第一 条 为了 确保 关键 信息 基础 设施 供应 链 安全 , 维护 国家 安全 , 依据 《中华人民共和国 国家 安全 法》 《中华人民共和国 网络 安全 法》 , 制定 本 办法。
第二 条 关键 信息 基础 设施 运营 者 (以下 简称 运营 者) 采购 网络 产品 和 服务 , 影响 或 可能 影响 国家 安全 的 , 应当 按照 本 办法 进行 网络 安全 审查。
第三 条 网络 安全 审查 坚持 防范 网络 安全 风险 与 促进 先进 技术 应用 相 结合 、 事前 审查 与 持续 监管 相 结合 、 企业 承诺 与 社会 监督 相 结合 , 从 产品 和 服务 安全性 、 可能 带来 的 国家 安全 风险 等 方面 进行 审查。
第四 条 在 中央 网络 安全 和 信息 化 委员会 领导 下 , 国家 互联网 信息 办公室 会同 中华人民共和国 国家 发展 和 改革 委员会 、 中华人民共和国 工业 和 信息 化 部 、 中华人民共和国 公安部 、 中华人民共和国 国家 安全 部 、中华人民共和国 财政部 、 中华人民共和国 商务部 、 中国人民银行 、 国家 市场 监督 管理 总局 、 国家 广播 电视 总局 、 国家 保密 局 、 国家 密码 管理局 建立 国家 网络 安全 审查 工作 机制。
网络 安全 审查 办公室 设 在 国家 互联网 信息 办公室 , 负责 制定 网络 安全 审查 相关 制度 规范 , 组织 网络 安全 审查。
第五 条 运营 者 采购 网络 产品 和 服务 的 , 应当 预 判 该 产品 和 服务 投入 使用 或者 可能 影响 国家 安全 的 , 应当 向 网络 安全 审查 办公室 申报 网络 安全 审查。
关键 信息 基础 设施 保护 工作 部门 可以 制定 本 行业 、 本 领域 预 判 指南。
第六 条 对于 申报 网络 安全 审查 的 采购 活动 , 运营 者 应 通过 采购 文件 配合 协议 安全 审查 , 包括 承诺 不 利用 提供 产品 和 服务 的 便利 条件 非法 获取 用户 数据 、 非法和 操纵 用户 设备 , 无正当理由 不 中断 产品 供应 或 必要 的 技术 支持 服务 等。
第七 条 运营 者 申报 网络 安全 审查 , 应当 提交 以下 材料 :
(一) 申报 书 ;
(二) 关于 影响 或 可能 影响 国家 安全 的 分析 报告 ;
(三) 采购 文件 、 协议 、 拟 签订 的 合同 等 ;
(四) 网络 安全 审查 工作 需要 的 其他 材料。
第八 条 网络 安全 审查 办公室 应当 自 收到 审查 申报 材料 起 , 10 个 工作 日内 确定 是否 需要 审查 并 书面 通知 运营 者。
第九条 网络 安全 审查 重点 评估 采购 网络 产品 和 服务 可能 带来 的 国家 安全 风险 , 主要 考虑 以下 因素 :
(一) 产品 和 服务 使用 后 带来 的 关键 信息 基础 设施 被 非法 控制 、 遭受 干扰 或 破坏 , 以及 重要 数据 被 窃取 、 泄露 、 毁损 的 风险 ;
(二) 产品 和 服务 供应 中断 对 关键 信息 基础 设施 业务 连续性 的 危害 ;
(三) 产品 和 服务 的 安全 性 、 开放 性 、 透明 性 、 来源 的 多样性 , 供应 渠道 的 可靠性 以及 因为 政治 、 外交 、 贸易 等 因素 导致 供应 中断 的 风险 ;
(四) 产品 和 服务 提供 者 遵守 中国 法律 、 行政 法规 、 部门 规章 情况 ;
(五) 其他 可能 危害 关键 信息 基础 设施 安全 和 国家 安全 的 因素。
第十 条 网络 安全 审查 办公室 认为 需要 开展 网络 安全 审查 的 , 应当 自 向 运营 者 发出 书面 通知 之 日 起 审查 结论 建议 和 将 审查 结论 建议 发送 网络 安全 审查 工作机制 成员 单位 、 相关 关键 信息 基础 设施 保护 工作 部门 征求 意见 ; 情况 复杂 的 , 可以 延长 30 个 工作日。
第十一条 网络 安全 审查 工作 机制 成员 单位 和 相关 关键 信息 基础 设施 保护 工作 部门 应当 自 收到 审查 结论 建议 之 日 起 15 个 工作 日内 书面 回复 意见。
网络 安全 审查 工作 机制 成员 单位 、 相关 关键 信息 基础 设施 保护 工作 部门 意见 形式 的 审查 结论 通知 运营 者 ; 意见 不一致 的 , 按照 特别 审查 程序 处理 , 并 通知 运营 者
第十二 条 按照 特别 审查 程序 处理 的 , 网络 安全 审查 办公室 应当 听取 相关 部门 再次 单位 审查 结论 建议 , 并 征求 网络 安全 审查 工作 机制 成员 单位 和 相关 关键 信息 基础 设施 保护工作 部门 意见 , 按 程序 报 中央 网络 安全 和 信息 化 委员会 批准 后 , 形成 审查 结论 并 书面 通知 运营 者。
第十三 条 特别 审查 程序 一般 应当 在 45 个 工作 日内 完成 , 情况 复杂 的 可以 适当 延长。
第十四 条 网络 安全 审查 办公室 要求 提供 补充 材料 的 , 运营 者 、 产品 和 服务 提供 者 应当 予以 配合。 提交 补充 材料 的 时间 不 计入 审查 时间。
第十五 条 网络 安全 审查 工作 机制 成员 单位 认为 影响 或 可能 影响 国家 安全 的 办公室 按 程序 报 中央 网络 安全 和 信息 化 委员会 批准 后 , 依照 本 办法 的 规定 进行 审查。
第十六 条 参与 网络 安全 审查 的 相关 机构 和 人员 应 严格 保护 企业 商业 秘密 和 知识产权 , 提交 的 未 公开 材料 , 以及 审查 工作 中 获悉 的 其他 未 公开 信息 承担 保密义务 ; 未经 信息 提供 方 同意 , 不得 向 无关 方 披露 或 用于 审查 以外 的 目的。
第十七 条 运营 者 或 网络 产品 和 服务 提供 者 认为 审查 人员 有失 客观 公正 , 或 未能 义务 的 , 可以 向 网络 安全 审查 办公室 或者 有关部门 举报。
第十八 条 运营 者 应当 督促 产品 和 服务 提供 者 履行 网络 安全 审查 中 作出 的 承诺。
网络 安全 审查 办公室 通过 接受 举报 等 形式 加强 事前 事 中 事后 监督。
第十九 条 运营 者 违反 本 办法 规定 的 , 依照 《中华人民共和国 网络 安全 法》 第六 十五 条 的 规定 处理。
第二十条 本 办法 中 关键 信息 基础 设施 运营 者 是 指 经 关键 信息 基础 设施 保护 工作 部门 认定 的 运营 者。
本 办法 所称 网络 产品 和 服务 主要 指 核心 网络 设备 、 高性能 计算机 和 服务器 应用 软件 、 网络 安全 设备 、 云 计算 服务 , 以及 其他 对 关键 信息 基础 设施 安全 有 重要 影响的 网络 产品 和 服务。
第二十 一条 涉及 国家 秘密 信息 的 , 依照 国家 有关 保密 规定 执行。
第二十 二条 本 办法 自 2020 年 6 月 1 日 起 实施 , 《网络 产品 和 服务 安全 审查 办法 (试行)》 同时 废止。