2022年2月15日起,国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》(以下简称《办法》)正式施行。
网络安全审查是网络安全领域的重要法律制度,原《网络安全审查办法》自2020年6月1日施行以来,对于保障关键信息基础设施供应链安全,维护国家安全发挥了重要作用。 为落实《数据安全法》等法律法规要求,国家互联网信息办公室联合相关部门修订了《网络安全审查办法》,并于2021年7月10日发布了《网络安全审查办法(修订草案征求意见稿)》,广泛征求社会意见。 2022年1月4日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布《网络安全审查办法》,自2022年2月15日起施行。
《网络安全审查办法》修订背景
随着数字经济的发展,数据安全对国家安全的影响不断上升,客观上需要将数据安全作为网络安全审查的重点考量。
2021年9月1日,《数据安全法》正式施行,明确规定国家建立数据安全审查制度。国家互联网信息办公室联合相关部门据此对《网络安全审查办法》进行了修订,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,主要目的是为了进一步保障网络安全和数据安全,维护国家安全。同时明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查,对企业赴国外上市引发数据安全担忧进行了直接回应。
《办法》修订的主要内容
《网络安全审查办法》2020版 |
《网络安全审查办法》2022版 |
|
立法依据 |
《中华人民共和国国家安全法》《中华人民共和国网络安全法》 |
《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》 |
立法目的 |
确保关键信息基础设施供应链安全,维护国家安全 |
确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全 |
网络安全审查工作机制构成 |
网信办、发改委、工信部、公安部、国家安全部、财政部、商务部、央行、市监总局、广电总局、国密局、国密管理局 |
网信办、发改委、工信部、公安部、国家安全部、财政部、商务部、央行、市监总局、广电总局、证监会、国密局、国密管理局 |
网络安全审查触发条件 |
1. 关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的 2. 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务 3.社会举报 |
1. 关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的 2. 网络平台运营者开展数据处理活动,影响或者可能影响国家安全的 3.掌握超过100万用户个人信息的网络平台运营者赴国外上市 4. 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动 5.社会举报 |
需提交的申报材料 |
1.申报书; 2.关于影响或可能影响国家安全的分析报告; 3.采购文件、协议、拟签订的合同等; 4.网络安全审查工作需要的其他材料 |
1.申报书; 2.关于影响或者可能影响国家安全的分析报告; 3.采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件; 4.网络安全审查工作需要的其他材料 |
重点评估的国家安全风险因素 |
1.产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险; 2.产品和服务供应中断对关键信息基础设施业务连续性的危害; 3.产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险; 4.产品和服务提供者遵守中国法律、行政法规、部门规章情况; 5.其他可能危害关键信息基础设施安全和国家安全的因素。 |
1.产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险; 2.产品和服务供应中断对关键信息基础设施业务连续性的危害; 3.产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险; 4.产品和服务提供者遵守中国法律、行政法规、部门规章情况; 5.核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或者非法出境的风险; 6.上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险; 7.其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。 |
特别审查时限 |
特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。 |
特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。 |
新增义务 |
为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。 |
|
网络产品和服务范围 |
核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务 |
核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。 |
《办法》强调重要数据安全风险
新版《办法》第十条规定了网络安全审查重点评估的国家安全风险因素,其中包括“(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险”。
目前重要数据的定义以及识别方法尚不明确,《数据安全法》第二十一条规定“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护”“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”《网络数据安全管理条例》(征求意见稿)第二十七条要求“各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门”,并在附则中明确了重要数据的定义。为避免网络安全审查风险,网络平台运营者应持续跟踪相关法规标准的制定情况,积极识别本组织的重要数据,加强对重要数据处理活动的风险评估和对重要数据的保护。
此外,赴香港上市不要求主动申报网络安全审查。
《网络数据安全管理条例》(征求意见稿)第十三条规定,数据处理者赴香港上市影响或者可能影响国家安全的,应当按照国家有关规定申报网络安全审查。新版《办法》并没有提出此要求,表明赴香港上市的数据处理者不要求主动申报网络安全审查,但《办法》第十六规定网络安全审查机制成员单位可以提请对企业进行审查,因此赴港上市的企业仍需高度重视数据安全风险。