《网络产品和服务安全审查办法(试行)》全文

　　5月2日，国家网信办公布《网络产品和服务安全审查办法(试行)》，并于6月1日起实施。下面是小编整理的《网络产品和服务安全审查办法(试行)》全文，欢迎阅读!

　　网络产品和服务安全审查办法

　　(试 行)

　　第一条 为提高网络产品和服务安全可控水平，防范网络安全风险，，，制定本办法。

　　第二条 ，应当经过网络安全审查。

　　第三条 坚持企业承诺与社会监督相结合，，实验室检测、现场检查、在线监测、背景调查相结合，对网络产品和服务及其供应链进行网络安全审查。

　　第四条 网络安全审查重点审查网络产品和服务的安全性、可控性，主要包括：

　　(一)产品和服务自身的安全风险，以及被非法控制、干扰和中断运行的风险;

　　(二)产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;

　　(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;

　　(四)产品和服务提供者利用用户对产品和服务的依赖，损害网络安全和用户利益的风险;

。

　　第五条 国家互联网信息办公室会同有关部门成立网络安全审查委员会，负责审议网络安全审查的重要政策，统一组织网络安全审查工作，协调网络安全审查相关重要问题。

　　网络安全审查办公室具体组织实施网络安全审查。

　　第六条 网络安全审查委员会聘请相关专家组成网络安全审查专家委员会，在第三方评价基础上，对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。

　　第七条 国家依法认定网络安全审查第三方机构，承担网络安全审查中的第三方评价工作。

　　第八条 网络安全审查办公室按照国家有关要求、根据全国性行业协会建议和用户反映等，按程序确定审查对象，组织第三方机构、专家委员会对网络产品和服务进行网络安全审查，并发布或在一定范围内通报审查结果。

　　第九条 金融、电信、能源、交通等重点行业和领域主管部门，根据国家网络安全审查工作要求，组织开展本行业、本领域网络产品和服务安全审查工作。

　　第十条 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他关键信息基础设施的运营者采购网络产品和服务，，应当通过网络安全审查。。

　　第十一条 承担网络安全审查的第三方机构，应当坚持客观、公正、公平的原则，按照国家有关规定，参照有关标准，重点从产品和服务及其供应链的安全性、可控性，安全机制和技术的透明性等方面进行评价，并对评价结果负责。

　　第十二条 网络产品和服务提供者应当对网络安全审查工作予以配合，并对提供材料的真实性负责。

　　第三方机构等相关单位和人员对审查工作中获悉的信息等承担安全保密义务，不得用于网络安全审查以外的目的。

　　第十三条 网络安全审查办公室不定期发布网络产品和服务安全评估报告。

　　第十四条 网络产品和服务提供者认为第三方机构等相关单位和人员有失客观公正，或未能对审查工作中获悉的信息承担安全保密义务的，可以向网络安全审查办公室或者有关部门举报。

　　第十五条 违反本办法规定的，依照有关法律法规予以处理。

　　第十六条 本办法自2017年6月1日起实施。

　　相关阅读：《网络产品和服务安全审查办法(试行)》重点解读

　　5月2日，国家网信办公布《网络产品和服务安全审查办法(试行)》，并于6月1日起实施。

　　《办法》指出，网络产品和服务安全审查重点审查网络产品和服务的安全性、可控性，主要包括：

　　1、产品和服务自身的安全风险，以及被非法控制、干扰和中断运行的风险;2、产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;3、产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;

　　4、产品和服务提供者利用用户对产品和服务的依赖，损害网络安全和用户利益的风险;

　　5、。

　　从顶层设计与政策角度，如何正确理解其定位?

　　可以从以下三个维度来理解《办法》的定位：

　　一是国家高度定位。

　　《办法》从组织架构和执行定位来看，无疑是国家层面主导、国家统一组织、适用于全国范围的一个针对网络产品和服务安全保障的重要的执行纲领性文件和指南。

　　二是目的内容定位。

　　《办法》目标性定位很明确，首先是制定办法的原因明确，《办法》指出“为提高网络产品和服务安全可控水平，防范供应链安全风险，;其次是《办法》制定的法律依据很明确，、;再次是审查对象和审查内容非常明确，，内容是产品和服务的“安全性、可控性”;最后是组织架构和相关执行线路明确，例如《办法》明确执行部门为“国家互联网信息办公室会同有关部门成立网络安全审查委员会”。

　　三是纲要文件定位。

　　对《办法》另外一个定位维度解读，就是该《办法》是纲领文件，而不是执行细则，所以，对某些内容，后续还需要很多的规则内容细化，还需要一段时间去合理化制定及完善一些规则定义、执行细则，以及组织机构的组建等。

　　“网络产品与服务”主要指什么?如何确定边界?

　　《办法》第二条，。那么从两个方面，可以正确理解这个含义的界定。

　　一是抓住两个关键词，我们就能正确理解基本概念和确定边界。两个关键词是“信息系统”和“重要”，即不是所有的信息系统，;在这些信息系统上，不是所有的网络产品和服务，而是“重要”的网络产品和服务。

　　二是具体产品明细。正如前面对《办法》定位的理解，这是一个纲领性规定和指导性文件，因此，还需要执行细化的内容，包括具体信息系统、产品和服务列表等。

　　相信两点，一是该列表肯定会随着《办法》执行推进而明确推出，就像政府采购的产品目录一样;二是该列表将是一个动态变化的列表，因为正如问题所说，新科技网络产品的不断推陈出新和变化，该列表也将是与时俱进地动态变化。

　　在此之前，党政部门有没有相关的网络产品与服务的安全审查?在金融、电信、能源等行业呢?

　　准确地说，党政部门此前没有专门专业的针对网络产品和服务的安全审查，但是，其在构建信息系统或采购信息产品的过程中，按照之前既有的相关法规和文件要求，其采用的某些方式方法，其实也达到一定的安全审查效果和作用。

　　例如，国家规定了十大重要行业基础信息系统，那么他们在构建信息系统或采购产品时，按照要求和需要，会邀请国家级安全测评机构，对其系统和产品进行漏洞测试、风险评估等手段。

　　对于以前的网络产品与服务来讲，由于没有专门专业的国家统一的安全审查制度和标准，其采购标准主要还是两个层面，一是国家既有的质量标准、销售许可证、企业资质等;二是行业或企业自己规定的相关功能需求和安全要求等标准，某些行业还有自己的安全评测机构，来进行相应的招标要求和审核评测。

　　应该说，之前行业或企业自行的办法和标准，与本次《办法》没有执行或逻辑上的必然联系，但是对于某些网络产品与服务的安全审查手段、技术和标准等，从科学的角度，正确的方法内容，肯定是一样的。

　　《办法》提出“坚持企业承诺与社会监督相结合，，实验室检测、现场检查、在线监测、背景调查相结合，对网络产品和服务及其提供者进行网络安全审查”，如何正确理解?

　　重点是“结合”这个关键词。既然是结合，就说明前者和后者同样重要，不可偏废。其原因，我认为这反映了《办法》或者《办法》的制订部门，在三个方向上的正确性。

　　一是全面合理。网络科技，日新月异，网络空间的治理，是当今时代的一个既新又难的大命题，尤其网络安全问题，更是重中之重，也是难上加难。那么，不可能一把快刀，斩断乱麻，解决问题。所以，更加全面的手段，各方力量的结合，综合评估，才是合理的方法。

　　二是科学正确。《办法》列出来的这些方法，都不是完全创新，而是分别在之前的行业应用中，经过验证，行之有效的方法，那么，《办法》综合了当前最为行之有效的方法，让它们综合发挥作用，这就是一定要走科学发展的道路。

　　三是公正法治。，但是，从审查方法以及全文来看，我们发现，《办法》并不是一味强调政府权威，，充分反映了《办法》完全遵循了当前我国政府提倡的依法治国、简政放权等“小政府，大社会”的执政思路。

　　《办法》第四条提出“重点审查网络产品和服务的安全性、可控性”，怎么理解?

　　第四条主要提出了四点意见，前三点，是最基本的网络安全威胁，这是最基本的、必须要保障的用户权益。而第四点，它虽然可能不是直接的网络安全威胁，但它会成为在网络空间违反《国家反垄断法》的根源，同时，有可能造成进一步的，对于用户信息系统和现实利益的威胁和损害。

　　如何界定安全审查与网络产品性能或功能的区别?由于网络产品与数据安全、信息安全的融合，这种审查在技术层面面临一定的挑战?

　　首先，网络安全审查，重点是审查网络产品与服务的安全性、可控性。这一点来讲，与网络产品本身的性能或功能没有关系。换句话说，安全审查不管你性能是否优良，也不管你是实现什么样的功能。

　　当然，由于网络空间的日新月异，网络科技的高速发展，毫无疑问，作为全新的机制，网络安全审查不仅在技术层面，在执行层面，在各个环节落实层面，都会面临一定的新难题、新挑战。但是，作为世界主要大国都已经在实施的政策，，不管有任何难题，网络安全审查都势在必行，必须推进。

　　国家统一认定网络安全审查第三方机构，承担网络安全审查中的第三方评价工作”，这个第三方机构将如何组成?如何工作?如何确保可控、透明、可信?

　　目前来说，没有确切的第三方机构的具体组成信息。但是毫无疑问，不管怎么组成，确保可控、可信和公正，一定是第三方机构的基本属性和必须属性。

　　未来第三方机构，一定要满足三大可信，一是主体可信，该机构主体应该具备普遍公信力，不能是“既当运动员，又当裁判员”等等;二是资质可信，该机构要有国家认可的资质和技术水平，否则你凭什么给别人测评;三是机制可信，测评的流程、机制和标准，首先要按照国家规定，同时作为机构本身，也应当实现机制流程的可控、透明和公正。

　　《办法》对网络、安全产业的影响有哪些?

　　一是安全意识提升。《办法》推出后，对于广大网络产品与服务提供商来说，通过法规撬动市场的杠杆，让他们会更加关注对自身产品与服务的安全性考虑，和对用户网络安全保障的服务力度;而不是像以前，主要关心产品性能、功能、模式和便捷，而对产品安全和产品使用导致用户的隐患，不够重视。那么，只要全体网络产品企业，都重视网络安全(而不是仅仅网络安全厂商跟在后面“擦屁股”)的话，毫无疑问，我们国家整体网络空间安全和清朗的环境指数，将大幅提升。

　　二是国内产业机遇。

　　对于如何更加贴近中国用户，如何更加对用户有本地化安全服务，如何更加满足《办法》的审查要求，毫无疑问，国内企业会比外企做得更好。以前如果做得好，没有明确评测反映，没有市场杠杆的反馈，而现在如果做得好，国内市场的用户们，可以看得到，国家法规有明确规定，市场自然有反馈。

　　所以，从这点来说，无论国内的互联网企业、网络产品企业，还是安全企业，都有了更大的机遇，尤其是核心科技领域的国内企业，更需抓住机遇，让“中国造”不仅仅是低级的机箱机壳，而是市场利润更高更多是芯片内核。

　　三是推动国际融合。

　　《办法》出台，对国内、国际企业一视同仁，政府市场的杠杆，将随着《办法》的推行而移动。那么，不能满足安全标准的外国企业，《办法》将刺激和推动他们去想办法保住，甚至提升在中国这个大市场的份额，无论是按照中国市场要求，弥补自身产品安全缺陷，还是按照中国市场要求创新自身产品安全性能，或是与中国本土企业合作，放低身价，进一步融入中国市场，符合本地化国情……总之，《办法》出台，对于外国网络企业，进一步创新完善，融入中国市场，是一个巨大的推动力。