① 重要!《網路安全審查辦法》2月15日正式實施
《網路安全審查辦法》於2月15日正式實施,標志著數據安全合規監管市場的進一步完善。自2017年5月國家互聯網信息辦公室印發《網路產品和服務安全審查辦法(試行)》以來,經過多次實踐和摸索,最終形成此新版辦法。
《網路安全審查辦法》明確了我國網路安全審查的具體要求,為關鍵信息基礎設施運營者申報審查提供了指引,並構建了多部門協同配合的組織體系,為關鍵系統設備上線運行及服務采購設立了嚴格的安全門檻。同時,建立了網路安全產品和服務安全風險預判機制,推動安全關口前移,強化供應鏈安全風險管控,提升網路安全保障水平。
該辦法審查內容包括關鍵信息基礎設施運營者采購網路產品和服務可能帶來的國家安全風險,如關鍵信息基礎設施被非法控制、遭受干擾或破壞的風險,重要數據被竊取、泄露、毀損的風險,以及產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害等。審查對象為網路產品和服務,而非禁止或杜絕非國產設備和服務。
審查重點主要包括產品和服務使用後帶來的風險,產品和服務供應中斷對業務連續性的危害,產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性,以及政治、外交、貿易等因素導致供應中斷的風險,產品和服務提供者遵守中國法律法規的情況,以及核心數據、重要數據或大量個人信息被竊取、泄露、毀損的風險,上市存在的風險,以及其他可能危害關鍵信息基礎設施安全、網路安全和數據安全的因素。
與上版相比,新增內容對關鍵信息基礎設施及承載大量用戶信息的平台對於中國法律法規的遵守情況進行了規定,並強制要求掌握超過100萬用戶個人信息的網路平台運營者赴國外上市時向網路安全審查辦公室申報網路安全審查。
企業構建能力體系包括數據安全防護體系和關鍵信息基礎設施平台防護體系。數據安全防護體系建議圍繞管理體系、技術體系、運營體系三個維度開展,以實現數據安全治理。關鍵信息基礎設施防護體系則可從識別認定、安全防護、監測預警、檢測評估、事件處置五大環節進行安全建設,以加強安全防護、降低風險影響,並確保管理體系的指導作用和技術體系的落實。
社會高度關注的問題包括赴港上市是否需要申報網路安全審查、網路安全審查與數據安全審查的關系、審查的啟動條件、審查時限、向誰申報以及運營者申報網路安全審查應當提交的材料。其中,赴港上市不必主動申報,但若影響或可能影響國家安全,網路安全審查機製成員單位可進行審查。網路安全審查與數據安全審查相輔相成,共同保障國家網路空間安全。審查啟動條件並非僅限於關鍵信息基礎設施、產品或服務采購以及赴國外上市,還包括由網路安全審查工作機製成員單位提請審查或由社會舉報的情況。
② 網路安全審查辦法
《網路安全審查辦法》是為了確保關鍵信息基礎設施供應鏈安全,維護國家安全,由國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局等12部門聯合制定的辦法。2020年4月27日,《網路安全審查辦法》正式發布,自2020年6月1日起實施。
網路安全審查主要審查的內容如下:
1、產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險。
2、產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害。
3、產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險。
4、產品和服務提供者遵守中國法律、行政法規、部門規章情況。
5、其他可能危害關鍵信息基礎設施安全和國家安全的因素。
其中電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等行業領域的重要網路和信息系統運營者在采購網路產品和服務時,應當在與產品和服務提供方正式簽署合同前申報網路安全審查。通常情況下,網路安全審查在45個工作日內完成,情況復雜的會延長15個工作日。進入特別審查程序的審查項目,可能還需要45個工作日或者更長。關鍵信息基礎設施運營者或產品和服務提供者認為審查人員有失客觀公正,或未能對審查工作中獲悉的信息承擔保密義務的,可以向網路安全審查辦公室或有關部門舉報。
③ 網路安全審查辦法的施行日期是
網路安全審查辦法的施行日期是2020年6月1日起施行。
網路安全包含網路設備安全、網路信息安全、網路軟體安全,是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。具有保密性、完整性、可用性、可控性、可審查性的特性。
主要特性具體如下:
1、保密性,信息不泄露給非 授權用戶、 實體或過程,或供其利用的特性;
2、完整性,數據未經授權不能進行改變的特性。即信息在 存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性;
3、可用性,可被授權 實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對 可用性的攻擊;
4、可控性,對信息的傳播及內容具有控制能力;
5、可審查性,出現安全問題時提供依據與手段。
《中華人民共和國網路安全法》第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
④ 2022年上半年發布的網路安全相關政策有
國家政策
1、2022年1月4日,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部等十三部門聯合修訂了《網路安全審查辦法》,自2022年2月15日起正式施行。
《辦法》指出,網路安全審查堅持防範網路安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合,從產品和服務以及數據處理活動安全性、可能帶來的國家安全風險等方面進行審查。
2、2022年1月4日,國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局聯合發布《互聯網信息服務演算法推薦管理規定》,自2022年3月1日起施行。
《規定》的出台,旨在規范互聯網信息服務演算法推薦活動,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益,促進互聯網信息服務健康發展。
3、2022年1月6日,國務院辦公廳發布《要素市場化配置綜合改革試點總體方案》(國辦發〔2021〕51號)
《方案》要求完善公共數據開放共享機制、建立健全數據流通交易規則、拓展規范化數據開發利用場景、加強數據安全保護。明確探索「原始數據不出域、數據可用不可見」的交易範式,實現數據使用「可控可計量」,推動完善數據分級分類安全保護制度。
4、2022年1月12日,國務院發布《「十四五」數字經濟發展規劃》
《規劃》部署了八項重點任務,在數字經濟安全體系方面,提出了三個方向的要求,一是增強網路安全防護能力、二是提升數據安全保障水平、三是切實有效防範各類風險,並系統闡述了網路安全對於數字經濟的獨特作用及重要性。
5、2022年1月18日,發改委、網信辦、市場監管總局、工信部等九部門聯合發布《關於推動平台經濟規范健康持續發展的若干意見》(發改高技〔2021〕1872號)
《意見》強化數據安全管理工作;推動平台企業深入落實網路安全等級保護制度,探索開展數據安全風險態勢監測通報,建立應急處置機制。
6、2022年1月22日,工信部、發改委聯合印發《關於促進雲網融合 加快中小城市信息基礎設施建設的通知》
《通知》明確將面向城區常住人口100萬以下的中小城市(含地級市、縣城和特大鎮)組織實施雲網強基行動,增強中小城市網路基礎設施承載和服務能力,推進應用基礎設施優化布局,建立多層次、體系化的算力供給體系。
7、2022年1月26日,中央網信辦等10部門印發《數字鄉村發展行動計劃(2022-2025年)》
數據安全保障提出,加強安全保障加強農業農村數據安全保護,落實涉農關鍵信息基礎設施安全保護制度和網路安全等級保護制度。
8、2022年2月15日,國家互聯網信息辦公室等十三部門聯合修訂發布的《網路安全審查辦法》正式施行
《辦法》以關鍵信息基礎設施的供應鏈安全為核心,重點加強對數據安全的關注和規范,聚焦網路產品、服務及數據處理活動,助推關鍵信息基礎設施與網路平台的高質量發展。
⑤ 鍥藉跺緩絝嬬綉緇滃畨鍏ㄧ洃嫻嬮勮﹀拰浠涔堝埗搴
鍥藉跺緩絝嬬綉緇滃畨鍏ㄧ洃嫻嬮勮﹀拰(淇℃伅閫氭姤)鍒跺害銆傚浗瀹剁綉淇¢儴闂ㄥ簲褰撶粺絳瑰崗璋冩湁鍏抽儴闂ㄥ姞寮虹綉緇滃畨鍏ㄤ俊鎮鏀墮泦銆佸垎鏋愬拰閫氭姤宸ヤ綔錛屾寜鐓ц勫畾緇熶竴鍙戝竷緗戠粶瀹夊叏鐩戞祴棰勮︿俊鎮銆
2020騫4鏈27鏃ワ紝鍥藉朵簰鑱旂綉淇℃伅鍔炲叕瀹ゃ佸浗瀹跺彂灞曞拰鏀歸潻濮斿憳浼氥佸伐涓氬拰淇℃伅鍖栭儴銆佸叕瀹夐儴銆佸浗瀹跺畨鍏ㄩ儴銆佽儲鏀塊儴銆佸晢鍔¢儴銆佷腑鍥戒漢姘戦摱琛屻佸浗瀹跺競鍦虹洃鐫g$悊鎬誨矓銆佸浗瀹跺箍鎾鐢佃嗘誨矓銆佸浗瀹朵繚瀵嗗矓銆佸浗瀹跺瘑鐮佺$悊灞鍏12涓閮ㄩ棬鑱斿悎鍙戝竷銆婄綉緇滃畨鍏ㄥ℃煡鍔炴硶銆嬶紝浜2020騫6鏈1鏃ヨ搗瀹炴柦銆
鎵╁睍璧勬枡錛
鎶鏈鍘熺悊
緗戠粶瀹夊叏鎬ч棶棰樺叧緋誨埌鏈鏉ョ綉緇滃簲鐢ㄧ殑娣卞叆鍙戝睍錛屽畠娑夊強瀹夊叏絳栫暐銆佺Щ鍔ㄤ唬鐮併佹寚浠や繚鎶ゃ佸瘑鐮佸︺佹搷浣滅郴緇熴佽蔣浠跺伐紼嬪拰緗戠粶瀹夊叏綆$悊絳夊唴瀹廣備竴鑸涓撶敤鐨勫唴閮ㄧ綉涓庡叕鐢ㄧ殑浜掕仈緗戠殑闅旂諱富瑕佷嬌鐢ㄢ滈槻鐏澧欌濇妧鏈銆
鈥滈槻鐏澧欌濇槸涓縐嶅艦璞$殑璇存硶錛屽叾瀹炲畠鏄涓縐嶈$畻鏈虹‖浠跺拰杞浠剁殑緇勫悎錛屼嬌浜掕仈緗戜笌鍐呴儴緗戜箣闂村緩絝嬭搗涓涓瀹夊叏緗戝叧錛屼粠鑰屼繚鎶ゅ唴閮ㄧ綉鍏嶅彈闈炴硶鐢ㄦ埛鐨勪鏡鍏ャ
鑳藉熷畬鎴愨滈槻鐏澧欌濆伐浣滅殑鍙浠ユ槸綆鍗曠殑闅愯斀璺鐢卞櫒錛岃繖縐嶁滈槻鐏澧欌濆傛灉鏄涓鍙版櫘閫氱殑璺鐢卞櫒鍒欎粎鑳借搗鍒頒竴縐嶉殧紱諱綔鐢ㄣ傞殣钄借礬鐢卞櫒涔熷彲浠ュ湪浜掕仈緗戝崗璁絝鍙g駭涓婇樆姝㈢綉闂存垨涓繪満闂撮氫俊錛岃搗鍒頒竴瀹氱殑榪囨護浣滅敤銆
⑥ 根據網路安全審查辦法規定特別審查程序一般應當在多少工作日內完成情況復雜的
根據網路安全審查辦法規定特別審查程序一般應當在45工作日內完成情況復雜的。
網路安全審查主要審查的內容如下:
1、產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險。
2、產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害。
3、產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險。
4、產品和服務提供者遵守中國法律、行政法規、部門規章情況。
5、其他可能危害關鍵信息基礎設施安全和國家安全的因素。
《辦法》修訂背景
網路安全審查是網路安全領域的重要法律制度。原《辦法》自2020年6月1日施行以來,通過對關鍵信息基礎設施運營者采購活動進行審查和對部分重要產品等發起審查,對於保障關鍵信息基礎設施供應鏈安全,維護國家安全發揮了重要作用。2021年9月1日,《數據安全法》正式施行,明確規定國家建立數據安全審查制度。
我們據此對《網路安全審查辦法》進行了修訂,將網路平台運營者開展數據處理活動影響或者可能影響國家安全等情形納入網路安全審查范圍,並明確要求掌握超過100萬用戶個人信息的網路平台運營者赴國外上市必須申報網路安全審查,主要目的是為了進一步保障網路安全和數據安全,維護國家安全。