国家互联网信息办公室于2017年5月2日正式发布《网络产品和服务安全审查办法(试行)》(以下简称“《审查办法》”),作为《网络安全法》的首个配套法规,该办法于2017年6月1日与《网络安全法》同时生效实施。《审查办法》构筑了网络产品和服务国家安全审查(以下简称“网络安全审查”)的基本框架,对网络安全审查的审查对象、审查内容、审查主体、审查启动及方式等进行了原则性规定,以下为《审查办法》的主要内容。
1、审查对象
《审查办法》规定,关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。结合《网络安全法》以及《审查办法》相关规定,作为网络安全审查审查对象的网络产品和服务,应当满足以下两个条件:
网络产品和服务的采购者是关键信息基础设施的运营者。关键信息基础设施主要包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的设施,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的设施。根据《网络安全法》,“关键信息基础设施”的具体范围有待国务院进一步明确。
被采购的网络产品和服务可能影响国家安全。根据《审查办法》,网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定。
2、审查内容
根据《审查办法》,网络安全审查的内容为网络产品和服务的“安全性”和“可控性”,具体包括以下几个方面:
产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;
产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;
产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;
产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险;
其他可能危害国家安全的风险。
3、审查主体
网络安全审查的主体包括网络安全审查委员会、网络安全审查办公室、网络安全审查专家委员会以及第三方评价机构,具体分工如下:
网络安全审查委员会由国家互联网信息办公室和其他政府部门共同成立,统一组织、领导和协调网络安全审查,并负责审议网络安全审查的重要政策。
审查委员会下设网络安全审查办公室,具体组织实施网络安全审查。
网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。
经国家依法认定的第三方评价机构承担网络安全审查中的第三方评价工作。
4、审查的启动及方式
在网络安全审查程序的启动上,网络安全审查办公室根据全国性行业协会建议和用户反映等,按程序确定审查对象,组织第三方机构、专家委员会对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果。此外,金融、电信、能源、交通等重点行业和领域主管部门可以根据国家网络安全审查工作要求组织开展本行业、本领域的网络安全审查工作。
网络安全审查采用第三方评价与政府持续监管相结合的方式,综合采用实验室检测、现场检查、在线监测、背景调查等方法进行审查。
5、对企业的影响
就向关键信息基础设施运营者提供产品和服务的经营者而言,网络安全审查制度的正式实施将会对其产生以下影响:
今后会陆续出台关于网络安全审查的标准、规范等具体制度,经营者应当更加关注产品与服务的安全性能,确保产品和服务符合关于网络安全的各种标准和规范要求。
网络安全审查会基于用户的反映而启动,具有很大随意性和不确定性,要求经营者将用户安全体验放在突出位置,注重对用户信息的保护,避免因泄露用户信息等原因受到网络安全审查。
经营者需要对所提供产品产业链的全过程,包括设计研发、部件采购、生产制造、运行测试、运输交付等所有环节进行严格的安全风险管控,以有效应对供应链安全风险审查。
经营者在向关键信息基础设施运营者提供产品和服务时,就网络安全很可能会被要求作出严格的承诺和保证,并且一旦违反会被追究严重违约责任。
网络安全审查方法包括背景调查,这意味着企业的基本情况、合规状况等同样会对网络安全审查结果产生影响,对企业的全面合规提出了更高要求。
关于《网络产品和服务安全审查办法(试行)》的解读
作者:韩尚武 华珊来源:金诚同达

国家互联网信息办公室于2017年5月2日正式发布《网络产品和服务安全审查办法(试行)》(以下简称“《审查办法》”),作为《网络安全法》的首个配套法规,该办法于2017年6月1日与《网络安全法》同时生效