Medidas de revisión de la ciberseguridad (2021)

Artículo 1 Con el fin de garantizar la seguridad de la cadena de suministro de la infraestructura de información crítica y garantizar la seguridad de la red y la seguridad de los datos de la República Popular China, de conformidad con la "Ley de Seguridad Nacional de la República Popular China", la "Ley de Ciberseguridad de la República Popular China", y la "Ley de Seguridad de Datos de la República Popular China" y el "Reglamento de Protección de Seguridad de la Infraestructura de Información Crítica" para formular estas medidas. Artículo 2 Los operadores de infraestructura de información crítica que compren productos y servicios de red, y los operadores de plataformas de red que lleven a cabo actividades de procesamiento de datos que afecten o puedan afectar la seguridad nacional deberán realizar revisiones de seguridad de la red de acuerdo con estas Medidas.

Se denominan colectivamente partes los operadores de infraestructuras críticas de la información y los operadores de plataformas de red a que se refiere el párrafo anterior. Artículo 3 La revisión de la ciberseguridad se ajustará al principio de combinar la prevención de los riesgos de ciberseguridad con la promoción de la aplicación de tecnologías avanzadas, la equidad y transparencia del proceso con la protección de los derechos de propiedad intelectual, la combinación de la revisión previa con la supervisión continua. , la combinación de compromisos corporativos con la supervisión social, y la revisión de productos y servicios, la seguridad de las actividades de procesamiento de datos y los posibles riesgos para la seguridad nacional. Artículo 4 Bajo el liderazgo de la Comisión Central de Ciberseguridad e Informatización, la Administración del Ciberespacio de China, en conjunto con la Comisión Nacional de Desarrollo y Reforma de la República Popular China, el Ministerio de Industria y Tecnología de la Información de la República Popular China, el Ministerio de Seguridad Pública de la República Popular China, Ministerio de Seguridad Nacional de la República Popular China, Ministerio de Finanzas de la República Popular China, Ministerio de Comercio de la República Popular China y Administración Estatal de Regulación del Mercado.

La Oficina de Revisión de Ciberseguridad está ubicada en la Oficina Estatal de Información de Internet y es responsable de formular especificaciones relevantes del sistema y organizar revisiones de seguridad de la red. Artículo 5 Al comprar productos y servicios de red, las empresas que operan infraestructuras de información clave deberán predecir los riesgos de seguridad nacional que pueden surgir después de que los productos y servicios se pongan en uso. Si afecta o puede afectar la seguridad nacional, se debe informar a la Oficina de Revisión de Ciberseguridad para una revisión de ciberseguridad.

El departamento de protección de seguridad de infraestructura de información crítica puede formular pautas de juicio previo para esta industria y campo. Artículo 6 Para las actividades de contratación que solicitan la revisión de la seguridad de la red, los operadores de infraestructura de información crítica exigirán a los proveedores de productos y servicios que cooperen con la revisión de la seguridad de la red a través de documentos y acuerdos de contratación, incluido el compromiso de no obtener ilegalmente datos de los usuarios aprovechando la conveniencia de proporcionar productos y servicios, y no deberá controlar ni manipular ilegalmente el equipo del usuario, ni interrumpir el suministro de productos o los servicios de soporte técnico necesarios sin razones legítimas. Artículo 7 Los operadores de plataformas de red con más de 654,38 millones de datos personales de los usuarios deben solicitar una revisión de seguridad de la red a la Oficina de Revisión de Ciberseguridad antes de hacerse pública. Artículo 8 Al solicitar una revisión de seguridad de la red, se deben presentar los siguientes materiales:

(1) Declaración.

(2) Informes analíticos que afecten o puedan afectar la seguridad nacional;

(3) Documentos de adquisición, acuerdos, contratos a firmar u otros documentos de solicitud de listado a listar;

p>

(4) Otros materiales necesarios para la revisión de seguridad de la red. Artículo 9 La Oficina de Revisión de Seguridad Cibernética, dentro de los 10 días hábiles posteriores a la recepción de los materiales de solicitud de revisión que cumplan con los requisitos del Artículo 8 de estas Medidas, determinará si se requiere revisión y notificará a las partes por escrito. El artículo 10 La revisión de la ciberseguridad se centra en los siguientes factores de riesgo para la seguridad nacional de objetos o situaciones relevantes:

(1) El riesgo de control ilegal, interferencia o destrucción de la infraestructura de información crítica causado por el uso de productos y servicios;

(2) El daño a la continuidad del negocio de la infraestructura de información crítica debido a interrupciones en el suministro de productos y servicios;

(3) La seguridad, apertura, transparencia y origen de los productos y servicios La diversidad de canales de suministro, la confiabilidad de los canales de suministro y el riesgo de interrupción del suministro debido a factores políticos, diplomáticos y comerciales;

(4) El cumplimiento de las leyes, administrativas y administrativas chinas por parte de los proveedores de productos y servicios regulaciones y reglas departamentales

(5) El riesgo de que datos centrales, datos importantes o grandes cantidades de información personal sean robados, filtrados, dañados, utilizados ilegalmente o exportados ilegalmente al extranjero;

(6) La existencia de infraestructura de información crítica, el riesgo de que gobiernos extranjeros afecten, controlen o utilicen maliciosamente datos centrales, datos importantes o una gran cantidad de información personal, así como riesgos de seguridad de la información de la red;

(7) Otros riesgos que puedan poner en peligro la seguridad de la infraestructura de información crítica, la seguridad de la red y el factor de seguridad de los datos. Artículo 11 Si la Oficina de Revisión de Seguridad Cibernética cree que es necesaria una revisión de seguridad cibernética, deberá completar la revisión preliminar, incluida la formación de conclusiones de revisión, dentro de los 30 días hábiles a partir de la fecha de emisión de una notificación por escrito a las partes, y enviar el revisar conclusiones y recomendaciones para la revisión de seguridad cibernética Las unidades miembros de la organización y los departamentos relevantes están solicitando opiniones si la situación es complicada, la extensión puede extenderse por 15 días hábiles;

Artículo 12 Las unidades miembros de la agencia de revisión de seguridad de la red y los departamentos pertinentes deberán proporcionar una respuesta por escrito dentro de los 05 días hábiles a partir de la fecha de recepción de las conclusiones y recomendaciones de la revisión.

Si las unidades miembros de la agencia de revisión de ciberseguridad y los departamentos pertinentes están de acuerdo, la Oficina de Revisión de Ciberseguridad notificará a las partes interesadas por escrito la conclusión de la revisión; si hay algún desacuerdo, se manejará de acuerdo con normas especiales; procedimientos de revisión y se notificarán a las partes pertinentes.