适用场景
中国出海企业,尤其是在中国境内运营关键信息基础设施(CII)或向其提供网络产品及服务的企业,在采购或提供相关产品服务时,需关注并遵守中国《网络安全审查办法》的规定。
核心要点
1. 审查目的与法律基础
《网络安全审查办法》旨在保障关键信息基础设施供应链安全和国家安全,其制定依据是中国《国家安全法》和《网络安全法》。
2. 审查范围与主体
审查对象是CII运营者采购的网络产品和服务。CII运营者需自行评估风险并申请审查,或由监管机构主动发起。CII涵盖电信、能源、金融等广泛行业,产品包括核心网络设备、云服务等对CII安全有重要影响的类型。
3. 审查流程与机构
审查工作由国家网络安全审查办公室(CRO)牵头,联合11个部门共同实施。初审通常在30-45天内完成,可能进行15天的复审,特殊情况可启动专项审查并报请中央网络安全和信息化委员会最终决定。
4. 审查标准与侧重
审查重点评估产品服务对CII稳定性、安全性、连续性的影响,以及可能带来的国家安全风险和是否违反中国法律。相较于早期草案,新办法更强调通过合同约定供应商的合规义务,而非直接审查“安全可控”原则。
5. 合同义务与责任
办法鼓励CII运营者在采购合同中明确供应商的审查协助义务和安全承诺,例如不得非法收集用户个人信息、不得控制或操纵用户设备、不得无故中断产品供应或技术支持服务等。
实务建议
- 对于在华运营CII的出海企业,应定期自查现有及拟采购的网络产品和服务,评估其是否属于审查范围及潜在国家安全风险。
- 若判断需审查,应及时向国家网络安全审查办公室(CRO)提交审查申请,并积极配合审查工作。
- 在采购合同中明确约定,合同生效或履行以通过网络安全审查为前提,并确保合同包含供应商协助审查的义务及各项安全承诺。
- 对于向在华CII提供产品或服务的出海企业,应主动了解客户的CII身份,并准备充分的材料证明自身产品或服务符合相关安全要求。
- 考虑设立本地实体或团队,以便更有效地配合客户进行审查流程,并确保在服务协议中加入保密条款,保护敏感信息。
- 完善企业内部采购流程,将网络安全审查要求纳入其中,并对于CII身份存疑的,积极咨询行业主管或监管部门。
风险提示
- 关键信息基础设施(CII)的具体认定范围和审查标准仍有待进一步细化,出海企业需持续关注监管动态和具体指导意见。
- 尽管法规旨在公平,但CII运营者在实际采购中仍可能因国家安全考量倾向于选择国内供应商,出海企业需做好竞争准备。
- 未能有效履行审查义务或违反相关规定,可能面临国家安全风险及法律处罚,包括但不限于暂停采购、罚款等。
- 合规责任部分通过合同约定转移至供应商,但CII运营者仍需承担最终的合规责任,需审慎选择供应商并加强合同管理。