解讀《網絡安全審查辦法》及其對網絡安全產業供給的影響

日前，國家互聯網信息辦公室等十三部門聯合發布新版《網絡安全審查辦法》（以下簡稱《辦法》），自2022年2月15日起施行。《辦法》有哪些重點內容？其頒布實施將對網絡安全產業發展有何指導意義？本文將從網絡安全產業的視角加以學習分析。

一、《辦法》演進回顧

三個演進階段。原《辦法》自2020年6月1日施行；2021年7月10日國家互聯網信息辦公室發布《辦法》（修訂稿）并公開征求社會意見；2022年1月4日新《辦法》正式公布。

兩個修訂背景。新《辦法》的修訂背景主要有兩個。一是上位法規依據的發展變化，主要是自2021年9月1日起同時施行的《數據安全法》和《關鍵信息基礎設施安全保護條例》；二是網絡安全保護形勢的重要變化，即因國內個別企業赴國外上市等引發社會各界對數據安全保護問題的普遍關注。

一條擴展主線。《辦法》的核心立法目的在于保護關鍵信息基礎設施供應鏈安全。與原版本相比，《辦法》對于數據安全保護內容的強化，是其內容發展的另一條重要主線。體現在對特定“當事人”赴國外上市行為可能引發的數據安全風險作出審查制度安排。

二、《辦法》內容分析

從法律屬性來看，《辦法》集實體法和程序法特點為一體，對網絡安全審查涉及到的審查主體、審查對象和內容、審查流程等做出了體系化的安排。其內容要點分析如下。

01 審查主體

《辦法》明確了網絡安全審查的監管機制，即包括領導機制、工作機制、執行機制在內“三位一體”的監管機制。

首先，在網絡安全審查領導機制層面，明確“在中央網絡安全和信息化委員會領導下”；其次，在網絡安全審查工作機制層面，明確“國家互聯網信息辦公室會同中華人民共和國國家發展和改革委員會、中華人民共和國工業和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局建立國家網絡安全審查工作機制”；再次，在網絡安全審查工作機制層面，明確“網絡安全審查辦公室設在國家互聯網信息辦公室，負責制定網絡安全審查相關制度規范，組織網絡安全審查”。

與征求意見稿相比，《辦法》將中國證券監督管理委員會新增納入網絡安全審查工作機制，不僅呼應了國外上市數據安全保護之立法目的，更意在強化后續相關網絡安全審查工作的專業性和權威性。

02 審查對象

《辦法》對審查對象的規定，主要包括被審查者主體和被審查者行為兩方面。

首先，從被審查者主體方面看。《辦法》將被審查者統稱為“當事人”，包括兩類主體。一是關鍵信息基礎設施運營者，《辦法》刪除了征求意見稿對于運營者的定義（“是指經關鍵信息基礎設施保護工作部門認定的運營者”），很大程度上是因為《關鍵信息基礎設施安全保護條例》已經生效，且明確規定了關基的認定程序，此處從其規定即可，而不必再行明文。二是網絡平臺運營者，《辦法》對于網絡平臺運營者的范圍沒有做出具體規定，但從《辦法》第二條、第七條等內容看，應當包括但不限于“掌握超過100萬用戶個人信息的網絡平臺運營”，這只是網絡平臺運營者中的一類具體代表。

其次，從被審查者行為方面看。《辦法》不僅明確了兩類不同主體有不同的審查側重點，也以專門條款明確列舉了一般的審查對象范圍。一是審查側重點，對關基運營者側重于審查“采購網絡產品和服務”的行為；對于平臺運營者則側重于“數據處理活動”；二是審查對象范圍，即《辦法》第十條規定的7類重點風險因素，包括是否存在設施被控制破壞、業務連續性中斷、供應中斷、違反法規、重要核心數據信息出境、重要數據信息被外方控制利用、其他等情形。

03 審查流程

《辦法》明確規定了網絡安全審查的兩類審查程序，即一般審查程序和特別審查程序。

一是一般審查程序。從《辦法》內容來看，一般審查程序應當是大多數網絡安全審查案件適用的審查程序，包含審查發起、審查期限和審查實施3個要點。（1）在審查發起方面，一般審查程序的發起包括當事人“申報”發起（《辦法》第五條、第七條），和審查工作機制成員單位“研判”發起（《辦法》第十六條）兩種情況。（2）在審查期限方面，一般審查程序通常需在啟動審查后60個工作日內（在觸發特別程序時，該期限將延長至150個工作日甚至更長）完成，包括：初步審查30工作日內（或45個工作日內）、初步審查內部反饋意見（15個工作日內）。（3）在審查實施方面，一般審查程序由網絡安全審查辦公室具體組織實施，并按審查相關制度規范，將審查結論通知當事人或將審查轉入特別程序。

二是特別審查程序。《辦法》充分考量審查結論的權威性、審慎性，在一般審查程序基礎上專設“特別審查程序”。“特別審查程序”在啟動條件、審查期限、審查實施等方面，都體現了立法的謹慎性。（1）啟動條件：《辦法》第十二條明確規定了“特別審查程序”的適用條件，即“網絡安全審查工作機制成員單位、相關部門（對審查結論建議）意見不一致的，按照特別審查程序處理”。（2）審查期限：對于特別審查程序的審查期限，也規定了較長的期限“90個工作日內完成，情況復雜的可以延長”，且該期限不包含第十五條所規定的“提交補充材料的時間”。（3）審查實施：《辦法》明確了特別程序需遵循更嚴格的實施流程，包括聽取意見、分析評估、提出結論建議、征求意見、報網信委批準、形成結論、通知當事人等7個環節（《辦法》第十三條）。

三、《辦法》對產業供給的影響分析

《辦法》的正式發布，進一步明確了對關鍵信息基礎設施供應鏈安全保護的相關要求，為網絡安全產業的高質量發展指明了方向。

一是提升關鍵信息基礎設施安全供給能力。網絡安全產業在落實《辦法》要求、支撐和保障關鍵信息基礎設施供應鏈相關安全方面，可發揮制度參與、技術產品及方案提供、服務支撐三方面作用。（1）在關基供應鏈保護制度參與方面，網絡安全企業和行業可以通過自身業務實踐，參與和支持相關的制度標準，如“關鍵信息基礎設施供應鏈安全要求”“關鍵信息基礎設施安全檢查評估要求”“關鍵信息基礎設施安全保護技術要求”等等。（2）在關基供應鏈保護產品和方案方面，強化關基安全相關技術研發和產品研制，如“關鍵信息基礎設施安全風險感知和識別”“關鍵信息基礎設施系統漏洞檢測”“關鍵信息基礎設施網絡威脅溯源和取證”等等。（3）在關基供應鏈保護服務支撐方面，強化試點和服務運營等能力全面服務關基保護相關工作，包括“關鍵信息基礎設施安全應急演練”“關鍵信息基礎設施安全培訓”“關鍵信息基礎設施安全一體化運營服務”等等。

二是提升數據安全防護供給能力。網絡安全產業在落實《辦法》相關要求、支撐和保障數據安全方面，也可發揮至少三方面作用。（1）在參與和支撐相關數據安全制度完善方面，企業和行業可重點圍繞“數據出境安全評估”“重要網絡安全服務產品和服務目錄”“數據安全審查辦法”等方向，加強探索并積累實踐案例。（2）在相關數據安全產品和方案方面，重點開展“數據分類分級管理”“敏感數據識別”“數據安全風險評估”“數據安全審計”等技術產品方案研發。（3）在有關數據安全服務支撐方面，強化“數據安全應急”“重要數據災備與恢復”“數據溯源取證”服務支撐能力和隊伍建設等。

《辦法》的發布不僅在管理方面優化和完善了我國網絡安全審查制度的基本設計，更為網絡安全產業的發展明確了方向。綠盟科技將繼續秉承“專攻術業，成就所托”的宗旨，繼續深耕網絡安全，務實創新、穩步前行，為我國網絡安全審查制度的完善和關鍵信息基礎設施保護工作的發展，持續貢獻綿薄。