由国家网信办、国家发展改革委等13部门修订的《网络安全审查办法》（以下简称《办法》），于2022年2月15日正式施行，同时废止了2020年4月13日公布的《办法》。

《办法》以关键信息基础设施的供应链安全为核心，重点加强对数据安全的关注和规范，增加根据《数据安全法》的配套规定内容，落实《数据安全法》关于建立数据安全审查制度的要求，聚焦网络产品和服务以及数据处理活动，保障网络安全和数据安全，维护国家安全。

《办法》指出，关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本《办法》进行网络安全审查。

同时，关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

对于申报网络安全审查的采购活动，关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。

《办法》还明确指出，掌握超过100万用户个人信息的网络平台运营者，赴国外上市必须向网络安全审查办公室申报网络安全审查。

值得注意的是，网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：

（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；

（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；

（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；

（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

和此前颁布的《办法》相比，全国信息安全标准化技术委员会委员李雪莹表示，修订后的《办法》不仅增加了网络平台运营者，还增加了多项数据安全相关条文，对数据安全的重视程度更高、覆盖对象的范围更广、审查指标更加量化。