近日�,國家互聯(lián)網(wǎng)信息辦公室等12部委聯(lián)合制定并發(fā)布《網(wǎng)絡安全審查辦法》�,重點審查采購產(chǎn)品和服務可能給關鍵信息基礎設施運行及國家安全帶來的風險和危害,并對基礎設施相關運營主體和審查范圍給出了清晰的界定���。
該辦法將于6月1日起正式實施��,實施了將近三年的《網(wǎng)絡產(chǎn)品和服務安全審查辦法(試行)》同時廢止�。
這一審查辦法的出臺���,意味著涉及核心網(wǎng)絡設備��、高性能計算機和服務器�、大容量存儲設備、大型數(shù)據(jù)庫和應用軟件��、網(wǎng)絡安全設備��、云計算服務等產(chǎn)品和服務的歐美企業(yè)必須接受更嚴苛的中國網(wǎng)絡安全審查���。如果不能通過審查,其產(chǎn)品及服務將禁止在中國銷售�。
這是我國在頂層規(guī)劃下又一可實操性規(guī)定的出臺。隨著國際網(wǎng)絡空間博弈日趨復雜嚴峻�����,不安全的網(wǎng)絡產(chǎn)品和服務正成為針對關鍵信息基礎設施實施網(wǎng)絡非法控制和破壞活動的主要媒介���,國家必須更為審慎地對待通過供應鏈滲透引入的國家安全風險�����,建立并實施有效的網(wǎng)絡安全審查制度意義重大�����。
同時�����,該辦法將為數(shù)字新基建保駕護航�,并有望推動國產(chǎn)IT領域關鍵信息基礎設施供應商的發(fā)展。我國網(wǎng)絡安全行業(yè)正進入一個新的高速發(fā)展期�����,根據(jù)《廣證恒生》的報告�����,目前中國網(wǎng)絡安全市場年均增速超過20%��,預計到2021年將到達926.8億元��,其中僅國產(chǎn)化替代政府信息系統(tǒng)的實施就將帶來數(shù)萬億規(guī)模的增量市場�。
文末附《網(wǎng)絡安全審查辦法》全文。
一�、覆蓋13個行業(yè),重點考量五類因素
在中央網(wǎng)絡安全和信息化委員會領導下�,國家互聯(lián)網(wǎng)信息辦公室會同國家發(fā)展和改革委員會�����、工業(yè)和信息化部��、公安部��、國家安全部����、財政部���、商務部、中國人民銀行�、國家市場監(jiān)督管理總局、國家廣播電視總局���、國家保密局�����、國家密碼管理局聯(lián)合建立國家網(wǎng)絡安全審查工作機制���。
智東西對《網(wǎng)絡安全審查辦法》的重點進行提煉和解讀���。
1、出臺背景及法律責任
網(wǎng)絡安全審查屬于國家安全審查的一種��,新辦法將目標精確為及早發(fā)現(xiàn)并避免采購產(chǎn)品和服務給關鍵信息基礎設施運行帶來風險和危害�,保障關鍵信息基礎設施供應鏈安全,維護國家安全��。
本辦法對關鍵信息基礎設施運營者采購的網(wǎng)絡產(chǎn)品和服務進行審查��。電信�、廣播電視、能源���、金融����、公路水路運輸���、鐵路�、民航���、郵政�、水利、應急管理�、衛(wèi)生健康、社會保障���、國防科技工業(yè)等行業(yè)領域的重要網(wǎng)絡和信息系統(tǒng)運營者��,在采購網(wǎng)絡產(chǎn)品和服務時�����,應當按照《辦法》要求考慮申報網(wǎng)絡安全審查��。
網(wǎng)絡安全審查堅持防范網(wǎng)絡安全風險與促進先進技術(shù)應用相結(jié)合�、過程公正透明與知識產(chǎn)權(quán)保護相結(jié)合�����,在保障國家安全的同時��,兼顧到經(jīng)濟和產(chǎn)業(yè)發(fā)展�,并充分尊重運營者對自身安全狀況判斷的專業(yè)性�����。
也就是說,運營者應自行預判產(chǎn)品和服務投入使用后可能帶來的風險��,督促產(chǎn)品和服務提供者履行網(wǎng)絡安全審查中做出的承諾�。
如違反本辦法,根據(jù)《網(wǎng)絡安全法》第六十五條規(guī)定�,應當申報網(wǎng)絡安全審查而沒有申報的,或者使用網(wǎng)絡安全審查未通過的產(chǎn)品和服務�,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款�����;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款��。
2�、主要審查內(nèi)容及考量因素
本辦法所稱網(wǎng)絡產(chǎn)品和服務主要指核心網(wǎng)絡設備、高性能計算機和服務器�����、大容量存儲設備�、大型數(shù)據(jù)庫和應用軟件、網(wǎng)絡安全設備����、云計算服務���,以及其他對關鍵信息基礎設施安全有重要影響的網(wǎng)絡產(chǎn)品和服務。
重點評估因素如下:
(1)產(chǎn)品和服務使用后帶來的關鍵信息基礎設施被非法控制�、遭受干擾或破壞,以及重要數(shù)據(jù)被竊取�、泄露、毀損的風險�����;
(2)產(chǎn)品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害���;
(3)產(chǎn)品和服務的安全性�、開放性��、透明性�����、來源的多樣性�,供應渠道的可靠性以及因為政治�、外交、貿(mào)易等因素導致供應中斷的風險;
(4)產(chǎn)品和服務提供者遵守中國法律��、行政法規(guī)����、部門規(guī)章情況;
(5)其他可能危害關鍵信息基礎設施安全和國家安全的因素��。
3���、申報及審查時限
關鍵信息基礎設施運營者應當在與產(chǎn)品和服務提供方正式簽署合同前申報網(wǎng)絡安全審查��。
如果在簽署合同后申報�����,建議在合同中注明此合同須在產(chǎn)品和服務采購通過網(wǎng)絡安全審查后方可生效�。
通常網(wǎng)絡安全審查在45個工作日內(nèi)完成�����,情況復雜的會延長15個工作日�����。進入特別審查程序的審查項目,可能還需要45個工作日或者更長�。
網(wǎng)絡安全審查辦公室應當自收到審查申報材料起,10個工作日內(nèi)確定是否需要審查并書面通知運營者�。被認為需要審查的,應當自向運營者發(fā)出書面通知之日起30個工作日內(nèi)完成初步審查�;情況復雜的,可以延長15個工作日���。
網(wǎng)絡安全審查工作機制成員單位和相關關鍵信息基礎設施保護工作部門���,應當自收到審查結(jié)論建議之日起15個工作日內(nèi)書面回復意見。
根據(jù)本辦法要求�����,補充提供材料的時間不計入審查時限����。
網(wǎng)絡安全審查辦公室設在國家互聯(lián)網(wǎng)信息辦公室,負責制定網(wǎng)絡安全審查相關制度規(guī)范���,組織網(wǎng)絡安全審查�����。具體工作委托中國網(wǎng)絡安全審查技術(shù)與認證中心承擔�����。
中國網(wǎng)絡安全審查技術(shù)與認證中心在網(wǎng)絡安全審查辦公室的指導下��,承擔接收申報材料���、對申報材料進行形式審查、具體組織審查工作等任務���。
二���、對國外產(chǎn)品服務造成限制?
信息安全產(chǎn)業(yè)鏈主要由上游的基礎元器件商�����、基礎軟硬件供應商�,中游的信息安全專門軟硬件提供商、信息安全服務集成提供商�����、各類信息安全咨詢/運維/測評/培訓等支撐機構(gòu)以及下游的企業(yè)、個人客戶組成�。
近年來國際形勢變化多端,政治��、外交����、貿(mào)易等非技術(shù)因素導致供應中斷的可能性增強,供應商的來源和供應商的可靠性等非技術(shù)性因素��,已經(jīng)成為多個國家評估供應鏈安全風險的重要方面��。
從涉及網(wǎng)絡安全審查的產(chǎn)品和服務范圍來看�,《網(wǎng)絡安全審查辦法》與信創(chuàng)高度重疊,除了核心網(wǎng)絡設備外�����,高性能計算機和服務器�、大容量存儲設備、大型數(shù)據(jù)庫和應用軟件�、云計算服務等與數(shù)據(jù)中心密切相關的設備產(chǎn)品赫然在列。
尤其在云計算環(huán)境中�,服務器、主機使用到的芯片、操作系統(tǒng)等軟硬件�����,一旦遭到發(fā)生重大安全事故���,將對云計算服務商造成難以挽回的影響,甚至導致用戶隱私信息的泄露�。
這也意味著高通、蘋果�����、英特爾���、惠普�����、微軟�、亞馬遜等國際科技公司的產(chǎn)品及服務在進入國內(nèi)時�����,將接受更為嚴苛的安全審查監(jiān)督。
近日��,國家互聯(lián)網(wǎng)信息辦公室有關負責人就《網(wǎng)絡安全審查辦法》答記者問時表示�����,網(wǎng)絡安全審查的目的是維護國家網(wǎng)絡安全��,不是要限制或歧視國外產(chǎn)品和服務�。“對外開放是我們的基本國策��,我們歡迎國外產(chǎn)品和服務進入中國市場的政策沒有改變�����?����!?/p>
與此同時�,安全審查趨于嚴格,將越對頭部公司產(chǎn)生利好�,關鍵信息基礎設施運營者的采購選擇會進一步集中于更安全可靠的頭部玩家。
隨著對國外進口產(chǎn)品及服務的安全考量更為審慎����,《網(wǎng)絡安全審查辦法》的實施或有助于為信創(chuàng)推進鋪平道路�,同時為數(shù)字新基建的發(fā)展提供供應鏈安全保障�。
如今我國自主創(chuàng)新的國產(chǎn)IT基礎設施體系正在快速發(fā)展,正從可用努力走向好用階段�。
例如今年5月6日,中國電信公布2020年服務器集中采購項目規(guī)模情況��,預計集中采購服務器56314臺�,并單獨列出給予國產(chǎn)CPU(鯤鵬和海光)服務器20%的份額,拉開信創(chuàng)產(chǎn)業(yè)的帷幕�����。這意味著國產(chǎn)IT基礎設施生態(tài)基本成形���,且性能逐漸能夠滿足較多行業(yè)業(yè)務場景需求。
5月8日��,包括龍芯���、華為���、飛騰在內(nèi)的30家國家信創(chuàng)領域重點企業(yè)集中簽約落戶北京經(jīng)開區(qū),標志著信創(chuàng)產(chǎn)業(yè)的“四梁八柱”正式搭建,也意味著北京經(jīng)開區(qū)在“新基建”建設方面再添新動能�����。
此次集中簽約落地的30個項目不僅包含國產(chǎn)自主核心芯片���、操作系統(tǒng)等基礎軟件�����、創(chuàng)新型基礎硬件和重點集成服務四個領域企業(yè)����,還囊括了5G技術(shù)�����、云計算��、云存儲等新型基礎設施建設項目�,代表著我國信息技術(shù)應用創(chuàng)新產(chǎn)業(yè)的前沿技術(shù)和自主生態(tài)建設能力。
目前北京經(jīng)開區(qū)信創(chuàng)園已對接生態(tài)企業(yè)400余家�,信創(chuàng)產(chǎn)業(yè)核心環(huán)節(jié)實現(xiàn)布局,產(chǎn)業(yè)生態(tài)搭建完成�����。項目2022年達產(chǎn)后,預計實現(xiàn)營收1000億元以上��。
三�����、全球?qū)W(wǎng)絡安全審查日趨嚴格
近年來�,全球網(wǎng)絡空間博弈風云變幻,建立并適用網(wǎng)絡安全審查制度開始逐步成為國際通行做法��,很多國家多次修訂政策法規(guī)以加強供應鏈安全的審查����、評估�。
美國早在2000年就率先在國家安全系統(tǒng)中對采購的產(chǎn)品進行安全審查;2013年11月�����,美國國防部規(guī)定國防系統(tǒng)及其合同商采購的產(chǎn)品和服務要經(jīng)過供應鏈安全審查�。
2014年,美國《綜合持續(xù)撥款法案》規(guī)定商務部�����、司法部、國家宇航局和國家科學基金會采購高影響或中度影響的信息技術(shù)系統(tǒng)之前���,必須進行供應鏈安全審查�,并評估可能出現(xiàn)的網(wǎng)絡間諜或破壞行為�。
2019年美總統(tǒng)令《確保信息通信技術(shù)與服務供應鏈安全》、2020年《安全和可信通信網(wǎng)絡法》都建立了相應的網(wǎng)絡安全審查制度��。
此外在過去兩年間�����,美國屢屢以國家安全為由而實施商業(yè)禁令�。就在今年4月底,美國《國會山報(The Hill)》報道稱���,美國參議員準備提出法案禁止政府雇員使用被視為國家安全威脅的中國公司的產(chǎn)品��,特別提到了華為�、中興和騰訊���。
英國也是世界上網(wǎng)絡和信息化建設最先進的國家之一����,在2009年出臺首個國家網(wǎng)絡安全戰(zhàn)略,并將網(wǎng)絡攻擊與恐怖主義�、緊急民事、軍事危機等并列為英國國家安全面臨的一級威脅��。
隨后英國在2011年��、2016年發(fā)布了第二版�����、第三版國家網(wǎng)絡安全戰(zhàn)略��。根據(jù)其戰(zhàn)略�,英國將在2016~2021年期間投資約19億英鎊(約合166億人民幣)用于加強網(wǎng)絡安全和能力,還計劃撥款1.65億英鎊設立國防和網(wǎng)絡創(chuàng)新基金���,以支持國防和安全領域的創(chuàng)新采購。
英國內(nèi)閣辦公室在頒布的09/14號行動公告中同樣規(guī)定�,自2014年10月1日起,中央政府信息技術(shù)采購特定信息技術(shù)產(chǎn)品和服務之前��,例如采購參與處理個人信息和提供特定信息通信技術(shù)產(chǎn)品和服務�,信息技術(shù)產(chǎn)品和服務的提供商應接受必要的安全審查����。
我國對維護國家網(wǎng)絡空間的主權(quán)��、安全和利益同樣愈發(fā)重視�。2017年6月1日,我國正式實施《網(wǎng)絡產(chǎn)品和服務安全審查辦法(試行)》正式實施�����,隨后于2019年5月21日發(fā)布《網(wǎng)絡安全審查辦法(征求意見稿)》�,廣泛征求各界意見。
在即將到來的6月1日�,《網(wǎng)絡安全審查辦法》的正式出臺將開啟我國絡安全審查的新篇章,為我國開展網(wǎng)絡安全審查工作提供了重要的制度保障�����。
以下為《網(wǎng)絡安全審查辦法》全文:
