第一@@条@@ 为了确保关键信息基础设施供应链安全@@,维护国家安全@@,依据@@《中华人民共和国国家安全法@@》《中华人民共和国网络安全@@法@@》《中华人民共和国数据安全法@@》,制定本办法@@。
第二@@条@@ 关键信息基础设施运营者@@@@(以@@下简称运营者@@@@)采购网络产品和服务@@,数据处理者@@(以@@下称运营者@@@@)开展数据处理活动@@,影响或可能影响国家安@@全的@@,应当按照本办法进行网络安全@@审查@@。
第三@@条@@ 网络安全@@审查坚持防范网络安全@@风险与促进先进技术应用相结合@@、过程公正透明与知识产权保护相结合@@、事前审查与持续监管相结合@@、企业承诺与社会监督相结合@@,从产品和服务安全性@@、可能带来的国家安全风险等方面进行审查@@。
第四@@条@@ 在中央网络安全@@和信息化委员会领导下@@,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会@@、中华人民共和国工业和信息化部@@、中华人民共和国公安部@@、中华人民共和国国家安全部@@、中华人民共和国财政部@@、中华人民共和国商务部@@、中国人民银行@@、国家市场监督管理总局@@、国家广播电视总局@@、中国证券监督管理委员会@@、国家保密局@@、国家密码管理局建立国家网络安全@@审查工作机制@@。
网络安全@@审查办公室设在国家互联网信息办公室@@,负责制定网络安全@@审查相关制度规范@@,组织网络安全@@审查@@。
第五@@条@@ 运营者@@采购网络产品和服务@@的@@,应当预判该产品和服务投入使用后可能带来的国家安全风险@@。影响或者可能影响国家安全的@@,应当向网络安全@@审查办公室申报网络安全@@审查@@。
关键信息基础设施保护工作部门可以@@制定本行业@@、本领域预判指南@@。
第六@@条@@ 掌握超过@@100万用户个人信息的运营者@@赴国外上市@@,必须向网络安全@@审查办公室申报网络安全@@审查@@。
第七@@条@@ 对于申报网络安全@@审查的采购活动@@,运营者@@应通过采购文件@@@@、协议@@等要求产品和服务提供者配合网络安全@@审查@@,包括承诺不利用提供产品和服务的便利条件非法获取用户数据@@、非法控制@@和操纵用户设备@@,无@@正当理由不中断产品供应或必要的技术支持@@服务等@@。
第八条@@ 运营者@@申报网络安全@@审查@@,应当提交以@@下材料@@:
(一@@)申报书@@;
(二@@)关于影响或可能影响国家安@@全的@@分析报告@@;
(三@@)采购文件@@、协议@@、拟签订的合同或拟提交的@@IPO材料等@@;
(四@@)网络安全@@审查工作需要的其他材料@@。
第九条@@ 网络安全@@审查办公室应当自收到审查申报材料起@@,10个工作日@@内确定是否需要审查并书面通知运营者@@@@。
第十条@@ 网络安全@@审查重点评估采购活动@@、数据处理活动以@@及国外上市可能带来的国家安全风险@@,主要考虑以@@下因素@@:
(一@@)产品和服务使用后带来的关键信息基础设施被非法控制@@@@、遭受干扰或破坏的风险@@;
(二@@)产品和服务供应中断对关键信息基础设施业务连续性的危害@@;
(三@@)产品和服务的安全性@@、开放性@@、透明性@@、来源的多样性@@,供应渠道的可靠性以@@及因为政治@@、外交@@、贸易等因素导致供应中断的风险@@;
(四@@)产品和服务提供者遵守中国法律@@、行政法规@@、部门规章情况@@;
(五@@)核心数据@@、重要数据或大量个人信息被窃取@@、泄露@@、毁损以@@及非法利用或出境的风险@@;
(六@@)国外上市后关键信息基础设施@@,核心数据@@、重要数据或大量个人信息被国外政府影响@@、控制@@、恶意利用的风险@@;
(七@@)其他可能危害关键信息基础设施安全和国家数据安全的因素@@。
第十一@@条@@ 网络安全@@审查办公室认为需要开展网络安全@@审查的@@,应当自向运营者@@发出书面通知之日起@@30个工作日@@内完成初步审查@@,包括形成审查结论建议和将审查结论建议发送网络安全@@审查工作机制成员单位@@@@、相关关键信息基础设施保护工作部门征求意见@@;情况复杂的@@,可以@@延长@@15个工作日@@。
第十二@@条@@ 网络安全@@审查工作机制成员单位@@和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起@@15个工作日@@内书面回复意见@@。
网络安全@@审查工作机制成员单位@@、相关关键信息基础设施保护工作部门意见一@@致的@@,网络安全@@审查办公室以@@书面形式将审查结论通知运营者@@@@;意见不一@@致的@@,按照特别审查程序处理@@,并通知运营者@@@@。
第十三@@条@@ 按照特别审查程序处理@@的@@,网络安全@@审查办公室应当听取相关部门和单位意见@@,进行深入分析评估@@,再次形成审查结论建议@@,并征求网络安全@@审查工作机制成员单位@@和相关部门意见@@,按程序报中央网络安全@@和信息化委员会批准后@@,形成审查结论并书面通知运营者@@@@。
第十四@@条@@ 特别审查程序一@@般应当在@@3个月@@内完成@@,情况复杂的@@可以@@延长@@@@。
第十五@@条@@ 网络安全@@审查办公室要求提供补充材料的@@,运营者@@、产品和服务提供者应当予以@@配合@@。提交补充材料的时间不计入审查时间@@。
第十六@@条@@ 网络安全@@审查工作机制成员单位@@认为影响或可能影响国家安@@全的@@网络产品和服务@@、数据处理活动以@@及国外上市行为@@,由网络安全@@审查办公室按程序报中央网络安全@@和信息化委员会批准后@@@@,依照@@本办法的规定进行审查@@。
第十七@@条@@ 参与网络安全@@审查的相关机构和人员应严格保护企业商业秘密和知识产权@@,对运营者@@@@、产品和服务提供者提交的未公开材料@@,以@@及审查工作中获悉的其他未公开信息承担保密义务@@;未经信息提供方同意@@,不得向无@@关方披露或用于审查以@@外的目的@@。
第十八条@@ 运营者@@或网络产品和服务提供者认为审查人员有失客观公正@@,或未能对审查工作中获悉的信息承担保密义务的@@,可以@@向网络安全@@审查办公室或者有关部门举报@@。
第十九条@@ 运营者@@应当督促产品和服务提供者履行网络安全@@审查中作出的承诺@@。
网络安全@@审查办公室通过接受举报等形式加强事前事中事后监督@@。
第二@@十条@@ 运营者@@违反本办法规定的@@,依照@@《中华人民共和国网络安全@@法@@》《中华人民共和国数据安全法@@》的规定处理@@。
第二@@十一@@条@@ 本办法中关键信息基础设施运营者@@@@是指经关键信息基础设施保护工作部门认定的运营者@@@@。
本办法所称网络产品和服务主要指核心网络设备@@、重要通信产品@@、高性能计算机和服务器@@、大容量存储设备@@、大型数据库和应用软件@@、网络安全@@设备@@、云计算服务@@,以@@及其他对关键信息基础设施安全有重要影响的网络产品和服务@@。
第二@@十二@@条@@ 涉及国家秘密信息的@@,依照@@国家有关保密规定执行@@。
第二@@十三@@条@@ 本办法自@@2021年@@ 月@@ 日起实施@@,《网络产品和服务安全审查办法@@(试行@@)》同时废止@@。
