為提高關鍵資訊基礎設施安全可控水準,維護國家安全,依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》等法律法規,國家網際網路信息辦公室會同國家發展和改革委員會、工業和資訊化部、公安部、國家安全部、商務部、財政部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局聯合起草了《網路安全審查辦法(徵求意見稿)》,現向社會公開徵求意見。公眾可通過以下途徑和方式提出反饋意見:
1.登陸中國政府法制資訊網(網址:http://www.chinalaw.gov.cn),進入首頁的“立法意見徵集”提出意見。
2.通過電子郵件方式發送至:shencha@cac.gov.cn。
3.通過信函方式將意見寄至:北京市西城區車公莊大街11號國家網際網路信息辦公室網路安全協調局,郵編100044,並在信封上註明“審查辦法徵求意見”。
意見反饋截止時間為2019年6月24日。
附件:《網路安全審查辦法(徵求意見稿)》
國家網際網路信息辦公室
2019年5月21日
網路安全審查辦法(徵求意見稿)
第一條 為提高關鍵資訊基礎設施安全可控水準,維護國家安全,依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》等法律法規,制定本辦法。
第二條 關鍵資訊基礎設施運營者(以下簡稱運營者)採購網路産品和服務,影響或可能影響國家安全的,應當按照本辦法進行網路安全審查。法律、行政法規另有規定的,依照其規定。
第三條 網路安全審查堅持防範網路安全風險與促進先進技術應用、增強公正透明與保護智慧財産權相統一,堅持事前審查與持續監管、企業承諾與社會監督相結合,從産品和服務安全性、可能對國家安全帶來的風險隱患等方面進行綜合分析評判。
第四條 中央網路安全和資訊化委員會統一領導網路安全審查工作。
第五條 國家網際網路信息辦公室會同國家發展和改革委員會、工業和資訊化部、公安部、國家安全部、商務部、財政部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局建立國家網路安全審查工作機制。網路安全審查辦公室設在國家網際網路信息辦公室,負責組織制定網路安全審查相關制度規定和工作程式、組織網路安全審查、監督審查決定的實施。
第六條 運營者採購網路産品和服務時,應預判産品和服務上線運作後帶來的潛在安全風險,形成安全風險報告。可能導致以下情況的,應當向網路安全審查辦公室申報網路安全審查:
(一)關鍵資訊基礎設施整體停止運轉或主要功能不能正常運作;
(二)大量個人資訊和重要數據洩露、丟失、毀損或出境;
(三)關鍵資訊基礎設施運作維護、技術支援、升級更新換代面臨供應鏈安全威脅;
(四)其他嚴重危害關鍵資訊基礎設施安全的風險隱患。
第七條 對於申報網路安全審查的採購活動,運營者應通過採購文件、合同或其他有約束力的手段要求産品和服務提供者配合網路安全審查,並與産品和服務提供者約定網路安全審查通過後合同方可生效。
第八條 運營者申報網路安全審查時,應當提交以下材料:
(一)申報書;
(二)本辦法第六條中的安全風險報告;
(三)採購合同、協議等;
(四)網路安全審查辦公室要求的其他材料。
第九條 網路安全審查辦公室受理網路安全審查後,應在30個工作日內完成初步審查,情況複雜的可延長15個工作日。
第十條 網路安全審查重點評估採購活動可能帶來的國家安全風險,主要考慮以下因素:
(一)對關鍵資訊基礎設施持續安全穩定運作的影響,包括關鍵資訊基礎設施被控制、被干擾和業務連續性被損害的可能性;
(二)導致大量個人資訊和重要數據洩露、丟失、毀損、出境等的可能性;
(三)産品和服務的可控性、透明性以及供應鏈安全,包括因為政治、外交、貿易等非技術因素導致産品和服務供應中斷的可能性;
(四)對國防軍工、關鍵資訊基礎設施相關技術和産業的影響;
(五)産品和服務提供者遵守國家法律與行政法規情況,以及承諾承擔的責任和義務;
(六)産品和服務提供者受外國政府資助、控制等情況;
(七)其他可能危害關鍵資訊基礎設施安全和國家安全的因素。
第十一條 網路安全審查辦公室完成初步審查後,應形成審查結論建議,並送網路安全審查工作機製成員單位徵求意見。審查結論建議包括通過審查、附條件通過審查、未通過審查三種情況。
網路安全審查工作機製成員單位應在15個工作日內書面回復意見。網路安全審查工作機製成員單位意見一致的,網路安全審查辦公室以書面形式將審查結論反饋運營者;意見不一致的,進入特別審查程式並通知運營者。
第十二條 進入特別審查程式的,網路安全審查辦公室應進一步聽取相關部門、專業機構、專家意見,進行深入分析評估,形成審查結論建議,徵求網路安全審查工作機製成員單位意見後,按程式報中央網路安全和資訊化委員會批准。
第十三條 特別審查原則上應在45個工作日內完成,情況複雜的可以延長。
第十四條 網路安全審查辦公室要求提供補充材料等,運營者應予以配合。審查時間從提交補充材料之日起計算。
運營者應對所提供材料的真實性負責。在審查過程中拒絕按要求提供材料或故意提供虛假材料的,按未通過安全審查處理。
第十五條 參與網路安全審查的人員對審查工作中獲悉的資訊等承擔保密義務,不得用於審查以外的目的。
第十六條 運營者加強安全管理,督促産品和服務提供者認真履行網路安全審查中作出的承諾。
網路安全審查辦公室通過抽查、接受舉報等形式加強事中事後監管。
第十七條 運營者違反本辦法規定的,依照《中華人民共和國網路安全法》第六十五條的規定處理。
第十八條 本辦法中關鍵資訊基礎設施運營者是指經關鍵資訊基礎設施保護工作部門認定的運營者。
安全可控是指産品和服務提供者不得利用提供産品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備,不得利用用戶對産品和服務的依賴性牟取不正當利益或者迫使用戶更新換代等。
第十九條 網路安全審查工作機製成員單位認為影響或可能影響國家安全的網路産品和服務採購活動、資訊技術服務活動,網路安全審查辦公室按程式報中央網路安全和資訊化委員會批准,依照本辦法進行審查。
第二十條 涉及國家秘密資訊的,依照國家有關保密規定執行。
第二十一條 本辦法自 年 月 日起實施,《網路産品和服務安全審查辦法(試行)》同時廢止。
未經允許不得轉載:網信浙江 » 關於《網路安全審查辦法(徵求意見稿)》 國家網信辦公開徵求意見