由国家网信办、国家发展改革委等13部门修订的《网络安全审查办法》(以下简称《办法》),于2022年2月15日正式施行,同时废止了2020年4月13日公布的《办法》。
《办法》以关键信息基础设施的供应链安全为核心,重点加强对数据安全的关注和规范,增加根据《数据安全法》的配套规定内容,落实《数据安全法》关于建立数据安全审查制度的要求,聚焦网络产品和服务以及数据处理活动,保障网络安全和数据安全,维护国家安全。
《办法》指出,关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本《办法》进行网络安全审查。
同时,关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。
《办法》还明确指出,掌握超过100万用户个人信息的网络平台运营者,赴国外上市必须向网络安全审查办公室申报网络安全审查。
值得注意的是,网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
和此前颁布的《办法》相比,全国信息安全标准化技术委员会委员李雪莹表示,修订后的《办法》不仅增加了网络平台运营者,还增加了多项数据安全相关条文,对数据安全的重视程度更高、覆盖对象的范围更广、审查指标更加量化。