網(wǎng)絡(luò)安全審查辦法

基于《中華人民共和國(guó)國(guó)家安全法》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護(hù)國(guó)家安全和網(wǎng)絡(luò)數(shù)據(jù)安全，特制定了本規(guī)定。

基礎(chǔ)設(shè)施運(yùn)營(yíng)者在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者在進(jìn)行數(shù)據(jù)處理活動(dòng)時(shí)，如果涉及影響國(guó)家安全的，必須按照相關(guān)規(guī)定進(jìn)行網(wǎng)絡(luò)安全審查。

基礎(chǔ)設(shè)施運(yùn)營(yíng)者和網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者都屬于當(dāng)事人，根據(jù)前述規(guī)定。

第三條網(wǎng)絡(luò)安全審查要求在防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和促進(jìn)先進(jìn)技術(shù)應(yīng)用的基礎(chǔ)上進(jìn)行，同時(shí)結(jié)合過(guò)程公正透明和知識(shí)產(chǎn)權(quán)保護(hù)。審查包括事前審查和持續(xù)監(jiān)管，并結(jié)合企業(yè)自律承諾和社會(huì)監(jiān)督，主要從產(chǎn)品和服務(wù)安全性、數(shù)據(jù)處理活動(dòng)的安全性以及可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)等方面展開。

在中央網(wǎng)絡(luò)安全和信息化委員會(huì)領(lǐng)導(dǎo)下，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同相關(guān)部門建立國(guó)家網(wǎng)絡(luò)安全審查工作機(jī)制。

國(guó)家互聯(lián)網(wǎng)信息辦公室下設(shè)網(wǎng)絡(luò)安全審查辦公室，主要職責(zé)是負(fù)責(zé)制定網(wǎng)絡(luò)安全審查相關(guān)制度規(guī)范，并組織實(shí)施網(wǎng)絡(luò)安全審查工作。

運(yùn)營(yíng)者在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，必須考慮到可能對(duì)國(guó)家安全造成的風(fēng)險(xiǎn)。如果產(chǎn)品和服務(wù)可能會(huì)對(duì)國(guó)家安全產(chǎn)生影響，運(yùn)營(yíng)者應(yīng)向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。

基礎(chǔ)設(shè)施安全保護(hù)工作部門可以制定本行業(yè)或本領(lǐng)域的預(yù)防指南，以確保關(guān)鍵信息基礎(chǔ)設(shè)施的安全。

在申報(bào)網(wǎng)絡(luò)安全審查的采購(gòu)活動(dòng)中，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)要求產(chǎn)品和服務(wù)提供者在采購(gòu)文件、協(xié)議等中配合網(wǎng)絡(luò)安全審查，并承諾不利用提供的產(chǎn)品和服務(wù)來(lái)非法獲取用戶數(shù)據(jù)、非法控制和操縱用戶設(shè)備，以及無(wú)正當(dāng)理由不中斷產(chǎn)品供應(yīng)或者必要的技術(shù)支持服務(wù)等。

網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者如果想在國(guó)外上市并且掌握著超過(guò)100萬(wàn)用戶的個(gè)人信息，必須先向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。

當(dāng)事人申報(bào)網(wǎng)絡(luò)安全審查時(shí)，需要準(zhǔn)備以下材料：

（一）申報(bào)書；

關(guān)于影響或可能影響國(guó)家安全的分析報(bào)告對(duì)于國(guó)家的重大決策和安全戰(zhàn)略制定具有重要意義。此類報(bào)告通常會(huì)對(duì)各種內(nèi)外部因素進(jìn)行分析，包括政治、經(jīng)濟(jì)、軍事、社會(huì)和技術(shù)等方面的影響因素，以及可能帶來(lái)的安全風(fēng)險(xiǎn)和挑戰(zhàn)。這些報(bào)告的撰寫需要嚴(yán)謹(jǐn)?shù)姆治龊脱芯浚员闾峁Q策者全面的信息，幫助他們做出明智的決策，保障國(guó)家的安全和利益。

采購(gòu)文件、協(xié)議、擬簽訂的合同或者準(zhǔn)備提交的首次公開募股（IPO）申請(qǐng)文件等。

（四）網(wǎng)絡(luò)安全審查工作所需其他材料。

網(wǎng)絡(luò)安全審查工作除了必要的文件和數(shù)據(jù)之外，還需要以下其他材料：

1. 網(wǎng)絡(luò)拓?fù)鋱D：展示網(wǎng)絡(luò)架構(gòu)、設(shè)備和連接方式的圖表，有助于審查人員了解網(wǎng)絡(luò)結(jié)構(gòu)和潛在的安全風(fēng)險(xiǎn)。

2. 安全策略和流程文件：包括網(wǎng)絡(luò)安全策略、訪問(wèn)控制策略、應(yīng)急響應(yīng)計(jì)劃等文件，用于評(píng)估網(wǎng)絡(luò)安全措施的有效性。

3. 安全設(shè)備日志：如防火墻、入侵檢測(cè)系統(tǒng)等設(shè)備產(chǎn)生的日志文件，用于檢查網(wǎng)絡(luò)活動(dòng)和可能的安全威脅。

4. 應(yīng)用程序和軟件信息：包括網(wǎng)絡(luò)上使用的所有應(yīng)用程序和軟件的名稱、版本號(hào)和廠商信息，有助于審查潛在的漏洞和安全隱患。

5. 審計(jì)報(bào)告和安全漏洞修復(fù)記錄：記錄網(wǎng)絡(luò)審計(jì)結(jié)果和先前發(fā)現(xiàn)的安全漏洞，以及已經(jīng)采取的修復(fù)措施和改進(jìn)計(jì)劃。

這些材料將有助于網(wǎng)絡(luò)安全審查人員全面了解網(wǎng)絡(luò)環(huán)境和可能存在的安全風(fēng)險(xiǎn)，從而提出有效的安全建議和改進(jìn)建議。

網(wǎng)絡(luò)安全審查辦公室應(yīng)在收到符合本辦法第八條規(guī)定的審查申報(bào)材料后的10個(gè)工作日內(nèi)，確定是否需要進(jìn)行審查，并以書面形式通知相關(guān)當(dāng)事人。

第十條網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估相關(guān)對(duì)象或者情形的以下國(guó)家安全風(fēng)險(xiǎn)因素：政治穩(wěn)定、社會(huì)公共安全、經(jīng)濟(jì)安全、軍事安全以及國(guó)家重要信息基礎(chǔ)設(shè)施的安全。

使用產(chǎn)品和服務(wù)后，關(guān)鍵信息基礎(chǔ)設(shè)施面臨被非法控制、遭受干擾或破壞的風(fēng)險(xiǎn)。

關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性面臨的風(fēng)險(xiǎn)之一是產(chǎn)品和服務(wù)供應(yīng)中斷。產(chǎn)品和服務(wù)供應(yīng)中斷可能會(huì)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)的運(yùn)轉(zhuǎn)造成危害，影響業(yè)務(wù)的連續(xù)性和穩(wěn)定性。

（三）在考慮產(chǎn)品和服務(wù)時(shí)，需要關(guān)注安全性、開放性、透明性和來(lái)源的多樣性，以及供應(yīng)渠道的可靠性和可能因政治、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn)。

（四）產(chǎn)品和服務(wù)提供者需遵守中國(guó)的法律、行政法規(guī)和部門規(guī)章。

核心數(shù)據(jù)、重要數(shù)據(jù)或大量個(gè)人信息被盜取、泄露、損壞或非法利用，以及非法出境的風(fēng)險(xiǎn)是非常嚴(yán)重的。

在上市過(guò)程中，存在外國(guó)政府可能影響、控制或惡意利用關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或大量個(gè)人信息的風(fēng)險(xiǎn)，同時(shí)也面臨網(wǎng)絡(luò)信息安全方面的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)安全和數(shù)據(jù)安全可能面臨多種潛在危害，其中包括惡意軟件和病毒，網(wǎng)絡(luò)攻擊，社交工程和釣魚攻擊等。這些因素都可能對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全構(gòu)成嚴(yán)重威脅，從而導(dǎo)致數(shù)據(jù)丟失、泄露和服務(wù)中斷等問(wèn)題。

網(wǎng)絡(luò)安全審查辦公室認(rèn)為需要進(jìn)行網(wǎng)絡(luò)安全審查時(shí)，應(yīng)當(dāng)在書面通知之日起的30個(gè)工作日內(nèi)完成初步審查，包括形成審查結(jié)論建議并將其發(fā)送給網(wǎng)絡(luò)安全審查工作機(jī)制成員單位和相關(guān)部門征求意見。如果情況比較復(fù)雜，審查過(guò)程可以延長(zhǎng)15個(gè)工作日。

網(wǎng)絡(luò)安全審查工作機(jī)制規(guī)定，成員單位和相關(guān)部門應(yīng)在收到審查結(jié)論建議后的15個(gè)工作日內(nèi)，以書面形式提出回復(fù)意見。

如果網(wǎng)絡(luò)安全審查工作機(jī)制的成員單位和相關(guān)部門意見一致，網(wǎng)絡(luò)安全審查辦公室將以書面形式通知當(dāng)事人審查結(jié)論。如果意見不一致，將按照特別審查程序處理，并通知當(dāng)事人。

在進(jìn)行特別審查程序時(shí)，網(wǎng)絡(luò)安全審查辦公室需要聽取相關(guān)單位和部門的意見，并進(jìn)行深入分析和評(píng)估。隨后，他們會(huì)再次形成審查結(jié)論建議，并征求網(wǎng)絡(luò)安全審查工作機(jī)制成員單位和相關(guān)部門的意見。最后，經(jīng)過(guò)中央網(wǎng)絡(luò)安全和信息化委員會(huì)批準(zhǔn)后，他們會(huì)形成審查結(jié)論并書面通知當(dāng)事人。

特別審查程序通常需要在90個(gè)工作日內(nèi)完成，但對(duì)于復(fù)雜情況可能會(huì)延長(zhǎng)。

在網(wǎng)絡(luò)安全審查辦公室要求提供補(bǔ)充材料時(shí)，相關(guān)當(dāng)事人、產(chǎn)品和服務(wù)提供者有責(zé)任配合提供。需要注意的是，提交補(bǔ)充材料的時(shí)間不會(huì)計(jì)入審查的時(shí)間。

網(wǎng)絡(luò)安全審查機(jī)制要求成員單位對(duì)可能影響國(guó)家安全的網(wǎng)絡(luò)產(chǎn)品、服務(wù)和數(shù)據(jù)處理活動(dòng)進(jìn)行審查，并需經(jīng)中央網(wǎng)絡(luò)安全和信息化委員會(huì)批準(zhǔn)后，按照規(guī)定進(jìn)行審查。

為了降低風(fēng)險(xiǎn)，在審查期間，當(dāng)事人應(yīng)根據(jù)網(wǎng)絡(luò)安全審查要求采取預(yù)防和風(fēng)險(xiǎn)減輕的措施。

參與網(wǎng)絡(luò)安全審查的相關(guān)機(jī)構(gòu)和人員應(yīng)當(dāng)嚴(yán)格保護(hù)知識(shí)產(chǎn)權(quán)，對(duì)在審查工作中了解到的商業(yè)秘密、個(gè)人信息，以及其他未公開信息承擔(dān)保密義務(wù)。未經(jīng)信息提供方同意，不得向無(wú)關(guān)方披露或者將這些信息用于審查以外的目的。

若當(dāng)事人或網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者認(rèn)為審查人員缺乏客觀公正，或未能遵守審查過(guò)程中的保密義務(wù)，可向網(wǎng)絡(luò)安全審查辦公室或相關(guān)部門舉報(bào)。

當(dāng)事人有責(zé)任督促產(chǎn)品和服務(wù)提供者履行其在網(wǎng)絡(luò)安全審查中所作的承諾，以確保網(wǎng)絡(luò)安全得到有效維護(hù)。

網(wǎng)絡(luò)安全審查辦公室加強(qiáng)事前、事中和事后監(jiān)督，其中包括接受舉報(bào)等形式的舉措。

根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和《中華人民共和國(guó)數(shù)據(jù)安全法》的規(guī)定，對(duì)違反本辦法的當(dāng)事人進(jìn)行處理。

本規(guī)定中所指的網(wǎng)絡(luò)產(chǎn)品和服務(wù)主要包括核心網(wǎng)絡(luò)設(shè)備、重要通信產(chǎn)品、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲(chǔ)設(shè)備、大型數(shù)據(jù)庫(kù)和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計(jì)算服務(wù)，以及對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全具有重要影響的其他網(wǎng)絡(luò)產(chǎn)品和服務(wù)。

涉及國(guó)家秘密信息的相關(guān)事項(xiàng)，應(yīng)當(dāng)依照國(guó)家有關(guān)保密規(guī)定執(zhí)行。

應(yīng)當(dāng)同時(shí)符合國(guó)家對(duì)數(shù)據(jù)安全審查、外商投資安全審查的規(guī)定。

本辦法自2022年2月15日起開始實(shí)施，2020年4月13日公布的《網(wǎng)絡(luò)安全審查辦法》（國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、公安部、國(guó)家安全部、財(cái)政部、商務(wù)部、中國(guó)人民銀行、國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家廣播電視總局、國(guó)家保密局、國(guó)家密碼管理局令第6號(hào)）同時(shí)被廢止。