关于《网络产品和服务安全审查办法（征求意见稿）》全文及解读

去年11月7日，第十二届全国人大常委会第二十四次会议表决通过《网络安全法》。该法明确，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

网络产品和服务安全审查办法

(征求意见稿)

第一条网络产品和服务的安全性、可控性直接影响用户利益、关系国家安全。为提高网络产品和服务安全可控水，防范供应链安全风险，维护国家安全和公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，制定本办法。

第二条关系国家安全和公共利益的信息系统使用的重要网络产品和服务，应当经过网络安全审查。

第三条坚持企业承诺与社会监督相结合，第三方评价与政府监管相结合，实验室检测、现场检查、在线监测、背景调查相结合，对网络产品和服务及其提供者进行网络安全审查。

第四条重点审查网络产品和服务的安全性、可控性，主要包括：

(一)产品和服务被非法控制、干扰和中断运行的风险;

(二)产品及关键部件研发、交付、技术支持过程中的风险;

(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;

(四)产品和服务提供者利用用户对产品和服务的依赖，实施不正当竞争或损害用户利益的风险;

(五)其他可能危害国家安全和公共利益的风险。

第五条国家互联网信息办公室会同有关部门成立网络安全审查委员会，负责审议网络安全审查的重要政策，统一组织网络安全审查工作，协调网络安全审查相关重要问题。

网络安全审查办公室具体组织实施网络安全审查。

第六条网络安全审查委员会聘请相关专家组成网络安全审查专家委员会，在第三方评价基础上，对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。

第七条国家统一认定网络安全审查第三方机构，承担网络安全审查中的第三方评价工作。

第八条根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等，网络安全审查办公室组织第三方机构、专家对网络产品和服务进行网络安全审查，并发布或在一定范围内通报审查结果。

第九条金融、电信、能源等重点行业主管部门，根据国家网络安全审查工作要求，组织开展本行业、本领域网络产品和服务安全审查工作。

第十条党政部门及重点行业优先采购通过审查的网络产品和服务，不得采购审查未通过的网络产品和服务。

第十一条关键信息基础设施运营者采购的网络产品和服务，可能影响国家安全的，应当经过网络安全审查。

关键信息基础设施运营者采购的网络产品和服务是否影响国家安全，由关键信息基础设施保护工作部门确定。

第十二条承担网络安全审查的第三方机构，应坚持客观、公正、公的原则，参照有关标准，重点从可控性、透明性、可信性等方面，对网络产品和服务及提供者进行评价，并对评价结果负责。

第十三条网络产品和服务提供者应对网络安全审查工作予以配合。

第三方机构等相关单位和人员对审查工作中获悉的信息等承担安全保密义务，不得用于网络安全审查以外的目的。

第十四条网络安全审查办公室不定期发布对网络产品和服务提供者的安全评估报告。

第十五条本办法由国家互联网信息办公室负责解释。

第十六条本办法自2017年月日起实施。

2月4日，国家互联网信息办公室官网公布的《网络产品和服务安全审查办法(征求意见稿)》显示，我国将成立网络安全审查委员会，负责审议网络安全审查的重要政策，统一组织网络安全审查工作。

意见稿开篇明确指出，网络产品和服务的安全性、可控性直接影响用户利益、关系国家安全。为提高网络产品和服务安全可控水，防范供应链安全风险，维护国家安全和公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》制定本办法。关系国家安全与公共利益的信息系统使用的重要网络产品和服务，应当经过网络安全审查，并提出国家互联网信息办公室会同有关部门成立网络安全审查委员会，负责审议网络安全审查的重要政策，统一组织网络安全审查工作，协调网络安全审查相关重要问题。

根据意见稿，网络安全审查包括五方面内容。一是产品和服务被非法控制、干扰和中断运行的风险;二是产品及关键部件研发、交付、技术支持过程中的风险;三是产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;四是产品和服务提供者利用用户对产品和服务的依赖，实施不正当竞争或损害用户利益的风险;五是其他可能危害国家安全和公共利益的风险。

此外，意见稿要求，党政部门及重点行业优先采购通过审查的网络产品和服务，不得采购审查未通过的网络产品和服务。

金融、电信、能源等重点行业主管部门，根据国家网络安全审查工作要求，组织开展本行业、本领域网络产品和服务的安全审查工作。

对于关键信息基础设施运营者采购的网络产品和服务可能影响国家安全的，意见稿要求，应当经过网络安全审查。关键信息基础设施运营者采购的网络产品和服务是否影响国家安全，由关键信息基础设施保护工作部门确定。