A. 重要!《網路安全審查辦法》2月15日正式實施
《網路安全審查辦法》於2月15日正式實施,標志著數據安全合規監管市場的進一步完善。自2017年5月國家互聯網信息辦公室印發《網路產品和服務安全審查辦法(試行)》以來,經過多次實踐和摸索,最終形成此新版辦法。
《網路安全審查辦法》明確了我國網路安全審查的具體要求,為關鍵信息基礎設施運營者申報審查提供了指引,並構建了多部門協同配合的組織體系,為關鍵系統設備上線運行及服務采購設立了嚴格的安全門檻。同時,建立了網路安全產品和服務安全風險預判機制,推動安全關口前移,強化供應鏈安全風險管控,提升網路安全保障水平。
該辦法審查內容包括關鍵信息基礎設施運營者采購網路產品和服務可能帶來的國家安全風險,如關鍵信息基礎設施被非法控制、遭受干擾或破壞的風險,重要數據被竊取、泄露、毀損的風險,以及產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害等。審查對象為網路產品和服務,而非禁止或杜絕非國產設備和服務。
審查重點主要包括產品和服務使用後帶來的風險,產品和服務供應中斷對業務連續性的危害,產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性,以及政治、外交、貿易等因素導致供應中斷的風險,產品和服務提供者遵守中國法律法規的情況,以及核心數據、重要數據或大量個人信息被竊取、泄露、毀損的風險,上市存在的風險,以及其他可能危害關鍵信息基礎設施安全、網路安全和數據安全的因素。
與上版相比,新增內容對關鍵信息基礎設施及承載大量用戶信息的平台對於中國法律法規的遵守情況進行了規定,並強制要求掌握超過100萬用戶個人信息的網路平台運營者赴國外上市時向網路安全審查辦公室申報網路安全審查。
企業構建能力體系包括數據安全防護體系和關鍵信息基礎設施平台防護體系。數據安全防護體系建議圍繞管理體系、技術體系、運營體系三個維度開展,以實現數據安全治理。關鍵信息基礎設施防護體系則可從識別認定、安全防護、監測預警、檢測評估、事件處置五大環節進行安全建設,以加強安全防護、降低風險影響,並確保管理體系的指導作用和技術體系的落實。
社會高度關注的問題包括赴港上市是否需要申報網路安全審查、網路安全審查與數據安全審查的關系、審查的啟動條件、審查時限、向誰申報以及運營者申報網路安全審查應當提交的材料。其中,赴港上市不必主動申報,但若影響或可能影響國家安全,網路安全審查機製成員單位可進行審查。網路安全審查與數據安全審查相輔相成,共同保障國家網路空間安全。審查啟動條件並非僅限於關鍵信息基礎設施、產品或服務采購以及赴國外上市,還包括由網路安全審查工作機製成員單位提請審查或由社會舉報的情況。
B. 網路安全審查辦法的施行日期是
網路安全審查辦法的施行日期是2020年6月1日起施行。
網路安全包含網路設備安全、網路信息安全、網路軟體安全,是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。具有保密性、完整性、可用性、可控性、可審查性的特性。
主要特性具體如下:
1、保密性,信息不泄露給非 授權用戶、 實體或過程,或供其利用的特性;
2、完整性,數據未經授權不能進行改變的特性。即信息在 存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性;
3、可用性,可被授權 實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對 可用性的攻擊;
4、可控性,對信息的傳播及內容具有控制能力;
5、可審查性,出現安全問題時提供依據與手段。
《中華人民共和國網路安全法》第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
C. 網路安全審查辦法
《網路安全審查辦法》是為了確保關鍵信息基礎設施供應鏈安全,維護國家安全,由國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局等12部門聯合制定的辦法。2020年4月27日,《網路安全審查辦法》正式發布,自2020年6月1日起實施。
網路安全審查主要審查的內容如下:
1、產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險。
2、產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害。
3、產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險。
4、產品和服務提供者遵守中國法律、行政法規、部門規章情況。
5、其他可能危害關鍵信息基礎設施安全和國家安全的因素。
其中電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等行業領域的重要網路和信息系統運營者在采購網路產品和服務時,應當在與產品和服務提供方正式簽署合同前申報網路安全審查。通常情況下,網路安全審查在45個工作日內完成,情況復雜的會延長15個工作日。進入特別審查程序的審查項目,可能還需要45個工作日或者更長。關鍵信息基礎設施運營者或產品和服務提供者認為審查人員有失客觀公正,或未能對審查工作中獲悉的信息承擔保密義務的,可以向網路安全審查辦公室或有關部門舉報。
D. 網路安全審查辦法
網路安全審查辦法是為了保障國家網路安全而制定的一系列審查措施和程序。其主要目的是通過審查網路和信息技術產品、服務以及網路運營活動,確保國家網路安全可控、可維護,防範網路攻擊和信息安全風險。
網路安全審查辦法主要包括以下幾個方面:
一、審查對象和內容。網路安全審查的對象包括網路和信息技術產品、服務以及網路運營活動。審查內容主要涉及產品的安全性、可靠性、可控性等方面,確保符合國家網路安全標准和相關法律法規的要求。同時,審查還包括對網路運營活動的監督和管理,確保網路服務的合法合規運營。
二、審查流程和程序。網路安全審查通常按照申請、審查、決定和監管等環節進行。相關部門會對申請進行初步審核,然後依據實際情況進行現場審查和風險評估。最後根據審查結果做出是否允許進入市場或運營的決策,並對不合格的產品和服務進行整改或禁止運營。
三、審查和監管力度。為了保障網路安全審查的有效實施,國家會加強對網路和信息技術產品、服務的監管力度,同時加大對違法違規行為的處罰力度。對於不符合國家網路安全標准和法律法規要求的產品和服務,將堅決予以禁止和淘汰,並追究相關責任人的法律責任。同時,國家還將加強對網路運營活動的監管,確保網路服務的合法合規運營,維護網路空間的良好秩序。
網路安全審查辦法的制定和實施是國家維護網路安全的重要舉措之一。通過審查和監管網路和信息技術產品、服務以及網路運營活動,可以有效防範網路攻擊和信息安全風險,保障國家網路空間的安全和穩定。同時,這也是推動信息化健康發展的必然要求,有利於提升國家信息安全水平和社會公眾的信息安全意識。
E. 網路安全審查辦法
第一條為了確保關鍵信息基礎設施供應鏈安全,維護國家安全,依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》,制定本辦法。第二條關鍵信息基礎設施運營者(以下簡稱運營者)采購網路產品和服務,影響或可能影響國家安全的,應當按照本辦法進行網路安全審查。第三條網路安全審查堅持防範網路安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合,從產品和服務安全性、可能帶來的國家安全風險等方面進行審查。第四條在中央網路安全和信息化委員會領導下,國家互聯網信息辦公室會同中華人民共和國國家發展和改革委員會、中華人民共和國工業和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局建立國家網路安全審查工作機制。
網路安全審查辦公室設在國家互聯網信息辦公室,負責制定網路安全審查相關制度規范,組織網路安全審查。第五條運營者采購網路產品和服務的,應當預判該產品和服務投入使用後可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網路安全審查辦公室申報網路安全審查。
關鍵信息基礎設施保護工作部門可以制定本行業、本領域預判指南。第六條對於申報網路安全審查的采購活動,運營者應通過采購文件、協議等要求產品和服務提供者配合網路安全審查,包括承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備,無正當理由不中斷產品供應或必要的技術支持服務等。第七條運營者申報網路安全審查,應當提交以下材料:
(一)申報書;
(二)關於影響或可能影響國家安全的分析報告;
(三)采購文件、協議、擬簽訂的合同等;
(四)網路安全審查工作需要的其他材料。第八條網路安全審查辦公室應當自收到審查申報材料起,10個工作日內確定是否需要審查並書面通知運營者。第九條網路安全審查重點評估采購網路產品和服務可能帶來的國家安全風險,主要考慮以下因素:
(一)產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險;
(二)產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
(三)產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
(四)產品和服務提供者遵守中國法律、行政法規、部門規章情況;
(五)其他可能危害關鍵信息基礎設施安全和國家安全的因素。第十條網路安全審查辦公室認為需要開展網路安全審查的,應當自向運營者發出書面通知之日起30個工作日內完成初步審查,包括形成審查結論建議和將審查結論建議發送網路安全審查工作機製成員單位、相關關鍵信息基礎設施保護工作部門徵求意見;情況復雜的,可以延長15個工作日。第十一條網路安全審查工作機製成員單位和相關關鍵信息基礎設施保護工作部門應當自收到審查結論建議之日起15個工作日內書面回復意見。
網路安全審查工作機製成員單位、相關關鍵信息基礎設施保護工作部門意見一致的,網路安全審查辦公室以書面形式將審查結論通知運營者;意見不一致的,按照特別審查程序處理,並通知運營者。第十二條按照特別審查程序處理的,網路安全審查辦公室應當聽取相關部門和單位意見,進行深入分析評估,再次形成審查結論建議,並徵求網路安全審查工作機製成員單位和相關關鍵信息基礎設施保護工作部門意見,按程序報中央網路安全和信息化委員會批准後,形成審查結論並書面通知運營者。第十三條特別審查程序一般應當在45個工作日內完成,情況復雜的可以適當延長。第十四條網路安全審查辦公室要求提供補充材料的,運營者、產品和服務提供者應當予以配合。提交補充材料的時間不計入審查時間。第十五條網路安全審查工作機製成員單位認為影響或可能影響國家安全的網路產品和服務,由網路安全審查辦公室按程序報中央網路安全和信息化委員會批准後,依照本辦法的規定進行審查。