第一，关键信息基础设施运营者。根据《审查办法》，关键信息基础设施运营者采购网络产品和服务（主要指核心网络设备、重要通信产品、高性能计算机与服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务），应当预判该产品和服务投入到正常的使用中后影响或可能会影响国家安全风险。影响或者可能会影响国家安全的，应当向网络安全审查办公室申报网络安全审查。关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。根据《关键信息基础设施安全保护条例》，重要行业和领域的将根据认定规则负责组织认定本行业、本领域的关键信息基础设施，并及时将认定结果通知运营者，并通报国务院公安部门。

  第二，网络站点平台运营者。根据《审查办法》，网络站点平台运营者须在以下两类场景主动申报网络安全审查：开展数据处理活动（包括数据的收集、存储、使用、加工、传输、提供、公开等活动），影响或者可能会影响国家安全的；以及掌握超过100万用户个人隐私信息的网络站点平台运营者赴国外上市。虽然《审查办法》未明确“网络站点平台运营者”的定义。但是，同样由国家互联网信息办公室起草的《数安条例意见稿》将“网络站点平台运营者”定义为“为用户更好的提供信息发布、社交、交易、支付、视听等网络站点平台服务的数据处理者”。由于《数安条例草案》目前仍在征求公众意见的阶段，未正式颁布，企业虽可参照该定义初步评估自身是不是会被认定为“网络站点平台运营者”，但最终认定结果有待有关部门颁布细则进行进一步明确。

  第三，根据《审查办法》的规定，网络安全审查工作机制成员单位认为任何网络运营者存在影响或者可能会影响国家安全的网络产品和服务以及数据处理活动的，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照《审查办法》的规定对相关当事人进行审核检查。同样地，《审查办法》亦未对该条款中何为 “影响或可能会影响国家安全”提供明确的具有可参照性的定义，将该等概念的认定结果交给了监管部门，但可以借鉴下文中列举的网络安全审查办公室的审核要点。

  根据《审查办法》，网络安全审查的启动方式为主动申报审查与网络安全审查办公室依职权审查。

  第一，主动申报审查。如前所述，最重要的包含三类情况。（1）关键信息基础设施运营者采购网络产品和服务的，预判该产品和服务投入到正常的使用中后影响或者可能会影响国家安全的，应当向网络安全审查办公室主动申报网络安全审查。（2）网络站点平台运营者开展数据处理活动，影响或者可能会影响国家安全的；（3）掌握超过100万用户个人隐私信息的网络站点平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

  对于主动申报的网络安全审查，根据《审查办法》第八条，当事人应当提交的材料包括：（一）申报书；（二）关于影响或者可能会影响国家安全的分析报告；（三）采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请文件；（四）网络安全审查工作需要的其他材料。

  第二，依职权启动。根据《审查办法》第十六条，网络安全审查工作机制成员单位认为影响或者可能会影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照《审查办法》的规定进行审核检查。此外，网络安全审查办公室通过接受举报等形式加强事前事中事后监督，如审查办公室认为被举报的某产品或服务或者某数据处理活动已经或者可能对国家安全产生风险的，可按《审查办法》启动审查。

  根据《审查办法》，网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。同时，网信办会同中华人民共和国国家发展和改革委员会、中华人民共和国工业与信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

  与此前的《审查办法修订意见稿》相比，《审查办法》取消了有关“关键信息基础设施保护工作部门”。因此，根据《审查办法》，网络安全审查办公室将成为实际进行网络安全审查的审查主体，同时可能会同网络安全审查工作机制成员单位展开审查工作。在实践中，具体工作由网络安全审查办公室委托中国网络安全审查技术与认证中心（CCRC）承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下，承担接收申报材料、对申报材料来形式审查等任务。因此，前述提及的相关材料的提交及咨询窗口正是CCRC。

  根据《审查办法》规定，由当事人主动发起网络安全审查申报的启动流程包括：材料提交、材料审查、初步审查、意见反馈及特别审查程序。有关具体规定及时间节点，请参考图1。网络安全审查工作机制成员单位认为影响或者可能会影响国家安全的网络产品和服务以及数据处理活动，依职权主动发起的网络安全审查流程请参考图2。

  产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；

  产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

  核心数据、重要数据或者大量个人隐私信息被窃取、泄露、毁损以及非法利用、非法出境的风险；

  上市存在关键信息基础设施、核心数据、重要数据或者大量个人隐私信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；

  根据《审查办法》，当事人应申报未申报，或在网络安全审查开展过程中未按要求配合工作的，应当依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。具体言之，根据《网络安全法》第65条，关键信息基础设施运营者使用未经安全审查或者安全审查未通过的网络产品或服务的，由有关主管部门责令不再使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。

  根据《数据安全法》第45条第二款，违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处200万元以上1000万元以下罚款，并依据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依照法律来追究刑事责任。根据《数据安全法》第48条第一款，拒不配合数据调取的，由有关主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

  如企业属于《国务院关于境内企业境外发行证券和上市的管理规定（草案征求意见稿）》第七条列举的不得境外发行上市的情形（包括经审查境外发行上市威胁或危害国家安全的）而进行境外发行上市的，国务院证券监督管理机构、国务院有关主管部门对境内企业给予警告，并处以一百万元以上一千万元以下的罚款，情节严重的，责令暂停相关业务或者停业整顿、吊销相关业务资质许可或者吊销营业执照。对境内企业的控制股权的人、实际控制人、董事、监事、高级管理人员给予警告，单处或者并处五十万元以上五百万元以下的罚款。

  此外，证券公司、律师事务所未严格履行职责、督促企业遵守相关规定的，给予警告，并处以五十万元以上五百万元以下的罚款。对有关责任人员给予警告，并处以20万元以上200万元以下的罚款。

  第一条为了确认和保证关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全，根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》，制定本办法。

  第二条关键信息基础设施运营者采购网络产品和服务，网络站点平台运营者开展数据处理活动，影响或者可能会影响国家安全的，应当按照本办法进行网络安全审查。

  第三条网络安全审查坚持防范网络安全风险与促进先进的技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面做审查。

  第四条在中央网络安全与信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

  网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。

  第五条关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入到正常的使用中后可能带来的国家安全风险。影响或者可能会影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

  第六条对于申报网络安全审查的采购活动，关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术上的支持服务等。

  第七条掌握超过100万用户个人隐私信息的网络站点平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

  （三）采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请文件；

  第九条网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内，确定是不是需要审查并书面通知当事人。

  （一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；

  （三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

  （五）核心数据、重要数据或者大量个人隐私信息被窃取、泄露、毁损以及非法利用、非法出境的风险；

  （六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人隐私信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；

  第十一条网络安全审查办公室认为需要开展网络安全审查的，应当自向当事人发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、有关部门征求意见；情况复杂的，能延续15个工作日。

  第十二条网络安全审查工作机制成员单位和有关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

  网络安全审查工作机制成员单位、有关部门意见一致的，网络安全审查办公室以书面形式将审查结论通知当事人；意见不一致的，按照特别审查程序处理，并通知当事人。

  第十三条按照特别审查程序处理的，网络安全审查办公室应当听取相关单位和部门意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和有关部门意见，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知当事人。

  第十五条网络安全审查办公室要求提供补充材料的，当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

  第十六条网络安全审查工作机制成员单位认为影响或者可能会影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

  为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。

  第十七条参与网络安全审查的相关机构和人员应当严格保护知识产权，对在审查工作中知悉的商业机密、个人隐私信息，当事人、产品和服务提供者提交的未公开材料，以及其他未公开信息承担保密义务；未经信息提供方同意，不得向无关方披露或者用于审查以外的目的。

  第十八条当事人或者网络产品和服务提供者认为审查人员有失客观公正，或者未能对审查工作中知悉的信息承担保密义务的，可以向网络安全审查办公室或者有关部门举报。

  第二十条当事人违反本办法规定的，依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。

  第二十一条本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机与服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。

  第二十三条本办法自2022年2月15日起施行。2020年4月13日公布的《网络安全审查办法》（国家互联网信息办公室、国家发展和改革委员会、工业与信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局令第6号）同时废止。