２０２０年４月２７日（官方原文所寫日期為４月１３日），國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局１２個部門共同發布了《網絡安全審查辦法》（下稱“新辦法正式稿”）。

 ２０１９年５月２１日，國家互聯網信息辦公室曾發布《網絡安全審查辦法（征求意見稿）》（下稱“新辦法征求意見稿”）。新辦法征求意見稿和新辦法正式稿均明確廢止２０１７年５月２日發布的《網絡產品和服務安全審查辦法（試行）》（下稱“舊辦法”）。本文將以介紹新辦法正式稿的主要亮點為主線，兼評與新辦法征求意見稿和舊辦法的異同。

 要點一：一類適用主體

 舊辦法第二條規定，關系國家安全的網絡和信息系統采購的重要網絡產品和服務，應當經過網絡安全審查，即所有采購關系國家安全的產品和服務的網絡運營者，均需進行網絡安全審查。而新辦法征求意見稿和新辦法正式稿則均將適用范圍聚焦于關鍵信息基礎設施運營者。根據新辦法第二條，關鍵信息基礎設施運營者采購網絡產品和服務，影響或可能影響國家安全的，應當進行網絡安全審查。從文義上講，“關鍵信息基礎設施運營者”即指運營“關鍵信息基礎設施”的企業。

 按照《網絡安全法》以及《關鍵信息基礎設施安全保護條例（征求意見稿）》，“關鍵信息基礎設施”是指一旦遭到破壞、喪失功能或數據泄露，可能嚴重危害國家安全、國計民生、公共利益的網絡設施和信息系統。《網絡安全法》第三十一條和《關鍵信息基礎設施安全保護條例（征求意見稿）》第十八條均列舉了可能被識別為關鍵信息基礎設施的行業和領域，包括能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、云計算、大數據、國防科工、大型裝備、化工、食品藥品、新聞等。

 國家互聯網信息辦公室有關負責人就新辦法正式稿相關問題答記者問時指出，根據中央網絡安全和信息化委員會《關于關鍵信息基礎設施安全保護工作有關事項的通知》，電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等行業領域的重要網絡和信息系統運營者在采購網絡產品和服務時，應當考慮申報網絡安全審查。

 需要注意的是，２０１６年６月，中央網絡安全和信息化領導小組辦公室發布的《國家網絡安全檢查操作指南》第３．２條明確了確定關鍵信息基礎設施的三個步驟，一是確定關鍵業務，二是確定支撐關鍵業務的信息系統或工業控制系統，三是根據關鍵業務對信息系統或工業控制系統的依賴程度，以及信息系統發生網絡安全事件后可能造成的損失。

 根據新辦法正式稿第十九條，關鍵信息基礎設施運營者的認定由關鍵信息基礎設施保護工作部門負責。結合《關鍵信息基礎設施安全保護條例（征求意見稿）》第十九條的規定，國家網信部門會同國務院電信主管部門、公安部門等部門制定關鍵信息基礎設施識別指南，關鍵信息基礎設施的識別和認定主要由行業主管部門或監管部門做出，并需要結合相關專家意見，可能需要具體問題具體分析。本文將不再多余贅述。

 但總體而言，若企業運營的網絡設備遭到破壞、喪失功能或者數據泄露后，可能嚴重危害到國家安全、國計民生、公共利益的，則這些企業很有可能會被認定為關鍵信息基礎設施運營者。那么，其在采購網絡產品和服務時需要注意，如果所采購的產品或服務有可能影響到國家安全的，就可能會受此辦法所規制。

 要點二：二類啟動方式

 新辦法征求意見稿與正式稿均對兩類可啟動網絡安全審查的方式作出規定，以下分別作出介紹：

 第一類，由關鍵信息基礎設施運營者啟動。關鍵信息基礎設施運營者在采購網絡產品和服務時，通過自我預判認為所采購的產品和服務在投入使用后可能給國家帶來安全風險，影響或者可能影響國家安全的，在制作安全風險報告后，向網絡安全審查辦公室進行申報，進入政府審查程序。根據新辦法正式稿，關鍵信息基礎設施保護工作部門可以制定本行業、本領域的預判指南，以更好地幫助相關企業把握風險預測的尺度，不貽誤申報審查的適當時機。

 第二類：由網絡安全審查工作機制成員單位啟動。當網絡安全審查工作機制成員單位（下節具體列明）認為影響或可能影響國家安全的，網絡安全審查辦公室按照程序報中央網絡安全和信息化委員會批準，啟動審查程序。”

對于關鍵信息基礎設施運營者或者網絡安全審查工作機制成員單位判斷產品和服務可能影響或可能影響到國家安全的的維度與因素，新辦法正式稿主要提出了如下角度：

 １）網絡產品和服務的使用是否會對關鍵信息基礎設施產生不良影響，包括該網絡產品的使用是否可能導致關鍵信息基礎設施被非法控制、干擾、破壞，以及導致重要數據被竊取、泄露、毀損等；

 ２）網絡產品和服務的供應中斷是否會影響關鍵信息基礎設施業務的連續性；

 ３）產品和服務本身是否具有安全性、開放性、透明性和來源的多樣性和可靠性，是否可能導致供應中斷；

 ４）產品和服務提供者是否遵守中國法律、行政法規及部門規章；

 ５）其他可能危害關鍵信息基礎設施安全和國家安全的因素。

 以上幾點，主要在于評估以及預測關鍵信息基礎設施運營者所采購的相關產品和服務在投產使用后，是否會對構成關鍵信息基礎設施的網絡造成破壞、攻擊或者由于安裝了該產品、啟用了相關服務后是否會存在其他安全隱患或者數據泄露的隱患，是否可能造成這些國家支柱企業、關鍵產業經濟的業務造成不連續或者供應鏈中斷，以及產品服務本身是否可靠，是否因其存在脆弱性、可攻擊性、有限供應進而對整個關鍵信息基礎設施的安全和穩定造成影響。如果判斷后認為有任何因素觸及的，則應當啟動網絡安全審查，無論是由企業自身發起還是由政府監管機構發起。

要點三：三類審查主體

 舊辦法規定由國家互聯網信息辦公室和有關部門共同成立網絡安全審查委員會，對網絡安全審查進行統一組織。而新辦法正式稿則規定由中央網絡安全和信息化委員會統一領導網絡安全審查工作，由國家網絡安全審查辦公室會同１１個國務院組成部門和直屬機構共同建立網絡安全審查工作機制，確立了上述圖中的審查體系。也就是說，新辦法正式稿詳細、清晰地補充說明了舊辦法第五條中提及的“有關部門”的具體所指。同時，根據新辦法正式稿第四條，中央網絡安全和信息化委員會負責統一領導與決策，而網絡安全審查辦公室則設在國家互聯網信息辦公室，負責制定網絡安全審查的相關制度規范，并組織網絡安全審查。

 就審查主體的關系方面，上述圖示的審查體系與新辦法征求意見稿基本保持一致。但是，相較于新辦法征求意見稿，新辦法正式稿在網絡安全審查工作機制成員單位后面新增了相關關鍵信息基礎設施保護工作部門。在特別審查流程中，網絡安全審查辦公室既需要向網絡安全審查工作機制成員單位征求意見，也需要向相關關鍵信息基礎設施保護工作部門征求意見。

 新辦法正式稿沒有設專款對“網絡安全審查工作機制成員單位”和“相關關鍵信息基礎設施保護工作部門”進行定義，但根據新辦法正式稿第四條，“網絡安全審查工作機制成員單位”應當包括所有發文機構，除國家互聯網信息辦公室外，另有國家發展和改革委員會、工業和信息化部、公安部、國家安全部、商務部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局等１１個國務院組成部門或直屬機構。此外，根據新辦法正式稿第二十條，關鍵信息基礎設施運營者是指經關鍵信息基礎設施保護工作部門認定的運營者。例如，參照《水利部辦公廳關于印發＜２０２０年水利網信工作要點＞的通知》，關鍵信息基礎設施保護工作部門可能包括水利部門。因此，需要根據具體關鍵信息基礎設施所屬行業，來確定關鍵信息基礎設施保護工作部門，并在某些情況下，聽取并征得它們對所管轄行業下屬單位的報審事項發表的專業意見和建議也顯得必要。

要點四：四項審查原則

 相比于舊辦法，新辦法征求意見稿中新增了“促進先進技術應用”、“保護知識產權”等描述，旨在為企業營造良好營商環境，這一原則為新辦法正式稿所沿用。新辦法正式稿要求參與網絡安全審查的相關機構和工作人員嚴格保護商業秘密和知識產權，對關鍵信息基礎設施運營者提交的未公開信息和未公開材料予以嚴格保密。

 此外，新辦法正式稿還明確要求，關鍵信息基礎設施運營者和網絡產品和服務提供者如認為審查人員有失客觀公正或者未履行保密義務，可以向網絡安全審查辦公室或有關部門舉報。這樣的規定能夠讓企業更加放心地自我申報，通過主動申報，提前預知和防范風險，對企業與國家雙項得利。

 需要注意的是，新辦法正式稿刪除了征求意見稿所提出的“提高關鍵信息基礎設施安全可控水平”，而以“確保關鍵信息基礎設施供應鏈安全”代替，這可能也體現出安全審查基礎和原則的轉變。根據國家互聯網信息辦公室有關負責人就新辦法正式稿答記者問中的回復，網絡安全審查的目的是維護國家網絡安全，不是要限制或歧視國外產品和服務。此前新辦法征求意見稿將“產品和服務提供者受外國政府資助、控制等情況”作為一項審查標準，而新辦法正式稿則刪除了此類表達，更多地關注網絡產品和服務本身的供應鏈安全，而不是要限制或歧視國外產品和服務。由此，向關鍵信息基礎設施運營者提供產品和服務的外企受到的阻礙將會減少。

 綜上，確立網絡安全審查制度與流程，旨在①落實網絡安全審查，保障國家安全、減少風險隱患；②確保關鍵信息基礎設施供應鏈安全；同時③保護企業的商業秘密；④保護企業知識產權。

 要點五：一套審查流程

 舊辦法第三條和第六條規定了網絡安全審查以第三方評價與專家評估的方式進行。由官方認證的第三方機構進行評價，形成初步評價報告。再由專家委員會根據第三方評價報告，對該產品和服務的安全風險以及提供者的安全可信狀況進行綜合評估。新辦法征求意見稿中則刪除了這兩項規定，雖然啟動審查的方式可以有二種，但最后都應由政府主導進行審查和控制。

 新辦法征求意見稿中將實施審查的工作下放到了負責網絡安全審查的網絡安全審查辦公室，并由中央網絡安全和信息化委員會行使最后的批準決策權。當不同機構之間出現對所上報的內容有不同意見或者有利益沖突的情況時，設立統一的決策機構更有利于意見形成的高度統一，增加網絡安全審查報告的公信度和效率水平，避免因聯合決策機構一多而造成審批拖沓、相互推諉。因此，新辦法正式稿依然保留了新辦法征求意見稿中提出的網絡安全審查在不同啟動方式下的一整套流程。

 第一，由關鍵信息基礎設施運營者主動發起。關鍵信息基礎設施運營者應當將申報材料（包括申報書、風險分析報告、采購文件或協議或擬簽訂的合同以及其他認為可支持審查所需的材料）發送至網絡安全審查辦公室（其設立在網信辦，具體工作委托中國網絡安全審查技術與認證中心承擔）。中國網絡安全審查技術與認證中心在網絡安全審查辦公室的指導下，負責接收申報材料，在收到上述申報材料后１０個工作日內，對申報材料進行形式性審查后，確定是否需要進入實質性審查，并書面通知關鍵信息基礎設施運營者。如需要進行實質性審查的，再具體組織下步審查工作。網絡安全審查辦公室應當在３０個工作日內（情況復雜的，可以延長１５個工作日）完成初步審查，包括將審查結論建議發給網絡安全審查機制成員單位、相關關鍵信息基礎設施保護工作部門征求意見。網絡安全審查機制成員單位、相關關鍵信息基礎設施保護工作部門應當在收到審查結論建議之日起１５個工作日內書面回復意見。

 如網絡安全審查工作機制成員單位和相關關鍵信息基礎設施保護工作部門意見一致，則由網絡安全審查辦公室將審查結論書面通知給關鍵信息基礎設施運營者；如二者意見不一致，則進入特別審查程序并書面通知關鍵信息基礎設施運營者。進入特別審查程序后，由網絡安全審查辦公室進一步聽取相關部門和單位的意見，進行深入分析評估，再次形成審查結論建議，在征求網絡安全審查工作機制成員單位和相關關鍵信息基礎設施保護工作部門的意見后，按程序報中央網絡安全和信息化委員會批準，形成審查結論并書面通知運營者。特別審查原則上也應當在４５個工作日內完成，情況復雜的可以適當延長（但新辦法正式稿和新辦法征求意見稿均未說明最長時限）。同時，需要注意的是，提交補充材料的時間不計入上述審查時間。

 第二，由網絡安全審查工作機制成員單位發起。在任何國務院組成部門或直屬機構認為網絡產品和服務對國家安全有影響或可能造成影響的，由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后，依辦法進行審查。

下圖為二類主體分別啟動網絡安全審查時的審查流程。

要點六：采購合同

 新辦法征求意見稿第七條要求關鍵信息基礎設施運營者與網絡產品和服務提供者簽署合同，可要求網絡產品和服務提供者配合網絡安全審查。新辦法正式稿基本沿用了此做法，同時對配合義務進行了細化，包括可要求網絡產品和服務提供者承諾不利用所提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備，無正當理由不中斷產品供應或必要的技術支持服務等。

 與關鍵信息基礎設施企業簽署合同一方的網絡產品和服務提供者往往比較擔心是否會因此承擔過重的合同義務。因為關鍵信息基礎設施運營者往往因加持了網絡安全審查這把“尚方寶劍”，對提供其網絡產品的供應商實施更加嚴格的要求，包括在合同條款上增加更多的義務與責任。

 雖然網絡產品和服務提供商本身不屬于《網絡安全審查辦法》的適用主體，但由于其向關鍵信息基礎設施運營者提供網絡產品與／或服務，因此，也建議其熟諳新辦法正式稿的相關規定，以免在采購合同的條款和條件上被施加額外的義務。

 首先，網絡產品和服務提供商需要了解有可能會被申報網絡安全審查的網絡產品和服務的范圍，主要包括：核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、　云計算服務，以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。

 根據《信息安全技術　網絡產品和服務安全通用要求（征求意見稿）》第３．１條、第３．２條，“網絡產品”指按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的硬件、軟件和系統，例如計算機、信息終端、工控等相關設備，以及基礎軟件、系統軟件等；“網絡服務”指供方為滿足需方要求提供的信息技術開發、應用活動，以及以網絡技術為手段支持需方業務的一系列活動，例如云計算服務、網絡通信服務、數據處理和存儲服務、信息技術咨詢服務、設計與開發服務、信息系統集成實施服務、信息系統運維服務等。

 其次，網絡產品和服務提供商需要厘清網絡產品和服務與網絡關鍵設備和網絡安全專用產品的區別。網絡關鍵設備和網絡安全專用產品是由《網絡安全法》首次提出的概念，但并未對其給出具體的定義，其前身是公安等部門要求進行檢測認證的“計算機信息系統安全專用產品”，即用于保護計算機信息系統安全的專用硬件和軟件產品（參見《計算機信息系統安全保護條例》第２８條）。隨著信息技術的發展，由于法律所保障的安全范圍從信息系統擴展到整個網絡，網絡關鍵設備和網絡安全專用產品的概念相應進行了擴充。可推論其屬于網絡產品和服務中用于網絡安全保護的一種。

 根據《網絡安全法》第二十三條，國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄。２０１７年６月，國家互聯網信息辦公室會同工信部、公安部、國家認證認可監督管理委員會等部門頒布《網絡關鍵設備和網絡安全專用產品目錄（第一批）》，首次明確了網絡關鍵設備和網絡安全專用產品的類型，包括路由器、交換機、服務器（機架式）、ＰＬＣ設備４種網絡關鍵設備，以及數據備份一體機、防火墻、入侵檢測系統等１１種網絡安全專用產品。

 如果提供列入目錄的網絡關鍵設備和網絡安全專用產品的供應商，只有按照相關國家標準的強制性要求，取得安全認證或者安全檢測符合要求后，方可銷售或者提供產品。因此，如果關鍵信息基礎設施運營者采購了網絡關鍵設備和網絡安全專用產品，除了前文提及的會啟動網絡安全審查外，還可能會要求在合同中承諾提供的設備和產品本身已經拿到了安全認證證書或檢測合格證明。

 再次，新辦法征求意見稿中有規定關鍵信息基礎設施運營者與提供網絡產品與服務提供商的合同可在通過網絡安全審查后生效。新辦法正式稿刪除了此內容，可能是考慮與現有法規的一致性和嚴謹性。但是，在國家互聯網信息辦公室有關負責人就新辦法正式稿相關問題答記者問時建議，關鍵信息基礎設施運營者應當在與產品和服務提供方正式簽署合同前申報網絡安全審查。雖然新辦法正式稿對于合同成效的約定看似有放松，但對于網絡產品和服務提供商來說，不能放松警惕，因為有可能因審查而延遲了合同的簽署時間，也不排除會在已經提供了產品或者服務后，合同還在報批審查的過程中遲遲簽署不了，也可能因最后審查不能通過卻已經產生了較多成本損失。因此，網絡產品和服務提供商應當加強產品與服務的自身安全能力，并且做好充分的預估，未完成合同簽署進入項目試運行有可能產生的風險。

 要點七：違規后果

 新辦法正式稿保留了新辦法征求意見稿的處罰條款，明確了處罰依據，即《網絡安全法》第六十五條。根據該條，關鍵信息基礎設施運營者存在應審未審或者使用審查未通過的網絡產品或服務的，主管部門有可能責令其停止使用，并處以采購金額一倍以上十倍以下的罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。由于雙罰制會對企業和責任人員都產生直接的處罰后果，因此不容被忽視，并需要提高警惕。對于可能被識別為關鍵信息基礎設施運營者的企業，應當從網絡產品或服務的采購環節著手，根據新辦法正式意見稿的要求備齊申請材料并進行網絡安全審查，否則需要承擔相應的違規后果。

 總體而言，新辦法正式稿取代舊辦法，限縮了需要進行網絡安全審查的主體范圍，既有利于減少行政壓力，又有助于降低企業合規成本。同時，在重點保護好國家關鍵信息基礎設施安全穩定運行的同時，保證企業供應鏈的不中斷，建立有效的審查機制，避免因關鍵信息基礎設施運營者采購網絡產品和服務可能帶來的國家安全風險。

 由于目前關于關鍵信息基礎設施的相關法律法規的實施有待進一步完善，因此，對于企業來說，《網絡安全審查辦法》的具體落地，既期待于后續進一步出臺與關鍵信息基礎設施相關的法律法規及其細則，也有賴于相關行業主管部門進一步出臺相關指南，將《網絡安全審查辦法》中的各項要求做精細化解釋。

來源 環球律師事務所