4月27日，國家網信辦官網公布了一則消息，引發熱議：近日，國家互聯網信息辦公室、國家發改委等12個部門聯合發布了《網絡安全審查辦法》（以下簡稱《辦法》），今年6月1日起實施。

《網絡安全審查辦法》全文

我國建立網絡安全審查制度，目的是通過網絡安全審查這一舉措，及早發現并避免采購產品和服務給關鍵信息基礎設施運行帶來風險和危害，保障關鍵信息基礎設施供應鏈安全，維護國家安全。

網絡安全審查主要審查哪些內容？

網絡安全審查重點評估關鍵信息基礎設施運營者采購網絡產品和服務可能帶來的國家安全風險，包括：

（一）產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險；

（二）產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；

（三）產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；

（四）產品和服務提供者遵守中國法律、行政法規、部門規章情況；

（五）其他可能危害關鍵信息基礎設施安全和國家安全的因素。

《網絡安全審查辦法》的9大轉變

《網絡安全審查辦法》的前身是2017年5月2日發布的《網絡產品和服務安全審查辦法（試行）》，正式版《辦法》實施的同時，其前身試行版同時廢止。此外，正式版《辦法》出臺之前還經歷了2019年5月24日發布的征求意見稿，正式版可以說是在征求意見稿的框架上修訂完善而成。

前身：網絡產品和服務安全審查辦法（試行）

框架：網絡安全審查辦法（征求意見稿）

我們來看看正式版《辦法》和試行版、征求意見版有什么不同？在安數網絡看來，三者的差別還是比較大的。正式版在以往版本的基礎上經過了精雕細琢、千錘百煉，發生了9大轉變！      

轉變1：關鍵信息基礎設施C位出道了

縱觀正式版《辦法》、征求意見版、試行版全文可以發現，提及“關鍵信息基礎設施”一詞的次數變化了！關鍵信息基礎設施的重要性被反復強調，曝光度激增，用時下流行的話來說就是：C位出道了！

據上圖，提及“關鍵信息基礎設施”的次數從2次變為13次，標題也從“網絡產品和服務安全”變為“網絡安全”，可見國家對關鍵信息基礎設施的重視程度。可以說正式版《網絡安全審查辦法》是一部聚焦“關鍵信息基礎設施”的法規，網絡安全的決定因素是關鍵信息基礎設施安全，網絡產品和服務必須保障關鍵信息基礎設施安全可控，才能實現網絡安全。

2014年2月，關鍵信息基礎設施這個概念在中央網絡安全和信息化領導小組第一次會議上被提出；2016年11月，《網絡安全法》發布，明確了關鍵信息基礎設施的定義為：

公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的設施。

以往，“關鍵信息基礎設施”這一概念只是安全圈內受到矚目，社會大眾甚至廣大關基運營者對其認識并不清晰，有點曲高和寡的意思。如今，《網絡安全審查辦法》把“關鍵信息基礎設施”推到了聚光燈下，以后無論是運營者，還是網絡產品和服務的供應商都要配合進行關鍵信息基礎設施的網絡安全審查。

歐美等國家在關鍵信息基礎設施（Critical Information Infrastructure，CII）保護方面也早有立法。伊朗“震網”病毒事件敲響警鐘，讓工控系統安全成為全球矚目的焦點。為了應對日益增長的網絡安全威脅，歐美等發達國家紛紛采取措施，從法律法規、發展戰略、技術標準、管理體系等方面入手，加強國家關鍵信息基礎設施的保護。“9·11”事件之后，美國強化了對關鍵信息基礎設施的保護，建立了以國土安全部為主導、各部門之間職能分工明確、公私相互協作的關鍵信息基礎設施保護組織體系。

當前，隨著新冠疫情的全球大流行趨勢，關鍵信息基礎設施的保護也進入一種“新常態”：我們從固定的傳統基礎設施迅速發展成為虛擬的、分布式的基礎設施，以支持遠程工作實現安全社交距離。在這種新的架構中，我們面臨更多風險，保證業務連續性和防御性是當務之急。

這個時候，《網絡安全審查辦法》的出臺，對關鍵信息基礎設施保護工作的意義尤為重大。

轉變2：預判指南更嚴謹了

關鍵信息基礎設施的運營者如何預判是否需要申報網絡安全審查？

正式版《辦法》對前2個版本的說法進行了修訂：

試行版沒有提供預判指南，征求意見版提出了4種潛在安全風險需要申報網絡安全審查，而正式版《辦法》只強調了影響或可能影響國家安全的情況需要申報網絡安全審查，而具體預判細則需參考本行業、本領域關基保護工作部門的預判指南。

不同行業、領域的關鍵信息基礎設施所面臨的潛在風險不一樣，危害國家安全的程度也不相同，因此新的說法更嚴謹，各行業的關基保護工作部門可制定各自的預判指南引導該行業運營者進行預判，因行業而異的做法更周密。

根據中央網絡安全和信息化委員會《關于關鍵信息基礎設施安全保護工作有關事項的通知》精神，電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等行業領域的重要網絡和信息系統運營者在采購網絡產品和服務時，應當按照《辦法》要求考慮申報網絡安全審查。

轉變3：應在正式采購前申報安全審查

正式版《辦法》對網絡產品和服務提供商、采購合同的約束，也有了變化：

征求意見版規定了運營者應約束產品和服務提供者配合網絡安全審查，“并與產品和服務提供者約定網絡安全審查通過后合同方可生效”。而正式版《辦法》同樣強調了產品和服務提供者配合網絡安全審查的義務，但刪去了“審查通過合同方可生效”這一條，因為實際操作可以更靈活。

根據《網絡安全審查辦法》答記者問，通常情況下，關鍵信息基礎設施運營者應當在與產品和服務提供方正式簽署合同前申報網絡安全審查。如果提供方不配合網絡安全審查或未通過審查，則可以取消采購。

如果在簽署合同后申報網絡安全審查，建議在合同中注明此合同須在產品和服務采購通過網絡安全審查后方可生效，以避免因為沒有通過審查而造成損失。

另外，運營者也可將網絡安全審查的內容寫入合同條款，用違約責任來約束產品和服務提供者遵守相關條款，保障我方權益不受侵害。

轉變4：審查內容升級了

對比可以看出，試行版的審查重點是網絡產品和服務的安全性、可控性，征求意見版和正式版的審查重點轉變到國家安全風險上，這一轉變可以看出審查重點從普遍矛盾提升到了主要矛盾，國家安全是重中之重，應集中所有力量抓好這一點。

正式版將征求意見版的七點審查內容精簡到了五點，主要刪掉了“對國防軍工、關鍵信息基礎設施相關技術和產業的影響”、“產品和服務提供者受外國政府資助、控制等情況”這2條。

正式版將對“業務連續性”的危害，單獨提出為一條，可見“業務連續性”已成為當前不容忽視的問題，特別是疫情期間，在遠程工作和隔離原則導致某些產品和服務供應中斷，保持關鍵信息基礎設施的業務連續性變得更具挑戰性。這要求網絡運營者預先評估，完善其業務連續性計劃，考慮容災備份、災難恢復措施等。

正式版還特別強調了產品和服務來源的多樣性、供應渠道的可靠性，這就要求網路運營者在選擇供應商時要有備選計劃，能不受政治、外交等因素影響，保持長期穩定地供應。

從審查內容可以看出，網絡安全審查的目的是維護國家網絡安全，不是要限制或歧視國外產品和服務。只要產品和服務提供者遵守中國法律、行政法規、部門規章，中國市場都是歡迎的。

轉變5：審查流程明確了

從上圖可以看出，正式版《辦法》和征求意見版的審查流程、時間節點的相差不大，只多了一步“網絡安全審查辦公室應當自收到審查申報材料起，10個工作日內確定是否需要審查并書面通知運營者。”這一步給了申報者一個快速反饋，使得流程更加高效。

通常情況下，從啟動審查開始，網絡安全審查在45個工作日內完成，情況復雜的會延長15個工作日。進入特別審查程序的審查項目，可能還需要45個工作日或者更長。另外，補充提供材料的時間不計入審查時限。

轉變6：關基保護工作部門參與審查

網絡安全審查工作由哪些機構或部門組織、執行？

試行版中參與審查工作的機構有網絡安全審查會員會、網絡安全審查專家委員會，網絡安全審查第三方機構以及金融、電信、能源、交通等重點行業和領域主管部門。

征求意見版和正式版《辦法》中，12部門聯合建立國家網絡安全審查工作機制，設立網絡安全審查辦公室統一組織網絡安全審查工作，便于統籌協調資源。

除此之外，正式版《辦法》有一點新變化，參與審查的增加了相關關鍵信息基礎設施保護工作部門，審查工作會參考這些部門的意見，這個變化體現了審查的專業性和細致性。

另據《網絡安全審查辦法》答記者問，具體審查工作委托中國網絡安全審查技術與認證中心承擔。中國網絡安全審查技術與認證中心在網絡安全審查辦公室的指導下，承擔接收申報材料、對申報材料進行形式審查、具體組織審查工作等任務。

轉變7：審查不公正可以舉報

《辦法》對執行審查工作的機構或人員的行為有約束嗎？答案是有的！

正式版《辦法》中特別強調了“相關機構和人員應嚴格保護企業商業秘密和知識產權，對運營者、產品和服務提供者提交的未公開材料，以及審查工作中獲悉的其他未公開信息承擔保密義務；未經信息提供方同意，不得向無關方披露或用于審查以外的目的”，這一規定一定程度上消除了運營者、產品和服務提供者的擔憂。

如果發現“審查人員有失客觀公正，或未能對審查工作中獲悉的信息承擔保密義務的，可以向網絡安全審查辦公室或者有關部門舉報”。這一點給被審查方提供了申訴通道，促進對公平公正的監督，對審查工作的良性循環起到了推進作用。

轉變8：審查對象具體了

我們都知道審查對象是網絡產品和服務，但它具體是指什么？

正式版《辦法》中給出了解釋：網絡產品和服務主要指核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。

轉變9：違規罰款明確了

正式版《辦法》和征求意見版都明確了對違規者的罰款依照《中華人民共和國網絡安全法》第六十五條的規定處理。

“根據《網絡安全法》第六十五條規定，應當申報網絡安全審查而沒有申報的，或者使用網絡安全審查未通過的產品和服務，由有關主管部門責令停止使用，處采購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。”

最后，安數網絡再次提醒，2020年6月1日《網絡安全審查辦法》即將實施，關鍵信息基礎設施運營者務必盡快閱讀并充分理解《辦法》各項條款，及時提交相關申報，以免造成不必要的損失。

本文由安數網絡原創，轉載請注明出處。

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明