《网络安全审查办法》已于 2020年6月1日起实施
《网络产品和服务安全审查办法》自2017年实施以来,各项实操性问题凸显。比如,规定网络安全审查的主要义务人是网络产品和服务提供者,但是大量提供者并非运营者,以提供者为义务主体既不合适又不具操作性。在此情况下,2020年4月13日,国家互联网信息办公室联合其他11个国家部门发布《网络安全审查办法》(下称“办法”),其主要内容包括:
1、网络产品和服务安全审查义务人由提供者变更为运营者
《办法》第二条规定,采购网络产品和服务的关键信息基础设施运营者是义务人,其主要义务包括:
(1)对拟采购产品和服务投入使用后可能带来的国家安全风险进行预判,并根据预判结果向网络安全审查办公室申报网络安全审查。未来将陆续出台预判标准和指南。
(2)对于预判需申报网络安全审查的采购,应在采购协议中设置特别条款,即要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。
(3)办理审查申请手续。
(4)督促产品和服务提供者履行网络安全审查中作出的承诺。
2、明确具体的审查程序
(1)运营者申报。
(2)网络安全审查办公室判断是否需要开展网络安全审查。
(3)如判断需要开展网络安全审查,则网络安全审查办公室进行初步审查。
(4)网络安全审查办公室将初步审查结论向网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门征求意见。
(5)网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门对初步审查结论没意见的,则通知运营者;如有意见的,则启动特别审查程序,即再次审查,并按程序报中央网络安全和信息化委员会批准。
3、明确网络安全审查重点
(1)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险。
(2)产品和服务供应中断对关键信息基础设施业务连续性的危害。
(3)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险。
(4)产品和服务提供者遵守中国法律、行政法规、部门规章情况。
(5)其他可能危害关键信息基础设施安全和国家安全的因素。