一文看懂网络安全审查新规

前言

2021630日,中国移动出行平台滴滴公司在纽约证券交易所成功上市。两天后,国家互联网信息办公室(以下简称“网信办”)发布一则简短的公告称,网络安全审查办公室按照《网络安全审查办法》,对滴滴出行实施网络安全审查;为配合网络安全审查工作,防范风险扩大,审查期间滴滴出行停止新用户注册。数日后,网信办又发布一则公告,由于滴滴出行等APP严重违法违规收集使用个人信息,因此将滴滴出行等APP予以下架处理。

此后,某些品牌的汽车在行驶过程中采集相关数据可能导致的网络安全隐患也引起相关部门和公众的广泛关注,包括“国有云”在内的诸多与网络安全相关的事件始终撩拨着国人的神经。

20211228日,国家互联网信息办公室审议通过并经发改委等十余部门同意,公布了《网络安全审查办法(2021)》,自2022215日起施行,同时废止了《网络安全审查办法(2020)》。相较于《网络安全审查办法(2020)》,《网络安全审查办法(2021)》的主要修改内容如下:

对应条文

 

《网络安全审查办法》(2020)

 

对应条文数

 

《网络安全审查办法》(2021)

 

1

为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。

1

为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》,制定本办法。

2

关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。

2

关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。

前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人

3

网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

3

网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。

4

在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

4

在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

5

 

 

 

5

运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。

关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。

 

5

 

 

 

5

关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。

关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。

6

对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。

6

对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。

/

/

7

掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查

7

运营者申报网络安全审查,应当提交以下材料:

(一)申报书;

(二)关于影响或可能影响国家安全的分析报告;

(三)采购文件、协议、拟签订的合同等;

(四)网络安全审查工作需要的其他材料。

8

当事人申报网络安全审查,应当提交以下材料:

(一)申报书;

(二)关于影响或者可能影响国家安全的分析报告;

(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件

(四)网络安全审查工作需要的其他材料。

 

 

 

 

 

 

9

 

 

 

 

 

 

 

 

9

 

网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

(五)其他可能危害关键信息基础设施安全和国家安全的因素。

 

 

 

 

 

 

10

 

 

 

 

 

 

 

 

10

网络安全审查重点评估采购网络产品和服务可能带来的相关对象或者情形的以下国家安全风险因素:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;

(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;

(七)其他可能危害关键信息基础设施安全、和国家安全网络安全和数据安全的因素。

13

特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。

14

特别审查程序一般应当在45个工作日内90个工作日内完成,情况复杂的可以延长。

15

网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。

16

网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。

了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。

16

参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。

17

参与网络安全审查的相关机构和人员应当严格保护企业商业秘密知识产权,对在审查工作中知悉的商业秘密个人信息运营者当事人、产品和服务提供者提交的未公开材料,以及其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或者用于审查以外的目的。

19

  运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。

20

当事人违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条《中华人民共和国数据安全法》的规定处理。

20

 

 

 

 

 

20

本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

21

 

 

 

 

 

21

本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。

21

涉及国家秘密信息的,依照国家有关保密规定执行。

22

涉及国家秘密信息的,依照国家有关保密规定执行。

国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。

 

结语

 

仅时隔一年多,《网络安全审查办法(2020)》就迎来了重大修订,我们理解,这在很大程度上体现出政府部门对数据安全合规监管的重视和决心。不过我们也发现,《网络安全审查办法(2021)》在具体操作层面依然存在一些不足。例如,特别审查程序不够完善,一旦启动特别审查程序,如网络安全审查办公室与相关监管部门对审查结论建议仍无法达成一致意见,应当如何处理?对此,《网络安全审查办法(2021)》并未明确。又如,《网络安全审查办法(2021)》规定,违反该办法的,应依照《网络安全法》和《数据安全法》的规定处理,但该表述过于笼统,一旦数据运营者存在相关违法行为,有权机关该如何适用前述两部法律予以惩戒?总体而言,网络安全监管仍任重道远,我们期待相关部门后续出台相关的配套性规定,从而为数据运营者的网络安全合规提供更为具体的指引。

  • 本站声明:本站所载之法律论文、法律评论、案例、法律咨询等,除非另有注明,著作权人均为站长杨春宝高级律师本人。欢迎其他网站链接,但是,未经书面许可,不得擅自摘编、转载。引用及经许可转载时均应注明作者和出处"法律桥",并链接本站。本站网址:http://www.LawBridge.org。
  •  
  •         本站所有内容(包括法律咨询、法律法规)仅供参考,不构成法律意见,本站不对资料的完整性和时效性负责。您在处理具体法律事务时,请洽询有资质的律师。本站将努力为广大网友提供更好的服务,但不对本站提供的任何免费服务作出正式的承诺。本站所载投稿文章,其言论不代表本站观点,如需使用,请与原作者联系,版权归原作者所有。

发表评论