２０２０年４月２７日（官方原文所写日期为４月１３日），国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局１２个部门共同发布了《网络安全审查办法》（下称“新办法正式稿”）。

 ２０１９年５月２１日，国家互联网信息办公室曾发布《网络安全审查办法（征求意见稿）》（下称“新办法征求意见稿”）。新办法征求意见稿和新办法正式稿均明确废止２０１７年５月２日发布的《网络产品和服务安全审查办法（试行）》（下称“旧办法”）。本文将以介绍新办法正式稿的主要亮点为主线，兼评与新办法征求意见稿和旧办法的异同。

 要点一：一类适用主体

 旧办法第二条规定，关系国家安全的网络和信息系统采购的重要网络产品和服务，应当经过网络安全审查，即所有采购关系国家安全的产品和服务的网络运营者，均需进行网络安全审查。而新办法征求意见稿和新办法正式稿则均将适用范围聚焦于关键信息基础设施运营者。根据新办法第二条，关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当进行网络安全审查。从文义上讲，“关键信息基础设施运营者”即指运营“关键信息基础设施”的企业。

 按照《网络安全法》以及《关键信息基础设施安全保护条例（征求意见稿）》，“关键信息基础设施”是指一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统。《网络安全法》第三十一条和《关键信息基础设施安全保护条例（征求意见稿）》第十八条均列举了可能被识别为关键信息基础设施的行业和领域，包括能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、云计算、大数据、国防科工、大型装备、化工、食品药品、新闻等。

 国家互联网信息办公室有关负责人就新办法正式稿相关问题答记者问时指出，根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》，电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时，应当考虑申报网络安全审查。

 需要注意的是，２０１６年６月，中央网络安全和信息化领导小组办公室发布的《国家网络安全检查操作指南》第３．２条明确了确定关键信息基础设施的三个步骤，一是确定关键业务，二是确定支撑关键业务的信息系统或工业控制系统，三是根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可能造成的损失。

 根据新办法正式稿第十九条，关键信息基础设施运营者的认定由关键信息基础设施保护工作部门负责。结合《关键信息基础设施安全保护条例（征求意见稿）》第十九条的规定，国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南，关键信息基础设施的识别和认定主要由行业主管部门或监管部门做出，并需要结合相关专家意见，可能需要具体问题具体分析。本文将不再多余赘述。

 但总体而言，若企业运营的网络设备遭到破坏、丧失功能或者数据泄露后，可能严重危害到国家安全、国计民生、公共利益的，则这些企业很有可能会被认定为关键信息基础设施运营者。那么，其在采购网络产品和服务时需要注意，如果所采购的产品或服务有可能影响到国家安全的，就可能会受此办法所规制。

 要点二：二类启动方式

 新办法征求意见稿与正式稿均对两类可启动网络安全审查的方式作出规定，以下分别作出介绍：

 第一类，由关键信息基础设施运营者启动。关键信息基础设施运营者在采购网络产品和服务时，通过自我预判认为所采购的产品和服务在投入使用后可能给国家带来安全风险，影响或者可能影响国家安全的，在制作安全风险报告后，向网络安全审查办公室进行申报，进入政府审查程序。根据新办法正式稿，关键信息基础设施保护工作部门可以制定本行业、本领域的预判指南，以更好地帮助相关企业把握风险预测的尺度，不贻误申报审查的适当时机。

 第二类：由网络安全审查工作机制成员单位启动。当网络安全审查工作机制成员单位（下节具体列明）认为影响或可能影响国家安全的，网络安全审查办公室按照程序报中央网络安全和信息化委员会批准，启动审查程序。”

对于关键信息基础设施运营者或者网络安全审查工作机制成员单位判断产品和服务可能影响或可能影响到国家安全的的维度与因素，新办法正式稿主要提出了如下角度：

 １）网络产品和服务的使用是否会对关键信息基础设施产生不良影响，包括该网络产品的使用是否可能导致关键信息基础设施被非法控制、干扰、破坏，以及导致重要数据被窃取、泄露、毁损等；

 ２）网络产品和服务的供应中断是否会影响关键信息基础设施业务的连续性；

 ３）产品和服务本身是否具有安全性、开放性、透明性和来源的多样性和可靠性，是否可能导致供应中断；

 ４）产品和服务提供者是否遵守中国法律、行政法规及部门规章；

 ５）其他可能危害关键信息基础设施安全和国家安全的因素。

 以上几点，主要在于评估以及预测关键信息基础设施运营者所采购的相关产品和服务在投产使用后，是否会对构成关键信息基础设施的网络造成破坏、攻击或者由于安装了该产品、启用了相关服务后是否会存在其他安全隐患或者数据泄露的隐患，是否可能造成这些国家支柱企业、关键产业经济的业务造成不连续或者供应链中断，以及产品服务本身是否可靠，是否因其存在脆弱性、可攻击性、有限供应进而对整个关键信息基础设施的安全和稳定造成影响。如果判断后认为有任何因素触及的，则应当启动网络安全审查，无论是由企业自身发起还是由政府监管机构发起。

要点三：三类审查主体

 旧办法规定由国家互联网信息办公室和有关部门共同成立网络安全审查委员会，对网络安全审查进行统一组织。而新办法正式稿则规定由中央网络安全和信息化委员会统一领导网络安全审查工作，由国家网络安全审查办公室会同１１个国务院组成部门和直属机构共同建立网络安全审查工作机制，确立了上述图中的审查体系。也就是说，新办法正式稿详细、清晰地补充说明了旧办法第五条中提及的“有关部门”的具体所指。同时，根据新办法正式稿第四条，中央网络安全和信息化委员会负责统一领导与决策，而网络安全审查办公室则设在国家互联网信息办公室，负责制定网络安全审查的相关制度规范，并组织网络安全审查。

 就审查主体的关系方面，上述图示的审查体系与新办法征求意见稿基本保持一致。但是，相较于新办法征求意见稿，新办法正式稿在网络安全审查工作机制成员单位后面新增了相关关键信息基础设施保护工作部门。在特别审查流程中，网络安全审查办公室既需要向网络安全审查工作机制成员单位征求意见，也需要向相关关键信息基础设施保护工作部门征求意见。

 新办法正式稿没有设专款对“网络安全审查工作机制成员单位”和“相关关键信息基础设施保护工作部门”进行定义，但根据新办法正式稿第四条，“网络安全审查工作机制成员单位”应当包括所有发文机构，除国家互联网信息办公室外，另有国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局等１１个国务院组成部门或直属机构。此外，根据新办法正式稿第二十条，关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。例如，参照《水利部办公厅关于印发＜２０２０年水利网信工作要点＞的通知》，关键信息基础设施保护工作部门可能包括水利部门。因此，需要根据具体关键信息基础设施所属行业，来确定关键信息基础设施保护工作部门，并在某些情况下，听取并征得它们对所管辖行业下属单位的报审事项发表的专业意见和建议也显得必要。

要点四：四项审查原则

 相比于旧办法，新办法征求意见稿中新增了“促进先进技术应用”、“保护知识产权”等描述，旨在为企业营造良好营商环境，这一原则为新办法正式稿所沿用。新办法正式稿要求参与网络安全审查的相关机构和工作人员严格保护商业秘密和知识产权，对关键信息基础设施运营者提交的未公开信息和未公开材料予以严格保密。

 此外，新办法正式稿还明确要求，关键信息基础设施运营者和网络产品和服务提供者如认为审查人员有失客观公正或者未履行保密义务，可以向网络安全审查办公室或有关部门举报。这样的规定能够让企业更加放心地自我申报，通过主动申报，提前预知和防范风险，对企业与国家双项得利。

 需要注意的是，新办法正式稿删除了征求意见稿所提出的“提高关键信息基础设施安全可控水平”，而以“确保关键信息基础设施供应链安全”代替，这可能也体现出安全审查基础和原则的转变。根据国家互联网信息办公室有关负责人就新办法正式稿答记者问中的回复，网络安全审查的目的是维护国家网络安全，不是要限制或歧视国外产品和服务。此前新办法征求意见稿将“产品和服务提供者受外国政府资助、控制等情况”作为一项审查标准，而新办法正式稿则删除了此类表达，更多地关注网络产品和服务本身的供应链安全，而不是要限制或歧视国外产品和服务。由此，向关键信息基础设施运营者提供产品和服务的外企受到的阻碍将会减少。

 综上，确立网络安全审查制度与流程，旨在①落实网络安全审查，保障国家安全、减少风险隐患；②确保关键信息基础设施供应链安全；同时③保护企业的商业秘密；④保护企业知识产权。

 要点五：一套审查流程

 旧办法第三条和第六条规定了网络安全审查以第三方评价与专家评估的方式进行。由官方认证的第三方机构进行评价，形成初步评价报告。再由专家委员会根据第三方评价报告，对该产品和服务的安全风险以及提供者的安全可信状况进行综合评估。新办法征求意见稿中则删除了这两项规定，虽然启动审查的方式可以有二种，但最后都应由政府主导进行审查和控制。

 新办法征求意见稿中将实施审查的工作下放到了负责网络安全审查的网络安全审查办公室，并由中央网络安全和信息化委员会行使最后的批准决策权。当不同机构之间出现对所上报的内容有不同意见或者有利益冲突的情况时，设立统一的决策机构更有利于意见形成的高度统一，增加网络安全审查报告的公信度和效率水平，避免因联合决策机构一多而造成审批拖沓、相互推诿。因此，新办法正式稿依然保留了新办法征求意见稿中提出的网络安全审查在不同启动方式下的一整套流程。

 第一，由关键信息基础设施运营者主动发起。关键信息基础设施运营者应当将申报材料（包括申报书、风险分析报告、采购文件或协议或拟签订的合同以及其他认为可支持审查所需的材料）发送至网络安全审查办公室（其设立在网信办，具体工作委托中国网络安全审查技术与认证中心承担）。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下，负责接收申报材料，在收到上述申报材料后１０个工作日内，对申报材料进行形式性审查后，确定是否需要进入实质性审查，并书面通知关键信息基础设施运营者。如需要进行实质性审查的，再具体组织下步审查工作。网络安全审查办公室应当在３０个工作日内（情况复杂的，可以延长１５个工作日）完成初步审查，包括将审查结论建议发给网络安全审查机制成员单位、相关关键信息基础设施保护工作部门征求意见。网络安全审查机制成员单位、相关关键信息基础设施保护工作部门应当在收到审查结论建议之日起１５个工作日内书面回复意见。

 如网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见一致，则由网络安全审查办公室将审查结论书面通知给关键信息基础设施运营者；如二者意见不一致，则进入特别审查程序并书面通知关键信息基础设施运营者。进入特别审查程序后，由网络安全审查办公室进一步听取相关部门和单位的意见，进行深入分析评估，再次形成审查结论建议，在征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门的意见后，按程序报中央网络安全和信息化委员会批准，形成审查结论并书面通知运营者。特别审查原则上也应当在４５个工作日内完成，情况复杂的可以适当延长（但新办法正式稿和新办法征求意见稿均未说明最长时限）。同时，需要注意的是，提交补充材料的时间不计入上述审查时间。

 第二，由网络安全审查工作机制成员单位发起。在任何国务院组成部门或直属机构认为网络产品和服务对国家安全有影响或可能造成影响的，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依办法进行审查。

下图为二类主体分别启动网络安全审查时的审查流程。

要点六：采购合同

 新办法征求意见稿第七条要求关键信息基础设施运营者与网络产品和服务提供者签署合同，可要求网络产品和服务提供者配合网络安全审查。新办法正式稿基本沿用了此做法，同时对配合义务进行了细化，包括可要求网络产品和服务提供者承诺不利用所提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。

 与关键信息基础设施企业签署合同一方的网络产品和服务提供者往往比较担心是否会因此承担过重的合同义务。因为关键信息基础设施运营者往往因加持了网络安全审查这把“尚方宝剑”，对提供其网络产品的供应商实施更加严格的要求，包括在合同条款上增加更多的义务与责任。

 虽然网络产品和服务提供商本身不属于《网络安全审查办法》的适用主体，但由于其向关键信息基础设施运营者提供网络产品与／或服务，因此，也建议其熟谙新办法正式稿的相关规定，以免在采购合同的条款和条件上被施加额外的义务。

 首先，网络产品和服务提供商需要了解有可能会被申报网络安全审查的网络产品和服务的范围，主要包括：核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、　云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

 根据《信息安全技术　网络产品和服务安全通用要求（征求意见稿）》第３．１条、第３．２条，“网络产品”指按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的硬件、软件和系统，例如计算机、信息终端、工控等相关设备，以及基础软件、系统软件等；“网络服务”指供方为满足需方要求提供的信息技术开发、应用活动，以及以网络技术为手段支持需方业务的一系列活动，例如云计算服务、网络通信服务、数据处理和存储服务、信息技术咨询服务、设计与开发服务、信息系统集成实施服务、信息系统运维服务等。

 其次，网络产品和服务提供商需要厘清网络产品和服务与网络关键设备和网络安全专用产品的区别。网络关键设备和网络安全专用产品是由《网络安全法》首次提出的概念，但并未对其给出具体的定义，其前身是公安等部门要求进行检测认证的“计算机信息系统安全专用产品”，即用于保护计算机信息系统安全的专用硬件和软件产品（参见《计算机信息系统安全保护条例》第２８条）。随着信息技术的发展，由于法律所保障的安全范围从信息系统扩展到整个网络，网络关键设备和网络安全专用产品的概念相应进行了扩充。可推论其属于网络产品和服务中用于网络安全保护的一种。

 根据《网络安全法》第二十三条，国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录。２０１７年６月，国家互联网信息办公室会同工信部、公安部、国家认证认可监督管理委员会等部门颁布《网络关键设备和网络安全专用产品目录（第一批）》，首次明确了网络关键设备和网络安全专用产品的类型，包括路由器、交换机、服务器（机架式）、ＰＬＣ设备４种网络关键设备，以及数据备份一体机、防火墙、入侵检测系统等１１种网络安全专用产品。

 如果提供列入目录的网络关键设备和网络安全专用产品的供应商，只有按照相关国家标准的强制性要求，取得安全认证或者安全检测符合要求后，方可销售或者提供产品。因此，如果关键信息基础设施运营者采购了网络关键设备和网络安全专用产品，除了前文提及的会启动网络安全审查外，还可能会要求在合同中承诺提供的设备和产品本身已经拿到了安全认证证书或检测合格证明。

 再次，新办法征求意见稿中有规定关键信息基础设施运营者与提供网络产品与服务提供商的合同可在通过网络安全审查后生效。新办法正式稿删除了此内容，可能是考虑与现有法规的一致性和严谨性。但是，在国家互联网信息办公室有关负责人就新办法正式稿相关问题答记者问时建议，关键信息基础设施运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。虽然新办法正式稿对于合同成效的约定看似有放松，但对于网络产品和服务提供商来说，不能放松警惕，因为有可能因审查而延迟了合同的签署时间，也不排除会在已经提供了产品或者服务后，合同还在报批审查的过程中迟迟签署不了，也可能因最后审查不能通过却已经产生了较多成本损失。因此，网络产品和服务提供商应当加强产品与服务的自身安全能力，并且做好充分的预估，未完成合同签署进入项目试运行有可能产生的风险。

 要点七：违规后果

 新办法正式稿保留了新办法征求意见稿的处罚条款，明确了处罚依据，即《网络安全法》第六十五条。根据该条，关键信息基础设施运营者存在应审未审或者使用审查未通过的网络产品或服务的，主管部门有可能责令其停止使用，并处以采购金额一倍以上十倍以下的罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。由于双罚制会对企业和责任人员都产生直接的处罚后果，因此不容被忽视，并需要提高警惕。对于可能被识别为关键信息基础设施运营者的企业，应当从网络产品或服务的采购环节着手，根据新办法正式意见稿的要求备齐申请材料并进行网络安全审查，否则需要承担相应的违规后果。

 总体而言，新办法正式稿取代旧办法，限缩了需要进行网络安全审查的主体范围，既有利于减少行政压力，又有助于降低企业合规成本。同时，在重点保护好国家关键信息基础设施安全稳定运行的同时，保证企业供应链的不中断，建立有效的审查机制，避免因关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险。

 由于目前关于关键信息基础设施的相关法律法规的实施有待进一步完善，因此，对于企业来说，《网络安全审查办法》的具体落地，既期待于后续进一步出台与关键信息基础设施相关的法律法规及其细则，也有赖于相关行业主管部门进一步出台相关指南，将《网络安全审查办法》中的各项要求做精细化解释。

来源 环球律师事务所