落实网络安全审查制度 保障国家网络安全
——十二部门联合发布《网络安全审查办法》

◎网信军民融合编辑部 张辉

4 月27 日，为应对新的网络安全威胁和风险，国家互联网信息办公室等12 部门正式发布了《网络安全审查办法》（以下简称《办法》），开启了我国网络安全审查的新篇章。这是在网络空间安全形势日益尖锐复杂的情况下，针对我国网络空间治理的核心问题和关键环节，聚焦关键信息基础设施供应链安全，加强网络安全综合治理，实施网络强国战略的重大举措。

一、我国网络安全审查制度的发展历程

2014 年5 月，我国正式宣布将推出网络安全审查制度。2015 年7 月通过的《国家安全法》第五十九条规定，国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的网络信息技术产品和服务，以及其他重大事项和活动，进行国家安全审查。国家安全审查制度成为网络安全审查的上位制度。2016 年7 月，《国家信息化发展战略纲要》明确我国要建立实施网络安全审查制度。2016 年11 月通过的《网络安全法》第三十五条规定，“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”，正式开启了网络安全审查制度法治化的历程。

为贯彻落实《网络安全法》规定的网络安全审查制度，2017 年5 月22 日，国家互联网信息办公室发布《网络产品和服务安全审查办法（试行）》（以下简称《试行办法》）。《试行办法》规定了网络安全审查的内容、审查机构和审查程序等核心制度，确保了网络安全审查的标准公开、程序透明、结论公正。

通过《试行办法》的实施，国家对构建网络安全审查制度进行了大量有益的探索。同时，随着物联网、区块链、人工智能、量子计算等新技术和新应用的出现，网络空间的大国博弈日趋激烈，网络安全形势发生了重大变化。为应对新的网络安全威胁和风险，同时修正《试行办法》的不足之处，国家互联网信息办公室等12 个部门2020 年4 月13 日印发《办法》，开启了我国网络安全审查制度的新时代。

二、《办法》的主要内容

与《试行办法》相比，新的《办法》在适用范围、审查主体及判定因素等方面都有显著变化，更具战略性、优先性和针对性。

（一）审查适用范围

《办法》从适应国际网络安全新形势、满足维护国家安全新需要的角度出发，聚焦“确保关键信息基础设施供应链安全”，对关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，进行网络安全审查。

《办法》对审查的适用范围进行了再聚焦，其中，第二十条对涉及的“关键信息基础设施运营者”和当前重点关注的“网络产品和服务”范围给出了清晰界定：关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。这使网络安全审查工作更具可操作性，既符合当前我国维护国家安全自身利益的需求，也符合WTO 安全例外原则。

根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神，电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时，应当按照《办法》要求考虑申报网络安全审查。

（二）审查主体的责任

《办法》的一个重要变化是审查主体由原来的“网络产品和服务提供者”调整为“关键信息基础设施运营者”，将“关键信息基础设施运营者”作为整个审查流程中连接各方的核心节点，承担主体责任。这一变化抓住了要害，厘清了整个审查机制和流程中各方的责任和义务，突出了审查工作需要各方协同配合、群策群力的特点，有助于健全网络安全审查长效机制。

《办法》第五条规定，运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。第六条规定，对于申报网络安全审查的采购活动，运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。第十四条规定，网络安全审查办公室要求提供补充材料的，运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

另外，《办法》第十九条指出了运营者违反《办法》规定应承担的法律责任，根据《网络安全法》第六十五条依法处理。应当申报网络安全审查而没有申报的，或者使用网络安全审查未通过的产品和服务，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

（三）审查重点内容

《办法》第九条规定，网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险，包括：产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；产品和服务供应中断对关键信息基础设施业务连续性的危害；产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；产品和服务提供者遵守中国法律、行政法规、部门规章情况；其他可能危害关键信息基础设施安全和国家安全的因素。

其中，审查内容增加了“产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”，是一个突出变化。纵观国际形势，近年来网络空间风云变幻，很多国家纷纷出台、修订政策法规加强供应链安全的审查、评估，其中也不乏以国家安全为由实施商业禁令的例子。政治、外交、贸易等非技术因素导致供应中断的可能性增强，供应商的来源和供应商的可靠性等非技术性因素，已经成为多个国家评估供应链安全风险的重要方面。与发达国家相比，我国的供应链安全面临着更加严峻的风险挑战，因此《办法》增加了这方面的规定，体现了我国对国家安全新形势、新问题与时俱进的考虑。

（四）审查程序

通常情况下，关键信息基础设施运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。如果在签署合同后申报网络安全审查，建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效，以避免因为没有通过网络安全审查而造成损失。

《办法》第七条规定了运营者申报网络安全审查应当提交的材料，包括：申报书；关于影响或可能影响国家安全的分析报告；采购文件、协议、拟签订的合同等；网络安全审查工作需要的其他材料。

通常情况下，网络安全审查在45 个工作日内完成，情况复杂的会延长15 个工作日。进入特别审查程序的审查项目，可能还需要45 个工作日或者更长。根据《办法》要求，补充提供材料的时间不计入审查时限。

根据《办法》，网络安全审查办公室设在国家互联网信息办公室。具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下，承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。

（五）对运营者权益的保护

网络安全审查充分尊重和严格保护企业的知识产权。《办法》第十六条规定，参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权，对关键信息基础设施运营者、产品和服务提供者提交的未公开材料，以及审查工作中获悉的其他未公开信息承担保密义务；未经信息提供方同意，不得向无关方披露或用于审查以外的目的。第十七条规定，关键信息基础设施运营者或产品和服务提供者认为审查人员有失客观公正，或未能对审查工作中获悉的信息承担保密义务的，可以向网络安全审查办公室或有关部门举报。

关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全至关重要。我国建立网络安全审查制度，目的是通过网络安全审查这一举措，及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害，保障关键信息基础设施供应链安全，维护国家安全。《办法》的出台，为我国开展网络安全审查工作提供了重要的制度保障。网络安全审查制度以《办法》为基础，在保障我国关键信息基础设施供应链安全，维护国家安全的道路上迈出了重要的一步。