十二部委联合发布《网络安全审查办法》,逐条对比解读来了


来源:中伦视界    作者:刘新宇、宋海新    2020-4-30 9:36

2020年4月27日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局公布了联合制定的《网络安全审查办法》(以下简称“《办法》”)。需要指出的是,《办法》的落款时间为2020年4月13日,4月27日仅为公布时间,而生效时间为2020年6月1日。

而在一年前,2019年5月24日,国家互联网信息办公室发布了《国家互联网信息办公室关于<网络安全审查办法(征求意见稿)>公开征求意见的通知》(落款时间为2019年5月21日,以下简称“《办法(征求意见稿)》”)。为了帮助大家更好地理解《办法》的规定,接下来将通过与征求意见稿逐条对比的方式,为大家进行全文解读。(文末附《办法》与《办法(征求意见稿)》全文对比表格,供大家参考)

逐条对比解读

第一条为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。

【解读】

该条明确了《办法》的立法目的和制定依据。

从立法目的看,相较于《办法(征求意见稿)》第一条,《办法》将立法目的明确在确保关键信息基础设施供应链安全,旨在从采购环节就开始防范和控制对关键信息基础设施的风险和危害,最终目的在于维护国家安全。正如国家互联网信息办公室有关负责人就《办法》相关问题答记者问时指出,关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全至关重要。我国建立网络安全审查制度,目的是通过网络安全审查这一举措,及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。

从制定依据看,相较于《办法(征求意见稿)》第一条,《办法》明确了其上位法依据为《国家安全法》和《网络安全法》,删去了“等法律法规”的表述。具体条款依据为《国家安全法》第五十九条和《网络安全法》第三十五条规定。其中,前者规定,“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的网络信息技术产品和服务,以及其他重大事项和活动,进行国家安全审查”。后者规定,“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。

第二条关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。

【解读】

该条明确了《办法》的适用范围。

从适用范围看,该条款明确了《办法》的适用主体和适用情形两个要点:

第一点,适用主体,关键信息基础设施运营者(以下简称“运营者”)。该内涵在《办法》第二十条第一款进行了明确,此处不再赘述;

第二点,适用情形,影响或可能影响国家安全。根据《国家安全法》第二条,“国家安全是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力”。从更加具体的角度,《办法》第五条将制定预判指南的权力赋予关键信息基础设施保护工作部门。不同行业、不同领域判断是否影响或可能影响国家安全的标准可能会有所不同。

第三条网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

【解读】

该条明确了网络安全审查的审查原则。

从审查原则看,相较于《办法》征求意见稿第三条,《办法》的内容基本保持一致。《办法》强调了坚持事前审查,并综合考虑了网络安全审查和促进先进技术应用、过程公正透明和保护知识产权之间的平衡。事前审查的有效介入,能够更好地做到未雨绸缪,一定程度上将风险和隐患从源头处降低和消除。《办法》中的规定,平衡了网络安全审查的各项因素,能够更好地兼顾发展和安全的关系,实现在安全的基础上有序发展、在发展的过程中保障安全。

第四条在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。

【解读】

该条明确了网络安全审查的工作机制和主要负责机构。

从工作机制看,《办法》将《办法(征求意见稿)》第四条和第五条规定进行了整合。《办法》第四条的第一款明确了网络安全审查的领导机构和具体负责部委。从十二个具体负责部委看,网络安全审查工作机制涉及的有关部门基本涵盖了与网络安全密切相关的国家各重要管理部门。

从主要负责机构看,相较于《办法(征求意见稿)》第五条,《办法》删去了“监督审查决定的实施”,其他基本沿用了《办法(征求意见稿)》第五条的规定。网络安全审查办公室设置在国家网信办,有利于网络安全审查工作的常态化和有效运行。就具体工作职责而言,负责制定网络安全审查相关制度规范、组织网络安全审查,基本涵盖了网络安全审查的主要工作职责。

第五条运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。

关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。

【解读】

该条明确了网络安全审查的风险预判要求、申报机构和预判指南的制定主体。

从风险预判要求看,相较于《办法(征求意见稿)》第六条,《办法》删除了制作安全风险报告的要求,保留了预判风险的要求。对于运营者来说,在采购网络产品和服务前,无需制作专门的安全风险报告,但从规范管理角度,可以书面记录风险预判的结果,以备不时之需。

从申报机构看,《办法》沿用了《办法(征求意见稿)》第六条的规定,申报机构为网络安全审查办公室。国家互联网信息办公室有关负责人就《办法》相关问题答记者问时指出,具体审查工作由网络安全审查办公室委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。

从预判指南的制定主体看,相较于《办法(征求意见稿)》第六条采取“列举+兜底”的方式规定了需要申报网络安全审查的情形,《办法》直接规定了“关键信息基础设施保护工作部门可以制定本行业、本领域预判指南”,将制定预判指南的权力赋予了关键信息基础设施保护工作部门,为不同行业、不同领域影响或者可能影响国家安全的情形保留了弹性的立法空间。运营者应及时根据所在行业和领域的预判指南,进行风险预判,并根据风险预判结果决定是否申报网络安全审查。若无法准备把握是否需要进行安全审查,稳妥起见,可以先行申报,等待网络安全审查办公室给出是否需要审查的书面通知。

第六条对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。

【解读】

该条明确了运营者应要求产品和服务提供者配合网络安全审查的要求。

从运营者应要求产品和服务提供者配合网络安全审查看,相较于《办法(征求意见稿)》第七条,《办法》删去了“并与产品和服务提供者约定网络安全审查通过后合同方可生效”的要求,细化了运营者要求产品和服务提供者配合网络安全审查的具体要求。产品和服务提供者配合网络安全审查,有利于网络安全审查的深入和顺利进行,而要做到该点,需要通过采购文件、协议等要求进行落实。

该条引申出了一个问题,何时申报网络安全审查?对此,通常情况下,运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。如果在签署合同后申报网络安全审查,建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效,以避免因为没有通过网络安全审查而造成损失。

第七条运营者申报网络安全审查,应当提交以下材料:

(一)申报书;

(二)关于影响或可能影响国家安全的分析报告;

(三)采购文件、协议、拟签订的合同等;

(四)网络安全审查工作需要的其他材料。

【解读】

该条明确了申报网络安全审查的材料要求。

从申报网络安全审查的材料要求看,《办法》将《办法(征求意见稿)》第八条第二项“安全风险报告”调整为“关于影响或可能影响国家安全的分析报告”。对于分析报告,可以参照后续关键信息基础设施保护工作部门制定的预判指南,指明触发了预判指南规定的哪种情形。若所在行业和领域尚未出台预判指南,可以先行参照《办法》第九条规定的网络安全审查重点评估的风险因素,分析可能带来的国家安全风险。

第八条网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。

【解读】

该条明确了确定是否需要审查的程序要求。

从确定是否需要审查的程序要求看,相较于《办法(征求意见稿)》,《办法》新增了该项要求。对运营者来说,在无法确定是否需要申请网络安全审查的情况下,可以先行提交申报材料,经网络安全审查办公室认定。

第九条网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

(五)其他可能危害关键信息基础设施安全和国家安全的因素。

【解读】

该条明确了网络安全审查的主要考虑因素。

从网络安全审查的主要考虑因素看,相较于《办法(征求意见稿)》第十条,《办法》删去了“对国防军工、关键信息基础设施相关技术和产业的影响”和“产品和服务提供者受外国政府资助、控制等情况”,新增了“产品和服务……来源的多样性,供应渠道的可靠性”的要求,并将“产品和服务提供者遵守国家法律与行政法规情况”扩张至“产品和服务提供者遵守中国法律、行政法规、部门规章情况”。可以看出,《办法》删去了部分可能产生争议的审查因素,正如国家互联网信息办公室有关负责人就《办法》相关问题答记者问时指出,网络安全审查的目的是维护国家网络安全,不是要限制或歧视国外产品和服务;《办法》进一步强化了对供应链安全的要求,有助于在新形势下更好地维护网络安全和国家安全。

第十条网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。

【解读】

该条明确了网络安全初步审查的时间要求和审查结论征求意见要求。

从网络安全初步审查的时间要求看,《办法》基本沿用了《办法(征求意见稿)》第九条的规定。根据该条规定,从运营者提交审查申报材料起,如需网络安全审查的,一般初步审查时间为10+30个工作日;情况复杂的,需要10+30+15个工作日。

从审查结论征求意见要求看,相较于《办法(征求意见稿)》第十一条第一款,《办法》删去了审查结论建议结果的类型要求,将征求意见的部门范围从“网络安全审查工作机制成员单位”扩充为“网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门”,有助于进一步提高审查结论的严谨性。

第十一条网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。

【解读】

该条明确了网络安全初步审查结论征求意见的时间和后续处理要求。

从网络安全初步审查结论征求意见的时间和后续处理要求看,《办法》基本沿用了《办法(征求意见稿)》第十一条第二款的要求。根据该条规定,从运营者提交审查申报材料起,如需网络安全审查的且无需进入特别审查程序,一般拿到审查结论的时间为10+30+15个工作日;情况复杂的,需要10+30+15+15个工作日。

第十二条按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。

【解读】

该条明确了特别审查程序的具体要求。

从特别审查程序的具体要求看,需要经过听取意见——深入分析评估——审查结论建议——征求意见——报中央网信委批准——形成结论并书面通知运营者的程序,旨在确保审查结论的严谨和规范。

第十三条特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。

【解读】

该条明确了网络安全特别审查程序的时间要求。

从网络安全特别审查程序的时间要求看,相较于《办法(征求意见稿)》第十三条,《办法》该条除对延长增加“适当”的限定外,未发生实质变化。该条规定意味着进入特别审查程序的审查项目,可能还需要45个工作日或者更长的时间进行审查,且更长的时间暂无明确的具体时间限制。

第十四条网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

【解读】

该条明确了运营者、产品和服务提供者应配合提供补充材料的要求。

从运营者、产品和服务提供者应配合提供补充材料的要求看,相较于《办法(征求意见稿)》第十四条,《办法》新增了产品和服务提供者应配合提供补充材料的要求,并将“审查时间从提交补充材料之日起计算”调整为“提交补充材料的时间不计入审查时间”。提交补充材料的时间不计入审查时间,意味着审查时间不再重新起算,但审查时间会中止,待运营者、产品和服务提供者按要求提供补充材料后继续计算。

第十五条网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。

【解读】

该条明确了依职权进行网络安全审查的要求。

从依职权进行网络安全审查的要求看,《办法》基本沿用了《办法(征求意见稿)》第十九条的规定。该规定意味着,网络安全审查并非只能由运营者主动申报而触发。若网络安全审查工作机制成员单位认为,某项网络产品和服务影响或可能影响国家安全,也可以根据该条规定的程序要求,依职权进行网络安全审查。

第十六条参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。

【解读】

该条明确了保护运营者、产品和服务提供者商业秘密和知识产权的要求。

从保护运营者、产品和服务提供者商业秘密和知识产权的要求看,相较于《办法(征求意见稿)》第十五条,《办法》第十六条对保密义务的规定进行了细化。此外,从保障企业合法权益的角度,《办法》第十七条进一步规定了运营者、产品和服务提供者的举报权利。

第十七条运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。

【解读】

该条明确了运营者、产品和服务提供者的举报权利。

从运营者、产品和服务提供者的举报权利看,相较于《办法(征求意见稿)》,该条系《办法》的新增要求,有助于保障运营者、产品和服务提供者的合法权益。

第十八条运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。

网络安全审查办公室通过接受举报等形式加强事前事中事后监督。

【解读】

该条明确了运营者督促产品和服务提供者履行承诺,以及网络安全审查办公室加强事前事中事后监管的要求。

从督促产品和服务提供者履行承诺看,相较于《办法(征求意见稿)》第十六条,《办法》删去了“安全管理”的要求,整体规定未发生实质变化。该规定有利于监督产品和服务提供者更好地履行网络安全审查中作出的承诺。该项监督主要从运营者的角度进行监督。

从加强事前事中事后监管看,相较于《办法(征求意见稿)》第十六条,《办法》删去了“抽查”的监督形式,增加了“事前”监督的要求,监督范围覆盖事前事中事后。该项监督主要从主管部门和社会公众的角度进行监督。

第十九条运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。

【解读】

该条明确了运营者违反《办法》的规定需要承担的法律责任。

该条并未对运营者违反《办法》的行为可能面临的法律责任进行直接规定,而是援引《网络安全法》中相关法律责任条款的形式。根据《网络安全法》第六十五条,“运营者违反本办法规定的,使用未经安全审查或者安全审查未通过的网络产品或者服务的,将由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”

第二十条本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

【解读】

该条明确了关键信息基础设施运营者和网络产品和服务的指向。

从关键信息基础设施运营者的指向看,《办法》沿用了《办法(征求意见稿)》第十八条第一款的规定。根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查。

从网络产品和服务的指向看,相较于《办法(征求意见稿)》,该规定系《办法》新增规定。从具体要求看,运营者并非采购任何网络产品和服务时,均需考虑是否进行网络安全审查。《办法》的适用情形仅限于运营者采购对关键信息基础设施安全有重要影响的网络产品和服务。

第二十一条涉及国家秘密信息的,依照国家有关保密规定执行。

【解读】

该条沿用了《办法(征求意见稿)》第二十条的规定,明确了涉及国家秘密信息的行为/活动将不适用《办法》的相关规定,而应根据《保守国家秘密法》、《保守国家秘密法实施条例》等法律、法规的相关内容具体执行。

第二十二条本办法自2020年6月1日起实施,《网络产品和服务安全审查办法(试行)》同时废止。

【解读】

该条明确了《办法》生效的时间和与《网络产品和服务安全审查办法(试行)》的替代关系。

从正式生效的具体时间看,2020年6月1日正式生效,运营者需要提前考虑进行相关合规安排。

从法律文件关系角度看,该条明确了《办法》正式生效后,《网络产品和服务安全审查办法(试行)》将同时废止,网络安全审查将按照《办法》的相关内容执行。

结语

《网络安全审查办法》的出台,反映出国家对于网络安全和国家安全新形势、新问题的精准把握,体现出保护关键信息基础设施供应链安全、网络安全和国家安全的信心和决心,关键信息基础设施运营者需要高度关注和认真研究,并及时开展相应合规安排,需要申报网络安全审查的,在《办法》正式生效后及时进行相应申报。

关于本站联系我们手机版
Copyright © 2020 安知讯 粤ICP备11061396号 粤公网安备 44030602001878号