서비스 바로가기
주메뉴 바로가기
본문바로가기
하단 홈페이지정보 바로가기

최신정책/법률/제도

  • 홈
  • 비즈니스속보
  • 최신정책/법률/제도
게시물 상세보기
사이버보안심사방법(2022.2.15)
분류 기타 > 기타
등록일 2022.03.07
첨부파일 사이버보안심사방법(2022.2.15)(한중).docx


사이버보안심사방법
국가사이버정보판공실•
중화인민공화국국가발전개혁위원회
•중화인민공화국공업정보화부
•중화인민공화국공안부
•중화인민공화국국가안전부
•중화인민공화국재정부
•중화인민공화국상무부
•중국인민은행
•국가시장감독관리총국
•국가라디오TV방송총국
•중국증권감독관리위원회
•국가기밀보호국•국가암호관리국 令 제8호



<사이보안심사방법>이 2021년 11월 16일 국가사이버정보판공실 2021년 제20차 실무(室務)회의에서 심의 통과되어 국가인터넷정보판공실•중화인민공화국국가발전개혁위원회•중화인민공화국공업정보화부•중화인민공화국공안부•중화인민공화국국가안전부•중화인민공화국재정부•중화인민공화국상무부•중국인민은행•국가시장감독관리총국•국가라디오TV방송총국•중국증권감독관리위원회•국가기밀보호국•국가암호관리국의 동의를 거쳐 공포하는 바이며 2022년 2월 15일부터 시행한다.
국가사이버정보판공실 주임 즈왕룽원(庄榮文)
국가발전개혁위원회 주임 허리펑(何立峰)
공업정보화부 부장 샤오야칭(肖亞慶)
공안부 부장 자오커즈(趙克志)
국가안전부 부장 천원칭(陳文淸)
재정부 부장 류쿤(劉昆)
상무부 부장 왕원타오(王文濤)
중국인민은행 행장 이강(易綱)
국가시장감독관리총국 국장 장궁(張工)
국가라디오TV방송총국 국장 니에천시(聂辰席)
중국증권감독관리위원회 주석 이후이만(易會滿)
국가기밀보호국 국장 리자오중(李兆宗)
국가암호관리국 국장 류둥팡(劉東方)
2021년 12월 28일
사이버보안심사방법

제1조 핵심정보인프라 공급사슬의 안전을 보장하고 사이버 보안과 데이터 보안을 보장하며 국가보안을 유지하기 위한 목적으로 <중화인민공화국 국가보안법>, <중화인민공화국 사이법보안법>, <중화인민공화국 데이터보안법>, <중화인민공화국 정보인프라보안조례>에 근거하여 이 방법을 제정한다.
제2조 핵심정보인프라 운영자의 네트워크 제품•서비스 구매 활동, 온라인플랫폼 운영자의 데이터 처리 활동이 국가보안에 영향을 미치거나 영향을 미칠 가능성이 존재하는 경우 이 방법에 따라 사이버보안심사를 진행하여야 한다.
전 항의 핵심정보인프라 운영자와 온라인플랫폼 운영자를 당사자로 통칭한다.
제3조 사이버보안심사는 사이버 보안 리스크 방지와 선진기술 응용의 결부, 과정의 공정성•투명성과 지적재산권 보호의 결부, 사전(事前) 심사와 지속적 감독관리의 결부, 기업의 약속과 사회적 감독의 결부를 고수하며 상품•서비스와 데이터 처리 활동의 안전성, 국가보안에 초래 가능한 리스크 등 방면에서 심사를 진행한다.
제4조 중앙사이버보안정보화위원회의 지도하에 국가사이버정보판공실이 중화인민공화국국가발전개혁위원회•중화인민공화국공업정보화부•중화인민공화국공안부•중화인민공화국국가안전부•중화인민공화국재정부•중화인민공화국상무부•중국인민은행•국가시장감독관리총국•국가라디오TV방송총국•중국증권감독관리위원회•국가기밀보호국•국가암호관리국과 회동하여 사이버보안심사업무메커니즘을 구축한다.
사이버보안심사판공실은 국가사이버정보판공실 산하에 설치하며 사이버보안심사 관련 제도•규범 제정, 사이버보안심사 조직 등 기능을 담당한다.

제5조 핵심정보인프라 운영자는 네트워크 제품•서비스를 구매함에 있어 해당 제품•서비스 사용으로 국가안전에 초래될 수 있는 리스크에 대한 사전평가를 실시하여야 한다.
핵심정보인프라 보안 업무 담당부서는 해당 업종•분야의 사전평가 지침을 제정할 수 있다.


제6조 사이버보안심사신고가 이뤄진 구매 활동에 있어 핵심정보인프라 운영자는 구매문서•협의서를 통해 제품•서비스 제공을 위해 주어진 편리적 여건을 이용하여 이용자의 데이터를 불법으로 확보하거나 이용자의 설비를 불법으로 제어•조작하지 아니할 것과 정당사유 없이 제품•서비스 공급을 중단하거나 필요한 기술지원 서비스를 중단하지 아니할 것을 약속하는 등 사이보보안심사에 협조할 것을 제품•서비스 제공자에게 요구하여야 한다.
제7조 100만명 이상 이용자의 개인정보를 보유하고 있는 온라인 플랫폼 운영자가 해외 주식시장에 상장하고자 하는 경우 반드시 사이버보안심삼판공실에 사이보안심사 신고를 하여야 한다.
제8조 사이버보안심사신고를 하는 당사자는 다음 각 호의 서류를 제출하여야 한다.
(1) 신고서
(2) 국가안전에 미치거나 미칠 수 있는 영향에 대한 분석보고서
(3) 구매문서, 협의서, 체결 예정인 계약서 또는 제출 예정인 기업공개(IPO) 등 상장 신청서류
(4) 사이버보안심사 업무에 필한 기타 자료.

제9조 사이버보안심사판공실은 이 방법 제8조에 규정된 심사신고 서류를 제출받은 날로부터 10일(근무일 기준) 내에 심사 필요 여부에 대한 결정을 내리고 당사자에게 서면으로 고지하여야 한다.
제10조 사이버보안심사는 관련 대상•상황을 평가함에 있어 다음 각 호의 국가안전 리스크 요인을 중점적으로 평가한다.
(1) 제품•서비스 사용에 따른 핵심정보인프라 불법 통제, 방해, 파괴 발생 위험성
(2) 제품•서비스 공급사슬 중단 시 핵심정보인프라의 업무 연속성에 초래될 수 있는 위해(危害)
(3) 제품•서비스의 안전성, 개방성, 투명성, 공급처 다양성, 공급 채널 신뢰성 및 정치•외교•무역 등 요인으로 인한 공급 중단 리스크
(4) 제품•서비스 제공자의 중국 법률•행정법규•부문규장 준수 상황
(5) 핵심 데이터, 중요 데이터 또는 대량 개인정보 도난, 유출, 훼손, 불법 이용, 불법 해외반출 리스크
(6) 상장으로 인해 핵심정보인프라, 핵심 데이터, 중요 데이터 또는 대량의 개인정보가 외국 정부의 영향•통제를 받거나 외국 정부에 의해 악의적으로 이용당할 수 있는 위험성, 사이버 정보 보안 리스크
(7) 핵심정보인프라의 보안과 네트워크 보안 및 데이터 보안을 위협하는 기타 요인
제11조 사이버보안심사판공실은 사이버보안심사를 전개할 필요가 있다고 판단을 내린 경우 당사자에게 서면 통보서를 발송한 날로부터 30일(근무일 기준) 내에 심사결론에 대한 건의를 도출하여 사이버보안심사 업무 메커니즘 구성 부서와 관련 부서에 발송하고 의견을 수렴하는 것을 포함한 초보심사 절차를 완료하여야 한다. 상황이 복잡한 경우 15일(근무일 기준) 연장할 수 있다.
제12조 사이버보안심사업무메커니즘 구성 부서와 관련 부서는 심사결론에 대한 건의를 전달받은 날로부터 15일(근무일 기준) 내에 서면으로 의견을 제시하여야 한다.
사이버보안심사업무메커니즘 구성 부서와 관련 부서의 의견이 일치한 경우 사이버보안심사판공실은 심사결론을 당사자에게 서면으로 통보한다. 의견이 불일치한 경우 특별심사 절차에 따라 처리하며 이를 당사자에게 통보한다.
제13조 특별심사 절차에 따라 처리하는 경우 사이버보안심사판공실은 관련 부서 의견 청취 및 심층 분석•평가를 통해 심사결론에 대한 건의를 다시 도출하여 사이버보안심사업무메커니즘 구성 부서와 관련 부서의 의견을 수렴하여야 하며 절차에 따라 중앙사이버보안정보화위원회에 제출하여 승인을 득한 후 심사결론을 도출하고 당사자에게 서면으로 통보하여야 한다.
제14조 특별심사 절차는 일반적으로 90일(근무일 기준) 내에 완료하여야 하며 상황이 복잡한 경우 연장할 수 있다.
제15조 사이버보안심사판공실의 보충서류 제공 요구가 있을 경우 당사자, 제품•서비스 제공자는 협조하여야 한다. 보충서류 제출 기간은 심사기간에 산입하지 아니한다.
제16조 사이버보안심사업무메커니즘 구성 부서가 국가보안에 영향을 미치거나 미칠 수 있다고 판단을 내린 네트워크 제품•서비스 및 데이터 처리 활동은 사이버보안심사판공실이 절차에 따라 중앙사이버보안정보화위원회에 보고하여 승인을 득한 후 이 방법의 규정에 따라 심사를 진행한다.
리스크를 방지하기 위하여 당사자는 심사기간에 사이버보안심사 요구에 따라 리스크 예방•경감 조치를 취하여야 한다.
제17조 사이버보안심사에 참여하는 관련 기관•인원은 지적재산권을 엄격히 보호하여야 한다. 또한, 심사 업무 수행 중 알게된 상업기밀•개인정보, 당사자와 제품•서비스 제공자가 제출한 미공개 자료, 기타 미공개 정보에 대한 비밀유지 의무를 부담하며 정보 제공자의 동의 없이 무관련자에게 누설하거나 심사 이외의 목적으로 사용하여서는 아니된다.
제18조 당사자 또는 네트워크 제품•서비스 제공자는 심사인원이 객관성•공정성 원칙을 위반하였다거나 심사 업무 수행 중 알게된 정보에 대한 비밀유지 의무를 위반하였다고 판단되는 경우 사이버보안심사판공실 또는 유관부서에 신고할 수 있다.
제19조 당사자는 제품•서비스 제공자가 사이버보안심사 절차에서 약속한 사항을 이행하도록 독촉하여야 한다.
사이버보안심사판공실은 신고 접수 등 방식을 통해 사전(事前)•사중(事中)•사후(事後) 관리감독을 강화한다.
제20조 당사자가 이 방법의 규정을 위반하는 경우 <중화인민공화국 사이버보안법>, <중화인민공화국 데이터보안법> 등 규정에 따라 처리한다.
제21조 이 방법에서 네트워크 제품•서비스라 함은 핵심 네트워크 설비, 중요 통신제품, 고성능 컴퓨터•서버, 대용량 저장장치, 대형 데이터베이스•응용소프트웨어, 사이버 보안 설비, 클라우드 컴퓨팅 서비스와 핵심정보인프라 보안, 사이버 보안, 데이터 보안에 중요한 영향을 미치는 기타 네트워크 제품•서비스를 지칭한다.

제22조 국가기밀 정보와 연관된 경우 국가의 비밀유지 관련 규정에 따라 집행한다.
데이터보안심사, 외국인투자 안전심사와 관련하여 국가에서 정한 별도의 규정이 있을 경우 그 규정에도 부합되어야 한다.
제23조 이 방법은 2022년 2월 15일부터 시행한다. 2020년 4월 13일 공포한 <사이버보안심사방법>(국가사이버정보판공실•국가발전개혁위원회•공업정보화부•공안부•국가안전부•재정부•상무부•중국인민은행•국가시장감독관리총국•국가라디오TV방송총국•국가기밀보호국•국가암호관리국 令 제6호)는 동시에 폐지한다. 网络安全审查办法
国家互联网信息办公室
中华人民共和国国家发展和改革委员会
中华人民共和国工业和信息化部
中华人民共和国公安部
中华人民共和国国家安全部
中华人民共和国财政部
中华人民共和国商务部
中国人民银行
国家市场监督管理总局
国家广播电视总局
中国证券监督管理委员会
国家保密局
国家密码管理局 令 第8号

《网络安全审查办法》已经2021年11月16日国家互联网信息办公室2021年第20次室务会议审议通过,并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意,现予公布,自2022年2月15日起施行。
国家互联网信息办公室主任 庄荣文
国家发展和改革委员会主任 何立峰
工业和信息化部部长 肖亚庆
公安部部长 赵克志
国家安全部部长 陈文清
财政部部长 刘 昆
商务部部长 王文涛
中国人民银行行长 易 纲
国家市场监督管理总局局长 张 工
国家广播电视总局局长 聂辰席
中国证券监督管理委员会主席 易会满
国家保密局局长 李兆宗
国家密码管理局局长 刘东方
2021年12月28日

网络安全审查办法

第一条 为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》,制定本办法。
第二条 关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。
前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。
第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。
第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。
网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。
第五条 关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。
第六条 对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。
第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
第八条 当事人申报网络安全审查,应当提交以下材料:
(一)申报书;
(二)关于影响或者可能影响国家安全的分析报告;
(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;
(四)网络安全审查工作需要的其他材料。
第九条 网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内,确定是否需要审查并书面通知当事人。
第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
第十一条 网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。
第十二条 网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。
网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。
第十三条 按照特别审查程序处理的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知当事人。
第十四条 特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。
第十五条 网络安全审查办公室要求提供补充材料的,当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。
第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。
为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。
第十七条 参与网络安全审查的相关机构和人员应当严格保护知识产权,对在审查工作中知悉的商业秘密、个人信息,当事人、产品和服务提供者提交的未公开材料,以及其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或者用于审查以外的目的。
第十八条 当事人或者网络产品和服务提供者认为审查人员有失客观公正,或者未能对审查工作中知悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。
第十九条 当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。
网络安全审查办公室通过接受举报等形式加强事前事中事后监督。
第二十条 当事人违反本办法规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。
第二十一条 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。
第二十二条 涉及国家秘密信息的,依照国家有关保密规定执行。
国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。
第二十三条 本办法自2022年2月15日起施行。2020年4月13日公布的《网络安全审查办法》(国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局令第6号)同时废止。