① 重要!《网络安全审查办法》2月15日正式实施
《网络安全审查办法》于2月15日正式实施,标志着数据安全合规监管市场的进一步完善。自2017年5月国家互联网信息办公室印发《网络产品和服务安全审查办法(试行)》以来,经过多次实践和摸索,最终形成此新版办法。
《网络安全审查办法》明确了我国网络安全审查的具体要求,为关键信息基础设施运营者申报审查提供了指引,并构建了多部门协同配合的组织体系,为关键系统设备上线运行及服务采购设立了严格的安全门槛。同时,建立了网络安全产品和服务安全风险预判机制,推动安全关口前移,强化供应链安全风险管控,提升网络安全保障水平。
该办法审查内容包括关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,如关键信息基础设施被非法控制、遭受干扰或破坏的风险,重要数据被窃取、泄露、毁损的风险,以及产品和服务供应中断对关键信息基础设施业务连续性的危害等。审查对象为网络产品和服务,而非禁止或杜绝非国产设备和服务。
审查重点主要包括产品和服务使用后带来的风险,产品和服务供应中断对业务连续性的危害,产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性,以及政治、外交、贸易等因素导致供应中断的风险,产品和服务提供者遵守中国法律法规的情况,以及核心数据、重要数据或大量个人信息被窃取、泄露、毁损的风险,上市存在的风险,以及其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
与上版相比,新增内容对关键信息基础设施及承载大量用户信息的平台对于中国法律法规的遵守情况进行了规定,并强制要求掌握超过100万用户个人信息的网络平台运营者赴国外上市时向网络安全审查办公室申报网络安全审查。
企业构建能力体系包括数据安全防护体系和关键信息基础设施平台防护体系。数据安全防护体系建议围绕管理体系、技术体系、运营体系三个维度开展,以实现数据安全治理。关键信息基础设施防护体系则可从识别认定、安全防护、监测预警、检测评估、事件处置五大环节进行安全建设,以加强安全防护、降低风险影响,并确保管理体系的指导作用和技术体系的落实。
社会高度关注的问题包括赴港上市是否需要申报网络安全审查、网络安全审查与数据安全审查的关系、审查的启动条件、审查时限、向谁申报以及运营者申报网络安全审查应当提交的材料。其中,赴港上市不必主动申报,但若影响或可能影响国家安全,网络安全审查机制成员单位可进行审查。网络安全审查与数据安全审查相辅相成,共同保障国家网络空间安全。审查启动条件并非仅限于关键信息基础设施、产品或服务采购以及赴国外上市,还包括由网络安全审查工作机制成员单位提请审查或由社会举报的情况。
② 网络安全审查办法
《网络安全审查办法》是为了确保关键信息基础设施供应链安全,维护国家安全,由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局等12部门联合制定的办法。2020年4月27日,《网络安全审查办法》正式发布,自2020年6月1日起实施。
网络安全审查主要审查的内容如下:
1、产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险。
2、产品和服务供应中断对关键信息基础设施业务连续性的危害。
3、产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险。
4、产品和服务提供者遵守中国法律、行政法规、部门规章情况。
5、其他可能危害关键信息基础设施安全和国家安全的因素。
其中电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当在与产品和服务提供方正式签署合同前申报网络安全审查。通常情况下,网络安全审查在45个工作日内完成,情况复杂的会延长15个工作日。进入特别审查程序的审查项目,可能还需要45个工作日或者更长。关键信息基础设施运营者或产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或有关部门举报。
③ 网络安全审查办法的施行日期是
网络安全审查办法的施行日期是2020年6月1日起施行。
网络安全包含网络设备安全、网络信息安全、网络软件安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。具有保密性、完整性、可用性、可控性、可审查性的特性。
主要特性具体如下:
1、保密性,信息不泄露给非 授权用户、 实体或过程,或供其利用的特性;
2、完整性,数据未经授权不能进行改变的特性。即信息在 存储或传输过程中保持不被修改、不被破坏和丢失的特性;
3、可用性,可被授权 实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对 可用性的攻击;
4、可控性,对信息的传播及内容具有控制能力;
5、可审查性,出现安全问题时提供依据与手段。
《中华人民共和国网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
④ 2022年上半年发布的网络安全相关政策有
国家政策
1、2022年1月4日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部等十三部门联合修订了《网络安全审查办法》,自2022年2月15日起正式施行。
《办法》指出,网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。
2、2022年1月4日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《互联网信息服务算法推荐管理规定》,自2022年3月1日起施行。
《规定》的出台,旨在规范互联网信息服务算法推荐活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。
3、2022年1月6日,国务院办公厅发布《要素市场化配置综合改革试点总体方案》(国办发〔2021〕51号)
《方案》要求完善公共数据开放共享机制、建立健全数据流通交易规则、拓展规范化数据开发利用场景、加强数据安全保护。明确探索“原始数据不出域、数据可用不可见”的交易范式,实现数据使用“可控可计量”,推动完善数据分级分类安全保护制度。
4、2022年1月12日,国务院发布《“十四五”数字经济发展规划》
《规划》部署了八项重点任务,在数字经济安全体系方面,提出了三个方向的要求,一是增强网络安全防护能力、二是提升数据安全保障水平、三是切实有效防范各类风险,并系统阐述了网络安全对于数字经济的独特作用及重要性。
5、2022年1月18日,发改委、网信办、市场监管总局、工信部等九部门联合发布《关于推动平台经济规范健康持续发展的若干意见》(发改高技〔2021〕1872号)
《意见》强化数据安全管理工作;推动平台企业深入落实网络安全等级保护制度,探索开展数据安全风险态势监测通报,建立应急处置机制。
6、2022年1月22日,工信部、发改委联合印发《关于促进云网融合 加快中小城市信息基础设施建设的通知》
《通知》明确将面向城区常住人口100万以下的中小城市(含地级市、县城和特大镇)组织实施云网强基行动,增强中小城市网络基础设施承载和服务能力,推进应用基础设施优化布局,建立多层次、体系化的算力供给体系。
7、2022年1月26日,中央网信办等10部门印发《数字乡村发展行动计划(2022-2025年)》
数据安全保障提出,加强安全保障加强农业农村数据安全保护,落实涉农关键信息基础设施安全保护制度和网络安全等级保护制度。
8、2022年2月15日,国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》正式施行
《办法》以关键信息基础设施的供应链安全为核心,重点加强对数据安全的关注和规范,聚焦网络产品、服务及数据处理活动,助推关键信息基础设施与网络平台的高质量发展。
⑤ 锲藉跺缓绔嬬绣缁滃畨鍏ㄧ洃娴嬮勮﹀拰浠涔埚埗搴
锲藉跺缓绔嬬绣缁滃畨鍏ㄧ洃娴嬮勮﹀拰(淇℃伅阃氭姤)鍒跺害銆傚浗瀹剁绣淇¢儴闂ㄥ簲褰撶粺绛瑰岗璋冩湁鍏抽儴闂ㄥ姞寮虹绣缁滃畨鍏ㄤ俊鎭鏀堕泦銆佸垎鏋愬拰阃氭姤宸ヤ綔锛屾寜镦ц勫畾缁熶竴鍙戝竷缃戠粶瀹夊叏鐩戞祴棰勮︿俊鎭銆
2020骞4链27镞ワ纴锲藉朵簰镵旂绣淇℃伅锷炲叕瀹ゃ佸浗瀹跺彂灞曞拰鏀归潻濮斿憳浼氥佸伐涓氩拰淇℃伅鍖栭儴銆佸叕瀹夐儴銆佸浗瀹跺畨鍏ㄩ儴銆佽储鏀块儴銆佸晢锷¢儴銆佷腑锲戒汉姘戦摱琛屻佸浗瀹跺竞鍦虹洃镌g$悊镐诲眬銆佸浗瀹跺箍鎾鐢佃嗘诲眬銆佸浗瀹朵缭瀵嗗眬銆佸浗瀹跺瘑镰佺$悊灞鍏12涓閮ㄩ棬镵斿悎鍙戝竷銆婄绣缁滃畨鍏ㄥ℃煡锷炴硶銆嬶纴浜2020骞6链1镞ヨ捣瀹炴柦銆
镓╁𪾢璧勬枡锛
鎶链铡熺悊
缃戠粶瀹夊叏镐ч梾棰桦叧绯诲埌链𨱒ョ绣缁滃簲鐢ㄧ殑娣卞叆鍙戝𪾢锛屽畠娑夊强瀹夊叏绛栫暐銆佺Щ锷ㄤ唬镰併佹寚浠や缭鎶ゃ佸瘑镰佸︺佹搷浣灭郴缁熴佽蒋浠跺伐绋嫔拰缃戠粶瀹夊叏绠$悊绛夊唴瀹广备竴鑸涓撶敤镄勫唴閮ㄧ绣涓庡叕鐢ㄧ殑浜掕仈缃戠殑闅旂讳富瑕佷娇鐢ㄢ滈槻𨱔澧欌濇妧链銆
钬滈槻𨱔澧欌濇槸涓绉嶅舰璞$殑璇存硶锛屽叾瀹炲畠鏄涓绉嶈$畻链虹‖浠跺拰杞浠剁殑缁勫悎锛屼娇浜掕仈缃戜笌鍐呴儴缃戜箣闂村缓绔嬭捣涓涓瀹夊叏缃戝叧锛屼粠钥屼缭鎶ゅ唴閮ㄧ绣鍏嶅弹闱炴硶鐢ㄦ埛镄勪镜鍏ャ
鑳藉熷畬鎴悫滈槻𨱔澧欌濆伐浣灭殑鍙浠ユ槸绠鍗旷殑闅愯斀璺鐢卞櫒锛岃繖绉嵝滈槻𨱔澧欌濆傛灉鏄涓鍙版櫘阃氱殑璺鐢卞櫒鍒欎粎鑳借捣鍒颁竴绉嶉殧绂讳綔鐢ㄣ傞殣钄借矾鐢卞櫒涔熷彲浠ュ湪浜掕仈缃戝岗璁绔鍙g骇涓婇樆姝㈢绣闂存垨涓绘満闂撮氢俊锛岃捣鍒颁竴瀹氱殑杩囨护浣灭敤銆
⑥ 根据网络安全审查办法规定特别审查程序一般应当在多少工作日内完成情况复杂的
根据网络安全审查办法规定特别审查程序一般应当在45工作日内完成情况复杂的。
网络安全审查主要审查的内容如下:
1、产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险。
2、产品和服务供应中断对关键信息基础设施业务连续性的危害。
3、产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险。
4、产品和服务提供者遵守中国法律、行政法规、部门规章情况。
5、其他可能危害关键信息基础设施安全和国家安全的因素。
《办法》修订背景
网络安全审查是网络安全领域的重要法律制度。原《办法》自2020年6月1日施行以来,通过对关键信息基础设施运营者采购活动进行审查和对部分重要产品等发起审查,对于保障关键信息基础设施供应链安全,维护国家安全发挥了重要作用。2021年9月1日,《数据安全法》正式施行,明确规定国家建立数据安全审查制度。
我们据此对《网络安全审查办法》进行了修订,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查,主要目的是为了进一步保障网络安全和数据安全,维护国家安全。