日前，國家互聯(lián)網(wǎng)信息辦公室等十三部門聯(lián)合發(fā)布新版《網(wǎng)絡(luò)安全審查辦法》（以下簡稱《辦法》），自2022年2月15日起施行。《辦法》有哪些重點內(nèi)容？其頒布實施將對網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展有何指導(dǎo)意義？本文將從網(wǎng)絡(luò)安全產(chǎn)業(yè)的視角加以學(xué)習(xí)分析。

一、《辦法》演進(jìn)回顧

三個演進(jìn)階段。原《辦法》自2020年6月1日施行；2021年7月10日國家互聯(lián)網(wǎng)信息辦公室發(fā)布《辦法》（修訂稿）并公開征求社會意見；2022年1月4日新《辦法》正式公布。

兩個修訂背景。新《辦法》的修訂背景主要有兩個。一是上位法規(guī)依據(jù)的發(fā)展變化，主要是自2021年9月1日起同時施行的《數(shù)據(jù)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》；二是網(wǎng)絡(luò)安全保護(hù)形勢的重要變化，即因國內(nèi)個別企業(yè)赴國外上市等引發(fā)社會各界對數(shù)據(jù)安全保護(hù)問題的普遍關(guān)注。

一條擴(kuò)展主線。《辦法》的核心立法目的在于保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全。與原版本相比，《辦法》對于數(shù)據(jù)安全保護(hù)內(nèi)容的強化，是其內(nèi)容發(fā)展的另一條重要主線。體現(xiàn)在對特定“當(dāng)事人”赴國外上市行為可能引發(fā)的數(shù)據(jù)安全風(fēng)險作出審查制度安排。

二、《辦法》內(nèi)容分析

從法律屬性來看，《辦法》集實體法和程序法特點為一體，對網(wǎng)絡(luò)安全審查涉及到的審查主體、審查對象和內(nèi)容、審查流程等做出了體系化的安排。其內(nèi)容要點分析如下。

（一）審查主體

《辦法》明確了網(wǎng)絡(luò)安全審查的監(jiān)管機制，即包括領(lǐng)導(dǎo)機制、工作機制、執(zhí)行機制在內(nèi)“三位一體”的監(jiān)管機制。

首先，在網(wǎng)絡(luò)安全審查領(lǐng)導(dǎo)機制層面，明確“在中央網(wǎng)絡(luò)安全和信息化委員會領(lǐng)導(dǎo)下”；其次，在網(wǎng)絡(luò)安全審查工作機制層面，明確“國家互聯(lián)網(wǎng)信息辦公室會同中華人民共和國國家發(fā)展和改革委員會、中華人民共和國工業(yè)和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務(wù)部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、中國證券監(jiān)督管理委員會、國家保密局、國家密碼管理局建立國家網(wǎng)絡(luò)安全審查工作機制”；再次，在網(wǎng)絡(luò)安全審查工作機制層面，明確“網(wǎng)絡(luò)安全審查辦公室設(shè)在國家互聯(lián)網(wǎng)信息辦公室，負(fù)責(zé)制定網(wǎng)絡(luò)安全審查相關(guān)制度規(guī)范，組織網(wǎng)絡(luò)安全審查”。

與征求意見稿相比，《辦法》將中國證券監(jiān)督管理委員會新增納入網(wǎng)絡(luò)安全審查工作機制，不僅呼應(yīng)了國外上市數(shù)據(jù)安全保護(hù)之立法目的，更意在強化后續(xù)相關(guān)網(wǎng)絡(luò)安全審查工作的專業(yè)性和權(quán)威性。

（二）審查對象

《辦法》對審查對象的規(guī)定，主要包括被審查者主體和被審查者行為兩方面。

首先，從被審查者主體方面看。《辦法》將被審查者統(tǒng)稱為“當(dāng)事人”，包括兩類主體。一是關(guān)鍵信息基礎(chǔ)設(shè)施運營者，《辦法》刪除了征求意見稿對于運營者的定義（“是指經(jīng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門認(rèn)定的運營者”），很大程度上是因為《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》已經(jīng)生效，且明確規(guī)定了關(guān)基的認(rèn)定程序，此處從其規(guī)定即可，而不必再行明文。二是網(wǎng)絡(luò)平臺運營者，《辦法》對于網(wǎng)絡(luò)平臺運營者的范圍沒有做出具體規(guī)定，但從《辦法》第二條、第七條等內(nèi)容看，應(yīng)當(dāng)包括但不限于“掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營”，這只是網(wǎng)絡(luò)平臺運營者中的一類具體代表。

其次，從被審查者行為方面看。《辦法》不僅明確了兩類不同主體有不同的審查側(cè)重點，也以專門條款明確列舉了一般的審查對象范圍。一是審查側(cè)重點，對關(guān)基運營者側(cè)重于審查“采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)”的行為；對于平臺運營者則側(cè)重于“數(shù)據(jù)處理活動”；二是審查對象范圍，即《辦法》第十條規(guī)定的7類重點風(fēng)險因素，包括是否存在設(shè)施被控制破壞、業(yè)務(wù)連續(xù)性中斷、供應(yīng)中斷、違反法規(guī)、重要核心數(shù)據(jù)信息出境、重要數(shù)據(jù)信息被外方控制利用、其他等情形。

（三）審查流程

《辦法》明確規(guī)定了網(wǎng)絡(luò)安全審查的兩類審查程序，即一般審查程序和特別審查程序。

一是一般審查程序。從《辦法》內(nèi)容來看，一般審查程序應(yīng)當(dāng)是大多數(shù)網(wǎng)絡(luò)安全審查案件適用的審查程序，包含審查發(fā)起、審查期限和審查實施3個要點。（1）在審查發(fā)起方面，一般審查程序的發(fā)起包括當(dāng)事人“申報”發(fā)起（《辦法》第五條、第七條），和審查工作機制成員單位“研判”發(fā)起（《辦法》第十六條）兩種情況。（2）在審查期限方面，一般審查程序通常需在啟動審查后60個工作日內(nèi)（在觸發(fā)特別程序時，該期限將延長至150個工作日甚至更長）完成，包括：初步審查30工作日內(nèi)（或45個工作日內(nèi)）、初步審查內(nèi)部反饋意見（15個工作日內(nèi)）。（3）在審查實施方面，一般審查程序由網(wǎng)絡(luò)安全審查辦公室具體組織實施，并按審查相關(guān)制度規(guī)范，將審查結(jié)論通知當(dāng)事人或?qū)彶檗D(zhuǎn)入特別程序。

二是特別審查程序。《辦法》充分考量審查結(jié)論的權(quán)威性、審慎性，在一般審查程序基礎(chǔ)上專設(shè)“特別審查程序”。“特別審查程序”在啟動條件、審查期限、審查實施等方面，都體現(xiàn)了立法的謹(jǐn)慎性。（1）啟動條件：《辦法》第十二條明確規(guī)定了“特別審查程序”的適用條件，即“網(wǎng)絡(luò)安全審查工作機制成員單位、相關(guān)部門（對審查結(jié)論建議）意見不一致的，按照特別審查程序處理”。（2）審查期限：對于特別審查程序的審查期限，也規(guī)定了較長的期限“90個工作日內(nèi)完成，情況復(fù)雜的可以延長”，且該期限不包含第十五條所規(guī)定的“提交補充材料的時間”。（3）審查實施：《辦法》明確了特別程序需遵循更嚴(yán)格的實施流程，包括聽取意見、分析評估、提出結(jié)論建議、征求意見、報網(wǎng)信委批準(zhǔn)、形成結(jié)論、通知當(dāng)事人等7個環(huán)節(jié)（《辦法》第十三條）。

三、《辦法》對產(chǎn)業(yè)供給的影響分析

《辦法》的正式發(fā)布，進(jìn)一步明確了對關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全保護(hù)的相關(guān)要求，為網(wǎng)絡(luò)安全產(chǎn)業(yè)的高質(zhì)量發(fā)展指明了方向。

一是提升關(guān)鍵信息基礎(chǔ)設(shè)施安全供給能力。網(wǎng)絡(luò)安全產(chǎn)業(yè)在落實《辦法》要求、支撐和保障關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈相關(guān)安全方面，可發(fā)揮制度參與、技術(shù)產(chǎn)品及方案提供、服務(wù)支撐三方面作用。（1）在關(guān)基供應(yīng)鏈保護(hù)制度參與方面，網(wǎng)絡(luò)安全企業(yè)和行業(yè)可以通過自身業(yè)務(wù)實踐，參與和支持相關(guān)的制度標(biāo)準(zhǔn)，如“關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全要求”“關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評估要求”“關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)技術(shù)要求”等等。（2）在關(guān)基供應(yīng)鏈保護(hù)產(chǎn)品和方案方面，強化關(guān)基安全相關(guān)技術(shù)研發(fā)和產(chǎn)品研制，如“關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險感知和識別”“關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)漏洞檢測”“關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)威脅溯源和取證”等等。（3）在關(guān)基供應(yīng)鏈保護(hù)服務(wù)支撐方面，強化試點和服務(wù)運營等能力全面服務(wù)關(guān)基保護(hù)相關(guān)工作，包括“關(guān)鍵信息基礎(chǔ)設(shè)施安全應(yīng)急演練”“關(guān)鍵信息基礎(chǔ)設(shè)施安全培訓(xùn)”“關(guān)鍵信息基礎(chǔ)設(shè)施安全一體化運營服務(wù)”等等。

二是提升數(shù)據(jù)安全防護(hù)供給能力。網(wǎng)絡(luò)安全產(chǎn)業(yè)在落實《辦法》相關(guān)要求、支撐和保障數(shù)據(jù)安全方面，也可發(fā)揮至少三方面作用。（1）在參與和支撐相關(guān)數(shù)據(jù)安全制度完善方面，企業(yè)和行業(yè)可重點圍繞“數(shù)據(jù)出境安全評估”“重要網(wǎng)絡(luò)安全服務(wù)產(chǎn)品和服務(wù)目錄”“數(shù)據(jù)安全審查辦法”等方向，加強探索并積累實踐案例。（2）在相關(guān)數(shù)據(jù)安全產(chǎn)品和方案方面，重點開展“數(shù)據(jù)分類分級管理”“敏感數(shù)據(jù)識別”“數(shù)據(jù)安全風(fēng)險評估”“數(shù)據(jù)安全審計”等技術(shù)產(chǎn)品方案研發(fā)。（3）在有關(guān)數(shù)據(jù)安全服務(wù)支撐方面，強化“數(shù)據(jù)安全應(yīng)急”“重要數(shù)據(jù)災(zāi)備與恢復(fù)”“數(shù)據(jù)溯源取證”服務(wù)支撐能力和隊伍建設(shè)等。

《辦法》的發(fā)布不僅在管理方面優(yōu)化和完善了我國網(wǎng)絡(luò)安全審查制度的基本設(shè)計，更為網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展明確了方向。綠盟科技將繼續(xù)秉承“專攻術(shù)業(yè)，成就所托”的宗旨，繼續(xù)深耕網(wǎng)絡(luò)安全，務(wù)實創(chuàng)新、穩(wěn)步前行，為我國網(wǎng)絡(luò)安全審查制度的完善和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的發(fā)展，持續(xù)貢獻(xiàn)綿薄。