|
今日上午,国家互联网信息办公室在其官网公开《网络产品和服务安全审查办法(征求意见稿)》(以下简称意见稿),明确提出“党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务”。
2014年5月,国家网信办宣布,为维护国家网络安全、保障中国用户合法利益,中国将推出网络安全审查制度。去年11月7日,第十二届全国人大常委会第二十四次会议表决通过《网络安全法》。该法明确,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
此次对外公开的意见稿进一步明确网络安全审查的范围。意见稿提出,党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务。此外,金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。
意见稿还明确,关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,应当经过网络安全审查。关键信息基础设施运营者采购的网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定。
谁是关键信息基础设施运营者?对此,四川大学网络空间安全研究院特聘副研究员洪延青解释称,其判定标准与网络运营者是属于民营或国营公司、国内或国际公司的身份无关,仅取决于它承担的功能及一旦功能破坏或丧失,或者数据泄露后可能造成的后果。比如网约车平台或电商平台掌握上千万甚至上亿用户的个人信息或支付信息,一旦泄露会影响到社会公众利益,这就算作关键信息基础设施。
国家网信办网络安全协调局局长赵泽良表示,网络安全审查不是普世性的,不是对任何产品和服务都进行审查,只是针对关系到国家安全和国计民生的信息技术产品和服务进行审查。不在乎是谁,关键看它收集多少个人信息或重要信息。
赵泽良表示,此政策对跨境企业有什么影响要根据特定企业具体分析。但可以相信,网络安全法的实施不会限制中国企业走出去,也不会限制外国企业进入中国市场。
附件
网络产品和服务安全审查办法
(征求意见稿)
第一条 网络产品和服务的安全性、可控性直接影响用户利益、关系国家安全。为提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。
第二条 关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查。
第三条 坚持企业承诺与社会监督相结合,第三方评价与政府监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其提供者进行网络安全审查。
第四条 重点审查网络产品和服务的安全性、可控性,主要包括:
(一)产品和服务被非法控制、干扰和中断运行的风险;
(二)产品及关键部件研发、交付、技术支持过程中的风险;
(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;
(四)产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;
(五)其他可能危害国家安全和公共利益的风险。
第五条 国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。
网络安全审查办公室具体组织实施网络安全审查。
第六条 网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。
第七条 国家统一认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。
第八条 根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等,网络安全审查办公室组织第三方机构、专家对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果。
第九条 金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。
第十条 党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务。
第十一条 关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,应当经过网络安全审查。
关键信息基础设施运营者采购的网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定。
第十二条 承担网络安全审查的第三方机构,应坚持客观、公正、公平的原则,参照有关标准,重点从可控性、透明性、可信性等方面,对网络产品和服务及提供者进行评价,并对评价结果负责。
第十三条 网络产品和服务提供者应对网络安全审查工作予以配合。
第三方机构等相关单位和人员对审查工作中获悉的信息等承担安全保密义务,不得用于网络安全审查以外的目的。
第十四条 网络安全审查办公室不定期发布对网络产品和服务提供者的安全评估报告。
第十五条 本办法由国家互联网信息办公室负责解释。
第十六条 本办法自2017年 月 日起实施。
|
