新版《網絡安全審查辦法》助推企業構筑更加健全的安全防線

2022年1月4日，國家互聯網信息辦公室會同國家發展改革委、工業和信息化部等多個部門聯合發布了新的《網絡安全審查辦法》(以下簡稱《辦法》)。此次新修訂的《辦法》共23條，對2020年4月13日公布的原版內容作出了修訂。《辦法》堅持以關鍵信息基礎設施的供應鏈安全為核心，重點加強對數據安全的關注和規范，聚焦網絡產品和服務以及數據處理活動，助推關鍵信息基礎設施和網絡平臺高質量發展，對于進一步深化落實總體國家安全觀、強化重點行業領域網絡安全風險防范、維護企業合法權益和業務連續性具有重要意義。

一、《辦法》是進一步深化落實統籌國內國際兩個大局，統籌發展和安全兩件大事的重要體現

《辦法》以促進網絡安全產品和服務高質量發展、實現高水平安全為導向，以保障網絡安全和數據安全為出發點和落腳點，堅持防范網絡安全風險與促進先進技術應用相結合，充分發揮網絡安全審查基礎保障作用，服務國家網絡安全重大戰略布局，有效利用法制手段推進國家網絡安全治理體系和治理能力現代化建設，推動實現關鍵信息基礎設施運營者采購網絡安全產品和服務，網絡平臺運營者開展數據處理活動的安全性、開放性、透明性、來源的多樣性，以及供應渠道的可靠性，防范因政治、外交、貿易等因素導致供應鏈被迫中斷的風險，切實為國家安全、數字經濟發展和社會穩定運行筑牢網絡安全防線。

《辦法》的出臺是提升網絡空間治理能力、推進國家治理體系和治理能力現代化的必然要求，是用法制手段保障網絡安全的重要舉措。網絡安全審查工作有利于推動安全和發展雙輪并進，以安全保發展、以發展促安全，樹立底線思維，加強安全可靠產業鏈供應鏈建設；有利于促進網絡安全供給側、需求側協同發展，將網絡安全更好的融入國內國際雙循環新發展格局，推動實現網絡安全技術、產品和服務的協調發展，強化網絡安全產業供給能力，助力數字經濟穩步發展。

二、《辦法》有利于提升相關行業和領域供應鏈安全及數據安全風險防范能力

《辦法》在第五條和第十六條中提出“關鍵信息基礎設施運營者采購網絡產品和服務的，應當預判該產品和服務投入使用后可能帶來的國家安全風險。”“關鍵信息基礎設施安全保護工作部門可以指定本行業、本領域預判指南。”“為了預防風險，當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施。”這些要求為我國關鍵信息基礎設施運營者建立了采購及使用網絡產品和服務引入安全風險的預判及審查機制。近年來，全球關鍵信息基礎設施網絡安全事件層出不窮，涉及能源、醫療、制造等國計民生領域，對當地社會發展與穩定造成嚴重影響。其中針對系統中第三方產品或服務安全漏洞及脆弱性的惡意利用是破壞關鍵信息基礎設施的重要手段，可能造成設備損壞、系統失效、重要數據泄露等后果。《辦法》的實施，有利于關鍵信息基礎設施運營者和網絡平臺運營者進一步強化網絡安全和數據安全意識，引導關鍵信息基礎設施運營者和網絡平臺運營者將風險保障工作關口前移，防范網絡產品及服務供應鏈中引入安全漏洞、惡意后門，從源頭消解安全風險，為關鍵信息基礎設施防范供應鏈安全和數據安全風險提供保障。

三《辦法》有助于推動實現“高質量+高可靠”發展

《辦法》第三條中明確“網絡安全審查堅持防范網絡安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合”。《辦法》建立了完整的網絡安全審查組織架構、規范的網絡安全審查流程、公正的網絡安全審查機制，可有效引導相關主體落實網絡安全責任，推動網絡產品及服務市場健康有序發展。網絡安全審查工作充分考慮了當事人建設、生產、服務、研發及投融資等各方面發展需求，構建了中央網信委領導下完整的網絡安全審查組織架構，保證網絡安全審查活動公正性和透明度。審查重點為產品或服務用于相關場景下可能引入的脆弱性問題以及數據處理活動安全性或對國家安全的影響。《辦法》的公開性、規范性、客觀性可有效推動關鍵信息基礎設施運營者、網絡平臺運營者根據要求主動申報網絡安全審查，消解供應鏈安全風險；有效推動網絡產品及服務供應商追求“高質量+高可靠”的良性方向發展。

此外，《辦法》中對網絡平臺運營者數據處理活動提出了更加明確的要求：“掌握超過100萬用戶個人信息并赴國外上市的網絡平臺運營者必須申報網絡安全審查”。當前眾多科技、消費及金融公司借助互聯網平臺已經掌握了大量我國基礎資源數據、公民個人數據及行為數據，該類平臺企業在開展國外上市融資過程中，針對國外金融監管要求，將大量可能帶來國家安全風險的數據提供出國，這一問題已成為國家的重大隱患、企業的巨大風險，已經嚴重影響企業的正常生產經營活動，威脅國家安全。《辦法》的實施有助于消除數據安全監管“灰色地帶”，將風險防范控制在事前，防止相關主體出現數據安全風險后“補救困難”的情況出現，讓相關主體在安全框架下穩步發展。