專業解讀 | 網絡安全審查辦法

發布時間 2021-07-04

近日,中央網信辦網站發布公告,網絡安全審查辦公室按照《網絡安全審查辦法》,對某公司實施網絡安全審查。此消息一經公布,引起了業界極大關注。


那么究竟什么是網絡安全審查?有什么重要意義?審查過程什么樣?需要多長時間?主要審查哪些內容?


本文將一一進行簡要介紹,以便幫助大家更好地理解。


《網絡安全審查辦法》相關法律介紹


《網絡安全審查辦法》其實是配套2017年6月1日正式施行的《網絡安全法》的一項很重要的制度。


在《網絡安全法》的第三十五條明確規定:關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。那么由此可見,網絡安全審查是針對關鍵信息基礎設施系統的,而非一般普通的信息系統。


而在《密碼法》第二十七條規定:關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務,可能影響國家安全的,應當按照《中華人民共和國網絡安全法》的規定,通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。


《國家安全法》第五十九條規定:國家建立國家安全審查和監管的制度和機制,對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目,以及其他重大事項和活動,進行國家安全審查,有效預防和化解國家安全風險。


以上三條是對某公司進行網絡安全審查的法律基礎,而某公司的業務系統,也可能是被列入到了關鍵信息基礎設施。


《網絡安全審查辦法》相關政策文件介紹


1、《網絡產品和服務安全審查辦法(征求意見稿)》


為了配套《網絡安全法》在網絡安全審查中的要求,國家互聯網信息辦公室在2017年2月4日,公布了《網絡產品和服務安全審查辦法(征求意見稿)》,對關系國家安全和公共利益的信息系統使用的重要網絡產品和服務,提出了網絡安全審查具體的要求,其中第四條規定重點審查網絡產品和服務的安全性、可控性,主要包括:


(一)產品和服務被非法控制、干擾和中斷運行的風險。


(二)產品及關鍵部件研發、交付、技術支持過程中的風險。


(三)產品和服務提供者利用提供產品和服務的便利條件非法收集、存儲、處理、利用用戶相關信息的風險。


(四)產品和服務提供者利用用戶對產品和服務的依賴,實施正當競爭或損害用戶利益的風險。


(五)其他可能危害國家安全和公共利益的風險。


2、《網絡產品和服務安全審查辦法(試行)》


國家互聯網信息辦公室在2017年5月2日,公布了《網絡產品和服務安全審查辦法(試行)》,由此為網絡安全審查提供了執行的依據。


3、《網絡安全審查辦法》


2020年4月27日,網信辦、發改委、工信部、公安部等12各部委聯合發文:《網絡安全審查辦法》,由此,《網絡安全審查辦法》作為一個正式的制度,成為保障國家安全的一個重要手段。


《網絡安全審查辦法》相關內容解讀


關鍵信息基礎設施對國家安全、經濟安全、社會穩定、公眾健康和安全至關重要。我國建立網絡安全審查制度,目的是通過網絡安全審查這一舉措,及早發現并避免采購產品和服務給關鍵信息基礎設施運行帶來風險和危害,保障關鍵信息基礎設施供應鏈安全,維護國家安全?!毒W絡安全審查辦法》的出臺,為我國開展網絡安全審查工作提供了重要的制度保障。



網絡安全審查主要審查哪些內容?


1、網絡安全審查啟動的條件和要素有哪些呢?


1.png

網絡安全審查啟動的條件


2、網絡安全審查主要考慮哪些因素、審查哪些方面?


?產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險。


?產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害。


?產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險。


?產品和服務提供者遵守中國法律、行政法規、部門規章情況。


?其他可能危害關鍵信息基礎設施安全和國家安全的因素。


3、何時申報網絡安全審查?


?與產品和服務提供方正式簽署合同前進行申報。


?如在簽署合同后申報,需要在合同中注明:此合同須在產品和服務采購通過網絡安全審查后方可生效。


4、網絡安全審查的時間要多久?


 ?一般情況下,會在30個工作日內完成初步審查。


?情況復雜的,會延長15個工作日,即共45個工作日。


?進入特別審查程序的審查項目,可能還需要45個工作日或者更長。


注:補充提供材料的時間不計入審查時限。


5、網絡安全審查向誰申報?


?根據《網絡安全審查辦法》 ,網絡安全審查辦公室設在國家互聯網信息辦公室。具體工作委托中國網絡安全審查技術與認證中心承擔。


?中國網絡安全審查技術與認證中心在網絡安全審查辦公室的指導下,承擔接收申報材料、對申報材料進行形式審查、具體組織審查工作等任務。


6、沒有申報的后果?


?應當申報網絡安全審查而沒有申報的。


?使用網絡安全審查未通過的產品和服務。


?存在以上2種情況的,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。


綜上所述,網絡安全審查是在中央網絡安全和信息化委員會領導下,為保障關鍵信息基礎設施供應鏈安全,維護國家安全而建立的一項重要制度,是保障國家安全的重要手段。