◎網信軍民融合編輯部 張輝

4 月27 日，為應對新的網絡安全威脅和風險，國家互聯(lián)網信息辦公室等12 部門正式發(fā)布了《網絡安全審查辦法》（以下簡稱《辦法》），開啟了我國網絡安全審查的新篇章。這是在網絡空間安全形勢日益尖銳復雜的情況下，針對我國網絡空間治理的核心問題和關鍵環(huán)節(jié)，聚焦關鍵信息基礎設施供應鏈安全，加強網絡安全綜合治理，實施網絡強國戰(zhàn)略的重大舉措。

一、我國網絡安全審查制度的發(fā)展歷程

2014 年5 月，我國正式宣布將推出網絡安全審查制度。2015 年7 月通過的《國家安全法》第五十九條規(guī)定，國家建立國家安全審查和監(jiān)管的制度和機制，對影響或者可能影響國家安全的網絡信息技術產品和服務，以及其他重大事項和活動，進行國家安全審查。國家安全審查制度成為網絡安全審查的上位制度。2016 年7 月，《國家信息化發(fā)展戰(zhàn)略綱要》明確我國要建立實施網絡安全審查制度。2016 年11 月通過的《網絡安全法》第三十五條規(guī)定，“關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查”，正式開啟了網絡安全審查制度法治化的歷程。

為貫徹落實《網絡安全法》規(guī)定的網絡安全審查制度，2017 年5 月22 日，國家互聯(lián)網信息辦公室發(fā)布《網絡產品和服務安全審查辦法（試行）》（以下簡稱《試行辦法》）?！对囆修k法》規(guī)定了網絡安全審查的內容、審查機構和審查程序等核心制度，確保了網絡安全審查的標準公開、程序透明、結論公正。

通過《試行辦法》的實施，國家對構建網絡安全審查制度進行了大量有益的探索。同時，隨著物聯(lián)網、區(qū)塊鏈、人工智能、量子計算等新技術和新應用的出現(xiàn)，網絡空間的大國博弈日趨激烈，網絡安全形勢發(fā)生了重大變化。為應對新的網絡安全威脅和風險，同時修正《試行辦法》的不足之處，國家互聯(lián)網信息辦公室等12 個部門2020 年4 月13 日印發(fā)《辦法》，開啟了我國網絡安全審查制度的新時代。

二、《辦法》的主要內容

與《試行辦法》相比，新的《辦法》在適用范圍、審查主體及判定因素等方面都有顯著變化，更具戰(zhàn)略性、優(yōu)先性和針對性。

（一）審查適用范圍

《辦法》從適應國際網絡安全新形勢、滿足維護國家安全新需要的角度出發(fā)，聚焦“確保關鍵信息基礎設施供應鏈安全”，對關鍵信息基礎設施運營者采購網絡產品和服務，影響或可能影響國家安全的，進行網絡安全審查。

《辦法》對審查的適用范圍進行了再聚焦，其中，第二十條對涉及的“關鍵信息基礎設施運營者”和當前重點關注的“網絡產品和服務”范圍給出了清晰界定：關鍵信息基礎設施運營者是指經關鍵信息基礎設施保護工作部門認定的運營者。網絡產品和服務主要指核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。這使網絡安全審查工作更具可操作性，既符合當前我國維護國家安全自身利益的需求，也符合WTO 安全例外原則。

根據中央網絡安全和信息化委員會《關于關鍵信息基礎設施安全保護工作有關事項的通知》精神，電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛(wèi)生健康、社會保障、國防科技工業(yè)等行業(yè)領域的重要網絡和信息系統(tǒng)運營者在采購網絡產品和服務時，應當按照《辦法》要求考慮申報網絡安全審查。

（二）審查主體的責任

《辦法》的一個重要變化是審查主體由原來的“網絡產品和服務提供者”調整為“關鍵信息基礎設施運營者”，將“關鍵信息基礎設施運營者”作為整個審查流程中連接各方的核心節(jié)點，承擔主體責任。這一變化抓住了要害，厘清了整個審查機制和流程中各方的責任和義務，突出了審查工作需要各方協(xié)同配合、群策群力的特點，有助于健全網絡安全審查長效機制。

《辦法》第五條規(guī)定，運營者采購網絡產品和服務的，應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查。關鍵信息基礎設施保護工作部門可以制定本行業(yè)、本領域預判指南。第六條規(guī)定，對于申報網絡安全審查的采購活動，運營者應通過采購文件、協(xié)議等要求產品和服務提供者配合網絡安全審查，包括承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備，無正當理由不中斷產品供應或必要的技術支持服務等。第十四條規(guī)定，網絡安全審查辦公室要求提供補充材料的，運營者、產品和服務提供者應當予以配合。提交補充材料的時間不計入審查時間。

另外，《辦法》第十九條指出了運營者違反《辦法》規(guī)定應承擔的法律責任，根據《網絡安全法》第六十五條依法處理。應當申報網絡安全審查而沒有申報的，或者使用網絡安全審查未通過的產品和服務，由有關主管部門責令停止使用，處采購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

（三）審查重點內容

《辦法》第九條規(guī)定，網絡安全審查重點評估關鍵信息基礎設施運營者采購網絡產品和服務可能帶來的國家安全風險，包括：產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險；產品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害；產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；產品和服務提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況；其他可能危害關鍵信息基礎設施安全和國家安全的因素。

其中，審查內容增加了“產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險”，是一個突出變化?？v觀國際形勢，近年來網絡空間風云變幻，很多國家紛紛出臺、修訂政策法規(guī)加強供應鏈安全的審查、評估，其中也不乏以國家安全為由實施商業(yè)禁令的例子。政治、外交、貿易等非技術因素導致供應中斷的可能性增強，供應商的來源和供應商的可靠性等非技術性因素，已經成為多個國家評估供應鏈安全風險的重要方面。與發(fā)達國家相比，我國的供應鏈安全面臨著更加嚴峻的風險挑戰(zhàn)，因此《辦法》增加了這方面的規(guī)定，體現(xiàn)了我國對國家安全新形勢、新問題與時俱進的考慮。

（四）審查程序

通常情況下，關鍵信息基礎設施運營者應當在與產品和服務提供方正式簽署合同前申報網絡安全審查。如果在簽署合同后申報網絡安全審查，建議在合同中注明此合同須在產品和服務采購通過網絡安全審查后方可生效，以避免因為沒有通過網絡安全審查而造成損失。

《辦法》第七條規(guī)定了運營者申報網絡安全審查應當提交的材料，包括：申報書；關于影響或可能影響國家安全的分析報告；采購文件、協(xié)議、擬簽訂的合同等；網絡安全審查工作需要的其他材料。

通常情況下，網絡安全審查在45 個工作日內完成，情況復雜的會延長15 個工作日。進入特別審查程序的審查項目，可能還需要45 個工作日或者更長。根據《辦法》要求，補充提供材料的時間不計入審查時限。

根據《辦法》，網絡安全審查辦公室設在國家互聯(lián)網信息辦公室。具體工作委托中國網絡安全審查技術與認證中心承擔。中國網絡安全審查技術與認證中心在網絡安全審查辦公室的指導下，承擔接收申報材料、對申報材料進行形式審查、具體組織審查工作等任務。

（五）對運營者權益的保護

網絡安全審查充分尊重和嚴格保護企業(yè)的知識產權?！掇k法》第十六條規(guī)定，參與網絡安全審查的相關機構和人員應嚴格保護企業(yè)商業(yè)秘密和知識產權，對關鍵信息基礎設施運營者、產品和服務提供者提交的未公開材料，以及審查工作中獲悉的其他未公開信息承擔保密義務；未經信息提供方同意，不得向無關方披露或用于審查以外的目的。第十七條規(guī)定，關鍵信息基礎設施運營者或產品和服務提供者認為審查人員有失客觀公正，或未能對審查工作中獲悉的信息承擔保密義務的，可以向網絡安全審查辦公室或有關部門舉報。

關鍵信息基礎設施對國家安全、經濟安全、社會穩(wěn)定、公眾健康和安全至關重要。我國建立網絡安全審查制度，目的是通過網絡安全審查這一舉措，及早發(fā)現(xiàn)并避免采購產品和服務給關鍵信息基礎設施運行帶來風險和危害，保障關鍵信息基礎設施供應鏈安全，維護國家安全。《辦法》的出臺，為我國開展網絡安全審查工作提供了重要的制度保障。網絡安全審查制度以《辦法》為基礎，在保障我國關鍵信息基礎設施供應鏈安全，維護國家安全的道路上邁出了重要的一步。