新京报讯(记者 马瑾倩)
7 月 5 日,网络安全审查办公室发布公告,对“运满满”“货车帮”“BOSS 直聘”施行网络安全审查。7 月 2 日,该办公室还曾发布公告,对“滴滴出行”施行网络安全审查。审查期间“滴滴出行”进行新用户注册。
近期,网络安全审查间断启动,引发社会关注。记者梳理发现,这是去年 4 月《网络安全审查方法》公布以来,正式发展的首轮审查口头。
网络安全审查与个别审查有何不同?具体审查哪些内容?违反方法又将承当哪些法律责任?
问题 1:网络安全审查与个别审查有何不同?
“网络安全审查不同于测评、认证,也不同于通用性审查、外商投资国家平安审查,重点审查网络产品或者服务是否存在影响要害信息基础设施平安和国家平安的威逼或者危险。”北京邮电大学互联网治理与法律钻研核心副主任崔聪聪曾发表文章指出。
近年来,寰球范畴内针对要害信息基础设施的网络攻击行为一直攀升,波及金融、医疗卫生、交通、能源、工业管制等畛域,影响范畴宽泛、水平重大。发展网络安全审查成为各国防备要害基础设施平安危险的通用做法。
根据《国家安全法》和《网络安全法》,2020 年 4 月,国家互联网信息办公室、国家发改委等 12 部门联结公布《网络安全审查方法》。
国家互联网信息办公室无关负责人曾在《网络安全审查方法》公布时介绍,我国建设网络安全审查制度,目标是通过网络安全审查这一动作,及早发现并防止洽购产品和服务给要害信息基础设施运行带来危险和危害,保障要害信息基础设施供应链平安,保护国家平安。
国家工业信息安全倒退钻研核心主任尹丽波曾发表文章指出,通过发展网络安全审查,能够预判和查看产品及服务投入使用后可能带来的网络安全危险,防备因供应链产品安全漏洞引发的安全事件,从源头上打消安全隐患。
问题 2:网络安全审查次要审查哪些内容?
国家互联网信息办公室无关负责人曾介绍,网络安全审查,重点评估要害信息基础设施运营者洽购网络产品和服务可能带来的国家平安危险。
其中包含,产品和服务应用后带来的要害信息基础设施被非法管制、蒙受烦扰或毁坏,以及重要数据被窃取、泄露、毁损的危险;产品和服务供给中断对要害信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、起源的多样性,供给渠道的可靠性以及因为政治、内政、贸易等因素导致供给中断的危险;产品和服务提供者恪守中国法律、行政法规、部门规章状况;其余可能危害要害信息基础设施平安和国家平安的因素。
依据《网络安全审查方法》,网络安全审查办公室设在国家互联网信息办公室。具体工作委托中国网络安全审查技术与认证核心承当。
问题 3:网络安全审查是否会限度国外产品?
国家互联网信息办公室无关负责人曾就该问题回应称,网络安全审查的目标是保护国家网络安全,不是要限度或歧视国外产品和服务。“对外开放是咱们的基本国策,欢送国外产品和服务进入中国市场的政策没有扭转。”
“我国网络安全审查制度的设计,对国内供应商和国外供应商厚此薄彼。只有合乎网络安全基线的产品或者服务,都能够在要害信息基础设施中应用,而不管供应商国籍和产品起源地,这为寰球网络产品和服务市场发明了一个公平竞争的场合和环境。”崔聪聪指出。
此外,崔聪聪认为,我国的审查方法明确了审查次要思考的五方面因素,可能最大限度保障审查流动的公正性和透明度,有利于打消各方将网络安全审查制度作为“政策工具”的顾虑。
问题 4:违反审查方法将承当哪些法律责任?
通常状况下,网络安全审查在 45 个工作日内实现,状况简单的会缩短 15 个工作日。进入特地审查程序的审查我的项目,可能还须要 45 个工作日或者更长。
依据《网络安全法》第六十五条规定,该当申报网络安全审查而没有申报的,或者应用网络安全审查未通过的产品和服务,由无关主管部门责令停止使用,处洽购金额一倍以上十倍以下罚款;对间接负责的主管人员和其余间接责任人员处一万元以上十万元以下罚款。
《网络安全审查方法》要求,运营者该当督促产品和服务提供者履行网络安全审查中作出的承诺,网络安全审查办公室通过承受举报等模式增强事先事中预先监督。崔聪聪认为,这意味着监督拓展至网络产品和服务的整个生命周期。
网络安全审查方法
2020 年 04 月 27 日 起源:中国网信网
国家互联网信息办公室、国家倒退和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家明码管理局联结制订了《网络安全审查方法》,现予颁布。
国家互联网信息办公室主任 庄荣文
国家倒退和改革委员会主任 何立峰
工业和信息化部部长 苗 圩
公安部部长 赵克志
国家安全部部长 陈文清
财政部部长 刘 昆
商务部部长 钟 山
中国人民银行行长 易 纲
国家市场监督管理总局局长 肖亚庆
国家广播电视总局局长 聂辰席
国家保密局局长 田 静
国家明码管理局局长 李兆宗
2020 年 4 月 13 日
网络安全审查方法
第一条 为了确保要害信息基础设施供应链平安,保护国家平安,根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制订本方法。
第二条 要害信息基础设施运营者(以下简称运营者)洽购网络产品和服务,影响或可能影响国家平安的,该当依照本方法进行网络安全审查。
第三条 网络安全审查保持防备网络安全危险与促成先进技术利用相结合、过程公正通明与知识产权爱护相结合、事先审查与继续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家平安危险等方面进行审查。
第四条 在地方网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家倒退和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家明码管理局建设国家网络安全审查工作机制。
网络安全审查办公室设在国家互联网信息办公室,负责制订网络安全审查相干制度标准,组织网络安全审查。
第五条 运营者洽购网络产品和服务的,该当预判该产品和服务投入使用后可能带来的国家平安危险。影响或者可能影响国家平安的,该当向网络安全审查办公室申报网络安全审查。
要害信息基础设施爱护工作部门能够制订本行业、本畛域预判指南。
第六条 对于申报网络安全审查的洽购流动,运营者应通过洽购文件、协定等要求产品和服务提供者配合网络安全审查,包含承诺不利用提供产品和服务的便当条件非法获取用户数据、非法管制和操纵用户设施,无正当理由不中断产品供给或必要的技术支持服务等。
第七条 运营者申报网络安全审查,该当提交以下资料:
(一)申报书;
(二)对于影响或可能影响国家平安的剖析报告;
(三)洽购文件、协定、拟签订的合同等;
(四)网络安全审查工作须要的其余资料。
第八条 网络安全审查办公室该当自收到审查申报材料起,10 个工作日内确定是否须要审查并书面通知运营者。
第九条 网络安全审查重点评估洽购网络产品和服务可能带来的国家平安危险,次要思考以下因素:
(一)产品和服务应用后带来的要害信息基础设施被非法管制、蒙受烦扰或毁坏,以及重要数据被窃取、泄露、毁损的危险;
(二)产品和服务供给中断对要害信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、起源的多样性,供给渠道的可靠性以及因为政治、内政、贸易等因素导致供给中断的危险;
(四)产品和服务提供者恪守中国法律、行政法规、部门规章状况;
(五)其余可能危害要害信息基础设施平安和国家平安的因素。
第十条 网络安全审查办公室认为须要发展网络安全审查的,该当自向运营者收回书面通知之日起 30 个工作日内实现初步审查,包含造成审查论断倡议和将审查论断倡议发送网络安全审查工作机制成员单位、相干要害信息基础设施爱护工作部门征求意见;状况简单的,能够缩短 15 个工作日。
第十一条 网络安全审查工作机制成员单位和相干要害信息基础设施爱护工作部门该当自收到审查论断倡议之日起 15 个工作日内书面回复意见。
网络安全审查工作机制成员单位、相干要害信息基础设施爱护工作部门意见统一的,网络安全审查办公室以书面形式将审查论断告诉运营者;意见不统一的,依照特地审查程序处理,并告诉运营者。
第十二条 依照特地审查程序处理的,网络安全审查办公室该当听取相干部门和单位意见,进行深入分析评估,再次造成审查论断倡议,并征求网络安全审查工作机制成员单位和相干要害信息基础设施爱护工作部门意见,按程序报地方网络安全和信息化委员会批准后,造成审查论断并书面通知运营者。
第十三条 特地审查程序个别该当在 45 个工作日内实现,状况简单的能够适当缩短。
第十四条 网络安全审查办公室要求提供补充资料的,运营者、产品和服务提供者该当予以配合。提交补充资料的工夫不计入审查工夫。
第十五条 网络安全审查工作机制成员单位认为影响或可能影响国家平安的网络产品和服务,由网络安全审查办公室按程序报地方网络安全和信息化委员会批准后,按照本方法的规定进行审查。
第十六条 参加网络安全审查的相干机构和人员应严格爱护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开资料,以及审查工作中获悉的其余未公开信息承当窃密任务;未经信息提供方批准,不得向无关方披露或用于审查以外的目标。
第十七条 运营者或网络产品和服务提供者认为审查人员有失主观公正,或未能对审查工作中获悉的信息承当窃密任务的,能够向网络安全审查办公室或者无关部门举报。
第十八条 运营者该当督促产品和服务提供者履行网络安全审查中作出的承诺。
网络安全审查办公室通过承受举报等模式增强事先事中预先监督。
第十九条 运营者违反本方法规定的,按照《中华人民共和国网络安全法》第六十五条的规定解决。
第二十条 本方法中要害信息基础设施运营者是指经要害信息基础设施爱护工作部门认定的运营者。
本方法所称网络产品和服务次要指外围网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设施、云计算服务,以及其余对要害信息基础设施平安有重要影响的网络产品和服务。
第二十一条 波及国家机密信息的,按照国家有关窃密规定执行。
第二十二条 本方法自 2020 年 6 月 1 日起施行,《网络产品和服务平安审查方法(试行)》同时废止。
《网络安全审查方法》答记者问
近日,国家互联网信息办公室、国家发改委等 12 个部门联结公布了《网络安全审查方法》(以下简称《方法》)。国家互联网信息办公室无关负责人就《方法》相干问题答复了记者的发问。
问:请您介绍一下《方法》出台的背景?
答:要害信息基础设施对国家平安、经济平安、社会稳固、公众衰弱和平安至关重要。我国建设网络安全审查制度,目标是通过网络安全审查这一动作,及早发现并防止洽购产品和服务给要害信息基础设施运行带来危险和危害,保障要害信息基础设施供应链平安,保护国家平安。《方法》的出台,为我国发展网络安全审查工作提供了重要的制度保障。
问:网络安全审查的法律依据是什么?
答:网络安全审查是根据《国家安全法》《网络安全法》发展的一项工作。《国家安全法》第五十九条规定,国家建设国家平安审查和监管的制度和机制,对影响或者可能影响国家平安的网络信息技术产品和服务,以及其余重大事项和流动,进行国家平安审查。《网络安全法》第三十五条规定,“要害信息基础设施的运营者洽购网络产品和服务,可能影响国家平安的,该当通过国家网信部门会同国务院无关部门组织的国家平安审查”。
问:网络安全审查次要审查哪些内容?
答:网络安全审查重点评估要害信息基础设施运营者洽购网络产品和服务可能带来的国家平安危险,包含:产品和服务应用后带来的要害信息基础设施被非法管制、蒙受烦扰或毁坏,以及重要数据被窃取、泄露、毁损的危险;产品和服务供给中断对要害信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、起源的多样性,供给渠道的可靠性以及因为政治、内政、贸易等因素导致供给中断的危险;产品和服务提供者恪守中国法律、行政法规、部门规章状况;其余可能危害要害信息基础设施平安和国家平安的因素。
问:哪些网络运营者洽购产品和服务须要思考申报网络安全审查?
答:要害信息基础设施运营者洽购网络产品和服务,影响或可能影响国家平安的,该当依照《方法》进行网络安全审查。
依据地方网络安全和信息化委员会《对于要害信息基础设施平安爱护工作无关事项的告诉》精力,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急治理、卫生衰弱、社会保障、国防科技工业等行业畛域的重要网络和信息系统运营者在洽购网络产品和服务时,该当依照《方法》要求思考申报网络安全审查。
问:何时申报网络安全审查?
答:通常状况下,要害信息基础设施运营者该当在与产品和服务提供方正式签订合同前申报网络安全审查。如果在签订合同后申报网络安全审查,倡议在合同中注明此合同须在产品和服务洽购通过网络安全审查前方可失效,以防止因为没有通过网络安全审查而造成损失。
问:网络安全审查有无时限要求?
答:通常状况下,网络安全审查在 45 个工作日内实现,状况简单的会缩短 15 个工作日。
进入特地审查程序的审查我的项目,可能还须要 45 个工作日或者更长。
依据《方法》要求,补充提供资料的工夫不计入审查时限。
问:审查过程中如何保障要害信息基础设施运营者及产品和服务提供者的商业秘密和知识产权?
答:网络安全审查充沛尊重和严格爱护企业的知识产权。《方法》规定,参加网络安全审查的相干机构和人员应严格爱护企业商业秘密和知识产权,对要害信息基础设施运营者、产品和服务提供者提交的未公开资料,以及审查工作中获悉的其余未公开信息承当窃密任务;未经信息提供方批准,不得向无关方披露或用于审查以外的目标。要害信息基础设施运营者或产品和服务提供者认为审查人员有失主观公正,或未能对审查工作中获悉的信息承当窃密任务的,能够向网络安全审查办公室或无关部门举报。
问:网络安全审查是否会限度或歧视国外产品和服务?
答:《方法》明确规定了要审查的内容,从中能够看出,网络安全审查的目标是保护国家网络安全,不是要限度或歧视国外产品和服务。
对外开放是咱们的基本国策,咱们欢送国外产品和服务进入中国市场的政策没有扭转。
问:违反《方法》规定应承当哪些法律责任?
答:依据《网络安全法》第六十五条规定,该当申报网络安全审查而没有申报的,或者应用网络安全审查未通过的产品和服务,由无关主管部门责令停止使用,处洽购金额一倍以上十倍以下罚款;对间接负责的主管人员和其余间接责任人员处一万元以上十万元以下罚款。
问:网络安全审查向谁申报?
答:依据《方法》,网络安全审查办公室设在国家互联网信息办公室。具体工作委托中国网络安全审查技术与认证核心承当。
中国网络安全审查技术与认证核心在网络安全审查办公室的领导下,承当接管申报材料、对申报材料进行模式审查、具体组织审查工作等工作。