網絡安全審查辦公室設在國家互聯網信息辦公室,負責制定相關制度規範和組織網絡安全審查。第五條經營者在購買網絡產品和服務時,應當預測產品和服務投入使用後可能帶來的國家安全風險。影響或者可能影響國家安全的,應當報網絡安全審查辦公室進行網絡安全審查。
關鍵信息基礎設施保護部門可以制定本行業、本領域的預判指南。第六條對申請網絡安全審查的采購活動,經營者應當通過采購文件和協議要求產品和服務提供者配合網絡安全審查,包括承諾不得利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備、無正當理由不得中斷產品供應或必要的技術支持服務等。第七條經營者申請網絡安全審查,應當提交下列材料:
壹、聲明。
(二)對國家安全影響或可能影響的分析報告;
(3)擬簽署的采購文件、協議和合同;
(四)網絡安全審查所需的其他材料。第八條網絡安全審查辦公室應當在收到審查申請材料後10個工作日內確定是否需要審查並書面通知經營者。第九條網絡安全審查重點評估購買網絡產品和服務可能帶來的國家安全風險,主要考慮以下因素:
(壹)產品和服務使用後,關鍵信息基礎設施被非法控制、幹擾或破壞,重要數據被竊取、泄露或破壞的風險;
(二)產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
(3)產品和服務的安全性、公開性和透明度、來源的多樣性、供應渠道的可靠性以及因政治、外交和貿易因素導致供應中斷的風險;
(四)產品和服務提供者遵守中國法律、行政法規和部門規章的情況;
(五)其他可能危及關鍵信息基礎設施安全和國家安全的因素。第十條網絡安全審查辦公室認為需要進行網絡安全審查的,應當自向運營者發出書面通知之日起30個工作日內完成初步審查,包括形成審查結論並將審查結論和建議發送網絡安全審查機制成員單位和相關關鍵信息基礎設施保護部門征求意見;情況復雜的,可以延長15個工作日。第十壹條網絡安全審查機制成員單位和相關關鍵信息基礎設施保護主管部門應當自收到審查結論和建議之日起05個工作日內書面回復。
如果網絡安全審查機制成員單位和相關關鍵信息基礎設施保護部門意見壹致,網絡安全審查辦公室將書面通知運營商審查結論;如有異議,應按照特別審查程序處理,並通知經營者。第十二條按照特別審查程序辦理的,網絡安全審查辦公室應當聽取有關部門和單位的意見,深入分析評估,再次形成審查結論和建議,征求網絡安全審查機制成員單位和有關關鍵信息基礎設施保護部門的意見,按程序報中央網絡安全和信息化委員會批準,形成審查結論並書面通知運營者。第十三條特別審查程序壹般應在45個工作日內完成,並視情況可適當延長。第十四條網絡安全審查辦公室要求補充材料的,經營者、產品和服務提供者應當予以配合。提交補充材料的時間不計入審查時間。第十五條網絡安全審查機制成員單位認為影響或者可能影響國家安全的網絡產品和服務,經網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準後,按照本辦法的規定進行審查。