檔案全文
網路產品和服務安全網路產品和服務安全審查辦法
(徵求意見稿)
第一條網路產品和服務的安全性、可控性直接影響用戶利益、關係國家安全。為提高網路產品和服務安全可控水平,防範供應鏈安全風險,維護國家安全和公共利益,依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》,制定本辦法。
第二條關係國家安全和公共利益的信息系統使用的重要網路產品和服務,應當經過網路安全審查。
第三條堅持企業承諾與社會監督相結合,第三方評價與政府監管相結合,實驗室檢測、現場檢查、線上監測、背景調查相結合,對網路產品和服務及其提供者進行網路安全審查。
第四條重點審查網路產品和服務的安全性、可控性,主要包括:
(一)產品和服務被非法控制、干擾和中斷運行的風險;
(二)產品及關鍵部件研發、交付、技術支持過程中的風險;
(三)產品和服務提供者利用提供產品和服務的便利條件非法收集、存儲、處理、利用用戶相關信息的風險;
(四)產品和服務提供者利用用戶對產品和服務的依賴,實施不正當競爭或損害用戶利益的風險;
(五)其他可能危害國家安全和公共利益的風險。
第五條國家網際網路信息辦公室會同有關部門成立網路安全審查委員會,負責審議網路安全審查的重要政策,統一組織網路安全審查工作,協調網路安全審查相關重要問題。
網路安全審查辦公室具體組織實施網路安全審查。
第六條網路安全審查委員會聘請相關專家組成網路安全審查專家委員會,在第三方評價基礎上,對網路產品和服務的安全風險及其提供者的安全可信狀況進行綜合評估。
第七條國家統一認定網路安全審查第三方機構,承擔網路安全審查中的第三方評價工作。
第八條根據國家有關部門要求、全國性行業協會建議、市場反映和企業申請等,網路安全審查辦公室組織第三方機構、專家對網路產品和服務進行網路安全審查,並發布或在一定範圍內通報審查結果。
第九條金融、電信、能源等重點行業主管部門,根據國家網路安全審查工作要求,組織開展本行業、本領域網路產品和服務安全審查工作。
第十條黨政部門及重點行業優先採購通過審查的網路產品和服務,不得採購審查未通過的網路產品和服務。
第十一條關鍵信息基礎設施運營者採購的網路產品和服務,可能影響國家安全的,應當經過網路安全審查。
關鍵信息基礎設施運營者採購的網路產品和服務是否影響國家安全,由關鍵信息基礎設施保護工作部門確定。
第十二條承擔網路安全審查的第三方機構,應堅持客觀、公正、公平的原則,參照有關標準,重點從可控性、透明性、可信性等方面,對網路產品和服務及提供者進行評價,並對評價結果負責。
第十三條網路產品和服務提供者應對網路安全審查工作予以配合。
第三方機構等相關單位和人員對審查工作中獲悉的信息等承擔安全保密義務,不得用於網路安全審查以外的目的。
第十四條網路安全審查辦公室不定期發布對網路產品和服務提供者的安全評估報告。
第十五條本辦法由國家網際網路信息辦公室負責解釋。
第十六條本辦法自2017年 月 日起實施。
檔案解讀
《網路產品和服務安全審查辦法》意見稿明確,重點審查網路產品和服務的安全性、可控性,主要包括:
(一)產品和服務被非法控制、干擾和中斷運行的風險;
(二)產品及關鍵部件研發、交付、技術支持過程中的風險;
(三)產品和服務提供者利用提供產品和服務的便利條件非法收集、存儲、處理、利用用戶相關信息的風險;
(四)產品和服務提供者利用用戶對產品和服務的依賴,實施不正當競爭或損害用戶利益的風險;
(五)其他可能危害國家安全和公共利益的風險。意見稿列舉的審查重點關注的幾種風險分別包括穩定性方面、供應鏈安全方面、用戶自主支配其信息方面、用戶保持獨立自主方面。網路安全審查並非審查、評估產品和服務的業務性能,而是其在輸出功能的過程中會不會擅自採取一些自選動作,以及有沒有可能被非法篡改、干擾、中斷等。用更通俗的話來說,即影響或可能影響國家安全的產品和服務必須絕對“忠於用戶”,至於產品和服務本身的功能、性能有多大或夠不夠用,不是審查的重點。
