Notice of the Cyberspace Administration of China on Publicly Soliciting Opinions on the Cybersecurity Label Management Measures (Draft for Comments)

为提升产品的网络安全能力，加强消费者权益保护，维护网络安全和公共利益，根据《中华人民共和国网络安全法》等法律法规，国家互联网信息办公室、工业和信息化部起草了《网络安全标识管理办法》（征求意见稿）和《实施网络安全标识的产品目录（第一批）》（征求意见稿），现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见：<br> 1.通过电子邮件方式发送至：wajscy@cac.gov.cn。<br> 2.通过信函方式将意见寄至：北京市海淀区阜成路15号国家互联网信息办公室网络安全协调局，邮编100048，并在信封上注明“网络安全标识管理办法征求意见”。<br> 意见反馈截止时间为2025年12月6日。<br> 附件：1.网络安全标识管理办法（征求意见稿）<br> 2.实施网络安全标识的产品目录（第一批）（征求意见稿）<br> 国家互联网信息办公室<br> 2025年11月21日<br> 网络安全标识管理办法<br> （征求意见稿）<br> 第一章 总则<br> 第一条 为提升产品的网络安全能力，加强消费者权益保护，维护网络安全和公共利益，根据《中华人民共和国网络安全法》等法律法规，制定本办法。<br> 第二条 本办法所称网络安全标识，是指能够反映产品本身网络安全能力水平的信息标识。<br> 具有互联网联网功能的产品适用于本办法，具体产品实施目录管理。<br> 第三条 网络安全标识管理工作坚持统筹发展和安全，产品生产者按照自愿原则参与。<br> 鼓励产品生产者依据本办法提升产品网络安全能力，标注网络安全标识。<br> 鼓励消费者优先选用标注网络安全标识的产品。<br> 第四条 国家互联网信息办公室、工业和信息化部负责网络安全标识管理工作，分批制定公布《实施网络安全标识的产品目录》，明确每类产品的具体实施规则和依据的国家标准或技术文件，授权中国电子技术标准化研究院（以下简称“备案机构”）承担网络安全标识备案、信息发布、违规行为处置等工作。<br> 第二章 标识实施<br> 第五条 网络安全标识对应的网络安全能力由低到高依次为基础级、增强级、领先级，相应的标识等级分别用一星、二星、三星表示。基础级要求产品应当满足相关国家标准的基本安全要求，如不存在弱口令或通用默认口令、建立漏洞管理机制并动态修复漏洞、保持软件更新等；增强级要求产品网络安全能力达到国内先进水平；领先级要求产品网络安全能力达到国际先进水平，同时还应通过渗透性测试方法，检测抵御高级别网络攻击的能力。<br> 每类产品的标识等级具体安全要求，在实施规则中确定。安全要求应当和现行国家标准、国际标准做好衔接，充分借鉴吸收其它实施网络安全标识制度国家和地区的相关经验。<br> 第六条 网络安全标识（英文名称为China Cybersecurity Label）应当包括以下基本内容：<br> （一）产品生产者名称；<br> （二）产品规格型号；<br> （三）网络安全能力等级；<br> （四）网络安全标识有效期；<br> （五）检测实验室名称；<br> （六）依据的国家标准或技术文件编号；<br> （七）备案信息码，通过扫码可以获取检测报告、关键指标、产品生产者符合性声明等信息。<br> 网络安全标识基本样式如下：<br> 每类产品标识的具体样式应当在对应的实施规则中明确，可根据产品实际形态在上述基本样式基础上适当调整。<br> 第七条 需要标注网络安全标识的产品，产品生产者应当依据实施规则相关要求开展网络安全能力检测，确定网络安全能力等级，并取得检测报告。<br> （一）需要标注一星级、二星级的产品，产品生产者可以利用自有检测实验室或者委托依法取得资质认定的第三方检测机构开展检测；<br> （二）需要标注三星级的产品，产品生产者在满足有关检测要求基础上，还应当委托符合条件的第三方检测机构开展渗透性测试。<br> 第八条 备案机构建设网络安全标识备案管理平台，产品生产者备案网络安全标识通过平台线上办理。<br> 备案时应当提交以下材料的电子版：<br> （一）网络安全标识备案表；<br> （二）网络安全能力等级检测报告；<br> （三）依据实施规则设计的本产品网络安全标识样式；<br> （四）产品生产者符合性声明；<br> （五）产品生产者营业执照；<br> （六）自有检测实验室的相关检测能力证明材料，或者第三方检测机构相关资质认定证书；<br> （七）由代理人提交备案材料的，还应当提交产品生产者的委托代理文件等。<br> 产品生产者及代理人应当对上述材料的真实性、准确性、完整性负责。<br> 第九条 备案机构应当自收到完整备案材料之日起10个工作日内，对材料的真实性、准确性、完整性进行形式审查，完成备案工作并公告产品相关备案信息。<br> 备案完成后，产品生产者可以按照实施规则要求印制、使用和展示网络安全标识。<br> 第十条 网络安全标识有效期在相关产品实施规则中明确。备案完成的产品，关键技术参数等发生变更可能影响产品网络安全能力的，或者标识超过有效期的，应当重新备案。<br> 第十一条 任何组织和个人不得伪造、冒用网络安全标识或者利用网络安全标识进行虚假宣传。<br> 第十二条 备案机构应当建立健全网络安全标识备案工作规范，客观、公正开展网络安全标识备案相关工作。<br> 产品生产者自有检测实验室或者第三方检测机构应当严格按照有关标准开展检测，保证检测结果客观公正、真实准确，不得伪造检测结果或者出具虚假检测报告。<br> 备案机构和检测机构不得泄露在工作中知悉的国家秘密、商业秘密。<br> 第三章 监督管理<br> 第十三条 国家互联网信息办公室、工业和信息化部负责组织对网络安全标识备案、使用情况进行监督检查，发现有违反本办法规定行为的，按照有关规定及时处理。<br> 地方网信部门、通信管理局负责组织对本区域内网络安全标识使用进行监督检查，发现有违反本办法规定行为的，及时通知备案机构。<br> 第十四条 发现以下情况，备案机构应当撤销备案并及时公告：<br> （一）备案材料弄虚作假的；<br> （二）网络安全标识与实际网络安全能力不相符的；<br> （三）使用的网络安全标识不符合有关样式、规格等标注规定的；<br> （四）产品生产者终止对备案产品开展技术支持服务的；<br> （五）其他应当撤销标识的违规行为。<br> 第十五条 产品生产者伪造、冒用网络安全标识或者利用网络安全标识进行虚假宣传的，备案机构应当撤销相关产品的网络安全标识备案，对产品生产者违规行为予以公告，自公告之日起一年内不再受理其产品备案。<br> 第十六条 产品生产者自有检测实验室或者第三方检测机构伪造检测结果或者出具虚假检测报告的，备案机构应当撤销相关产品的网络安全标识备案，对检测机构违规行为予以公告，自公告之日起一年内不再采信其检测结果。<br> 第十七条 任何组织和个人发现违反本办法规定的行为，可以向地方网信部门、通信管理局举报。地方网信部门、通信管理局应当及时调查处理，并为举报人保密，调查过程中备案机构应当予以配合。<br> 第十八条 网络安全能力检测过程中发现或者获知产品安全漏洞的，应当按照《网络产品安全漏洞管理规定》有关要求进行报告、修补和发布。<br> 第四章 附则<br> 第十九条 本办法所称网络安全能力，是指产品生产者通过采取必要技术和管理措施，使网络产品本身具备防范攻击、侵入、干扰、破坏和非法使用，保障产品稳定可靠运行和网络数据完整性、保密性、可用性的能力。<br> 第二十条 网络关键设备和网络安全专用产品依据国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认证认可监督管理委员会《关于调整网络安全专用产品安全管理有关事项的公告》（2023年第1号）开展安全管理，不列入《实施网络安全标识的产品目录》。<br> 第二十一条 本办法自2026年 月 日起施行。<br> 实施网络安全标识的产品目录（第一批）<br> （征求意见稿）