２０２０年４月２７日（官方原文所寫(xiě)日期為４月１３日），國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、公安部、國(guó)家安全部、財(cái)政部、商務(wù)部、中國(guó)人民銀行、國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家廣播電視總局、國(guó)家保密局、國(guó)家密碼管理局１２個(gè)部門(mén)共同發(fā)布了《網(wǎng)絡(luò)安全審查辦法》（下稱(chēng)“新辦法正式稿”）。

 ２０１９年５月２１日，國(guó)家互聯(lián)網(wǎng)信息辦公室曾發(fā)布《網(wǎng)絡(luò)安全審查辦法（征求意見(jiàn)稿）》（下稱(chēng)“新辦法征求意見(jiàn)稿”）。新辦法征求意見(jiàn)稿和新辦法正式稿均明確廢止２０１７年５月２日發(fā)布的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》（下稱(chēng)“舊辦法”）。本文將以介紹新辦法正式稿的主要亮點(diǎn)為主線(xiàn)，兼評(píng)與新辦法征求意見(jiàn)稿和舊辦法的異同。

 要點(diǎn)一：一類(lèi)適用主體

 舊辦法第二條規(guī)定，關(guān)系國(guó)家安全的網(wǎng)絡(luò)和信息系統(tǒng)采購(gòu)的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)經(jīng)過(guò)網(wǎng)絡(luò)安全審查，即所有采購(gòu)關(guān)系國(guó)家安全的產(chǎn)品和服務(wù)的網(wǎng)絡(luò)運(yùn)營(yíng)者，均需進(jìn)行網(wǎng)絡(luò)安全審查。而新辦法征求意見(jiàn)稿和新辦法正式稿則均將適用范圍聚焦于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者。根據(jù)新辦法第二條，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或可能影響國(guó)家安全的，應(yīng)當(dāng)進(jìn)行網(wǎng)絡(luò)安全審查。從文義上講，“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”即指運(yùn)營(yíng)“關(guān)鍵信息基礎(chǔ)設(shè)施”的企業(yè)。

 按照《網(wǎng)絡(luò)安全法》以及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》，“關(guān)鍵信息基礎(chǔ)設(shè)施”是指一旦遭到破壞、喪失功能或數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)?！毒W(wǎng)絡(luò)安全法》第三十一條和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》第十八條均列舉了可能被識(shí)別為關(guān)鍵信息基礎(chǔ)設(shè)施的行業(yè)和領(lǐng)域，包括能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、云計(jì)算、大數(shù)據(jù)、國(guó)防科工、大型裝備、化工、食品藥品、新聞等。

 國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就新辦法正式稿相關(guān)問(wèn)題答記者問(wèn)時(shí)指出，根據(jù)中央網(wǎng)絡(luò)安全和信息化委員會(huì)《關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作有關(guān)事項(xiàng)的通知》，電信、廣播電視、能源、金融、公路水路運(yùn)輸、鐵路、民航、郵政、水利、應(yīng)急管理、衛(wèi)生健康、社會(huì)保障、國(guó)防科技工業(yè)等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營(yíng)者在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，應(yīng)當(dāng)考慮申報(bào)網(wǎng)絡(luò)安全審查。

 需要注意的是，２０１６年６月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室發(fā)布的《國(guó)家網(wǎng)絡(luò)安全檢查操作指南》第３．２條明確了確定關(guān)鍵信息基礎(chǔ)設(shè)施的三個(gè)步驟，一是確定關(guān)鍵業(yè)務(wù)，二是確定支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng)，三是根據(jù)關(guān)鍵業(yè)務(wù)對(duì)信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴(lài)程度，以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事件后可能造成的損失。

 根據(jù)新辦法正式稿第十九條，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的認(rèn)定由關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門(mén)負(fù)責(zé)。結(jié)合《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》第十九條的規(guī)定，國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院電信主管部門(mén)、公安部門(mén)等部門(mén)制定關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別指南，關(guān)鍵信息基礎(chǔ)設(shè)施的識(shí)別和認(rèn)定主要由行業(yè)主管部門(mén)或監(jiān)管部門(mén)做出，并需要結(jié)合相關(guān)專(zhuān)家意見(jiàn)，可能需要具體問(wèn)題具體分析。本文將不再多余贅述。

 但總體而言，若企業(yè)運(yùn)營(yíng)的網(wǎng)絡(luò)設(shè)備遭到破壞、喪失功能或者數(shù)據(jù)泄露后，可能?chē)?yán)重危害到國(guó)家安全、國(guó)計(jì)民生、公共利益的，則這些企業(yè)很有可能會(huì)被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者。那么，其在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)需要注意，如果所采購(gòu)的產(chǎn)品或服務(wù)有可能影響到國(guó)家安全的，就可能會(huì)受此辦法所規(guī)制。

 要點(diǎn)二：二類(lèi)啟動(dòng)方式

 新辦法征求意見(jiàn)稿與正式稿均對(duì)兩類(lèi)可啟動(dòng)網(wǎng)絡(luò)安全審查的方式作出規(guī)定，以下分別作出介紹：

 第一類(lèi)，由關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者啟動(dòng)。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，通過(guò)自我預(yù)判認(rèn)為所采購(gòu)的產(chǎn)品和服務(wù)在投入使用后可能給國(guó)家?guī)?lái)安全風(fēng)險(xiǎn)，影響或者可能影響國(guó)家安全的，在制作安全風(fēng)險(xiǎn)報(bào)告后，向網(wǎng)絡(luò)安全審查辦公室進(jìn)行申報(bào)，進(jìn)入政府審查程序。根據(jù)新辦法正式稿，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門(mén)可以制定本行業(yè)、本領(lǐng)域的預(yù)判指南，以更好地幫助相關(guān)企業(yè)把握風(fēng)險(xiǎn)預(yù)測(cè)的尺度，不貽誤申報(bào)審查的適當(dāng)時(shí)機(jī)。

 第二類(lèi)：由網(wǎng)絡(luò)安全審查工作機(jī)制成員單位啟動(dòng)。當(dāng)網(wǎng)絡(luò)安全審查工作機(jī)制成員單位（下節(jié)具體列明）認(rèn)為影響或可能影響國(guó)家安全的，網(wǎng)絡(luò)安全審查辦公室按照程序報(bào)中央網(wǎng)絡(luò)安全和信息化委員會(huì)批準(zhǔn)，啟動(dòng)審查程序。”

對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者或者網(wǎng)絡(luò)安全審查工作機(jī)制成員單位判斷產(chǎn)品和服務(wù)可能影響或可能影響到國(guó)家安全的的維度與因素，新辦法正式稿主要提出了如下角度：

 １）網(wǎng)絡(luò)產(chǎn)品和服務(wù)的使用是否會(huì)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施產(chǎn)生不良影響，包括該網(wǎng)絡(luò)產(chǎn)品的使用是否可能導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、干擾、破壞，以及導(dǎo)致重要數(shù)據(jù)被竊取、泄露、毀損等；

 ２）網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)中斷是否會(huì)影響關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)的連續(xù)性；

 ３）產(chǎn)品和服務(wù)本身是否具有安全性、開(kāi)放性、透明性和來(lái)源的多樣性和可靠性，是否可能導(dǎo)致供應(yīng)中斷；

 ４）產(chǎn)品和服務(wù)提供者是否遵守中國(guó)法律、行政法規(guī)及部門(mén)規(guī)章；

 ５）其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國(guó)家安全的因素。

 以上幾點(diǎn)，主要在于評(píng)估以及預(yù)測(cè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者所采購(gòu)的相關(guān)產(chǎn)品和服務(wù)在投產(chǎn)使用后，是否會(huì)對(duì)構(gòu)成關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)造成破壞、攻擊或者由于安裝了該產(chǎn)品、啟用了相關(guān)服務(wù)后是否會(huì)存在其他安全隱患或者數(shù)據(jù)泄露的隱患，是否可能造成這些國(guó)家支柱企業(yè)、關(guān)鍵產(chǎn)業(yè)經(jīng)濟(jì)的業(yè)務(wù)造成不連續(xù)或者供應(yīng)鏈中斷，以及產(chǎn)品服務(wù)本身是否可靠，是否因其存在脆弱性、可攻擊性、有限供應(yīng)進(jìn)而對(duì)整個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施的安全和穩(wěn)定造成影響。如果判斷后認(rèn)為有任何因素觸及的，則應(yīng)當(dāng)啟動(dòng)網(wǎng)絡(luò)安全審查，無(wú)論是由企業(yè)自身發(fā)起還是由政府監(jiān)管機(jī)構(gòu)發(fā)起。

要點(diǎn)三：三類(lèi)審查主體

 舊辦法規(guī)定由國(guó)家互聯(lián)網(wǎng)信息辦公室和有關(guān)部門(mén)共同成立網(wǎng)絡(luò)安全審查委員會(huì)，對(duì)網(wǎng)絡(luò)安全審查進(jìn)行統(tǒng)一組織。而新辦法正式稿則規(guī)定由中央網(wǎng)絡(luò)安全和信息化委員會(huì)統(tǒng)一領(lǐng)導(dǎo)網(wǎng)絡(luò)安全審查工作，由國(guó)家網(wǎng)絡(luò)安全審查辦公室會(huì)同１１個(gè)國(guó)務(wù)院組成部門(mén)和直屬機(jī)構(gòu)共同建立網(wǎng)絡(luò)安全審查工作機(jī)制，確立了上述圖中的審查體系。也就是說(shuō)，新辦法正式稿詳細(xì)、清晰地補(bǔ)充說(shuō)明了舊辦法第五條中提及的“有關(guān)部門(mén)”的具體所指。同時(shí)，根據(jù)新辦法正式稿第四條，中央網(wǎng)絡(luò)安全和信息化委員會(huì)負(fù)責(zé)統(tǒng)一領(lǐng)導(dǎo)與決策，而網(wǎng)絡(luò)安全審查辦公室則設(shè)在國(guó)家互聯(lián)網(wǎng)信息辦公室，負(fù)責(zé)制定網(wǎng)絡(luò)安全審查的相關(guān)制度規(guī)范，并組織網(wǎng)絡(luò)安全審查。

 就審查主體的關(guān)系方面，上述圖示的審查體系與新辦法征求意見(jiàn)稿基本保持一致。但是，相較于新辦法征求意見(jiàn)稿，新辦法正式稿在網(wǎng)絡(luò)安全審查工作機(jī)制成員單位后面新增了相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門(mén)。在特別審查流程中，網(wǎng)絡(luò)安全審查辦公室既需要向網(wǎng)絡(luò)安全審查工作機(jī)制成員單位征求意見(jiàn)，也需要向相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門(mén)征求意見(jiàn)。

 新辦法正式稿沒(méi)有設(shè)專(zhuān)款對(duì)“網(wǎng)絡(luò)安全審查工作機(jī)制成員單位”和“相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門(mén)”進(jìn)行定義，但根據(jù)新辦法正式稿第四條，“網(wǎng)絡(luò)安全審查工作機(jī)制成員單位”應(yīng)當(dāng)包括所有發(fā)文機(jī)構(gòu)，除國(guó)家互聯(lián)網(wǎng)信息辦公室外，另有國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、公安部、國(guó)家安全部、商務(wù)部、財(cái)政部、商務(wù)部、中國(guó)人民銀行、國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家廣播電視總局、國(guó)家保密局、國(guó)家密碼管理局等１１個(gè)國(guó)務(wù)院組成部門(mén)或直屬機(jī)構(gòu)。此外，根據(jù)新辦法正式稿第二十條，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者是指經(jīng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門(mén)認(rèn)定的運(yùn)營(yíng)者。例如，參照《水利部辦公廳關(guān)于印發(fā)＜２０２０年水利網(wǎng)信工作要點(diǎn)＞的通知》，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門(mén)可能包括水利部門(mén)。因此，需要根據(jù)具體關(guān)鍵信息基礎(chǔ)設(shè)施所屬行業(yè)，來(lái)確定關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門(mén)，并在某些情況下，聽(tīng)取并征得它們對(duì)所管轄行業(yè)下屬單位的報(bào)審事項(xiàng)發(fā)表的專(zhuān)業(yè)意見(jiàn)和建議也顯得必要。

要點(diǎn)四：四項(xiàng)審查原則

 相比于舊辦法，新辦法征求意見(jiàn)稿中新增了“促進(jìn)先進(jìn)技術(shù)應(yīng)用”、“保護(hù)知識(shí)產(chǎn)權(quán)”等描述，旨在為企業(yè)營(yíng)造良好營(yíng)商環(huán)境，這一原則為新辦法正式稿所沿用。新辦法正式稿要求參與網(wǎng)絡(luò)安全審查的相關(guān)機(jī)構(gòu)和工作人員嚴(yán)格保護(hù)商業(yè)秘密和知識(shí)產(chǎn)權(quán)，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者提交的未公開(kāi)信息和未公開(kāi)材料予以嚴(yán)格保密。

 此外，新辦法正式稿還明確要求，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者如認(rèn)為審查人員有失客觀(guān)公正或者未履行保密義務(wù)，可以向網(wǎng)絡(luò)安全審查辦公室或有關(guān)部門(mén)舉報(bào)。這樣的規(guī)定能夠讓企業(yè)更加放心地自我申報(bào)，通過(guò)主動(dòng)申報(bào)，提前預(yù)知和防范風(fēng)險(xiǎn)，對(duì)企業(yè)與國(guó)家雙項(xiàng)得利。

 需要注意的是，新辦法正式稿刪除了征求意見(jiàn)稿所提出的“提高關(guān)鍵信息基礎(chǔ)設(shè)施安全可控水平”，而以“確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全”代替，這可能也體現(xiàn)出安全審查基礎(chǔ)和原則的轉(zhuǎn)變。根據(jù)國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就新辦法正式稿答記者問(wèn)中的回復(fù)，網(wǎng)絡(luò)安全審查的目的是維護(hù)國(guó)家網(wǎng)絡(luò)安全，不是要限制或歧視國(guó)外產(chǎn)品和服務(wù)。此前新辦法征求意見(jiàn)稿將“產(chǎn)品和服務(wù)提供者受外國(guó)政府資助、控制等情況”作為一項(xiàng)審查標(biāo)準(zhǔn)，而新辦法正式稿則刪除了此類(lèi)表達(dá)，更多地關(guān)注網(wǎng)絡(luò)產(chǎn)品和服務(wù)本身的供應(yīng)鏈安全，而不是要限制或歧視國(guó)外產(chǎn)品和服務(wù)。由此，向關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者提供產(chǎn)品和服務(wù)的外企受到的阻礙將會(huì)減少。

 綜上，確立網(wǎng)絡(luò)安全審查制度與流程，旨在①落實(shí)網(wǎng)絡(luò)安全審查，保障國(guó)家安全、減少風(fēng)險(xiǎn)隱患；②確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全；同時(shí)③保護(hù)企業(yè)的商業(yè)秘密；④保護(hù)企業(yè)知識(shí)產(chǎn)權(quán)。

 要點(diǎn)五：一套審查流程

 舊辦法第三條和第六條規(guī)定了網(wǎng)絡(luò)安全審查以第三方評(píng)價(jià)與專(zhuān)家評(píng)估的方式進(jìn)行。由官方認(rèn)證的第三方機(jī)構(gòu)進(jìn)行評(píng)價(jià)，形成初步評(píng)價(jià)報(bào)告。再由專(zhuān)家委員會(huì)根據(jù)第三方評(píng)價(jià)報(bào)告，對(duì)該產(chǎn)品和服務(wù)的安全風(fēng)險(xiǎn)以及提供者的安全可信狀況進(jìn)行綜合評(píng)估。新辦法征求意見(jiàn)稿中則刪除了這兩項(xiàng)規(guī)定，雖然啟動(dòng)審查的方式可以有二種，但最后都應(yīng)由政府主導(dǎo)進(jìn)行審查和控制。

 新辦法征求意見(jiàn)稿中將實(shí)施審查的工作下放到了負(fù)責(zé)網(wǎng)絡(luò)安全審查的網(wǎng)絡(luò)安全審查辦公室，并由中央網(wǎng)絡(luò)安全和信息化委員會(huì)行使最后的批準(zhǔn)決策權(quán)。當(dāng)不同機(jī)構(gòu)之間出現(xiàn)對(duì)所上報(bào)的內(nèi)容有不同意見(jiàn)或者有利益沖突的情況時(shí)，設(shè)立統(tǒng)一的決策機(jī)構(gòu)更有利于意見(jiàn)形成的高度統(tǒng)一，增加網(wǎng)絡(luò)安全審查報(bào)告的公信度和效率水平，避免因聯(lián)合決策機(jī)構(gòu)一多而造成審批拖沓、相互推諉。因此，新辦法正式稿依然保留了新辦法征求意見(jiàn)稿中提出的網(wǎng)絡(luò)安全審查在不同啟動(dòng)方式下的一整套流程。

 第一，由關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者主動(dòng)發(fā)起。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)將申報(bào)材料（包括申報(bào)書(shū)、風(fēng)險(xiǎn)分析報(bào)告、采購(gòu)文件或協(xié)議或擬簽訂的合同以及其他認(rèn)為可支持審查所需的材料）發(fā)送至網(wǎng)絡(luò)安全審查辦公室（其設(shè)立在網(wǎng)信辦，具體工作委托中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心承擔(dān)）。中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心在網(wǎng)絡(luò)安全審查辦公室的指導(dǎo)下，負(fù)責(zé)接收申報(bào)材料，在收到上述申報(bào)材料后１０個(gè)工作日內(nèi)，對(duì)申報(bào)材料進(jìn)行形式性審查后，確定是否需要進(jìn)入實(shí)質(zhì)性審查，并書(shū)面通知關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者。如需要進(jìn)行實(shí)質(zhì)性審查的，再具體組織下步審查工作。網(wǎng)絡(luò)安全審查辦公室應(yīng)當(dāng)在３０個(gè)工作日內(nèi)（情況復(fù)雜的，可以延長(zhǎng)１５個(gè)工作日）完成初步審查，包括將審查結(jié)論建議發(fā)給網(wǎng)絡(luò)安全審查機(jī)制成員單位、相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門(mén)征求意見(jiàn)。網(wǎng)絡(luò)安全審查機(jī)制成員單位、相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門(mén)應(yīng)當(dāng)在收到審查結(jié)論建議之日起１５個(gè)工作日內(nèi)書(shū)面回復(fù)意見(jiàn)。

 如網(wǎng)絡(luò)安全審查工作機(jī)制成員單位和相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門(mén)意見(jiàn)一致，則由網(wǎng)絡(luò)安全審查辦公室將審查結(jié)論書(shū)面通知給關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者；如二者意見(jiàn)不一致，則進(jìn)入特別審查程序并書(shū)面通知關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者。進(jìn)入特別審查程序后，由網(wǎng)絡(luò)安全審查辦公室進(jìn)一步聽(tīng)取相關(guān)部門(mén)和單位的意見(jiàn)，進(jìn)行深入分析評(píng)估，再次形成審查結(jié)論建議，在征求網(wǎng)絡(luò)安全審查工作機(jī)制成員單位和相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門(mén)的意見(jiàn)后，按程序報(bào)中央網(wǎng)絡(luò)安全和信息化委員會(huì)批準(zhǔn)，形成審查結(jié)論并書(shū)面通知運(yùn)營(yíng)者。特別審查原則上也應(yīng)當(dāng)在４５個(gè)工作日內(nèi)完成，情況復(fù)雜的可以適當(dāng)延長(zhǎng)（但新辦法正式稿和新辦法征求意見(jiàn)稿均未說(shuō)明最長(zhǎng)時(shí)限）。同時(shí)，需要注意的是，提交補(bǔ)充材料的時(shí)間不計(jì)入上述審查時(shí)間。

 第二，由網(wǎng)絡(luò)安全審查工作機(jī)制成員單位發(fā)起。在任何國(guó)務(wù)院組成部門(mén)或直屬機(jī)構(gòu)認(rèn)為網(wǎng)絡(luò)產(chǎn)品和服務(wù)對(duì)國(guó)家安全有影響或可能造成影響的，由網(wǎng)絡(luò)安全審查辦公室按程序報(bào)中央網(wǎng)絡(luò)安全和信息化委員會(huì)批準(zhǔn)后，依辦法進(jìn)行審查。

下圖為二類(lèi)主體分別啟動(dòng)網(wǎng)絡(luò)安全審查時(shí)的審查流程。

要點(diǎn)六：采購(gòu)合同

 新辦法征求意見(jiàn)稿第七條要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽署合同，可要求網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查。新辦法正式稿基本沿用了此做法，同時(shí)對(duì)配合義務(wù)進(jìn)行了細(xì)化，包括可要求網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者承諾不利用所提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶(hù)數(shù)據(jù)、非法控制和操縱用戶(hù)設(shè)備，無(wú)正當(dāng)理由不中斷產(chǎn)品供應(yīng)或必要的技術(shù)支持服務(wù)等。

 與關(guān)鍵信息基礎(chǔ)設(shè)施企業(yè)簽署合同一方的網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者往往比較擔(dān)心是否會(huì)因此承擔(dān)過(guò)重的合同義務(wù)。因?yàn)殛P(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者往往因加持了網(wǎng)絡(luò)安全審查這把“尚方寶劍”，對(duì)提供其網(wǎng)絡(luò)產(chǎn)品的供應(yīng)商實(shí)施更加嚴(yán)格的要求，包括在合同條款上增加更多的義務(wù)與責(zé)任。

 雖然網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供商本身不屬于《網(wǎng)絡(luò)安全審查辦法》的適用主體，但由于其向關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者提供網(wǎng)絡(luò)產(chǎn)品與／或服務(wù)，因此，也建議其熟諳新辦法正式稿的相關(guān)規(guī)定，以免在采購(gòu)合同的條款和條件上被施加額外的義務(wù)。

 首先，網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供商需要了解有可能會(huì)被申報(bào)網(wǎng)絡(luò)安全審查的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的范圍，主要包括：核心網(wǎng)絡(luò)設(shè)備、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲(chǔ)設(shè)備、大型數(shù)據(jù)庫(kù)和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、　云計(jì)算服務(wù)，以及其他對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。

 根據(jù)《信息安全技術(shù)　網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求（征求意見(jiàn)稿）》第３．１條、第３．２條，“網(wǎng)絡(luò)產(chǎn)品”指按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的硬件、軟件和系統(tǒng)，例如計(jì)算機(jī)、信息終端、工控等相關(guān)設(shè)備，以及基礎(chǔ)軟件、系統(tǒng)軟件等；“網(wǎng)絡(luò)服務(wù)”指供方為滿(mǎn)足需方要求提供的信息技術(shù)開(kāi)發(fā)、應(yīng)用活動(dòng)，以及以網(wǎng)絡(luò)技術(shù)為手段支持需方業(yè)務(wù)的一系列活動(dòng)，例如云計(jì)算服務(wù)、網(wǎng)絡(luò)通信服務(wù)、數(shù)據(jù)處理和存儲(chǔ)服務(wù)、信息技術(shù)咨詢(xún)服務(wù)、設(shè)計(jì)與開(kāi)發(fā)服務(wù)、信息系統(tǒng)集成實(shí)施服務(wù)、信息系統(tǒng)運(yùn)維服務(wù)等。

 其次，網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供商需要厘清網(wǎng)絡(luò)產(chǎn)品和服務(wù)與網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品的區(qū)別。網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品是由《網(wǎng)絡(luò)安全法》首次提出的概念，但并未對(duì)其給出具體的定義，其前身是公安等部門(mén)要求進(jìn)行檢測(cè)認(rèn)證的“計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品”，即用于保護(hù)計(jì)算機(jī)信息系統(tǒng)安全的專(zhuān)用硬件和軟件產(chǎn)品（參見(jiàn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第２８條）。隨著信息技術(shù)的發(fā)展，由于法律所保障的安全范圍從信息系統(tǒng)擴(kuò)展到整個(gè)網(wǎng)絡(luò)，網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品的概念相應(yīng)進(jìn)行了擴(kuò)充。可推論其屬于網(wǎng)絡(luò)產(chǎn)品和服務(wù)中用于網(wǎng)絡(luò)安全保護(hù)的一種。

 根據(jù)《網(wǎng)絡(luò)安全法》第二十三條，國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄。２０１７年６月，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同工信部、公安部、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)等部門(mén)頒布《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄（第一批）》，首次明確了網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品的類(lèi)型，包括路由器、交換機(jī)、服務(wù)器（機(jī)架式）、ＰＬＣ設(shè)備４種網(wǎng)絡(luò)關(guān)鍵設(shè)備，以及數(shù)據(jù)備份一體機(jī)、防火墻、入侵檢測(cè)系統(tǒng)等１１種網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品。

 如果提供列入目錄的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品的供應(yīng)商，只有按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，取得安全認(rèn)證或者安全檢測(cè)符合要求后，方可銷(xiāo)售或者提供產(chǎn)品。因此，如果關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)了網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品，除了前文提及的會(huì)啟動(dòng)網(wǎng)絡(luò)安全審查外，還可能會(huì)要求在合同中承諾提供的設(shè)備和產(chǎn)品本身已經(jīng)拿到了安全認(rèn)證證書(shū)或檢測(cè)合格證明。

 再次，新辦法征求意見(jiàn)稿中有規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者與提供網(wǎng)絡(luò)產(chǎn)品與服務(wù)提供商的合同可在通過(guò)網(wǎng)絡(luò)安全審查后生效。新辦法正式稿刪除了此內(nèi)容，可能是考慮與現(xiàn)有法規(guī)的一致性和嚴(yán)謹(jǐn)性。但是，在國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就新辦法正式稿相關(guān)問(wèn)題答記者問(wèn)時(shí)建議，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)在與產(chǎn)品和服務(wù)提供方正式簽署合同前申報(bào)網(wǎng)絡(luò)安全審查。雖然新辦法正式稿對(duì)于合同成效的約定看似有放松，但對(duì)于網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供商來(lái)說(shuō)，不能放松警惕，因?yàn)橛锌赡芤驅(qū)彶槎舆t了合同的簽署時(shí)間，也不排除會(huì)在已經(jīng)提供了產(chǎn)品或者服務(wù)后，合同還在報(bào)批審查的過(guò)程中遲遲簽署不了，也可能因最后審查不能通過(guò)卻已經(jīng)產(chǎn)生了較多成本損失。因此，網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供商應(yīng)當(dāng)加強(qiáng)產(chǎn)品與服務(wù)的自身安全能力，并且做好充分的預(yù)估，未完成合同簽署進(jìn)入項(xiàng)目試運(yùn)行有可能產(chǎn)生的風(fēng)險(xiǎn)。

 要點(diǎn)七：違規(guī)后果

 新辦法正式稿保留了新辦法征求意見(jiàn)稿的處罰條款，明確了處罰依據(jù)，即《網(wǎng)絡(luò)安全法》第六十五條。根據(jù)該條，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者存在應(yīng)審未審或者使用審查未通過(guò)的網(wǎng)絡(luò)產(chǎn)品或服務(wù)的，主管部門(mén)有可能責(zé)令其停止使用，并處以采購(gòu)金額一倍以上十倍以下的罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。由于雙罰制會(huì)對(duì)企業(yè)和責(zé)任人員都產(chǎn)生直接的處罰后果，因此不容被忽視，并需要提高警惕。對(duì)于可能被識(shí)別為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的企業(yè)，應(yīng)當(dāng)從網(wǎng)絡(luò)產(chǎn)品或服務(wù)的采購(gòu)環(huán)節(jié)著手，根據(jù)新辦法正式意見(jiàn)稿的要求備齊申請(qǐng)材料并進(jìn)行網(wǎng)絡(luò)安全審查，否則需要承擔(dān)相應(yīng)的違規(guī)后果。

 總體而言，新辦法正式稿取代舊辦法，限縮了需要進(jìn)行網(wǎng)絡(luò)安全審查的主體范圍，既有利于減少行政壓力，又有助于降低企業(yè)合規(guī)成本。同時(shí)，在重點(diǎn)保護(hù)好國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行的同時(shí)，保證企業(yè)供應(yīng)鏈的不中斷，建立有效的審查機(jī)制，避免因關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)。

 由于目前關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)法律法規(guī)的實(shí)施有待進(jìn)一步完善，因此，對(duì)于企業(yè)來(lái)說(shuō)，《網(wǎng)絡(luò)安全審查辦法》的具體落地，既期待于后續(xù)進(jìn)一步出臺(tái)與關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的法律法規(guī)及其細(xì)則，也有賴(lài)于相關(guān)行業(yè)主管部門(mén)進(jìn)一步出臺(tái)相關(guān)指南，將《網(wǎng)絡(luò)安全審查辦法》中的各項(xiàng)要求做精細(xì)化解釋。

來(lái)源 環(huán)球律師事務(wù)所