网络产品和服务安全审查办法(征求意见稿)

网络安全审查办法2020年4月13日第一条为了确保关键信息基础设施供应链安全，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，制定本办法。

第二条关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。

第三条网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

第四条在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。

第五条运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。

影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。

第六条对于申报网络安全审查的采购活动，运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。

第七条运营者申报网络安全审查，应当提交以下材料：（一）申报书；（二）关于影响或可能影响国家安全的分析报告；（三）采购文件、协议、拟签订的合同等；（四）网络安全审查工作需要的其他材料。

第八条网络安全审查办公室应当自收到审查申报材料起，10个工作日内确定是否需要审查并书面通知运营者。

关键信息基础设施安全保护条例(征求意见稿）第一章总则第一条为了保障关键信息基础设施安全，根据《中华人民共和国网络安全法》，制定本条例。

第二条在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施，以及开展关键信息基础设施的安全保护，适用本条例。

第三条关键信息基础设施安全保护坚持顶层设计、整体防护，统筹协调、分工负责的原则，充分发挥运营主体作用，社会各方积极参与，共同保护关键信息基础设施安全。

第四条国家行业主管或监管部门按照国务院规定的职责分工，负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。

国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。

国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。

县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。

第五条关键信息基础设施的运营者（以下称运营者）对本单位关键信息基础设施安全负主体责任，履行网络安全保护义务，接受政府和社会监督，承担社会责任。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

第六条关键信息基础设施在网络安全等级保护制度基础上，实行重点保护。

第七条任何个人和组织发现危害关键信息基础设施安全的行为，有权向网信、电信、公安等部门以及行业主管或监管部门举报。

收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。

有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。

第二章支持与保障第八条国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动。

第九条国家制定产业、财税、金融、人才等政策，支持关键信息基础设施安全相关的技术、产品、服务创新，推广安全可信的网络产品和服务，培养和选拔网络安全人才，提高关键信息基础设施的安全水平。

网络产品和服务安全审查办法（试行）第一条为提高网络产品和服务安全可控水平，防范网络安全风险，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规，制定本办法。

第二条关系国家安全的网络和信息系统采购的重要网络产品和服务，应当经过网络安全审查。

第三条坚持企业承诺与社会监督相结合，第三方评价与政府持续监管相结合，实验室检测、现场检查、在线监测、背景调查相结合，对网络产品和服务及其供应链进行网络安全审查。

第四条网络安全审查重点审查网络产品和服务的安全性、可控性，主要包括：（一）产品和服务自身的安全风险，以及被非法控制、干扰和中断运行的风险；（二）产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险；（三）产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险；（四）产品和服务提供者利用用户对产品和服务的依赖，损害网络安全和用户利益的风险；（五）其他可能危害国家安全的风险。

第五条国家互联网信息办公室会同有关部门成立网络安全审查委员会，负责审议网络安全审查的重要政策，统一组织网络安全审查工作，协调网络安全审查相关重要问题。

网络安全审查办公室具体组织实施网络安全审查。

第六条网络安全审查委员会聘请相关专家组成网络安全审查专家委员会，在第三方评价基础上，对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。

第七条国家依法认定网络安全审查第三方机构，承担网络安全审查中的第三方评价工作。

第八条网络安全审查办公室按照国家有关要求、根据全国性行业协会建议和用户反映等，按程序确定审查对象，组织第三方机构、专家委员会对网络产品和服务进行网络安全审查，并发布或在一定范围内通报审查结果。

第九条金融、电信、能源、交通等重点行业和领域主管部门，根据国家网络安全审查工作要求，组织开展本行业、本领域网络产品和服务安全审查工作。

第十条公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过网络安全审查。

2022网络安全审查办法解读为落实《数据安全法》等法律法规的要求，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布了《网络安全审查办法》，自2022年2月15日起施行。

网络安全审查与数据安全审查是我国《网络安全法》《数据安全法》和《关键信息基础设安全保护条例》确立的两项重要国家安全审查制度，本文围绕新修订的《网络安全审查办法》的核心内容，深度解析关键信息基础设施运营者采购网络产品和服务，数据处理者开展数据处理活动，影响或可能影响国家安全的风险因素，并通过对滴滴赴美上市案例的分析，阐述了网络平台运营者赴国外上市须申报网络安全审查的重要性和必要性，分析了赴港上市申报网络安全审查的条件，以及申报网络安全审查的流程和审核期限等。

一、《网络安全审查办法》修订的背景及法律依据国家安全审查是《国家安全法》设立的一项基础性国家安全审查和监督制度和机制。

《国家安全法》第五十九条的规定：“国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。

”网络安全审查制度与数据安全审查制度是《网络安全法》、《数据安全法》和《关键信息基础设施安全保护条例》确立的两项重要国家安全审查制度。

《网络安全法》第三十五条规定：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

”；《数据安全法》第二十四条规定：“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

”；《关键信息基础设施安全保护条例》第十九条规定：运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。

互联网食品药品经营监督管理办法（征求意见稿）第一章总则第一条为加强互联网食品药品经营监督管理，保障食品药品安全，根据《中华人民共和国食品安全法》、《中华人民共和国药品管理法》、《化妆品卫生监督条例》、《医疗器械监督管理条例》等，制定本办法。

第二条在中华人民共和国境内从事互联网食品药品经营活动、提供互联网药品信息服务、提供第三方交易平台服务等，应当遵守中华人民共和国法律、法规和本办法的规定。

第三条本办法所称互联网食品药品经营，是指通过互联网向个人消费者销售食品（含食用农产品、食品添加剂）、保健食品、药品、化妆品和医疗器械的行为。

第四条国家食品药品监督管理总局主管全国互联网食品药品监督管理工作。

县级以上食品药品监督管理部门负责本行政区域内的互联网食品药品监督管理工作。

第五条从事互联网食品药品经营活动，应当依法诚信经营，遵守商业道德，加强规范管理，与实体经营相一致，确保食品药品安全。

第六条互联网食品药品经营，应当充分发挥行业协会、消费者协会等机构的作用，推进诚信体系建设，推动部门共同协作，鼓励举报违法行为，促进社会共治。

第二章互联网食品药品经营者第七条除法律法规规定不需要办理相关证照的经营主体外，互联网食品药品经营者应当取得食品药品经营许可或者备案凭证；取得食品、保健食品、化妆品、医疗器械生产许可或者备案凭证的企业，可以通过互联网销售本企业生产的产品。

药品生产企业、药品批发企业不得通过互联网向个人消费者销售药品。

互联网食品药品经营者不得委托他人从事互联网食品药品经营。

第八条互联网经营食品、保健食品、化妆品的范围应当与其经营许可或者备案范围一致。

互联网药品经营者应当按照药品分类管理规定的要求，凭处方销售处方药；处方的标准、格式、有效期等，应当符合处方管理的有关规定。

互联网药品、医疗器械经营者不得销售国家禁止互联网经营的药品、医疗器械。

《禁止互联网经营的药品、医疗器械目录》由国家食品药品监督管理总局制定发布。

国家互联网信息办公室关于《网络安全审查办法（修订草案征求意见稿）》公开征求意见的通知文章属性•【公布机关】国家互联网信息办公室,国家互联网信息办公室,国家互联网信息办公室•【公布日期】2021.07.10•【分类】征求意见稿正文国家互联网信息办公室关于《网络安全审查办法（修订草案征求意见稿）》公开征求意见的通知依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规，我办会同有关部门修订了《网络安全审查办法》，现向社会公开征求意见。

公众可通过以下途径和方式提出反馈意见：1.登录中华人民共和国司法部中国政府法制信息网（、），进入首页主菜单的“立法意见征集”栏目提出意见。

2.通过电子邮件方式发送至：***************.cn。

3.通过信函方式将意见寄至：北京市西城区车公庄大街11号国家互联网信息办公室网络安全协调局，邮编100044，并在信封上注明“网络安全审查办法征求意见”。

意见反馈截止日期为2021年7月25日。

附件：网络安全审查办法（修订草案征求意见稿）国家互联网信息办公室2021年7月10日附件网络安全审查办法（修订草案征求意见稿）第一条为了确保关键信息基础设施供应链安全，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》，制定本办法。

第二条关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，数据处理者（以下称运营者）开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。

第三条网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

第四条在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

报告摘要：●政策层面：两会召开提升板块关注度，“十四五”开启发展新篇章“十四五”开启发展新篇章，政策高关注下网安景气度有望提升。

政府工作报告的“十四五”时期主要目标任务中明确提出：“统筹发展和安全,建设更高水平的平安中国。

坚持总体国家安全观,加强国家安全体系和能力建设”，网安重要性凸显。

在两会提案中，也有多份关于网络安全，涉及网络攻防、新兴安全等方向。

同时，2021年以来工控安全等新政策不断落地，行业政策端持续迎来催化。

网络安全体系建设空间巨大，产业政策为发展做出重要指引。

目前我国网络安全投资占整个IT支出的比例不超过1.9%，而全球平均值为3.74%。

同时，等保2.0政策正式施行，覆盖范围与安全防护要求全面升级，网络安全需求进一步增长，产业政策为行业发展做出重要持续的指引。

●业绩层面：板块2020年业绩亮眼，看好2021年景气度提升板块2020年全年业绩亮眼。

1）板块2020年整体业绩增速30%，高于前两年。

板块整体归母净利润24.27亿元，同比增长30%，增速超过2019年的22%和2018年的12%。

2）分季度来看，三、四季度持续强劲反弹。

受疫情影响2020Q1、Q2单季利润增速下滑；但三季度、四季度持续反弹，2020Q3、Q4单季利润增速分别为110%、35%。

3）行业主要公司业绩增速较高，或在现金流、毛利率、订单等方面取得进展。

“十四五”第一年，网安板块有望实现“开门红”。

从五年计划对网安板块的影响来看，网安产业需求释放往往呈现“前高、中低、后高”的特征。

1）从产业规模上：2016年国内网络安全产业同比增长25.9%，后续增速开始下滑，到2018年为17.8%，2019年开始反弹，2020年有望达到近20%。

2）A股重点上市公司“十二五”、“十三五”整体收入变化：两个五年周期均能反映此规律。

因此，2021年作为“十四五”第一年，叠加政策加码等利好，网安板块整体景气度提升可期。

●行业层面：技术与理念持续升级，网络安全成长空间广阔新场景与新技术催生网络安全新需求。

《网络安全法》相关配套法律法规和规范性文件梳理《中华人民共和国网络安全法》（以下简称《网络安全法》）于2019年6月1日正式实施。

《网络安全法》作为我国网络空间安全管理的基本法律，框架性地构建了许多法律制度和要求，重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全审查、个人信息和重要数据保护制度、数据出境安全评估、网络关键设备和网络安全专用产品安全管理制度、网络安全事件应对制度等。

为保障上述制度的有效实施，一方面，以国家互联网信息办公室（以下简称“网信办”）为主的监管部门制定了多项配套法规，进一步细化和明确了各项制度的具体要求、相关主体的职责以及监管部门的监管方式；另一方面，全国信息安全标准化技术委员会（以下简称“信安标委”）同时制定并公开了一系列以信息安全技术为主的重要标准的征求意见稿，为网络运营者提供了非常具有操作性的合规指引。

具体讲：1. 在互联网信息内容管理制度方面网信办颁布了《互联网信息内容管理行政执法程序规定》，并已经针对互联网新闻信息服务、互联网论坛社区服务、公众账户信息服务、群组信息服务、跟帖评论服务等制定了专门的管理规定或规范性文件，以期全方位多层次地保障互联网信息内容的安全和可控性；2. 在网络安全等级保护制度方面信安标委在原有的信息系统安全等级保护制度的基础之上，发布了包括《网络安全等级保护实施指南》、《网络安全等级保护基本要求》等在内的多项标准文件的征求意见稿。

考虑到现行的《信息安全等级保护管理办法》已不适用《网络安全法》的要求，新的《网络安全等级保护管理办法》也正在制定中；3. 在关键信息基础设施安全保护制度方面随着《关键信息基础设施安全保护条例》、《信息安全技术关键信息基础设施安全检查评估指南》等征求意见稿的公布，关键信息基础设施运营者的安全保护义务得以进一步明确。

但是关键信息基础设施的范围依旧有待制定中的《关键信息基础设施识别指南》进行进一步地明确；4. 在个人信息和重要数据保护制度方面其核心内容主要包括个人信息收集和使用过程中的安全规范以及个人信息和重要数据出境时的安全评估制度。

《网络产品和服务安全审查办法（试行）》讨论之一：什么样的网络产品和服务可能被要求进行网络安全审查？《网络产品和服务安全审查办法（试行）》由网信办于2017年5月2日颁布，自2017年6月1日起实施。

《网络安全法》首次正式规定了“网络安全审查”：“第三十五条关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

”一般来说，网络安全审查可以看作是《国家安全法》规定的“国家安全审查“在网络或网络安全领域的体现。

（《国家安全法》：第五十九条国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的……网络信息技术产品和服务……，进行国家安全审查……。

）从《网络产品和服务安全审查办法（试行）》的全文看，网络安全审查的对象也是“网络产品和服务“，与《网络安全法》的规定相同。

对网络安全审查对象的描述，主要体现在以下两条：第二条关系国家安全的网络和信息系统采购的重要网络产品和服务，应当经过网络安全审查。

第十条公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过网络安全审查。

产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定。

可以看出，要经过或通过（姑且认为这里“经过“和”通过“为同义词）网络安全审查的网络产品和服务有两个条件：一是关系国家安全信息系统（简化为）中的重要网络产品和服务，另一个是关键信息基础设施中可能影响国家安全的网络产品和服务。

那么“关系国家安全的信息系统”和“关键信息基础设施”是个什么关系？大致看起来，可能有三种关系：一、关键信息基础设施属于关系国家安全的信息系统的一部分，或者说关系国家安全的信息系统包含了关键信息基础设施，或者说所有的关键信息基础设施都关系国家安全。

这意味着，关键信息基础设施中“可能影响国家安全”的网络产品和服务与关系国家安全的信息系统中的“重要”网络产品和服务意义相同，都需要通过网络安全审查；而关键信息基础设施中“不”“可能影响国家安全”的网络产品和服务，就与关系国家安全的信息系统中的“非”“重要”网络产品和服务意义相同（尽管这种解释稍勉强），都不需要通过网络安全审查。