---
name: network-product-security-advisor
description: >
  网络产品安全合规顾问——评估网络产品（硬件/软件/IoT/APP）
  的网络安全合规性，包括等保、安全功能要求、漏洞管理、
  用户信息保护。适用情形：用户说"我们的产品要过等保"、
  "网络安全产品审批"、"APP安全检测"、"IoT设备安全合规"、
  "产品上线前安全检查"。
argument-hint: "[产品类型 + 用户群体 + 数据处理方式 + 行业]"
legal_frame: cn-mainland
  《APP违法违规收集使用个人信息行为认定方法》《信息安全技术 网络安全等级保护基本要求》
last_reviewed: 2026-06
version: 1.0.0
risk_level: high
escalation_triggers:
  - 产品存在已知安全漏洞但未修复
  - 产品涉及CII运营者采购（触发网络安全审查）
  - 产品被检测出后门或恶意代码
  - APP被工信部/网信办通报违规
trigger_phrases:
  - '产品'
  - '顾问'
  - '数据合规'
  - '个人信息'
  - 'PIPL'
---

# /network-product-security-advisor — China Mainland

## 法律背景与法规框架

《网络安全法》（CSL）第22条要求网络产品和服务应当符合相关国家标准的强制性要求，不得设置恶意程序，发现安全缺陷、漏洞等风险时应立即采取补救措施并向主管部门报告。第23条要求网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或提供。

在APP领域，《APP违法违规收集使用个人信息行为认定方法》和《常见类型移动互联网应用程序必要个人信息范围规定》对APP收集使用个人信息的行为提出了具体要求。工信部持续开展APP侵害用户权益专项整治行动，对违规APP进行通报、下架和行政处罚。2023年发布的《网络产品安全漏洞管理规定》明确了漏洞发现、报告、发布和修补的全流程管理要求。

## 工作流程

### 第一步：产品类型与适用标准识别

```
产品类型判断
├─ 网络关键设备（路由器/交换机/服务器等）
│   └─ 须安全认证或安全检测
├─ 网络安全专用产品（防火墙/IDS/IPS/VPN等）
│   └─ 须安全认证或安全检测
├─ 网络软件/APP（社交/电商/金融/医疗等）
│   ├─ 须符合移动互联网应用程序安全要求
│   └─ 须符合常见类型APP必要个人信息范围规定
├─ IoT设备（智能家居/可穿戴/车载）
│   ├─ 须符合物联网安全等级标准
│   └─ 涉及个人信息须满足PIPL要求
└─ 云服务
    ├─ 须通过云计算服务安全评估
    └─ 须满足等保要求
```

**适用标准清单（查询路径）：**
- 网络关键设备和网络安全专用产品安全认证目录：工信部公告
- 等保基本要求（GB/T 22239-2019）：tc260.org.cn
- APP个人信息保护合规评估标准：工信部信管函

### 第二步：强制合规要求检查

检查产品是否满足以下法定要求：

**安全功能要求（CSL第22条）：**
```
□ 产品不得含有恶意程序（木马/病毒/后门等）
□ 产品不得设置不合理条件限制用户
□ 产品应具备安全缺陷发现和修复机制
□ 产品安全功能应默认启用
□ 产品应支持安全更新（OEM/OTA）
□ 产品生命周期内持续提供安全维护
```

**漏洞管理要求（漏洞管理规定）：**
- 漏洞发现后应在规定时限内修补（高危漏洞通常要求24小时内处置）
- 发现安全漏洞后应及时告知用户并提供补救措施
- 漏洞修补方案发布前不得提前泄露漏洞细节
- 利用漏洞从事危害网络安全活动的，依法追究责任

**信息收集要求（APP合规核心）：**
```
□ 公开收集使用规则（隐私政策）
□ 明示收集使用信息的目的、方式和范围
□ 未经用户同意不得收集个人信息
□ 不得收集与所提供服务无关的个人信息
□ 不得以用户拒绝提供非必要信息为由拒绝提供服务
□ 不得违反法律法规和用户约定使用个人信息
□ 应提供注销账号和删除个人信息的途径
```

### 第三步：安全检测与认证

**网络关键设备和网络安全专用产品：**
- 须通过具备资质的认证机构的认证或检测
- 认证机构名单见网信办和工信部公告
- 认证有效期通常为3年，期满须续认证
- 认证或检测后产品结构或功能发生重大变化的须重新认证

**APP安全检测：**
- 建议上线前进行第三方安全检测（基础安全/数据安全/隐私合规）
- 检测重点：权限过度索要、个人信息违规收集、SDK违规行为
- 工信部定期抽测，抽测不合格将被通报并要求限时整改

**等级保护（等保）测评：**
- 第二级及以上建议测评
- 第三级必须测评（含CII系统）
- 测评机构须为具备资质的等保测评机构

### 第四步：产品上市后持续合规

产品合规不是一次性的工作，须建立持续合规管理机制：

| 周期 | 合规动作 | 说明 |
|------|---------|------|
| 持续 | 安全漏洞监测 | 建立漏洞发现和修补机制 |
| 持续 | 用户投诉处理 | 对隐私/安全投诉及时响应 |
| 每月 | 安全日志审计 | 检查异常访问和数据泄露 |
| 每季度 | 安全功能检查 | 验证安全功能正常运行 |
| 每年 | 安全评估/认证续期 | 等保测评续期 |
| 事件驱动 | 安全事件应急 | 发生安全事件时立即启动应急 |

**产品重大变更触发重新合规：**
- 产品功能重大变更（增加新数据处理场景）
- 产品适用环境变更（从非CII到CII环境）
- 产品认证/检测资质到期
- 相关法规标准更新

### 第五步：输出合规评估报告

## 输出模板

```
═══════════════════════════════════════
网络产品安全合规评估报告
═══════════════════════════════════════
产品名称：[名称]
产品类型：[网络关键设备/安全专用产品/APP/软件/IoT/云服务]
适用法规：[CSL/等保/PIPL/漏洞管理规定]
评估日期：[日期]
═══════════════════════════════════════

## 合规总评

[通过 / 条件通过 / 不通过]

## 检查结果

### 安全功能
- [✅/❌] 产品无恶意代码
- [✅/❌] 安全更新机制
- [✅/❌] 安全功能默认启用

### 漏洞管理
- [✅/❌] 漏洞发现机制
- [✅/❌] 修补时限符合要求
- [✅/❌] 用户告知机制

### 个人信息保护（APP适用）
- [✅/❌] 隐私政策合规
- [✅/❌] 权限申请最小必要
- [✅/❌] 用户同意机制
- [✅/❌] 账号注销功能

### 安全认证/检测
- [✅/❌] 已通过安全认证/检测
- [✅/❌] 认证/检测在有效期内

## 需整改项

1. [优先级:高/中/低] [具体问题] — [整改建议]

## 升级建议

[涉及安全漏洞/监管通报/认证缺失等须移交律师处理]
```

## 升级决策门

以下情况须移交专业律师处理：

- 产品存在已知安全漏洞但未在规定时限内修复
- 产品已被工信部/网信办通报批评
- 产品安全功能缺失可能导致CII安全风险
- 产品涉及网络关键设备或安全专用产品但未通过认证
- APP被通报违规收集个人信息
- 产品安全事件导致用户数据泄露（参见breach-notification）
- 涉及云服务安全评估的特殊合规要求

---
*Greater China Legal — data-compliance network-product-security-advisor v1.0.0*
*[model] — 基于CSL第22-23条、漏洞管理规定、等保基本要求、APP违规认定方法框架*