2022年1月4日,国家互联网信息办公室(“国家网信办”)等十三部门联合发布《网络安全审查办法》(“《2022办法》”)。《2022办法》自2022年2月15日起施行,2020年4月13日发布的《网络安全审查办法》(“《2020办法》”)于同日废止。

《2020办法》于2020年6月1日正式施行。在其施行后的一年半时间内,官方公布的适用案例屈指可数,仅包括2021年年中因赴美上市而被启动审查的滴滴出行、运满满、货车帮、BOSS直聘等企业。另外,由于《2020办法》的适用范围并不直接包括国内企业赴国外上市的情形,因此,国家网信办在启动以上网络安全审查后立即发布了《网络安全审查办法(修订草案征求意见稿)》(“《2021办法修订草案》”),在《2020办法》的适用对象“关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的”的基础上,增加了“掌握超过100万用户个人信息的运营者赴国外上市”的情形。

在《2021办法修订草案》公开征求意见后仅半年,国家网信办等十三部门联合发布《2022办法》,完成了对《2020办法》的更新迭代,立法进程十分迅速。结合国家网信办近期发布《数据出境安全评估办法(征求意见稿)》、《网络数据安全管理条例(征求意见稿)》等多项规定来看,监管部门正在加速构建和完善以《网络安全法》、《数据安全法》和《个人信息保护法》为基础的网络安全和数据保护监管框架。为帮助企业快速了解《2022办法》,本文将结合相关法律法规制度,从网络安全审查制度是什么、由谁进行审查、何时进行审查、如何进行审查四个方面介绍《2022办法》的重点内容。

一、相关概念厘清:网络安全审查制度是什么

1

网络安全审查制度VS国家安全审查制度

2016年11月7日,《网络安全法》正式公布。其中第三十五条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”

2017年5月2日,在《网络安全法》正式施行前,国家网信办依据《国家安全法》、《网络安全法》等上位法,发布了《网络产品和服务安全审查办法(试行)》,要求关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。此处使用的并非《网络安全法》中的措辞“国家安全审查”,而改用“网络安全审查”一词。

2020年4月13日,国家网信办等十二部门联合发布《2020办法》,明确关键信息基础设施运营者(CIIO)采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。如同《网络产品和服务安全审查办法(试行)》,《2020办法》并未使用《网络安全法》中的措辞“国家安全审查”。国家网信办于同日发布《<网络安全审查办法>答记者问》[1]明确:网络安全审查的法律依据为《国家安全法》第五十九条[2]和《网络安全法》第三十五条。因此,可以认为:尽管措辞使用不一致,但无论是《网络产品和服务安全审查办法(试行)》,还是《2020办法》,抑或是《2022办法》,其中规定的网络安全审查制度与《网络安全法》第三十五条规定的国家安全审查均为同一内容。

2

网络安全审查制度VS数据安全审查制度

除网络安全审查外,根据影响或者可能影响国家安全的事件的不同类型,我国法律设置了不同的安全审查制度,例如,数据安全审查制度[3]、外商投资安全审查制度[4]、生物安全审查制度[5]等。对于这些不同类型的安全审查,《2022办法》第二十二条第二款规定:“国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。”

因此,如果某一事件在适用网络安全审查制度的情况下,同时适用数据安全审查和外商投资安全审查的相关规定,则并不能因为已经进行网络安全审查、且审查的内容均为是否对国家安全产生影响而免除进行数据安全审查和外商投资安全审查的义务。

需要注意的是,《生物安全法》第二十条规定:“国家建立生物安全审查制度。对影响或者可能影响国家安全的生物领域重大事项和活动,由国务院有关部门进行生物安全审查,有效防范和化解生物安全风险。”《2022办法》第二十二条第二款仅列举数据安全审查和外商投资安全审查,并未提及生物安全审查制度;究其原因可能是因为《2022办法》适用的两种情形“CIIO采购网络产品和服务,影响或者可能影响国家安全的”和“网络平台运营者开展数据处理活动,影响或者可能影响国家安全的”,与生物领域的重大事项和活动相关性较弱。

二、主管部门:网络安全审查由谁审查

根据《2022办法》,国家网信办下设的网络安全审查办公室负责制定网络安全审查相关制度规范,组织网络安全审查。网络安全审查办公室在形成初步审查结论建议后,由网络安全审查工作机制成员单位、相关部门提供意见;如果网络安全审查工作机制成员单位和相关部门意见不一致,则启动特别审查程序。另外,如果网络安全审查工作机制成员单位认为相关网络产品和服务以及数据处理活动影响或者可能影响国家安全,那么网络安全审查办公室应在按程序报中央网络安全和信息化委员会批准后,依职权启动网络安全审查。

关于网络安全审查工作机制成员单位,《2022办法》第四条规定:“在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。”为应对网络平台运营者开展影响或者可能影响国家安全的数据处理活动,(包括掌握超过100万用户个人信息的网络平台运营者赴国外上市),《2022办法》在《2020办法》的基础上将中国证券监督管理委员会增设为国家网络安全审查工作机制成员单位之一,从而可对网络安全审查办公室做出的审查结论建议提出反馈意见,并认定是否需要申请中央网络安全和信息化委员会批准,依职权对相关网络平台运营者启动网络安全审查。

三、适用情形:网络安全审查何时审查

本次《2022办法》的正式公布,引起多方关注的修改之一即为确定了申报网络安全审查的情形。

如前文所述,由于滴滴出行等企业赴国外上市问题,《2021办法修订草案》在《2020办法》的适用情形中增加了“掌握超过100万用户个人信息的运营者赴国外上市”。

除了网络安全审查制度的专项规定,国家网信办亦试图通过一般性法规重申申报网络安全审查要求。2021年11月14日,国家网信办发布《网络数据安全管理条例(征求意见稿)》(“《网络数据条例》”),其中对申报网络安全审查的情形也做出了规定,且较《2021办法修订草案》的适用情形做了进一步扩展,额外增加了“汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的”和“数据处理者赴香港上市,影响或者可能影响国家安全的”两种情形。《网络数据条例》就申报网络安全审查范围的规定引起了业内对近期赴港上市的一些企业(包括宣布自美股退市转而赴港上市的滴滴出行)是否要申报网络安全审查的疑问。

对于以上疑问,《2022办法》给出了解答。首先,《2022办法》将《网络数据条例》中的“数据处理者赴香港上市,影响或者可能影响国家安全的”的情形予以删除,这一改动明确表明滴滴出行等企业赴港上市不会直接触发相关主体申报网络安全审查的义务。但需引起关注的是:除申报网络安全审查外,由于《2022办法》的适用对象之一是“网络平台运营者开展数据处理活动,影响或者可能影响国家安全的”,因此,尽管赴港上市行为不会触发企业申报网络安全审查的义务,但是如果由此引发的数据处理活动被网络安全审查工作机制成员单位认定为影响或者可能影响国家安全,则相关网络平台运营者同样可能面临网络安全审查。另外,根据《2022办法》答记者问[6],网络平台运营者因赴国外上市申报网络安全审查的,应当在向国外证券监管机构提出上市申请之前进行申报。不久前中国证券监督管理委员会发布的《境内企业境外发行证券和上市备案管理办法(征求意见稿)》中对于境内企业赴境外发行证券和上市的备案时间做出了相应规定。根据该备案管理办法,发行人应当在境外提交首次公开发行上市申请文件后 3 个工作日内,向中国证监会提交包括行业主管部门等出具的监管意见、备案或核准等文件(如适用)和有关部门出具的安全评估审查意见(如适用)在内的备案材料。如此,对于掌握超过100万用户个人信息的网络平台运营者赴国外上市的情形,网络平台运营者应当在向国外证券监管机构提出上市申请之前先进行网络安全审查申报。考虑到网络安全审查的审查周期,网络平台运营者应当在获得无需审查意见(未进行审查的情况下)或不影响国家安全的审查意见后(已进行审查的情况下)再向国外证券监管机构提出上市申请,并在发行人在境外提交首次公开发行上市申请文件后的3 个工作日内,向中国证监会提交备案材料。

其次,《2022办法》将《网络数据条例》中的“汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的”和“处理一百万人以上个人信息的数据处理者赴国外上市的”合并为“掌握超过100万用户个人信息的网络平台运营者赴国外上市”,进一步缩小了企业申报网络安全审查的适用情形。《2022办法》并未对“网络平台运营者”进行定义,其定义和范围可以参考《网络数据条例》中的“互联网平台运营者”的定义、《互联网平台落实主体责任指南(征求意见稿)》和《互联网平台分类分级指南(征求意见稿)》中“平台”的定义和对于平台特征的介绍、以及《电子商务法》中对于“电子商务平台经营者”的相关界定。通过以上规定看出,网络平台最重要的特征之一应为:通过网络信息技术,使得相互依赖的双边或者多边主体进行交互的特性。该范围较“数据处理者”进行了较大限缩,免除了一部分数据处理者申报网络安全审查的义务。

下表汇总了相关规定中启动网络安全审查的情形:


《2020办法》

《2021办法修订草案》

《网络数据条例》

《2022办法》

申报网络安全审查的情形

CIIO采购网络产品和服务,影响或者可能影响国家安全的。

1.CIIO采购网络产品和服务,影响或者可能影响国家安全的;

2.掌握超过100万用户个人信息的运营者赴国外上市。

1.汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的

2.处理一百万人以上个人信息的数据处理者赴国外上市的;

3.数据处理者赴香港上市,影响或者可能影响国家安全的

4.其他影响或者可能影响国家安全的数据处理活动。

1.CIIO采购网络产品和服务,影响或者可能影响国家安全的;

2.掌握超过100万用户个人信息的网络平台运营者赴国外上市

监管部门依职权启动网络安全审查的情形

网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。

网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。

网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。


四、审查流程:网络安全审查如何进行

1

网络安全审查的流程

如前所述,网络安全审查的启动既可以因当事人申报而启动,也可以因监管部门依职权启动。相应审查流程具体如下:

2

申报网络安全审查提交材料

《2022办法》第八条规定:“当事人申报网络安全审查,应当提交以下材料:(一)申报书;(二)关于影响或者可能影响国家安全的分析报告;(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;(四)网络安全审查工作需要的其他材料。”

对于申报材料的提交,《2022办法》答记者问[7]中明确:对于赴国外上市网络安全审查如何提交申报材料,网络安全审查办公室设在国家互联网信息办公室,具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查等任务。中国网络安全审查技术与认证中心设立网络安全审查咨询窗口。

3

网络安全审查的重点评估因素

根据《2022办法》第十条,网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;

(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;

(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

为回应增加适用的“网络平台运营者开展数据处理活动,影响或者可能影响国家安全的”情形,《2022办法》在评估考虑因素中增加了“核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险”和“上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险”。

五、结语

网络安全审查制度的快速修订,反映出监管部门对影响或可能影响国家安全相关事项的高度关注。尽管《2022办法》确定申报网络安全审查的情形仅为“关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的”和“网络平台运营者开展数据处理活动,影响或者可能影响国家安全的”两类情形;但是,由于最终判断是否进行网络安全审查以及网络安全审查是否通过的标准为是否对国家安全产生或可能产生影响,因此,对于赴港上市的网络平台运营者,仍然建议其在赴港上市前向网络安全审查办公室进行咨询,确认是否需要进行网络安全审查。

另外,作为《国家安全法》、《网络安全法》、《数据安全法》和《关键信息基础设施安全保护条例》的配套制度,网络安全审查制度属于关键信息基础设施运营者和网络平台运营者的网络安全和数据保护整体制度中的重要一环,相关企业应当在严格履行《2022办法》下的合规义务的情况下,综合考虑和其他相关制度的衔接,构建整体合规框架。

注释

[1] 《网络安全审查办法》答记者问,http://www.cac.gov.cn/2020-04/27/c_1589535446378477.htm

[2] 《国家安全法》第五十九条 国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。

[3] 《数据安全法》第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。

[4] 《外商投资法》第三十五条 国家建立外商投资安全审查制度,对影响或者可能影响国家安全的外商投资进行安全审查。依法作出的安全审查决定为最终决定。

[5] 《生物安全法》第二十条 国家建立生物安全审查制度。对影响或者可能影响国家安全的生物领域重大事项和活动,由国务院有关部门进行生物安全审查,有效防范和化解生物安全风险。

[6] 《网络安全审查办法》答记者问,http://www.cac.gov.cn/2022-01/04/c_1642894602460572.htm

[7] 《网络安全审查办法》答记者问,http://www.cac.gov.cn/2022-01/04/c_1642894602460572.htm

往期推荐

1. 己任关注 | 《网络安全审查办法(修订草案征求意见稿)》

2. 用人单位的合规用工要点——以个人信息保护为角度(上篇)

3. 用人单位的合规用工要点——以个人信息保护为角度(下篇)

4.己任关注 | 《网络数据安全管理条例(征求意见稿)》附全文

5. 己任视点 | 《网络数据安全管理条例(征求意见稿)》解读

6. 己任关注 | 证监会就境内企业境外上市相关制度规则公开征求意见

薛颖

薛颖律师是北京己任律师事务所主管法律合规业务的高级顾问律师(合伙人级),专长于网络安全和数据保护、竞争法、反商业贿赂、中国社会信用体系等领域的合规业务,对前述法律的交叉领域有深刻的理解。薛律师在美国伊利诺伊大学法学院专门研习竞争法并取得博士学位(J.S.D.);执业之余,还担任湖北省反垄断专家库专家和深圳市公平竞争审查和竞争法专家库专家、辽宁省公平竞争审查专家,并作为中国社会科学院法学所博士后参与多项研究课题,为竞争和数据监管政策的制定踊跃建言献策。加入己任律师事务所之前,薛律师作为合规高级律师服务于两家中国律师事务所。薛律师积极撰写与法律合规相关的文章、评论,还曾担任澳新政府学院主办的The China Competition Bulletin的编辑。薛律师参与组织翻译了第一本GDPR 中文译本,该书于2018 年正式出版发行。

陈扬

陈扬律师专注于网络安全和数据保护、个人信息保护以及合规监管咨询业务,参与多件疑难复杂案件。陈扬律师本科毕业于华东政法大学,硕士毕业于对外经济贸易大学。


var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })();