一�����、覆蓋13個(gè)行業(yè)�����,重點(diǎn)考量五類(lèi)因素
在中央網(wǎng)絡(luò )安全和信息化委員會(huì )領(lǐng)導下�����,國家互聯(lián)網(wǎng)信息辦公室會(huì )同國家發(fā)展和改革委員會(huì )�����、工業(yè)和信息化部���、公安部�����、國家安全部����、財政部�����、商務(wù)部�、中國人民銀行�����、國家市場(chǎng)監督管理總局�����、國家廣播電視總局�、國家保密局����、國家密碼管理局聯(lián)合建立國家網(wǎng)絡(luò )安全審查工作機制���。
1��、出臺背景及法律責任
網(wǎng)絡(luò )安全審查屬于國家安全審查的一種��,新辦法將目標精確為及早發(fā)現并避免采購產(chǎn)品和服務(wù)給關(guān)鍵信息基礎設施運行帶來(lái)風(fēng)險和危害����,保障關(guān)鍵信息基礎設施供應鏈安全��,維護國家安全�。
本辦法對關(guān)鍵信息基礎設施運營(yíng)者采購的網(wǎng)絡(luò )產(chǎn)品和服務(wù)進(jìn)行審查����。電信���、廣播電視���、能源��、金融����、公路水路運輸���、鐵路�、民航�、郵政�����、水利�、應急管理�����、衛生健康�、社會(huì )保障���、國防科技工業(yè)等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò )和信息系統運營(yíng)者����,在采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)時(shí)���,應當按照《辦法》要求考慮申報網(wǎng)絡(luò )安全審查����。
網(wǎng)絡(luò )安全審查堅持防范網(wǎng)絡(luò )安全風(fēng)險與促進(jìn)先進(jìn)技術(shù)應用相結合���、過(guò)程公正透明與知識產(chǎn)權保護相結合��,在保障國家安全的同時(shí)����,兼顧到經(jīng)濟和產(chǎn)業(yè)發(fā)展�,并充分尊重運營(yíng)者對自身安全狀況判斷的專(zhuān)業(yè)性���。
也就是說(shuō)���,運營(yíng)者應自行預判產(chǎn)品和服務(wù)投入使用后可能帶來(lái)的風(fēng)險���,督促產(chǎn)品和服務(wù)提供者履行網(wǎng)絡(luò )安全審查中做出的承諾�。
如違反本辦法��,根據《網(wǎng)絡(luò )安全法》第六十五條規定����,應當申報網(wǎng)絡(luò )安全審查而沒(méi)有申報的����,或者使用網(wǎng)絡(luò )安全審查未通過(guò)的產(chǎn)品和服務(wù)�,由有關(guān)主管部門(mén)責令停止使用����,處采購金額一倍以上十倍以下罰款��;對直接負責的主管人員和其他直接責任人員處一萬(wàn)元以上十萬(wàn)元以下罰款�。
2����、主要審查內容及考量因素
本辦法所稱(chēng)網(wǎng)絡(luò )產(chǎn)品和服務(wù)主要指核心網(wǎng)絡(luò )設備����、高性能計算機和服務(wù)器��、大容量存儲設備��、大型數據庫和應用軟件�����、網(wǎng)絡(luò )安全設備����、云計算服務(wù)�,以及其他對關(guān)鍵信息基礎設施安全有重要影響的網(wǎng)絡(luò )產(chǎn)品和服務(wù)��。
重點(diǎn)評估因素如下:
(1)產(chǎn)品和服務(wù)使用后帶來(lái)的關(guān)鍵信息基礎設施被非法控制�����、遭受干擾或破壞�,以及重要數據被竊取�����、泄露�����、毀損的風(fēng)險���;
(2)產(chǎn)品和服務(wù)供應中斷對關(guān)鍵信息基礎設施業(yè)務(wù)連續性的危害���;
(3)產(chǎn)品和服務(wù)的安全性����、開(kāi)放性�����、透明性�����、來(lái)源的多樣性���,供應渠道的可靠性以及因為政治����、外交����、貿易等因素導致供應中斷的風(fēng)險���;
(4)產(chǎn)品和服務(wù)提供者遵守中國法律���、行政法規��、部門(mén)規章情況�����;
(5)其他可能危害關(guān)鍵信息基礎設施安全和國家安全的因素�����。
3����、申報及審查時(shí)限
關(guān)鍵信息基礎設施運營(yíng)者應當在與產(chǎn)品和服務(wù)提供方正式簽署合同前申報網(wǎng)絡(luò )安全審查�。
如果在簽署合同后申報���,建議在合同中注明此合同須在產(chǎn)品和服務(wù)采購通過(guò)網(wǎng)絡(luò )安全審查后方可生效�����。
通常網(wǎng)絡(luò )安全審查在45個(gè)工作日內完成����,情況復雜的會(huì )延長(cháng)15個(gè)工作日���。進(jìn)入特別審查程序的審查項目�����,可能還需要45個(gè)工作日或者更長(cháng)����。
網(wǎng)絡(luò )安全審查辦公室應當自收到審查申報材料起�����,10個(gè)工作日內確定是否需要審查并書(shū)面通知運營(yíng)者���。被認為需要審查的�����,應當自向運營(yíng)者發(fā)出書(shū)面通知之日起30個(gè)工作日內完成初步審查�;情況復雜的�����,可以延長(cháng)15個(gè)工作日�����。
網(wǎng)絡(luò )安全審查工作機制成員單位和相關(guān)關(guān)鍵信息基礎設施保護工作部門(mén)����,應當自收到審查結論建議之日起15個(gè)工作日內書(shū)面回復意見(jiàn)��。
根據本辦法要求�����,補充提供材料的時(shí)間不計入審查時(shí)限����。
網(wǎng)絡(luò )安全審查辦公室設在國家互聯(lián)網(wǎng)信息辦公室��,負責制定網(wǎng)絡(luò )安全審查相關(guān)制度規范��,組織網(wǎng)絡(luò )安全審查����。具體工作委托中國網(wǎng)絡(luò )安全審查技術(shù)與認證中心承擔�。
中國網(wǎng)絡(luò )安全審查技術(shù)與認證中心在網(wǎng)絡(luò )安全審查辦公室的指導下���,承擔接收申報材料����、對申報材料進(jìn)行形式審查��、具體組織審查工作等任務(wù)�����。
二�、對國外產(chǎn)品服務(wù)造成限制����?
信息安全產(chǎn)業(yè)鏈主要由上游的基礎元器件商��、基礎軟硬件供應商�����,中游的信息安全專(zhuān)門(mén)軟硬件提供商����、信息安全服務(wù)集成提供商����、各類(lèi)信息安全咨詢(xún)/運維/測評/培訓等支撐機構以及下游的企業(yè)�、個(gè)人客戶(hù)組成���。
近年來(lái)國際形勢變化多端���,政治�����、外交�、貿易等非技術(shù)因素導致供應中斷的可能性增強���,供應商的來(lái)源和供應商的可靠性等非技術(shù)性因素����,已經(jīng)成為多個(gè)國家評估供應鏈安全風(fēng)險的重要方面�����。
從涉及網(wǎng)絡(luò )安全審查的產(chǎn)品和服務(wù)范圍來(lái)看���,《網(wǎng)絡(luò )安全審查辦法》與信創(chuàng )高度重疊���,除了核心網(wǎng)絡(luò )設備外��,高性能計算機和服務(wù)器����、大容量存儲設備���、大型數據庫和應用軟件���、云計算服務(wù)等與數據中心密切相關(guān)的設備產(chǎn)品赫然在列����。
尤其在云計算環(huán)境中�,服務(wù)器����、主機使用到的芯片�、操作系統等軟硬件����,一旦遭到發(fā)生重大安全事故�����,將對云計算服務(wù)商造成難以挽回的影響�,甚至導致用戶(hù)隱私信息的泄露��。
這也意味著(zhù)高通����、蘋(píng)果�����、英特爾���、惠普����、微軟���、亞馬遜等國際科技公司的產(chǎn)品及服務(wù)在進(jìn)入國內時(shí)���,將接受更為嚴苛的安全審查監督����。
近日����,國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責人就《網(wǎng)絡(luò )安全審查辦法》答記者問(wèn)時(shí)表示�����,網(wǎng)絡(luò )安全審查的目的是維護國家網(wǎng)絡(luò )安全�,不是要限制或歧視國外產(chǎn)品和服務(wù)������!皩ν忾_(kāi)放是我們的基本國策���,我們歡迎國外產(chǎn)品和服務(wù)進(jìn)入中國市場(chǎng)的政策沒(méi)有改變�����!
與此同時(shí)����,安全審查趨于嚴格��,將越對頭部公司產(chǎn)生利好�����,關(guān)鍵信息基礎設施運營(yíng)者的采購選擇會(huì )進(jìn)一步集中于更安全可靠的頭部玩家�����。
隨著(zhù)對國外進(jìn)口產(chǎn)品及服務(wù)的安全考量更為審慎�����,《網(wǎng)絡(luò )安全審查辦法》的實(shí)施或有助于為信創(chuàng )推進(jìn)鋪平道路�,同時(shí)為數字新基建的發(fā)展提供供應鏈安全保障���。
如今我國自主創(chuàng )新的國產(chǎn)IT基礎設施體系正在快速發(fā)展�,正從可用努力走向好用階段�。
例如今年5月6日�����,中國電信公布2020年服務(wù)器集中采購項目規模情況�,預計集中采購服務(wù)器56314臺���,并單獨列出給予國產(chǎn)CPU(鯤鵬和海光)服務(wù)器20%的份額��,拉開(kāi)信創(chuàng )產(chǎn)業(yè)的帷幕���。這意味著(zhù)國產(chǎn)IT基礎設施生態(tài)基本成形�,且性能逐漸能夠滿(mǎn)足較多行業(yè)業(yè)務(wù)場(chǎng)景需求���。
5月8日�,包括龍芯����、華為�����、飛騰在內的30家國家信創(chuàng )領(lǐng)域重點(diǎn)企業(yè)集中簽約落戶(hù)北京經(jīng)開(kāi)區���,標志著(zhù)信創(chuàng )產(chǎn)業(yè)的“四梁八柱”正式搭建�,也意味著(zhù)北京經(jīng)開(kāi)區在“新基建”建設方面再添新動(dòng)能�。
此次集中簽約落地的30個(gè)項目不僅包含國產(chǎn)自主核心芯片����、操作系統等基礎軟件�、創(chuàng )新型基礎硬件和重點(diǎn)集成服務(wù)四個(gè)領(lǐng)域企業(yè)����,還囊括了5G技術(shù)�����、云計算�����、云存儲等新型基礎設施建設項目��,代表著(zhù)我國信息技術(shù)應用創(chuàng )新產(chǎn)業(yè)的前沿技術(shù)和自主生態(tài)建設能力�。
目前北京經(jīng)開(kāi)區信創(chuàng )園已對接生態(tài)企業(yè)400余家�����,信創(chuàng )產(chǎn)業(yè)核心環(huán)節實(shí)現布局��,產(chǎn)業(yè)生態(tài)搭建完成���。項目2022年達產(chǎn)后��,預計實(shí)現營(yíng)收1000億元以上�����。
三��、全球對網(wǎng)絡(luò )安全審查日趨嚴格
近年來(lái)����,全球網(wǎng)絡(luò )空間博弈風(fēng)云變幻�����,建立并適用網(wǎng)絡(luò )安全審查制度開(kāi)始逐步成為國際通行做法����,很多國家多次修訂政策法規以加強供應鏈安全的審查���、評估����。
美國早在2000年就率先在國家安全系統中對采購的產(chǎn)品進(jìn)行安全審查����;2013年11月�,美國國防部規定國防系統及其合同商采購的產(chǎn)品和服務(wù)要經(jīng)過(guò)供應鏈安全審查����。
2014年�,美國《綜合持續撥款法案》規定商務(wù)部���、司法部���、國家宇航局和國家科學(xué)基金會(huì )采購高影響或中度影響的信息技術(shù)系統之前��,必須進(jìn)行供應鏈安全審查�,并評估可能出現的網(wǎng)絡(luò )間諜或破壞行為�����。
2019年美總統令《確保信息通信技術(shù)與服務(wù)供應鏈安全》��、2020年《安全和可信通信網(wǎng)絡(luò )法》都建立了相應的網(wǎng)絡(luò )安全審查制度�����。
此外在過(guò)去兩年間����,美國屢屢以國家安全為由而實(shí)施商業(yè)禁令���。就在今年4月底�����,美國《國會(huì )山報(The Hill)》報道稱(chēng)����,美國參議員準備提出法案禁止政府雇員使用被視為國家安全威脅的中國公司的產(chǎn)品����,特別提到了華為��、中興和騰訊���。
