2020年4月27日,由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局联合制定的《网络安全审查办法》正式对外发布,并于同年6月1日起实施。
如今,国家互联网信息办公室首次对企业启动网络安全审查,引起社会各界的高度关注。那什么是“网络安全审查”?主要审查哪些内容?有什么意义呢?我们来就相关问题进行一下梳理。
1. 网络安全审查的法律依据
2020年4月27日发布、同年6月1日实施的《网络安全审查办法》(以下简称“《办法》”)依据2015年7月1日颁布实施的《中华人民共和国国家安全法》(以下简称“《国安法》”)和2016年11月7日颁布、2017年6月1日实施的《中华人民共和国网络安全法》(以下简称“《网安法》”)制定。
其中,《国安法》第五十九条规定:国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
《网安法》第三十五条明确规定:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
《办法》第二条规定:关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全至关重要。我国建立网络安全审查制度,目的是通过网络安全审查这一举措,及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。《网络安全审查办法》的出台,为我国开展网络安全审查工作提供了重要的制度保障。
2. 网络安全审查主要审查哪些内容?
根据《网络安全审查办法》第九条的规定,网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:
(1)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(2)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(3)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(4)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(5)其他可能危害关键信息基础设施安全和国家安全的因素。
3. 网络安全审查可能面临什么后果?
《办法》第十九条援引至《网安法》第六十五条,系相关的法律责任条款,具体如下:
《办法》第十九条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。
《网安法》第六十五条 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
因此,如若切实违反《办法》规定,相关机构的很可能会面临责令停止使用相关网络产品或服务,对机构、直接负责的主管人员和其他直接责任人员处以罚款。此外,不排除适用《国安法》规定的更严格的法律责任的可能性。
4. 相关机构网络安全审查需要多久?
根据《办法》发布时的解读:通常情况下,网络安全审查在30个工作日内完成,情况复杂的会延长15个工作日。
进入特别审查程序的审查项目,可能还需要45个工作日或者更长。根据《办法》要求,补充提供材料的时间不计入审查时限。
5. 网络安全审查向谁申报?
《办法》指出,网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。
6. 除网络安全审查,机构还需关注哪些安全审查?
除了《国安法》《网安法》确定的网络安全审查制度,即将于2021年9月1日生效的《数据安全法》确定了数据安全审查制度。
第二十四条规定:国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
值得注意的是,国家依法作出的数据安全审查决定为最终决定,这意味着数据安全审查的决定一经作出即告生效,将无法通过行政复议、行政诉讼等形式进行申诉。
数据安全审查,从业机构们亦应予以高度关注,在数据安全审查制度的配套立法出台后,及时开展合规安排。
综上,网络安全审查是为保障关键信息基础设施供应链安全,维护国家安全而建立的一项重要制度,对保障国家安全具有重要意义。