２０２０年４月２７日（官方原文所寫日期為４月１３日），國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部、財政部、商務(wù)部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局１２個部門共同發(fā)布了《網(wǎng)絡(luò)安全審查辦法》（下稱“新辦法正式稿”）。

 ２０１９年５月２１日，國家互聯(lián)網(wǎng)信息辦公室曾發(fā)布《網(wǎng)絡(luò)安全審查辦法（征求意見稿）》（下稱“新辦法征求意見稿”）。新辦法征求意見稿和新辦法正式稿均明確廢止２０１７年５月２日發(fā)布的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》（下稱“舊辦法”）。本文將以介紹新辦法正式稿的主要亮點為主線，兼評與新辦法征求意見稿和舊辦法的異同。

 要點一：一類適用主體

 舊辦法第二條規(guī)定，關(guān)系國家安全的網(wǎng)絡(luò)和信息系統(tǒng)采購的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當經(jīng)過網(wǎng)絡(luò)安全審查，即所有采購關(guān)系國家安全的產(chǎn)品和服務(wù)的網(wǎng)絡(luò)運營者，均需進行網(wǎng)絡(luò)安全審查。而新辦法征求意見稿和新辦法正式稿則均將適用范圍聚焦于關(guān)鍵信息基礎(chǔ)設(shè)施運營者。根據(jù)新辦法第二條，關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或可能影響國家安全的，應(yīng)當進行網(wǎng)絡(luò)安全審查。從文義上講，“關(guān)鍵信息基礎(chǔ)設(shè)施運營者”即指運營“關(guān)鍵信息基礎(chǔ)設(shè)施”的企業(yè)。

 按照《網(wǎng)絡(luò)安全法》以及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）》，“關(guān)鍵信息基礎(chǔ)設(shè)施”是指一旦遭到破壞、喪失功能或數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)。《網(wǎng)絡(luò)安全法》第三十一條和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）》第十八條均列舉了可能被識別為關(guān)鍵信息基礎(chǔ)設(shè)施的行業(yè)和領(lǐng)域，包括能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、云計算、大數(shù)據(jù)、國防科工、大型裝備、化工、食品藥品、新聞等。

 國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責人就新辦法正式稿相關(guān)問題答記者問時指出，根據(jù)中央網(wǎng)絡(luò)安全和信息化委員會《關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作有關(guān)事項的通知》，電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應(yīng)急管理、衛(wèi)生健康、社會保障、國防科技工業(yè)等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)運營者在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時，應(yīng)當考慮申報網(wǎng)絡(luò)安全審查。

 需要注意的是，２０１６年６月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室發(fā)布的《國家網(wǎng)絡(luò)安全檢查操作指南》第３．２條明確了確定關(guān)鍵信息基礎(chǔ)設(shè)施的三個步驟，一是確定關(guān)鍵業(yè)務(wù)，二是確定支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng)，三是根據(jù)關(guān)鍵業(yè)務(wù)對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度，以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事件后可能造成的損失。

 根據(jù)新辦法正式稿第十九條，關(guān)鍵信息基礎(chǔ)設(shè)施運營者的認定由關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門負責。結(jié)合《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）》第十九條的規(guī)定，國家網(wǎng)信部門會同國務(wù)院電信主管部門、公安部門等部門制定關(guān)鍵信息基礎(chǔ)設(shè)施識別指南，關(guān)鍵信息基礎(chǔ)設(shè)施的識別和認定主要由行業(yè)主管部門或監(jiān)管部門做出，并需要結(jié)合相關(guān)專家意見，可能需要具體問題具體分析。本文將不再多余贅述。

 但總體而言，若企業(yè)運營的網(wǎng)絡(luò)設(shè)備遭到破壞、喪失功能或者數(shù)據(jù)泄露后，可能嚴重危害到國家安全、國計民生、公共利益的，則這些企業(yè)很有可能會被認定為關(guān)鍵信息基礎(chǔ)設(shè)施運營者。那么，其在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時需要注意，如果所采購的產(chǎn)品或服務(wù)有可能影響到國家安全的，就可能會受此辦法所規(guī)制。

 要點二：二類啟動方式

 新辦法征求意見稿與正式稿均對兩類可啟動網(wǎng)絡(luò)安全審查的方式作出規(guī)定，以下分別作出介紹：

 第一類，由關(guān)鍵信息基礎(chǔ)設(shè)施運營者啟動。關(guān)鍵信息基礎(chǔ)設(shè)施運營者在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時，通過自我預(yù)判認為所采購的產(chǎn)品和服務(wù)在投入使用后可能給國家?guī)戆踩L(fēng)險，影響或者可能影響國家安全的，在制作安全風(fēng)險報告后，向網(wǎng)絡(luò)安全審查辦公室進行申報，進入政府審查程序。根據(jù)新辦法正式稿，關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門可以制定本行業(yè)、本領(lǐng)域的預(yù)判指南，以更好地幫助相關(guān)企業(yè)把握風(fēng)險預(yù)測的尺度，不貽誤申報審查的適當時機。

 第二類：由網(wǎng)絡(luò)安全審查工作機制成員單位啟動。當網(wǎng)絡(luò)安全審查工作機制成員單位（下節(jié)具體列明）認為影響或可能影響國家安全的，網(wǎng)絡(luò)安全審查辦公室按照程序報中央網(wǎng)絡(luò)安全和信息化委員會批準，啟動審查程序?！?/span>

對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者或者網(wǎng)絡(luò)安全審查工作機制成員單位判斷產(chǎn)品和服務(wù)可能影響或可能影響到國家安全的的維度與因素，新辦法正式稿主要提出了如下角度：

 １）網(wǎng)絡(luò)產(chǎn)品和服務(wù)的使用是否會對關(guān)鍵信息基礎(chǔ)設(shè)施產(chǎn)生不良影響，包括該網(wǎng)絡(luò)產(chǎn)品的使用是否可能導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、干擾、破壞，以及導(dǎo)致重要數(shù)據(jù)被竊取、泄露、毀損等；

 ２）網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)中斷是否會影響關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)的連續(xù)性；

 ３）產(chǎn)品和服務(wù)本身是否具有安全性、開放性、透明性和來源的多樣性和可靠性，是否可能導(dǎo)致供應(yīng)中斷；

 ４）產(chǎn)品和服務(wù)提供者是否遵守中國法律、行政法規(guī)及部門規(guī)章；

 ５）其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國家安全的因素。

 以上幾點，主要在于評估以及預(yù)測關(guān)鍵信息基礎(chǔ)設(shè)施運營者所采購的相關(guān)產(chǎn)品和服務(wù)在投產(chǎn)使用后，是否會對構(gòu)成關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)造成破壞、攻擊或者由于安裝了該產(chǎn)品、啟用了相關(guān)服務(wù)后是否會存在其他安全隱患或者數(shù)據(jù)泄露的隱患，是否可能造成這些國家支柱企業(yè)、關(guān)鍵產(chǎn)業(yè)經(jīng)濟的業(yè)務(wù)造成不連續(xù)或者供應(yīng)鏈中斷，以及產(chǎn)品服務(wù)本身是否可靠，是否因其存在脆弱性、可攻擊性、有限供應(yīng)進而對整個關(guān)鍵信息基礎(chǔ)設(shè)施的安全和穩(wěn)定造成影響。如果判斷后認為有任何因素觸及的，則應(yīng)當啟動網(wǎng)絡(luò)安全審查，無論是由企業(yè)自身發(fā)起還是由政府監(jiān)管機構(gòu)發(fā)起。

要點三：三類審查主體

 舊辦法規(guī)定由國家互聯(lián)網(wǎng)信息辦公室和有關(guān)部門共同成立網(wǎng)絡(luò)安全審查委員會，對網(wǎng)絡(luò)安全審查進行統(tǒng)一組織。而新辦法正式稿則規(guī)定由中央網(wǎng)絡(luò)安全和信息化委員會統(tǒng)一領(lǐng)導(dǎo)網(wǎng)絡(luò)安全審查工作，由國家網(wǎng)絡(luò)安全審查辦公室會同１１個國務(wù)院組成部門和直屬機構(gòu)共同建立網(wǎng)絡(luò)安全審查工作機制，確立了上述圖中的審查體系。也就是說，新辦法正式稿詳細、清晰地補充說明了舊辦法第五條中提及的“有關(guān)部門”的具體所指。同時，根據(jù)新辦法正式稿第四條，中央網(wǎng)絡(luò)安全和信息化委員會負責統(tǒng)一領(lǐng)導(dǎo)與決策，而網(wǎng)絡(luò)安全審查辦公室則設(shè)在國家互聯(lián)網(wǎng)信息辦公室，負責制定網(wǎng)絡(luò)安全審查的相關(guān)制度規(guī)范，并組織網(wǎng)絡(luò)安全審查。

 就審查主體的關(guān)系方面，上述圖示的審查體系與新辦法征求意見稿基本保持一致。但是，相較于新辦法征求意見稿，新辦法正式稿在網(wǎng)絡(luò)安全審查工作機制成員單位后面新增了相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門。在特別審查流程中，網(wǎng)絡(luò)安全審查辦公室既需要向網(wǎng)絡(luò)安全審查工作機制成員單位征求意見，也需要向相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門征求意見。

 新辦法正式稿沒有設(shè)?？顚Α熬W(wǎng)絡(luò)安全審查工作機制成員單位”和“相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門”進行定義，但根據(jù)新辦法正式稿第四條，“網(wǎng)絡(luò)安全審查工作機制成員單位”應(yīng)當包括所有發(fā)文機構(gòu)，除國家互聯(lián)網(wǎng)信息辦公室外，另有國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部、商務(wù)部、財政部、商務(wù)部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局等１１個國務(wù)院組成部門或直屬機構(gòu)。此外，根據(jù)新辦法正式稿第二十條，關(guān)鍵信息基礎(chǔ)設(shè)施運營者是指經(jīng)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門認定的運營者。例如，參照《水利部辦公廳關(guān)于印發(fā)＜２０２０年水利網(wǎng)信工作要點＞的通知》，關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門可能包括水利部門。因此，需要根據(jù)具體關(guān)鍵信息基礎(chǔ)設(shè)施所屬行業(yè)，來確定關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門，并在某些情況下，聽取并征得它們對所管轄行業(yè)下屬單位的報審事項發(fā)表的專業(yè)意見和建議也顯得必要。

要點四：四項審查原則

 相比于舊辦法，新辦法征求意見稿中新增了“促進先進技術(shù)應(yīng)用”、“保護知識產(chǎn)權(quán)”等描述，旨在為企業(yè)營造良好營商環(huán)境，這一原則為新辦法正式稿所沿用。新辦法正式稿要求參與網(wǎng)絡(luò)安全審查的相關(guān)機構(gòu)和工作人員嚴格保護商業(yè)秘密和知識產(chǎn)權(quán)，對關(guān)鍵信息基礎(chǔ)設(shè)施運營者提交的未公開信息和未公開材料予以嚴格保密。

 此外，新辦法正式稿還明確要求，關(guān)鍵信息基礎(chǔ)設(shè)施運營者和網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者如認為審查人員有失客觀公正或者未履行保密義務(wù)，可以向網(wǎng)絡(luò)安全審查辦公室或有關(guān)部門舉報。這樣的規(guī)定能夠讓企業(yè)更加放心地自我申報，通過主動申報，提前預(yù)知和防范風(fēng)險，對企業(yè)與國家雙項得利。

 需要注意的是，新辦法正式稿刪除了征求意見稿所提出的“提高關(guān)鍵信息基礎(chǔ)設(shè)施安全可控水平”，而以“確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全”代替，這可能也體現(xiàn)出安全審查基礎(chǔ)和原則的轉(zhuǎn)變。根據(jù)國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責人就新辦法正式稿答記者問中的回復(fù)，網(wǎng)絡(luò)安全審查的目的是維護國家網(wǎng)絡(luò)安全，不是要限制或歧視國外產(chǎn)品和服務(wù)。此前新辦法征求意見稿將“產(chǎn)品和服務(wù)提供者受外國政府資助、控制等情況”作為一項審查標準，而新辦法正式稿則刪除了此類表達，更多地關(guān)注網(wǎng)絡(luò)產(chǎn)品和服務(wù)本身的供應(yīng)鏈安全，而不是要限制或歧視國外產(chǎn)品和服務(wù)。由此，向關(guān)鍵信息基礎(chǔ)設(shè)施運營者提供產(chǎn)品和服務(wù)的外企受到的阻礙將會減少。

 綜上，確立網(wǎng)絡(luò)安全審查制度與流程，旨在①落實網(wǎng)絡(luò)安全審查，保障國家安全、減少風(fēng)險隱患；②確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全；同時③保護企業(yè)的商業(yè)秘密；④保護企業(yè)知識產(chǎn)權(quán)。

 要點五：一套審查流程

 舊辦法第三條和第六條規(guī)定了網(wǎng)絡(luò)安全審查以第三方評價與專家評估的方式進行。由官方認證的第三方機構(gòu)進行評價，形成初步評價報告。再由專家委員會根據(jù)第三方評價報告，對該產(chǎn)品和服務(wù)的安全風(fēng)險以及提供者的安全可信狀況進行綜合評估。新辦法征求意見稿中則刪除了這兩項規(guī)定，雖然啟動審查的方式可以有二種，但最后都應(yīng)由政府主導(dǎo)進行審查和控制。

 新辦法征求意見稿中將實施審查的工作下放到了負責網(wǎng)絡(luò)安全審查的網(wǎng)絡(luò)安全審查辦公室，并由中央網(wǎng)絡(luò)安全和信息化委員會行使最后的批準決策權(quán)。當不同機構(gòu)之間出現(xiàn)對所上報的內(nèi)容有不同意見或者有利益沖突的情況時，設(shè)立統(tǒng)一的決策機構(gòu)更有利于意見形成的高度統(tǒng)一，增加網(wǎng)絡(luò)安全審查報告的公信度和效率水平，避免因聯(lián)合決策機構(gòu)一多而造成審批拖沓、相互推諉。因此，新辦法正式稿依然保留了新辦法征求意見稿中提出的網(wǎng)絡(luò)安全審查在不同啟動方式下的一整套流程。

 第一，由關(guān)鍵信息基礎(chǔ)設(shè)施運營者主動發(fā)起。關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)當將申報材料（包括申報書、風(fēng)險分析報告、采購文件或協(xié)議或擬簽訂的合同以及其他認為可支持審查所需的材料）發(fā)送至網(wǎng)絡(luò)安全審查辦公室（其設(shè)立在網(wǎng)信辦，具體工作委托中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心承擔）。中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心在網(wǎng)絡(luò)安全審查辦公室的指導(dǎo)下，負責接收申報材料，在收到上述申報材料后１０個工作日內(nèi)，對申報材料進行形式性審查后，確定是否需要進入實質(zhì)性審查，并書面通知關(guān)鍵信息基礎(chǔ)設(shè)施運營者。如需要進行實質(zhì)性審查的，再具體組織下步審查工作。網(wǎng)絡(luò)安全審查辦公室應(yīng)當在３０個工作日內(nèi)（情況復(fù)雜的，可以延長１５個工作日）完成初步審查，包括將審查結(jié)論建議發(fā)給網(wǎng)絡(luò)安全審查機制成員單位、相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門征求意見。網(wǎng)絡(luò)安全審查機制成員單位、相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門應(yīng)當在收到審查結(jié)論建議之日起１５個工作日內(nèi)書面回復(fù)意見。

 如網(wǎng)絡(luò)安全審查工作機制成員單位和相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門意見一致，則由網(wǎng)絡(luò)安全審查辦公室將審查結(jié)論書面通知給關(guān)鍵信息基礎(chǔ)設(shè)施運營者；如二者意見不一致，則進入特別審查程序并書面通知關(guān)鍵信息基礎(chǔ)設(shè)施運營者。進入特別審查程序后，由網(wǎng)絡(luò)安全審查辦公室進一步聽取相關(guān)部門和單位的意見，進行深入分析評估，再次形成審查結(jié)論建議，在征求網(wǎng)絡(luò)安全審查工作機制成員單位和相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門的意見后，按程序報中央網(wǎng)絡(luò)安全和信息化委員會批準，形成審查結(jié)論并書面通知運營者。特別審查原則上也應(yīng)當在４５個工作日內(nèi)完成，情況復(fù)雜的可以適當延長（但新辦法正式稿和新辦法征求意見稿均未說明最長時限）。同時，需要注意的是，提交補充材料的時間不計入上述審查時間。

 第二，由網(wǎng)絡(luò)安全審查工作機制成員單位發(fā)起。在任何國務(wù)院組成部門或直屬機構(gòu)認為網(wǎng)絡(luò)產(chǎn)品和服務(wù)對國家安全有影響或可能造成影響的，由網(wǎng)絡(luò)安全審查辦公室按程序報中央網(wǎng)絡(luò)安全和信息化委員會批準后，依辦法進行審查。

下圖為二類主體分別啟動網(wǎng)絡(luò)安全審查時的審查流程。

要點六：采購合同

 新辦法征求意見稿第七條要求關(guān)鍵信息基礎(chǔ)設(shè)施運營者與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽署合同，可要求網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查。新辦法正式稿基本沿用了此做法，同時對配合義務(wù)進行了細化，包括可要求網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者承諾不利用所提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶數(shù)據(jù)、非法控制和操縱用戶設(shè)備，無正當理由不中斷產(chǎn)品供應(yīng)或必要的技術(shù)支持服務(wù)等。

 與關(guān)鍵信息基礎(chǔ)設(shè)施企業(yè)簽署合同一方的網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者往往比較擔心是否會因此承擔過重的合同義務(wù)。因為關(guān)鍵信息基礎(chǔ)設(shè)施運營者往往因加持了網(wǎng)絡(luò)安全審查這把“尚方寶劍”，對提供其網(wǎng)絡(luò)產(chǎn)品的供應(yīng)商實施更加嚴格的要求，包括在合同條款上增加更多的義務(wù)與責任。

 雖然網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供商本身不屬于《網(wǎng)絡(luò)安全審查辦法》的適用主體，但由于其向關(guān)鍵信息基礎(chǔ)設(shè)施運營者提供網(wǎng)絡(luò)產(chǎn)品與／或服務(wù)，因此，也建議其熟諳新辦法正式稿的相關(guān)規(guī)定，以免在采購合同的條款和條件上被施加額外的義務(wù)。

 首先，網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供商需要了解有可能會被申報網(wǎng)絡(luò)安全審查的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的范圍，主要包括：核心網(wǎng)絡(luò)設(shè)備、高性能計算機和服務(wù)器、大容量存儲設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、　云計算服務(wù)，以及其他對關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。

 根據(jù)《信息安全技術(shù)　網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求（征求意見稿）》第３．１條、第３．２條，“網(wǎng)絡(luò)產(chǎn)品”指按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的硬件、軟件和系統(tǒng)，例如計算機、信息終端、工控等相關(guān)設(shè)備，以及基礎(chǔ)軟件、系統(tǒng)軟件等；“網(wǎng)絡(luò)服務(wù)”指供方為滿足需方要求提供的信息技術(shù)開發(fā)、應(yīng)用活動，以及以網(wǎng)絡(luò)技術(shù)為手段支持需方業(yè)務(wù)的一系列活動，例如云計算服務(wù)、網(wǎng)絡(luò)通信服務(wù)、數(shù)據(jù)處理和存儲服務(wù)、信息技術(shù)咨詢服務(wù)、設(shè)計與開發(fā)服務(wù)、信息系統(tǒng)集成實施服務(wù)、信息系統(tǒng)運維服務(wù)等。

 其次，網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供商需要厘清網(wǎng)絡(luò)產(chǎn)品和服務(wù)與網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的區(qū)別。網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品是由《網(wǎng)絡(luò)安全法》首次提出的概念，但并未對其給出具體的定義，其前身是公安等部門要求進行檢測認證的“計算機信息系統(tǒng)安全專用產(chǎn)品”，即用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品（參見《計算機信息系統(tǒng)安全保護條例》第２８條）。隨著信息技術(shù)的發(fā)展，由于法律所保障的安全范圍從信息系統(tǒng)擴展到整個網(wǎng)絡(luò)，網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的概念相應(yīng)進行了擴充?？赏普撈鋵儆诰W(wǎng)絡(luò)產(chǎn)品和服務(wù)中用于網(wǎng)絡(luò)安全保護的一種。

 根據(jù)《網(wǎng)絡(luò)安全法》第二十三條，國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄。２０１７年６月，國家互聯(lián)網(wǎng)信息辦公室會同工信部、公安部、國家認證認可監(jiān)督管理委員會等部門頒布《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》，首次明確了網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的類型，包括路由器、交換機、服務(wù)器（機架式）、ＰＬＣ設(shè)備４種網(wǎng)絡(luò)關(guān)鍵設(shè)備，以及數(shù)據(jù)備份一體機、防火墻、入侵檢測系統(tǒng)等１１種網(wǎng)絡(luò)安全專用產(chǎn)品。

 如果提供列入目錄的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的供應(yīng)商，只有按照相關(guān)國家標準的強制性要求，取得安全認證或者安全檢測符合要求后，方可銷售或者提供產(chǎn)品。因此，如果關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購了網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品，除了前文提及的會啟動網(wǎng)絡(luò)安全審查外，還可能會要求在合同中承諾提供的設(shè)備和產(chǎn)品本身已經(jīng)拿到了安全認證證書或檢測合格證明。

 再次，新辦法征求意見稿中有規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運營者與提供網(wǎng)絡(luò)產(chǎn)品與服務(wù)提供商的合同可在通過網(wǎng)絡(luò)安全審查后生效。新辦法正式稿刪除了此內(nèi)容，可能是考慮與現(xiàn)有法規(guī)的一致性和嚴謹性。但是，在國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責人就新辦法正式稿相關(guān)問題答記者問時建議，關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)當在與產(chǎn)品和服務(wù)提供方正式簽署合同前申報網(wǎng)絡(luò)安全審查。雖然新辦法正式稿對于合同成效的約定看似有放松，但對于網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供商來說，不能放松警惕，因為有可能因?qū)彶槎舆t了合同的簽署時間，也不排除會在已經(jīng)提供了產(chǎn)品或者服務(wù)后，合同還在報批審查的過程中遲遲簽署不了，也可能因最后審查不能通過卻已經(jīng)產(chǎn)生了較多成本損失。因此，網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供商應(yīng)當加強產(chǎn)品與服務(wù)的自身安全能力，并且做好充分的預(yù)估，未完成合同簽署進入項目試運行有可能產(chǎn)生的風(fēng)險。

 要點七：違規(guī)后果

 新辦法正式稿保留了新辦法征求意見稿的處罰條款，明確了處罰依據(jù)，即《網(wǎng)絡(luò)安全法》第六十五條。根據(jù)該條，關(guān)鍵信息基礎(chǔ)設(shè)施運營者存在應(yīng)審未審或者使用審查未通過的網(wǎng)絡(luò)產(chǎn)品或服務(wù)的，主管部門有可能責令其停止使用，并處以采購金額一倍以上十倍以下的罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。由于雙罰制會對企業(yè)和責任人員都產(chǎn)生直接的處罰后果，因此不容被忽視，并需要提高警惕。對于可能被識別為關(guān)鍵信息基礎(chǔ)設(shè)施運營者的企業(yè)，應(yīng)當從網(wǎng)絡(luò)產(chǎn)品或服務(wù)的采購環(huán)節(jié)著手，根據(jù)新辦法正式意見稿的要求備齊申請材料并進行網(wǎng)絡(luò)安全審查，否則需要承擔相應(yīng)的違規(guī)后果。

 總體而言，新辦法正式稿取代舊辦法，限縮了需要進行網(wǎng)絡(luò)安全審查的主體范圍，既有利于減少行政壓力，又有助于降低企業(yè)合規(guī)成本。同時，在重點保護好國家關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運行的同時，保證企業(yè)供應(yīng)鏈的不中斷，建立有效的審查機制，避免因關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風(fēng)險。

 由于目前關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)法律法規(guī)的實施有待進一步完善，因此，對于企業(yè)來說，《網(wǎng)絡(luò)安全審查辦法》的具體落地，既期待于后續(xù)進一步出臺與關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的法律法規(guī)及其細則，也有賴于相關(guān)行業(yè)主管部門進一步出臺相關(guān)指南，將《網(wǎng)絡(luò)安全審查辦法》中的各項要求做精細化解釋。

來源 環(huán)球律師事務(wù)所