《网络安全审查办法》修订发布 将于2022年2月15日起施行

近日，国家互联网信息办公室会同国家发展改革委、工业和信息化部等多个部门联合修订发布《网络安全审查办法》(以下简称《办法》)，自2022年2月15日起施行。

专家学者和企业界人士表示，《办法》坚持以关键信息基础设施的供应链安全为核心，并将网络平台运营者开展数据处理活动影响或可能影响国家安全等情形纳入网络安全审查，不仅在管理方面优化和完善了网络安全审查制度的基本设计，还将驱动网络安全产业加速成长和高质量发展，提升关键信息基础设施安全供给能力和数据安全防护供给能力。

聚焦网络平台数据处理安全

国家互联网信息办公室有关负责人表示，网络安全审查是网络安全领域的重要法律制度，原《办法》自2020年6月施行以来，对于保障关键信息基础设施供应链安全、维护国家安全发挥了重要作用。为落实数据安全法等法律法规要求，国家互联网信息办公室联合相关部门修订了《办法》。

据介绍，《办法》将网络平台运营者开展数据处理活动影响或可能影响国家安全等情形纳入网络安全审查，并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据数据安全法，数据处理活动包括数据的收集、存储、使用、加工、传输、提供、公开等活动。

中国网络安全审查技术与认证中心工程师齐越认为，此次《办法》修订的最大亮点是把网络平台运营者赴国外上市纳入网络安全审查。这一制度设计主要考虑的是，一方面，赴国外上市的企业主要来自于电商、出行、招聘、教育、物流等重数据资产的领域，往往掌握大量国内用户数据，伴随网络平台业务的快速发展和资本的注入，其自身面临的网络安全风险正逐步增大;另一方面，国外证券监管等法律政策及政治环境近年发生巨大变化，越来越详尽的数据披露进一步扩大了企业的数据安全风险。

风险保障关口前移

专家指出，此次《办法》的修订出台，秉承了关口前移、防患于未然的网络安全审查制度设计初心。《办法》是我国网络安全法律法规体系的内在组成部分，同其他网络安全政策法规以及其他领域的相关政策保持协同。

国家工业信息安全发展研究中心首席专家、检查评估所所长张格表示，近年来全球网络安全事件层出不穷，涉及能源、医疗、制造等国计民生领域。其中，针对系统中第三方产品或服务安全漏洞及脆弱性的恶意利用是破坏关键信息基础设施的重要手段，可能造成设备损坏、系统失效、重要数据泄露等后果。

张格认为，《办法》的实施有利于关键信息基础设施运营者和网络平台运营者强化网络安全和数据安全意识，引导关键信息基础设施运营者和网络平台运营者将风险保障工作关口前移，从源头消解安全风险，为关键信息基础设施防范供应链安全和数据安全风险提供保障。

驱动网络安全产业提升供给能力

绿盟科技资深架构师林涛表示，《办法》进一步明确了对关键信息基础设施供应链安全保护的相关要求，不仅优化和完善了网络安全审查制度的基本设计，更为网络安全产业高质量发展指明了方向。

对于提升关键信息基础设施安全供给能力，网络安全产业可发挥制度参与、技术产品及方案提供、服务支撑三方面作用。一是可以通过自身业务实践，参与和支持相关的制度标准，如关键信息基础设施供应链安全要求、关键信息基础设施安全检查评估要求、关键信息基础设施安全保护技术要求等;二是强化关键信息基础设施安全相关技术研发和产品研制，如关键信息基础设施安全风险感知和识别、关键信息基础设施系统漏洞检测、关键信息基础设施网络威胁溯源和取证等;三是强化试点和服务运营等能力，全面服务关键信息基础设施保护相关工作，如关键信息基础设施安全应急演练、关键信息基础设施安全培训、关键信息基础设施安全一体化运营服务等。

对于提升数据安全防护供给能力，网络安全产业可发挥三方面作用。一是重点围绕数据出境安全评估、重要网络安全服务产品和服务目录、数据安全审查办法等，加强探索并积累实践案例;二是重点开展数据分类分级管理、敏感数据识别、数据安全风险评估、数据安全审计等技术产品方案研发;三是强化数据安全应急、重要数据灾备与恢复、数据溯源取证等服务支撑能力和队伍建设。

(记者 张汉青)