網絡安全審查辦法
基于《中華人民共和國國家安全法》、《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《關鍵信息基礎設施安全保護條例》,為了確保關鍵信息基礎設施供應鏈安全,維護國家安全和網絡數據安全,特制定了本規定。
基礎設施運營者在采購網絡產品和服務時,網絡平臺運營者在進行數據處理活動時,如果涉及影響國家安全的,必須按照相關規定進行網絡安全審查。
基礎設施運營者和網絡平臺運營者都屬于當事人,根據前述規定。
第三條網絡安全審查要求在防范網絡安全風險和促進先進技術應用的基礎上進行,同時結合過程公正透明和知識產權保護。審查包括事前審查和持續監管,并結合企業自律承諾和社會監督,主要從產品和服務安全性、數據處理活動的安全性以及可能帶來的國家安全風險等方面展開。
在中央網絡安全和信息化委員會領導下,國家互聯網信息辦公室會同相關部門建立國家網絡安全審查工作機制。
國家互聯網信息辦公室下設網絡安全審查辦公室,主要職責是負責制定網絡安全審查相關制度規范,并組織實施網絡安全審查工作。
運營者在采購網絡產品和服務時,必須考慮到可能對國家安全造成的風險。如果產品和服務可能會對國家安全產生影響,運營者應向網絡安全審查辦公室申報網絡安全審查。
基礎設施安全保護工作部門可以制定本行業或本領域的預防指南,以確保關鍵信息基礎設施的安全。
在申報網絡安全審查的采購活動中,關鍵信息基礎設施運營者應當要求產品和服務提供者在采購文件、協議等中配合網絡安全審查,并承諾不利用提供的產品和服務來非法獲取用戶數據、非法控制和操縱用戶設備,以及無正當理由不中斷產品供應或者必要的技術支持服務等。
網絡平臺運營者如果想在國外上市并且掌握著超過100萬用戶的個人信息,必須先向網絡安全審查辦公室申報網絡安全審查。
當事人申報網絡安全審查時,需要準備以下材料:
(一)申報書;
關于影響或可能影響國家安全的分析報告對于國家的重大決策和安全戰略制定具有重要意義。此類報告通常會對各種內外部因素進行分析,包括政治、經濟、軍事、社會和技術等方面的影響因素,以及可能帶來的安全風險和挑戰。這些報告的撰寫需要嚴謹的分析和研究,以便提供決策者全面的信息,幫助他們做出明智的決策,保障國家的安全和利益。
采購文件、協議、擬簽訂的合同或者準備提交的首次公開募股(IPO)申請文件等。
(四)網絡安全審查工作所需其他材料。
網絡安全審查工作除了必要的文件和數據之外,還需要以下其他材料:
1. 網絡拓撲圖:展示網絡架構、設備和連接方式的圖表,有助于審查人員了解網絡結構和潛在的安全風險。
2. 安全策略和流程文件:包括網絡安全策略、訪問控制策略、應急響應計劃等文件,用于評估網絡安全措施的有效性。
3. 安全設備日志:如防火墻、入侵檢測系統等設備產生的日志文件,用于檢查網絡活動和可能的安全威脅。
4. 應用程序和軟件信息:包括網絡上使用的所有應用程序和軟件的名稱、版本號和廠商信息,有助于審查潛在的漏洞和安全隱患。
5. 審計報告和安全漏洞修復記錄:記錄網絡審計結果和先前發現的安全漏洞,以及已經采取的修復措施和改進計劃。
這些材料將有助于網絡安全審查人員全面了解網絡環境和可能存在的安全風險,從而提出有效的安全建議和改進建議。
網絡安全審查辦公室應在收到符合本辦法第八條規定的審查申報材料后的10個工作日內,確定是否需要進行審查,并以書面形式通知相關當事人。
第十條網絡安全審查重點評估相關對象或者情形的以下國家安全風險因素:政治穩定、社會公共安全、經濟安全、軍事安全以及國家重要信息基礎設施的安全。
使用產品和服務后,關鍵信息基礎設施面臨被非法控制、遭受干擾或破壞的風險。
關鍵信息基礎設施業務連續性面臨的風險之一是產品和服務供應中斷。產品和服務供應中斷可能會對關鍵信息基礎設施業務的運轉造成危害,影響業務的連續性和穩定性。
(三)在考慮產品和服務時,需要關注安全性、開放性、透明性和來源的多樣性,以及供應渠道的可靠性和可能因政治、外交、貿易等因素導致供應中斷的風險。
(四)產品和服務提供者需遵守中國的法律、行政法規和部門規章。
核心數據、重要數據或大量個人信息被盜取、泄露、損壞或非法利用,以及非法出境的風險是非常嚴重的。
在上市過程中,存在外國政府可能影響、控制或惡意利用關鍵信息基礎設施、核心數據、重要數據或大量個人信息的風險,同時也面臨網絡信息安全方面的風險。
網絡安全和數據安全可能面臨多種潛在危害,其中包括惡意軟件和病毒,網絡攻擊,社交工程和釣魚攻擊等。這些因素都可能對關鍵信息基礎設施的安全構成嚴重威脅,從而導致數據丟失、泄露和服務中斷等問題。
網絡安全審查辦公室認為需要進行網絡安全審查時,應當在書面通知之日起的30個工作日內完成初步審查,包括形成審查結論建議并將其發送給網絡安全審查工作機制成員單位和相關部門征求意見。如果情況比較復雜,審查過程可以延長15個工作日。
網絡安全審查工作機制規定,成員單位和相關部門應在收到審查結論建議后的15個工作日內,以書面形式提出回復意見。
如果網絡安全審查工作機制的成員單位和相關部門意見一致,網絡安全審查辦公室將以書面形式通知當事人審查結論。如果意見不一致,將按照特別審查程序處理,并通知當事人。
在進行特別審查程序時,網絡安全審查辦公室需要聽取相關單位和部門的意見,并進行深入分析和評估。隨后,他們會再次形成審查結論建議,并征求網絡安全審查工作機制成員單位和相關部門的意見。最后,經過中央網絡安全和信息化委員會批準后,他們會形成審查結論并書面通知當事人。
特別審查程序通常需要在90個工作日內完成,但對于復雜情況可能會延長。
在網絡安全審查辦公室要求提供補充材料時,相關當事人、產品和服務提供者有責任配合提供。需要注意的是,提交補充材料的時間不會計入審查的時間。
網絡安全審查機制要求成員單位對可能影響國家安全的網絡產品、服務和數據處理活動進行審查,并需經中央網絡安全和信息化委員會批準后,按照規定進行審查。
為了降低風險,在審查期間,當事人應根據網絡安全審查要求采取預防和風險減輕的措施。
參與網絡安全審查的相關機構和人員應當嚴格保護知識產權,對在審查工作中了解到的商業秘密、個人信息,以及其他未公開信息承擔保密義務。未經信息提供方同意,不得向無關方披露或者將這些信息用于審查以外的目的。
若當事人或網絡產品和服務提供者認為審查人員缺乏客觀公正,或未能遵守審查過程中的保密義務,可向網絡安全審查辦公室或相關部門舉報。
當事人有責任督促產品和服務提供者履行其在網絡安全審查中所作的承諾,以確保網絡安全得到有效維護。
網絡安全審查辦公室加強事前、事中和事后監督,其中包括接受舉報等形式的舉措。
根據《中華人民共和國網絡安全法》和《中華人民共和國數據安全法》的規定,對違反本辦法的當事人進行處理。
本規定中所指的網絡產品和服務主要包括核心網絡設備、重要通信產品、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務,以及對關鍵信息基礎設施安全、網絡安全和數據安全具有重要影響的其他網絡產品和服務。
涉及國家秘密信息的相關事項,應當依照國家有關保密規定執行。
應當同時符合國家對數據安全審查、外商投資安全審查的規定。
本辦法自2022年2月15日起開始實施,2020年4月13日公布的《網絡安全審查辦法》(國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局令第6號)同時被廢止。
]]>