2020年4月27日(官方原文所寫日期為4月13日),國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會,、工業(yè)和信息化部、公安部,、國家安全部,、財政部、商務部,、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局,、國家保密局,、國家密碼管理局12個部門共同發(fā)布了《網(wǎng)絡安全審查辦法》(下稱“新辦法正式稿”)。
2019年5月21日,,國家互聯(lián)網(wǎng)信息辦公室曾發(fā)布《網(wǎng)絡安全審查辦法(征求意見稿)》(下稱“新辦法征求意見稿”)。新辦法征求意見稿和新辦法正式稿均明確廢止2017年5月2日發(fā)布的《網(wǎng)絡產(chǎn)品和服務安全審查辦法(試行)》(下稱“舊辦法”),。本文將以介紹新辦法正式稿的主要亮點為主線,,兼評與新辦法征求意見稿和舊辦法的異同。
要點一:一類適用主體
舊辦法第二條規(guī)定,,關系國家安全的網(wǎng)絡和信息系統(tǒng)采購的重要網(wǎng)絡產(chǎn)品和服務,應當經(jīng)過網(wǎng)絡安全審查,,即所有采購關系國家安全的產(chǎn)品和服務的網(wǎng)絡運營者,,均需進行網(wǎng)絡安全審查。而新辦法征求意見稿和新辦法正式稿則均將適用范圍聚焦于關鍵信息基礎設施運營者,。根據(jù)新辦法第二條,,關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務,影響或可能影響國家安全的,,應當進行網(wǎng)絡安全審查,。從文義上講,“關鍵信息基礎設施運營者”即指運營“關鍵信息基礎設施”的企業(yè),。
按照《網(wǎng)絡安全法》以及《關鍵信息基礎設施安全保護條例(征求意見稿)》,,“關鍵信息基礎設施”是指一旦遭到破壞,、喪失功能或數(shù)據(jù)泄露,,可能嚴重危害國家安全、國計民生、公共利益的網(wǎng)絡設施和信息系統(tǒng),。《網(wǎng)絡安全法》第三十一條和《關鍵信息基礎設施安全保護條例(征求意見稿)》第十八條均列舉了可能被識別為關鍵信息基礎設施的行業(yè)和領域,,包括能源,、金融、交通,、水利,、衛(wèi)生醫(yī)療、教育,、社保,、環(huán)境保護、云計算、大數(shù)據(jù),、國防科工,、大型裝備、化工,、食品藥品,、新聞等,。
國家互聯(lián)網(wǎng)信息辦公室有關負責人就新辦法正式稿相關問題答記者問時指出,,根據(jù)中央網(wǎng)絡安全和信息化委員會《關于關鍵信息基礎設施安全保護工作有關事項的通知》,電信,、廣播電視,、能源、金融,、公路水路運輸,、鐵路、民航,、郵政,、水利、應急管理,、衛(wèi)生健康,、社會保障、國防科技工業(yè)等行業(yè)領域的重要網(wǎng)絡和信息系統(tǒng)運營者在采購網(wǎng)絡產(chǎn)品和服務時,,應當考慮申報網(wǎng)絡安全審查,。
需要注意的是,2016年6月,,中央網(wǎng)絡安全和信息化領導小組辦公室發(fā)布的《國家網(wǎng)絡安全檢查操作指南》第3.2條明確了確定關鍵信息基礎設施的三個步驟,,一是確定關鍵業(yè)務,二是確定支撐關鍵業(yè)務的信息系統(tǒng)或工業(yè)控制系統(tǒng),,三是根據(jù)關鍵業(yè)務對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度,,以及信息系統(tǒng)發(fā)生網(wǎng)絡安全事件后可能造成的損失。
根據(jù)新辦法正式稿第十九條,,關鍵信息基礎設施運營者的認定由關鍵信息基礎設施保護工作部門負責,。結合《關鍵信息基礎設施安全保護條例(征求意見稿)》第十九條的規(guī)定,國家網(wǎng)信部門會同國務院電信主管部門,、公安部門等部門制定關鍵信息基礎設施識別指南,,關鍵信息基礎設施的識別和認定主要由行業(yè)主管部門或監(jiān)管部門做出,并需要結合相關專家意見,,可能需要具體問題具體分析,。本文將不再多余贅述。
但總體而言,若企業(yè)運營的網(wǎng)絡設備遭到破壞,、喪失功能或者數(shù)據(jù)泄露后,,可能嚴重危害到國家安全、國計民生,、公共利益的,,則這些企業(yè)很有可能會被認定為關鍵信息基礎設施運營者。那么,,其在采購網(wǎng)絡產(chǎn)品和服務時需要注意,,如果所采購的產(chǎn)品或服務有可能影響到國家安全的,就可能會受此辦法所規(guī)制,。
要點二:二類啟動方式
新辦法征求意見稿與正式稿均對兩類可啟動網(wǎng)絡安全審查的方式作出規(guī)定,,以下分別作出介紹:
第一類,由關鍵信息基礎設施運營者啟動,。關鍵信息基礎設施運營者在采購網(wǎng)絡產(chǎn)品和服務時,,通過自我預判認為所采購的產(chǎn)品和服務在投入使用后可能給國家?guī)戆踩L險,影響或者可能影響國家安全的,,在制作安全風險報告后,,向網(wǎng)絡安全審查辦公室進行申報,進入政府審查程序,。根據(jù)新辦法正式稿,,關鍵信息基礎設施保護工作部門可以制定本行業(yè)、本領域的預判指南,,以更好地幫助相關企業(yè)把握風險預測的尺度,,不貽誤申報審查的適當時機。
第二類:由網(wǎng)絡安全審查工作機制成員單位啟動,。當網(wǎng)絡安全審查工作機制成員單位(下節(jié)具體列明)認為影響或可能影響國家安全的,,網(wǎng)絡安全審查辦公室按照程序報中央網(wǎng)絡安全和信息化委員會批準,啟動審查程序,?!?/span>
對于關鍵信息基礎設施運營者或者網(wǎng)絡安全審查工作機制成員單位判斷產(chǎn)品和服務可能影響或可能影響到國家安全的的維度與因素,新辦法正式稿主要提出了如下角度:
1)網(wǎng)絡產(chǎn)品和服務的使用是否會對關鍵信息基礎設施產(chǎn)生不良影響,,包括該網(wǎng)絡產(chǎn)品的使用是否可能導致關鍵信息基礎設施被非法控制,、干擾、破壞,,以及導致重要數(shù)據(jù)被竊取、泄露,、毀損等,;
2)網(wǎng)絡產(chǎn)品和服務的供應中斷是否會影響關鍵信息基礎設施業(yè)務的連續(xù)性;
3)產(chǎn)品和服務本身是否具有安全性、開放性,、透明性和來源的多樣性和可靠性,,是否可能導致供應中斷;
4)產(chǎn)品和服務提供者是否遵守中國法律,、行政法規(guī)及部門規(guī)章,;
5)其他可能危害關鍵信息基礎設施安全和國家安全的因素。
以上幾點,,主要在于評估以及預測關鍵信息基礎設施運營者所采購的相關產(chǎn)品和服務在投產(chǎn)使用后,,是否會對構成關鍵信息基礎設施的網(wǎng)絡造成破壞、攻擊或者由于安裝了該產(chǎn)品,、啟用了相關服務后是否會存在其他安全隱患或者數(shù)據(jù)泄露的隱患,,是否可能造成這些國家支柱企業(yè)、關鍵產(chǎn)業(yè)經(jīng)濟的業(yè)務造成不連續(xù)或者供應鏈中斷,,以及產(chǎn)品服務本身是否可靠,,是否因其存在脆弱性、可攻擊性,、有限供應進而對整個關鍵信息基礎設施的安全和穩(wěn)定造成影響,。如果判斷后認為有任何因素觸及的,則應當啟動網(wǎng)絡安全審查,,無論是由企業(yè)自身發(fā)起還是由政府監(jiān)管機構發(fā)起,。
要點三:三類審查主體
舊辦法規(guī)定由國家互聯(lián)網(wǎng)信息辦公室和有關部門共同成立網(wǎng)絡安全審查委員會,對網(wǎng)絡安全審查進行統(tǒng)一組織,。而新辦法正式稿則規(guī)定由中央網(wǎng)絡安全和信息化委員會統(tǒng)一領導網(wǎng)絡安全審查工作,,由國家網(wǎng)絡安全審查辦公室會同11個國務院組成部門和直屬機構共同建立網(wǎng)絡安全審查工作機制,確立了上述圖中的審查體系,。也就是說,,新辦法正式稿詳細、清晰地補充說明了舊辦法第五條中提及的“有關部門”的具體所指,。同時,,根據(jù)新辦法正式稿第四條,中央網(wǎng)絡安全和信息化委員會負責統(tǒng)一領導與決策,,而網(wǎng)絡安全審查辦公室則設在國家互聯(lián)網(wǎng)信息辦公室,,負責制定網(wǎng)絡安全審查的相關制度規(guī)范,并組織網(wǎng)絡安全審查,。
就審查主體的關系方面,,上述圖示的審查體系與新辦法征求意見稿基本保持一致。但是,,相較于新辦法征求意見稿,,新辦法正式稿在網(wǎng)絡安全審查工作機制成員單位后面新增了相關關鍵信息基礎設施保護工作部門,。在特別審查流程中,網(wǎng)絡安全審查辦公室既需要向網(wǎng)絡安全審查工作機制成員單位征求意見,,也需要向相關關鍵信息基礎設施保護工作部門征求意見,。
新辦法正式稿沒有設專款對“網(wǎng)絡安全審查工作機制成員單位”和“相關關鍵信息基礎設施保護工作部門”進行定義,,但根據(jù)新辦法正式稿第四條,,“網(wǎng)絡安全審查工作機制成員單位”應當包括所有發(fā)文機構,除國家互聯(lián)網(wǎng)信息辦公室外,,另有國家發(fā)展和改革委員會,、工業(yè)和信息化部、公安部,、國家安全部,、商務部、財政部,、商務部,、中國人民銀行、國家市場監(jiān)督管理總局,、國家廣播電視總局,、國家保密局、國家密碼管理局等11個國務院組成部門或直屬機構,。此外,,根據(jù)新辦法正式稿第二十條,關鍵信息基礎設施運營者是指經(jīng)關鍵信息基礎設施保護工作部門認定的運營者,。例如,,參照《水利部辦公廳關于印發(fā)<2020年水利網(wǎng)信工作要點>的通知》,關鍵信息基礎設施保護工作部門可能包括水利部門,。因此,,需要根據(jù)具體關鍵信息基礎設施所屬行業(yè),來確定關鍵信息基礎設施保護工作部門,,并在某些情況下,,聽取并征得它們對所管轄行業(yè)下屬單位的報審事項發(fā)表的專業(yè)意見和建議也顯得必要。
要點四:四項審查原則
相比于舊辦法,,新辦法征求意見稿中新增了“促進先進技術應用”,、“保護知識產(chǎn)權”等描述,旨在為企業(yè)營造良好營商環(huán)境,,這一原則為新辦法正式稿所沿用,。新辦法正式稿要求參與網(wǎng)絡安全審查的相關機構和工作人員嚴格保護商業(yè)秘密和知識產(chǎn)權,對關鍵信息基礎設施運營者提交的未公開信息和未公開材料予以嚴格保密,。
此外,,新辦法正式稿還明確要求,,關鍵信息基礎設施運營者和網(wǎng)絡產(chǎn)品和服務提供者如認為審查人員有失客觀公正或者未履行保密義務,,可以向網(wǎng)絡安全審查辦公室或有關部門舉報,。這樣的規(guī)定能夠讓企業(yè)更加放心地自我申報,通過主動申報,,提前預知和防范風險,,對企業(yè)與國家雙項得利。
需要注意的是,,新辦法正式稿刪除了征求意見稿所提出的“提高關鍵信息基礎設施安全可控水平”,,而以“確保關鍵信息基礎設施供應鏈安全”代替,這可能也體現(xiàn)出安全審查基礎和原則的轉變,。根據(jù)國家互聯(lián)網(wǎng)信息辦公室有關負責人就新辦法正式稿答記者問中的回復,,網(wǎng)絡安全審查的目的是維護國家網(wǎng)絡安全,不是要限制或歧視國外產(chǎn)品和服務,。此前新辦法征求意見稿將“產(chǎn)品和服務提供者受外國政府資助,、控制等情況”作為一項審查標準,而新辦法正式稿則刪除了此類表達,,更多地關注網(wǎng)絡產(chǎn)品和服務本身的供應鏈安全,,而不是要限制或歧視國外產(chǎn)品和服務。由此,,向關鍵信息基礎設施運營者提供產(chǎn)品和服務的外企受到的阻礙將會減少,。
綜上,確立網(wǎng)絡安全審查制度與流程,,旨在①落實網(wǎng)絡安全審查,,保障國家安全、減少風險隱患,;②確保關鍵信息基礎設施供應鏈安全,;同時③保護企業(yè)的商業(yè)秘密;④保護企業(yè)知識產(chǎn)權,。
要點五:一套審查流程
舊辦法第三條和第六條規(guī)定了網(wǎng)絡安全審查以第三方評價與專家評估的方式進行,。由官方認證的第三方機構進行評價,形成初步評價報告,。再由專家委員會根據(jù)第三方評價報告,,對該產(chǎn)品和服務的安全風險以及提供者的安全可信狀況進行綜合評估。新辦法征求意見稿中則刪除了這兩項規(guī)定,,雖然啟動審查的方式可以有二種,,但最后都應由政府主導進行審查和控制。
新辦法征求意見稿中將實施審查的工作下放到了負責網(wǎng)絡安全審查的網(wǎng)絡安全審查辦公室,,并由中央網(wǎng)絡安全和信息化委員會行使最后的批準決策權,。當不同機構之間出現(xiàn)對所上報的內(nèi)容有不同意見或者有利益沖突的情況時,,設立統(tǒng)一的決策機構更有利于意見形成的高度統(tǒng)一,增加網(wǎng)絡安全審查報告的公信度和效率水平,,避免因聯(lián)合決策機構一多而造成審批拖沓,、相互推諉。因此,,新辦法正式稿依然保留了新辦法征求意見稿中提出的網(wǎng)絡安全審查在不同啟動方式下的一整套流程,。
第一,由關鍵信息基礎設施運營者主動發(fā)起,。關鍵信息基礎設施運營者應當將申報材料(包括申報書,、風險分析報告、采購文件或協(xié)議或擬簽訂的合同以及其他認為可支持審查所需的材料)發(fā)送至網(wǎng)絡安全審查辦公室(其設立在網(wǎng)信辦,,具體工作委托中國網(wǎng)絡安全審查技術與認證中心承擔),。中國網(wǎng)絡安全審查技術與認證中心在網(wǎng)絡安全審查辦公室的指導下,負責接收申報材料,,在收到上述申報材料后10個工作日內(nèi),,對申報材料進行形式性審查后,確定是否需要進入實質(zhì)性審查,,并書面通知關鍵信息基礎設施運營者,。如需要進行實質(zhì)性審查的,再具體組織下步審查工作,。網(wǎng)絡安全審查辦公室應當在30個工作日內(nèi)(情況復雜的,,可以延長15個工作日)完成初步審查,包括將審查結論建議發(fā)給網(wǎng)絡安全審查機制成員單位,、相關關鍵信息基礎設施保護工作部門征求意見,。網(wǎng)絡安全審查機制成員單位、相關關鍵信息基礎設施保護工作部門應當在收到審查結論建議之日起15個工作日內(nèi)書面回復意見,。
如網(wǎng)絡安全審查工作機制成員單位和相關關鍵信息基礎設施保護工作部門意見一致,,則由網(wǎng)絡安全審查辦公室將審查結論書面通知給關鍵信息基礎設施運營者;如二者意見不一致,,則進入特別審查程序并書面通知關鍵信息基礎設施運營者,。進入特別審查程序后,由網(wǎng)絡安全審查辦公室進一步聽取相關部門和單位的意見,,進行深入分析評估,,再次形成審查結論建議,在征求網(wǎng)絡安全審查工作機制成員單位和相關關鍵信息基礎設施保護工作部門的意見后,,按程序報中央網(wǎng)絡安全和信息化委員會批準,,形成審查結論并書面通知運營者。特別審查原則上也應當在45個工作日內(nèi)完成,,情況復雜的可以適當延長(但新辦法正式稿和新辦法征求意見稿均未說明最長時限),。同時,,需要注意的是,提交補充材料的時間不計入上述審查時間,。
第二,,由網(wǎng)絡安全審查工作機制成員單位發(fā)起。在任何國務院組成部門或直屬機構認為網(wǎng)絡產(chǎn)品和服務對國家安全有影響或可能造成影響的,,由網(wǎng)絡安全審查辦公室按程序報中央網(wǎng)絡安全和信息化委員會批準后,,依辦法進行審查。
下圖為二類主體分別啟動網(wǎng)絡安全審查時的審查流程,。
要點六:采購合同
新辦法征求意見稿第七條要求關鍵信息基礎設施運營者與網(wǎng)絡產(chǎn)品和服務提供者簽署合同,可要求網(wǎng)絡產(chǎn)品和服務提供者配合網(wǎng)絡安全審查,。新辦法正式稿基本沿用了此做法,,同時對配合義務進行了細化,包括可要求網(wǎng)絡產(chǎn)品和服務提供者承諾不利用所提供產(chǎn)品和服務的便利條件非法獲取用戶數(shù)據(jù),、非法控制和操縱用戶設備,,無正當理由不中斷產(chǎn)品供應或必要的技術支持服務等。
與關鍵信息基礎設施企業(yè)簽署合同一方的網(wǎng)絡產(chǎn)品和服務提供者往往比較擔心是否會因此承擔過重的合同義務,。因為關鍵信息基礎設施運營者往往因加持了網(wǎng)絡安全審查這把“尚方寶劍”,,對提供其網(wǎng)絡產(chǎn)品的供應商實施更加嚴格的要求,包括在合同條款上增加更多的義務與責任,。
雖然網(wǎng)絡產(chǎn)品和服務提供商本身不屬于《網(wǎng)絡安全審查辦法》的適用主體,,但由于其向關鍵信息基礎設施運營者提供網(wǎng)絡產(chǎn)品與/或服務,因此,,也建議其熟諳新辦法正式稿的相關規(guī)定,,以免在采購合同的條款和條件上被施加額外的義務。
首先,,網(wǎng)絡產(chǎn)品和服務提供商需要了解有可能會被申報網(wǎng)絡安全審查的網(wǎng)絡產(chǎn)品和服務的范圍,,主要包括:核心網(wǎng)絡設備、高性能計算機和服務器,、大容量存儲設備,、大型數(shù)據(jù)庫和應用軟件、網(wǎng)絡安全設備,、 云計算服務,,以及其他對關鍵信息基礎設施安全有重要影響的網(wǎng)絡產(chǎn)品和服務。
根據(jù)《信息安全技術 網(wǎng)絡產(chǎn)品和服務安全通用要求(征求意見稿)》第3.1條,、第3.2條,,“網(wǎng)絡產(chǎn)品”指按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲,、傳輸,、交換,、處理的硬件、軟件和系統(tǒng),,例如計算機,、信息終端、工控等相關設備,,以及基礎軟件,、系統(tǒng)軟件等;“網(wǎng)絡服務”指供方為滿足需方要求提供的信息技術開發(fā),、應用活動,,以及以網(wǎng)絡技術為手段支持需方業(yè)務的一系列活動,例如云計算服務,、網(wǎng)絡通信服務,、數(shù)據(jù)處理和存儲服務、信息技術咨詢服務,、設計與開發(fā)服務,、信息系統(tǒng)集成實施服務、信息系統(tǒng)運維服務等,。
其次,,網(wǎng)絡產(chǎn)品和服務提供商需要厘清網(wǎng)絡產(chǎn)品和服務與網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品的區(qū)別。網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品是由《網(wǎng)絡安全法》首次提出的概念,,但并未對其給出具體的定義,,其前身是公安等部門要求進行檢測認證的“計算機信息系統(tǒng)安全專用產(chǎn)品”,即用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品(參見《計算機信息系統(tǒng)安全保護條例》第28條),。隨著信息技術的發(fā)展,,由于法律所保障的安全范圍從信息系統(tǒng)擴展到整個網(wǎng)絡,網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品的概念相應進行了擴充,??赏普撈鋵儆诰W(wǎng)絡產(chǎn)品和服務中用于網(wǎng)絡安全保護的一種。
根據(jù)《網(wǎng)絡安全法》第二十三條,,國家網(wǎng)信部門會同國務院有關部門制定,、公布網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄。2017年6月,,國家互聯(lián)網(wǎng)信息辦公室會同工信部,、公安部、國家認證認可監(jiān)督管理委員會等部門頒布《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄(第一批)》,,首次明確了網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品的類型,,包括路由器、交換機、服務器(機架式),、PLC設備4種網(wǎng)絡關鍵設備,,以及數(shù)據(jù)備份一體機、防火墻,、入侵檢測系統(tǒng)等11種網(wǎng)絡安全專用產(chǎn)品,。
如果提供列入目錄的網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品的供應商,只有按照相關國家標準的強制性要求,,取得安全認證或者安全檢測符合要求后,,方可銷售或者提供產(chǎn)品。因此,,如果關鍵信息基礎設施運營者采購了網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品,,除了前文提及的會啟動網(wǎng)絡安全審查外,還可能會要求在合同中承諾提供的設備和產(chǎn)品本身已經(jīng)拿到了安全認證證書或檢測合格證明,。
再次,,新辦法征求意見稿中有規(guī)定關鍵信息基礎設施運營者與提供網(wǎng)絡產(chǎn)品與服務提供商的合同可在通過網(wǎng)絡安全審查后生效。新辦法正式稿刪除了此內(nèi)容,,可能是考慮與現(xiàn)有法規(guī)的一致性和嚴謹性。但是,,在國家互聯(lián)網(wǎng)信息辦公室有關負責人就新辦法正式稿相關問題答記者問時建議,,關鍵信息基礎設施運營者應當在與產(chǎn)品和服務提供方正式簽署合同前申報網(wǎng)絡安全審查。雖然新辦法正式稿對于合同成效的約定看似有放松,,但對于網(wǎng)絡產(chǎn)品和服務提供商來說,,不能放松警惕,因為有可能因?qū)彶槎舆t了合同的簽署時間,,也不排除會在已經(jīng)提供了產(chǎn)品或者服務后,,合同還在報批審查的過程中遲遲簽署不了,也可能因最后審查不能通過卻已經(jīng)產(chǎn)生了較多成本損失,。因此,,網(wǎng)絡產(chǎn)品和服務提供商應當加強產(chǎn)品與服務的自身安全能力,并且做好充分的預估,,未完成合同簽署進入項目試運行有可能產(chǎn)生的風險,。
要點七:違規(guī)后果
新辦法正式稿保留了新辦法征求意見稿的處罰條款,明確了處罰依據(jù),,即《網(wǎng)絡安全法》第六十五條,。根據(jù)該條,關鍵信息基礎設施運營者存在應審未審或者使用審查未通過的網(wǎng)絡產(chǎn)品或服務的,,主管部門有可能責令其停止使用,,并處以采購金額一倍以上十倍以下的罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。由于雙罰制會對企業(yè)和責任人員都產(chǎn)生直接的處罰后果,,因此不容被忽視,,并需要提高警惕。對于可能被識別為關鍵信息基礎設施運營者的企業(yè),,應當從網(wǎng)絡產(chǎn)品或服務的采購環(huán)節(jié)著手,,根據(jù)新辦法正式意見稿的要求備齊申請材料并進行網(wǎng)絡安全審查,否則需要承擔相應的違規(guī)后果,。
總體而言,,新辦法正式稿取代舊辦法,限縮了需要進行網(wǎng)絡安全審查的主體范圍,,既有利于減少行政壓力,,又有助于降低企業(yè)合規(guī)成本。同時,,在重點保護好國家關鍵信息基礎設施安全穩(wěn)定運行的同時,,保證企業(yè)供應鏈的不中斷,建立有效的審查機制,,避免因關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務可能帶來的國家安全風險,。
由于目前關于關鍵信息基礎設施的相關法律法規(guī)的實施有待進一步完善,因此,,對于企業(yè)來說,,《網(wǎng)絡安全審查辦法》的具體落地,既期待于后續(xù)進一步出臺與關鍵信息基礎設施相關的法律法規(guī)及其細則,,也有賴于相關行業(yè)主管部門進一步出臺相關指南,,將《網(wǎng)絡安全審查辦法》中的各項要求做精細化解釋。
來源 環(huán)球律師事務所