适用场景
中国出海企业,尤其是在华拥有关键信息基础设施(CII)或向其提供网络产品和服务的企业,以及关注中国境内合规风险的企业。在产品研发、服务采购、供应链管理及日常运营阶段均需关注。
核心要点
1. 审查范围与核心原则
中国网络安全审查主要针对关系国家安全的重要网络产品和服务,其核心指导原则是“安全可控”。审查范围不仅包括产品服务本身的安全性,也延伸至其供应链的潜在风险。
2. 审查机制与流程
该审查机制侧重于事中和事后监管,而非市场准入前的行政许可。审查由政府主导发起,企业无法主动申请,但审查过程强调多方参与,包括专家评估、社会监督等环节。
3. 重点关注行业
审查明确将公共通信、信息服务、能源、交通、水利、金融、公共服务、电子政务等关键信息基础设施运营者及其所使用的网络产品和服务列为重点关注对象。
4. 风险评估维度
审查关注产品服务被非法控制、干扰、中断的风险,供应链安全风险,用户数据被非法收集、存储、处理、使用的风险,以及其他可能危害国家安全的潜在风险。
5. 合规结果与影响
审查结果将通过评估报告形式发布,可能形成“白名单”和“黑名单”机制,对行业采购决策和市场导向产生显著影响。
实务建议
- 对照“安全可控”要求,对企业采购或提供的网络产品和服务进行内部自查与改进。
- 积极与行业监管部门及行业协会保持沟通,了解最新政策动态和实施细则。
- 建立健全供应链安全管理体系,评估关键组件和服务的安全风险。
- 关注用户数据收集、存储、处理和使用合规性,防范数据安全风险。
- 密切跟踪网络安全审查相关法规的后续发展和具体实施细则。
风险提示
- “安全可控”等审查标准仍具原则性,实践中可能存在较大自由裁量空间。
- 尽管强调内外资企业一视同仁,但审查可能对境外企业或合资企业在华市场准入形成“隐形壁垒”。
- 违反审查要求的关键信息基础设施运营者将面临高额罚款(最高可达采购价格的10倍)及相关责任人处罚。
- 企业无法主动发起审查,只能通过行业协会等间接方式推动,监管主动性较强。