12部委重拳出击网络安全！严审高性能计算机和服务器设备，为新基建保驾护航

近日，国家互联网信息办公室等12部委联合制定并发布《网络安全审查办法》，重点审查采购产品和服务可能给关键信息基础设施运行及国家安全带来的风险和危害，并对基础设施相关运营主体和审查范围给出了清晰的界定。

该办法将于6月1日起正式实施，实施了将近三年的《网络产品和服务安全审查办法（试行）》同时废止。

这一审查办法的出台，意味着涉及核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务等产品和服务的欧美企业必须接受更严苛的中国网络安全审查。如果不能通过审查，其产品及服务将禁止在中国销售。

这是我国在顶层规划下又一可实操性规定的出台。随着国际网络空间博弈日趋复杂严峻，不安全的网络产品和服务正成为针对关键信息基础设施实施网络非法控制和破坏活动的主要媒介，国家必须更为审慎地对待通过供应链渗透引入的国家安全风险，建立并实施有效的网络安全审查制度意义重大。

同时，该办法将为数字新基建保驾护航，并有望推动国产IT领域关键信息基础设施供应商的发展。我国网络安全行业正进入一个新的高速发展期，根据《广证恒生》的报告，目前中国网络安全市场年均增速超过20%，预计到2021年将到达926.8亿元，其中仅国产化替代政府信息系统的实施就将带来数万亿规模的增量市场。

文末附《网络安全审查办法》全文。

一、覆盖13个行业，重点考量五类因素

在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民****、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局联合建立国家网络安全审查工作机制。

智东西对《网络安全审查办法》的重点进行提炼和解读。

1、出台背景及法律责任

网络安全审查属于国家安全审查的一种，新办法将目标精确为及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害，保障关键信息基础设施供应链安全，维护国家安全。

本办法对关键信息基础设施运营者采购的网络产品和服务进行审查。电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者，在采购网络产品和服务时，应当按照《办法》要求考虑申报网络安全审查。

网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合，在保障国家安全的同时，兼顾到经济和产业发展，并充分尊重运营者对自身安全状况判断的专业性。

也就是说，运营者应自行预判产品和服务投入使用后可能带来的风险，督促产品和服务提供者履行网络安全审查中做出的承诺。

如违反本办法，根据《网络安全法》第六十五条规定，应当申报网络安全审查而没有申报的，或者使用网络安全审查未通过的产品和服务，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

2、主要审查内容及考量因素

本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

重点评估因素如下：

（1）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

（2）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（3）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（4）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（5）其他可能危害关键信息基础设施安全和国家安全的因素。

3、申报及审查时限

关键信息基础设施运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。

如果在签署合同后申报，建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效。

通常网络安全审查在45个工作日内完成，情况复杂的会延长15个工作日。进入特别审查程序的审查项目，可能还需要45个工作日或者更长。

网络安全审查办公室应当自收到审查申报材料起，10个工作日内确定是否需要审查并书面通知运营者。被认为需要审查的，应当自向运营者发出书面通知之日起30个工作日内完成初步审查；情况复杂的，可以延长15个工作日。

网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门，应当自收到审查结论建议之日起15个工作日内书面回复意见。

根据本办法要求，补充提供材料的时间不计入审查时限。

网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。具体工作委托中国网络安全审查技术与认证中心承担。

中国网络安全审查技术与认证中心在网络安全审查办公室的指导下，承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。

二、对国外产品服务造成限制？

信息安全产业链主要由上游的基础元器件商、基础软硬件供应商，中游的信息安全专门软硬件提供商、信息安全服务集成提供商、各类信息安全咨询/运维/测评/培训等支撑机构以及下游的企业、个人客户组成。

近年来国际形势变化多端，政治、外交、贸易等非技术因素导致供应中断的可能性增强，供应商的来源和供应商的可靠性等非技术性因素，已经成为多个国家评估供应链安全风险的重要方面。

从涉及网络安全审查的产品和服务范围来看，《网络安全审查办法》与信创高度重叠，除了核心网络设备外，高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、云计算服务等与数据中心密切相关的设备产品赫然在列。

尤其在云计算环境中，服务器、主机使用到的芯片、操作系统等软硬件，一旦遭到发生重大安全事故，将对云计算服务商造成难以挽回的影响，甚至导致用户隐私信息的泄露。

这也意味着高通、苹果、英特尔、惠普、微软、亚马逊等国际科技公司的产品及服务在进入国内时，将接受更为严苛的安全审查监督。