第一 条 为了 确保 关键 信息 基础 设施 供应 链 安全, 维护 国家 安全, 依据 《中华人民共和国 国家 安全 法》 《中华人民共和国 网络 安全 法》, 制定 本 办法.
第二 条 关键 信息 基础 设施 运营 者 (以下 简称 运营 者) 采购 网络 产品 和 服务, 影响 或 可能 影响 国家 安全 的 , 应当 按照 本 办法 进行 网络 安全 审查.
第三 条 网络 安全 审查 坚持 防范 网络 安全 风险 与 促进 先进 技术 应用 相 结合 、 过程 公正 透明 与 知识产权 保护 相 结合 、 事前 审查 与 持续 监管 相 结合 、 企业 承诺 与 社会 监督 相 结合 , 从 产品 和 安全性 、 可能 带来 的 国家 安全 风险 等 方面 进行 审查.
第四 条 在 中央 网络 安全 和 信息 化 委员会 领导 下, 国家 互联网 信息 办公室 会同 中华人民共和国 国家 发展 和 改革 委员会 、 中华人民共和国 工业 和 信息 化 部 、 中华人民共和国 公安部 、 中华人民共和国 国家 安全 部.中华人民共和国 财政部 、 中华人民共和国 商务部 商务部 、 中国人民银行 、 国家 市场 监督 管理 总局 、 国家 广播 电视 总局 、 国家 保密 局 、 国家 密码 管理局 建立 国家 网络 安全 审查 工作 机制。
网络 安全 审查 办公室 设 在 国家 互联网 信息 办公室, 负责 制定 网络 安全 审查 相关 制度 规范, 组织 网络 安全 审查.
第五 条 运营 者 采购 网络 产品 和 服务 的 , 应当 预 判 该 产品 和 服务 投入 使用 后 可能 带来 的 国家 安全 风险。 影响 或者 可能 可能 国家 安全 的 , 应当 向 网络 安全 审查 办公室 申报 网络 安全 审查.
关键 信息 基础 设施 保护 工作 部门 可以 制定 本 行业 、 本 领域 预 判 指南。
第六 条 对于 申报 网络 安全 审查 的 采购 活动, 运营 者 应 通过 采购 文件 、 协议 等 要求 产品 和 服务 提供 者 配合 网络 安全 审查, 包括 承诺 不 利用 提供 产品 和 服务 的 便利 条件 非法 获取 用户 、.和 操纵 用户 设备, 无正当理由 不 中断 产品 供应 或 必要 的 技术 支持 服务 等.
第七 条 运营 者 申报 网络 安全 审查, 应当 提交 提交 材料:
(一) 申报 书 ;
(二) 关于 影响 或 可能 影响 国家 安全 的 分析 报告.
(三) 采购 文件 、 协议 、 拟 签订 的 合同 等.
(四) 网络 安全 审查 工作 需要 的 其他 材料.
第八 条 网络 安全 审查 办公室 应当 自 收到 审查 申报 材料 起, 10 个 工作 日内 确定 是否 需要 审查 并 书面 通知 运营 者。
第九条 网络 安全 审查 重点 评估 采购 网络 产品 和 服务 可能 带来 的 国家 安全 风险, 主要 考虑 以下 因素 :
(一) 产品 和 服务 使用 后 带来 的 关键 信息 基础 设施 被 非法 控制 、 遭受 干扰 或 破坏, 以及 重要 数据 被 窃取 、 泄露 、 毁损 的 风险.
(二) 产品 和 服务 供应 中断 对 关键 信息 基础 设施 业务 连续性 的 危害.
(三) 产品 和 服务 的 安全 性 、 开放 性 、 透明 性 、 来源 的 多样性, 供应 渠道 的 可靠性 以及 因为 政治 、 外交 、 贸易 等 因素 导致 供应 中断 的 风险.
(四) 产品 和 服务 提供 者 遵守 中国 法律 、 行政 法规 、 部门 规章 情况 ;
(五) 其他 可能 危害 关键 信息 基础 设施 安全 和 国家 安全 的 因素.
第十 条 网络 安全 审查 办公室 认为 需要 开展 网络 安全 审查 的 , 应当 自 向 运营 者 发出 书面 通知 之 日 起 30 个 工作 日内 完成 初步 审查 , 包括 形成 审查 结论 建议 和 将 审查 结论 建议 发送 网络 安全 工作.机制 成员 单位 、 相关 关键 信息 基础 设施 保护 工作 部门 征求 意见 ; 情况 复杂 的 , 可以 延长 15 个 工作日。
第十一条 网络 安全 审查 工作 工作 机制 成员 单位 和 相关 关键 信息 基础 设施 保护 工作 部门 应当 自 收到 审查 结论 建议 之 日 日 起 15 个 工作 日内 书面 书面 回复 意见。
网络 安全 审查 工作 机制 成员 单位 、 相关 关键 信息 基础 设施 保护 工作 部门 意见 一致 的 , 网络 安全 审查 办公室 以 书面 形式 将 审查 结论 通知 通知 运营 者 ; 意见 不一致 的 , 按照 特别 审查 程序 处理, 并 通知.
第十二 条 按照 特别 审查 程序 处理 的 , 网络 安全 审查 办公室 应当 听取 相关 部门 和 单位 意见, 进行 深入 分析 评估, 再次 形成 审查 结论 建议, 并 征求 网络 安全 审查 工作 机制 成员 单位 和 相关 关键 信息.工作 部门 意见, 按 程序 报 中央 网络 安全 和 信息 化 委员会 批准 后, 形成 审查 结论 并 书面 通知 运营 者.
第十三 条 特别 审查 程序 一般 应当 在 45 个 工作 日内 完成, 情况 复杂 的 可以 适当 延长.
第十四 条 网络 安全 审查 办公室 要求 提供 补充 材料 的 , 运营 者 、 产品 和 服务 提供 者 应当 予以 配合。 提交 补充 材料 的 时间 不 计入 审查 应当.
第十五 条 网络 安全 审查 工作 机制 成员 单位 认为 影响 或 可能 影响 国家 安全 的 网络 产品 和 服务, 由 网络 安全 审查 办公室 按 程序 报 中央 网络 安全 和 信息 化 委员会 批准 后 , 依照 本 办法 的 进行.
第十六 条 参与 网络 安全 审查 的 相关 机构 和 人员 应 严格 保护 企业 商业 秘密 和 知识产权, 对 运营 者 、 产品 和 服务 提供 者 提交 的 未 公开 材料 , 材料 审查 工作 中 获悉 的获悉 未 承担.义务 ; 未经 信息 提供 方 同意, 不得 向 无关 方 披露 或 用于 审查 审查 以外 的 目的.
第十七 条 运营 者 或 网络 产品 和 服务 提供 者 认为 审查 人员 有失 客观 公正, 或 未能 对 审查 工作 中 获悉 的 信息 承担 保密 义务 的 , 可以 向 网络 安全 审查 办公室 或者 有关部门 举报.
第十八 条 运营 者 应当 督促 产品 和 服务 提供 者 履行 网络 安全 审查 中 中 作出 的 承诺.
网络 安全 审查 办公室 通过 接受 举报 等 形式 加强 事前 事 事 事后 监督。
第十九 条 运营 者 违反 本 办法 规定 的, 依照 《中华人民共和国 网络 网络 法》 第六 十五 条 的 规定 处理.
第二十条 本 办法 中 关键 信息 基础 设施 运营 者 是 指 经 关键 信息 基础 设施 保护 保护 工作 部门 认定 的 运营 者.
本 办法 所称 网络 产品 和 服务 主要 指 核心 网络 设备 、 高性能 计算机 和 服务器 、 大 容量 存储 设备 、 大型 数据库 和 应用 软件 、 网络 安全 设备 、 云 计算 服务, 以及 其他 对 关键 信息 基础 设施 安全 重要.的 网络 产品 和 服务。
第二十 一条 涉及 国家 秘密 信息 的 , 依照 国家 有关 保密 规定 执行.
第二十 二条 本 办法 自 2020 年 6 月 1 日 起 实施, 《网络 产品 和 服务 安全 审查 办法 (试行)》 同时 废止。