4月27日，国家互联网信息办公室（以下简称“国家网信办”）联合国家发展和改革委员会、工业和信息化部、公安部等11个部门，共同发布《网络安全审查办法》（以下简称“《办法》”）。《办法》将于2020年6月1日起生效，届时，《网络产品和服务安全审查办法（试行）》失效。

总览全文，可将《办法》视为《网络安全法》第三十五条“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应通过国家网信部门会同国务院有关部门组织的国家安全审查”及《国家安全法》第五十九条“国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的网络信息技术产品和服务，以及其他重大事项和活动，进行国家安全审查”两个条款的细化和补充。

相较2017年5月发布的《网络产品和服务安全审查办法（试行）》与2019年5月发布的《网络安全审查办法（征求意见稿）》（以下简称“《办法（征求意见稿）》”），《办法》的法律层级提高为部门规章，并将立法目的从“提高关键信息基础设施安全可控水平”变为“确保关键信息基础设施供应链安全”，安全审查从技术安全走向供应链安全，更强调事前的风险防控与全流程全方位的风险控制。《办法》不仅是关键信息基础设施运营者（以下简称“运营者”）与产品与服务提供者履行网络安全管理义务的重要依据，也是监管部门落实网络安全审查工作的行动指南。下文将从关键信息基础设施运营者、产品和服务提供者及监管部门等不同主体为视角，解读《网络安全审查办法》合规要点。

一 关键信息基础设施运营者

《办法》所规定的网络安全审查适用于关键信息基础设施运营者影响或可能影响国家安全的网络产品和服务采购活动。关键信息基础设施运营者在网络安全审查工作中扮演着重要角色，承担着风险预判与网络安全审查申报的重要责任。

一方面，《办法》要求运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。《办法》虽删除了《办法（征求意见稿）》中运营者应“与产品和服务提供者约定网络安全审查通过后合同方可生效”的表述，但国家网信办有关负责人在《网络安全审查办法》答记者问中仍建议，运营者应在与产品和服务提供者正式签署合同前申报网络安全审查。若在签署合同后申报网络安全审查，建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效，以避免因未通过网络安全审查而造成损失。

另一方面，运营者需承担预判某产品和服务的采购活动是否应申报网络安全审查的义务。《办法》第五条规定，运营者采购网络产品和服务的，应预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应向网络安全审查办公室申报网络安全审查。运营者申报网络安全审查，应提交以下材料：（一）申报书；（二）关于影响或可能影响国家安全的分析报告；（三）采购文件、协议、拟签订的合同等；（四）网络安全审查工作需的其他材料。同时，运营者需配合网络安全审查办公室要求及时履行补充材料等相关义务。若运营者存在“应报未报”或使用未通过网络安全审查的产品和服务等情形的，则应按照《网络安全法》第六十五条规定，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

根据《网络安全法》第三十一条，关键信息基础设施包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要行业和领域。在《网络安全审查办法》答记者问中，国家网信办有关负责人指出，根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神，电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时，应按照《办法》要求考虑申报网络安全审查。而网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。然而，由于《关键信息基础设施安全保护条例（征求意见稿）》暂未生效，且目前尚无相关监管部门发布特定行业和领域关键信息基础设施运营者的具体范围，关键信息基础设施运营者的认定仍需通过后续立法和执法实践进一步明确。

本团队建议，运营者应建立产品和服务采购审查机制，将《办法》第九条的重点考虑因素融入采购标准，对欲合作的产品和服务提供者进行尽职调查，并将产品和服务提供者对不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等承诺在合同中予以明确。采购合同可将通过网络安全审查作为合同生效的条件，或在通过网络安全审查后再签署正式的采购合同。同时，《办法》强调“供应链安全”，重视供应渠道的可靠性与产品和服务中断对运营者的影响。运营者可在合同中对产品和服务提供者保障服务连续性的义务及服务中断后应承担的责任作出约定。在预判该产品和服务投入使用后可能带来的国家安全风险时，由于目前尚未出台具体的预判指南，建议运营者与相关监管部门就自身是否属于关键信息基础设施运营者及网络安全审查申报的启动标准等情况保持密切沟通，以降低因“应报未报”而遭受行政处罚的风险。而在通过网络安全审查与产品和服务提供者达成正式合作后，运营者还需持续监督产品和服务提供者履行网络安全审查中作出的承诺。网络安全审查办公室通过接受举报等形式加强事前事中事后监督。

二 产品和服务提供者 

在网络安全审查工作中，产品和服务提供者的作用同样不可忽视。实际上，网络安全审查评估核心即为产品和服务提供者本身及其提供的产品和服务的合法合规情况。《办法》第九条规定了网络安全审查的评估重点：

（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（五）其他可能危害关键信息基础设施安全和国家安全的因素。

从上述重点评估因素可知，产品和服务提供者的合法合规性、产品和服务的安全性及连续性是通过网络安全审查的关键。因此，为提高运营者通过网络安全审查的成功率，保障自身商业机会，产品和服务提供者首先应重视自身网络安全制度构建并确保自身产品和服务符合相关国家标准的强制性要求。产品和服务提供者还可根据不同行业特性设计具有针对性的产品和服务以满足该行业的特殊要求。其次，做好因政治、外交、贸易等因素导致供应受影响的应急预案，提高供应链的连续性与可靠性。同时，与运营者保持密切沟通，积极配合运营者的网络安全审查申报工作，以降低未通过网络安全审查而导致的损失。在运营者通过网络安全审查与其正式达成合作后，产品和服务提供者仍需对其产品和服务提供安全维护，当发现其网络产品、服务存在安全缺陷、漏洞等风险时，应立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

三 监管部门 

《办法》规定设在国家互联网信息办公室的网络安全审查办公室负责制定网络安全审查相关制度规范，组织网络安全审查。具体的审查工作不再沿用《网络产品和服务安全审查办法（试行）》中的第三方评估，而是先由网络安全审查办公室负责受理申报和初步审查（中国网络安全审查技术与认证中心在网络安全审查办公室的指导下，承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务），再由网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门对网络安全审查办公室的审查结论建议回复书面意见。当网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见不一致时，按照特别审查程序处理，并通知运营者。

按照特别审查程序处理的，网络安全审查办公室应听取相关部门和单位意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知运营者。

此外，若运营者未申报网络安全审查，而网络安全审查工作机制成员单位认为该网络产品和服务采购活动影响或可能影响国家安全，可由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照《办法》的规定进行审查。

为更直观地理解《办法》相关规定，本团队将以图示方式展现网络安全审查的具体流程：

四 结语

《办法》将于2020年6月1日起正式实施，留给运营者的过渡期仅有一个多月。本团队建议，运营者应及时对内部产品和服务采购制度进行审查，根据《办法》要求予以更新优化，并对已有产品和服务是否存在被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险进行评估和完善。运营者可重新评估产品和服务提供者的产品和服务风险程度及连续性，并在后续采购和使用过程中将《办法》相关要求贯穿合作全流程。《办法》第五条规定，关键信息基础设施保护工作部门可制定本行业、本领域预判指南。运营者应对本行业或领域中的立法执法情况保持关注，以便对法律或政策变动作出灵活应对。

作者：吴丹君律师 张振君律师助理

来源：微信公众号“大数据法律研究”