实施在即！解读《网络安全审查办法》

由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布的《网络安全审查办法》(以下简称《办法》)将于2022年2月15日起施行。确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全。

网络安全审查是网络安全领域的重要法律制度，办法指出，网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。数据安全法正式施行后，明确规定国家建立数据安全审查制度，据此对《网络安全审查办法》进行修订，主要目的是进一步保障网络安全和数据安全，维护国家安全。

随着基础设施中系统的大规模集成、互联使得基础设施的脆弱性提升、安全威胁加剧，电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等重要行业和领域基础设施等关键行业一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的网络和信息系统。

此次修订发布的《办法》网络安全核心是保护数据处理活动，而数据安全风险又与网络安全风险也相互关连，因此在网络安全基础上更加注重对核心数据、重要数据或者大量个人信息的安全防控，避免被窃取、泄露、毁损以及非法利用风的险。同时保障网络安全和数据安全、保障关键信息基础设施供应链安全，维护国家安全。

明朝万达安全专家认为，《办法》明确审查对象和范围，为关键信息基础设施运营者、网络平台运营者采购网络产品和服务，开展数据处理活动过程中影响或者可能影响国家安全的行为，需要网络安全审查,审查在数据处理活动包括数据的收集、存储、使用、加工、传输、提供、公开等活动。对于数据活动应考虑数据安全产品和方案方面建设，积极开展“数据分类分级管理”、“敏感数据识别”、“数据安全风险评估”、“个人信息安全影响评估”、“数据库安全”等数据安全建设。

明朝万达安全专家认为，《个人信息保护法》第四十条要求关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，确需向境外提供个人信息的，应当通过国家网信部门组织的安全评估。《办法》第七条是对《个保法》第40条的补充和明确，强调网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形，超过100万用户个人信息的网络平台运营者赴国外上市按照《数安法》的相关规定进行安全评估和个人信息保护认证，网络平台运营者需要做好网络、数据等方面的合规，赴国外上市也需要关注2019年美国《澄清域外合法使用数据法案》(“Cloud法案”)、2018年欧盟GDPR等相关要求。

《办法》第十条：网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：

(一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；

(二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

(三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

(四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

(五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；

(六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；

(七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

安全专家表示，主要对关键信息基础设施提供安全保护，对核心及重要的数据提供全方位的数据安全体系建设、采用成熟云网端边的技术的数据安全模型框架，构建相应的数据安全管理体系和数据安全防护技术体系。