
该条明确了网络安全初步审查的时间要求和审查结论征求意见要求。
从网络安全初步审查的时间要求看,从运营者提交审查申报材料起,如需网络安全审查的,一般初步审查时间为10+30个工作日;情况复杂的,需要10+30+15个工作日。
从审查结论征求意见要求看,将征求意见的部门范围定义为“网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门”,有助于进一步提高审查结论的严谨性。
第十一条
网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。
网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。
【解读】
该条明确了网络安全初步审查结论征求意见的时间和后续处理要求。
从网络安全初步审查结论征求意见的时间和后续处理要求看,从运营者提交审查申报材料起,如需网络安全审查的且无需进入特别审查程序,一般拿到审查结论的时间为10+30+15个工作日;情况复杂的,需要10+30+15+15个工作日。
第十二条
按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。
【解读】
该条明确了特别审查程序的具体要求。
从特别审查程序的具体要求看,需要经过听取意见、深入分析评估、审查结论建议、征求意见、报中央网信委批准、形成结论并书面通知运营者的程序,旨在确保审查结论的严谨和规范。
第十三条
特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。
【解读】
该条明确了网络安全特别审查程序的时间要求。
从网络安全特别审查程序的时间要求看,该条规定意味着进入特别审查程序的审查项目,可能还需要45个工作日或者更长的时间进行审查,且更长的时间暂无明确的具体时间限制。
第十四条
网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。
【解读】
该条明确了运营者、产品和服务提供者应配合提供补充材料的要求。
从运营者、产品和服务提供者应配合提供补充材料的要求看,提交补充材料的时间不计入审查时间,意味着审查时间不再重新起算,但审查时间会中止,待运营者、产品和服务提供者按要求提供补充材料后继续计算。
第十五条
网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。
【解读】
该条明确了依职权进行网络安全审查的要求。
从依职权进行网络安全审查的要求看,该规定意味着网络安全审查并非只能由运营者主动申报而触发。若网络安全审查工作机制成员单位认为,某项网络产品和服务影响或可能影响国家安全,也可以根据该条规定的程序要求,依职权进行网络安全审查。
第十六条
参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。
【解读】
该条明确了保护运营者、产品和服务提供者商业秘密和知识产权的要求。
从保护运营者、产品和服务提供者商业秘密和知识产权的要求看,明确了保密义务,同时从保障企业合法权益的角度,第十七条进一步规定了运营者、产品和服务提供者的举报权利。
第十七条
运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。
【解读】
该条明确了运营者、产品和服务提供者的举报权利。
从运营者、产品和服务提供者的举报权利看,有助于保障运营者、产品和服务提供者的合法权益。
第十八条
运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。
网络安全审查办公室通过接受举报等形式加强事前事中事后监督。
【解读】
该条明确了运营者督促产品和服务提供者履行承诺,以及网络安全审查办公室加强事前事中事后监管的要求。
从督促产品和服务提供者履行承诺看,该规定有利于监督产品和服务提供者更好地履行网络安全审查中作出的承诺。该项监督主要从运营者的角度进行监督。
从加强事前事中事后监管看,监督范围覆盖事前事中事后。该项监督主要从主管部门和社会公众的角度进行监督。
第十九条
运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。
【解读】
该条明确了运营者违反《网络安全审查办法》的规定需要承担的法律责任。
该条并未对运营者违反《网络安全审查办法》的行为可能面临的法律责任进行直接规定,而是援引《网络安全法》中相关法律责任条款的形式。根据《网络安全法》第六十五条,“运营者违反本办法规定的,使用未经安全审查或者安全审查未通过的网络产品或者服务的,将由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
第二十条
本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。
本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
【解读】
该条明确了关键信息基础设施运营者和网络产品和服务的指向。
从关键信息基础设施运营者的指向看,根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《网络安全审查办法》要求考虑申报网络安全审查。
从网络产品和服务的指向看,从具体要求看,运营者并非采购任何网络产品和服务时,均需考虑是否进行网络安全审查。《网络安全审查办法》的适用情形仅限于运营者采购对关键信息基础设施安全有重要影响的网络产品和服务。
第二十一条
涉及国家秘密信息的,依照国家有关保密规定执行。
【解读】
明确了涉及国家秘密信息的行为/活动将不适用《网络安全审查办法》的相关规定,而应根据《保守国家秘密法》、《保守国家秘密法实施条例》等法律、法规的相关内容具体执行。
第二十二条
本办法自2020年6月1日起实施,《网络产品和服务安全审查办法(试行)》同时废止。
【解读】
该条明确了《网络安全审查办法》生效的时间和与《网络产品和服务安全审查办法(试行)》的替代关系。
从法律文件关系角度看,该条明确了《网络安全审查办法》正式生效后,《网络产品和服务安全审查办法(试行)》将同时废止,网络安全审查将按照《网络安全审查办法》的相关内容执行。
安全合规/法案--30--《网络安全审查办法》原文及解读相关推荐
- 安全合规/法案--29--《网络安全法》原文及解读
第一章 总则 第一条 为了保障网络安全,维护网络空间主权和国家安全.社会公共利益,保护公民.法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法. 解读:本条指明网络安全法的制定目的. 第二 ...
- 《网络安全审查办法》将影响我们什么?
近日,国家发展和改革委员会.工业和信息化部.公安部.国家安全部.财政部.商务部.中国人民银行.国家市场监督管理总局.国家广播电视总局.中国证券监督管理委员会.国家保密局.国家密码管理局同意并公布了&l ...
- 周报速递丨《网络安全审查办法》修订发布;微信支持数字人民币支付
神策研究院数字化趋势周报栏目主要发布当周数字化相关宏观趋势.行业动态及行业观点汇总,并融合神策研究院洞察,希望通过这一栏目帮助读者了解最新的行业动态并判断未来行业发展趋势. 目录 01 宏观 02 行 ...
- 解读即将施行的《网络安全审查办法》,开发者需要注意的
2022年1月4日,网信办发布了由国家互联网信息办公室.国家发展和改革委员会.工信部.公安部.国家安全部等十三部门联合修订的<网络安全审查办法>,该<办法>将于2月15日起正式 ...
- 《网络安全审查办法》
1发展历程 2020年4月27日,12部门联合发布<网络安全审查办法>,2020年6月1日起实施. 2021年7月10日,国家互联网信息办公室发布关于<网络安全审查办法(修订草案征求 ...
- 安全合规/法案--28--数据保护相关法律法规汇总与介绍
说明: 1.本篇博客撰写于2021年2月,因此博主只汇总了截止到2021年2月的相关文件 2.对于没有正式发布的文件,标注了征求意见稿或草案字样 一.数据保护相关的重要法律.法规.规章及规范性文件 序 ...
- 网络安全通识全解|第12期 《网络安全审查办法》解读
01 <网络安全审查办法>出台背景 关键信息基础设施对国家安全.经济安全.社会稳定.公众健康和安全至关重要.我国建立网络安全审查制度,目的是通过网络安全审查这一举措,及早发现并避免采购产品 ...
- 安全合规/法案--32--《儿童个人信息网络保护规定》原文及解读
第一条 为了保护儿童个人信息安全,促进儿童健康成长,根据<中华人民共和国网络安全法><中华人民共和国未成年人保护法>等法律法规,制定本规定. [解读] 本条明确了<儿童个 ...
- 数据安全审查综合解读|如何从被动合规到主动战略风控?
简介:8月27日,<数据安全法>解读与阿里云三大合规方案线上直播活动完美收官.阿里云高级安全咨询专家李娜对数据安全相关法律法规做了综合解读,她指出,数据安全合规不能仅看片面,需要有整体的数 ...
- 数据出境安全合规路径梳理
背景说明 2022年7月21日国家互联网信息办公室对滴滴全球股份有限公司依法作出行政处罚,滴滴被罚80.26亿元(根据滴滴公司在华业务营收总额计算,属于顶格处罚),同时对滴滴公司董事长兼CEO程维.总 ...
最新文章
- 位操作-按位与之如何求二进制数的1个数
- 【Android游戏开发十六】Android Gesture之【触摸屏手势识别】操作!
- 基于python的快速傅里叶变换FFT(一)
- 【iCore4 双核心板_ARM】例程五:SYSTICK定时器 实验——定时点亮LED
- jquery-ui里日期插件的使用
- python import出错_python import的一些问题
- 关于 SAP 电商云 Spartacus UI 路由 routes 配置的数据源问题
- 为什么要用非关系数据库?
- 关于编程学习的一些思考 | 欢迎投稿
- BootstrapTable自定义ajax方法
- QT使用插件开发界面
- python 系统时间24小时制_Python 日期和时间
- int main(int argc,char* argv[])的作用
- 文本属性之装饰文本(CSS、HTML)
- NLP人机对话与落地案例分享
- 背景建模算法比较与ViBe算法论文解读与python代码
- “真正的机器人测试” - 淘宝泛终端机器人自动化测试实践
- java jre 1.8_jre1.8官方下载
- 【C/C++】文件操作实例——学生信息管理
- XCode 动态库未签名问题的解决