2022年2月15日,修订后的《网络安全审查办法》(以下简称“《办法》”)正式实施。《办法》聚焦国家数据安全风险,明确运营者赴国外上市的网络安全审查要求,出台、修订过程都备受关注。
(一) 影响或者可能影响国家安全的数据处理活动在审查范围内
《办法》第二条和第七条分别规定了两种应当进行网络安全审查的情形。第二条规定,“关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。”
1. 采购网络产品和服务的关键信息基础设施运营者
a) 关键基础设施运营者身份的认定
关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭受破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。但除了列举重要行业之外,《办法》只对其他行业进行了兜底的描述,并没有在现行有效的法规中对关基者进行具体范围划定。
此外,在2020年公安部发布的《贯彻落实网络安全登记保护制度和关键信息基础设施安全保护制度的指导意见》中依据规定将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通信设备等也被算入了关键信息基础设施运营者的范畴。
而国务院于2021年8月颁布的《关键信息基础设施安全保护条例》规定,关键信息基础设施由以上重要行业和领域的主管部门、监督管理部门负责制定关键信息基础设施认定规则,并组织认定本行业、本领域的关键信息基础设施。由此可知关键信息基础设施遵循事先认定原则。关于认定关键信息基础设施的更多分析,请参考《关键信息基础设施安全保护条例》要点解读。
值得一提的是,在近期赴港上市的一些IPO招股书中,拟上市的企业对于自己是否属于关键信息基础设施营运者的最终确定方式均为:拟上市的公司截止到提交IPO申请时,并不在目前法规所说明的行业中,且并未被相关部门通知属于关基者的范畴,但并不排除以后被认定为关基者的可能。
b) 网络产品和服务的范围
实践中,一些组织或个人可能针对关基者的网络擅自实施漏洞探测、渗透性测试等活动,因此当关基者将新的网络产品和服务纳入自身的网络系统中时,可能会给关基者在原有的基础上增加新的网络安全隐患,从而影响关键信息基础设施安全。因此,关基者在采购网络产品和服务前应进行相应的网络安全审查。
2. 开展数据处理活动的网络平台运营者
a) 网络平台运营者身份的认定
基于目前已颁布的相关法律规定,在《办法》中提及的“网络平台运营者”与《网络数据安全管理条例》(征求意见稿)第七十三条第(九)款中定义的“网络平台运营者”内涵及外延类似,即:“为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。”《网络安全管理条例》(征求意见稿)将“网络平台运营者”确定为提供互联网平台服务的数据处理者。
b) 数据处理活动
3. 关于“影响或可能影响国家安全”需要考虑的因素
根据《办法》第十条规定了网络安全审查重点评估相关对象或者情形的国家安全风险因素。换言之,这些因素也代表“影响或可能影响国家安全”的因素:
- 产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
- 产品和服务供应中断对关键信息基础设施业务连续性的危害;
- 产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
- 产品和服务提供者遵守中国法律、行政法规、部门规章情况;
- 核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
- 上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
- 其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
此外, 掌握核心数据或重要数据的运营者,掌握我国禁止或限制出口技术的运营者,汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者,其重要的数据处理活动(例如合并、重组、分立等),也可能被视为“影响或者可能影响国家安全”。
(二) 超过100万用户个人信息的运营者赴国外上市应申报审查
根据《办法》第七条,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
a) “掌握超过100万用户个人信息”的衡量标准
关于“超过100万用户个人信息”,其计算方式是以信息的主体数量进行计算的,而不是从个人信息条目数量。而所谓“掌握”个人信息的表述方式在其他相关的数据法规中并不常见,在此我们只能以“控制”在数据中的含义来参考“掌握”一词的含义。因此,笔者理解数据的“掌控者”目前的语境下很可能类似于数据的“处理者”。
b) “赴国外上市”不包括赴港上市
《办法》采用了“赴国外上市”的表述,意在与常见的“境外上市”一词区别,排除赴港上市的情形。换言之,赴香港不必然触发网络安全审查。另一方面,在《办法》生效后,从最近几次大型网络平台赴港IPO来看,截止到发稿时,未进行网络安全审查的且在IPO过程中的大型网络平台均没有触发网络安全审查办公室的自主审查。
但是应当提示的是,在由国家网信办网站刊登的文章《专家解读:网络安全审查办法正式实施 企业赴国外上市融资应守住国家安全底线》 中,相关专家曾表示,“《办法》规定的审查申报条件为“赴国外上市”,但是这不意味着运营者赴香港上市过程中可以忽视相应的网络安全、数据安全和国家安全风险。”因此,并不能认为在香港上市是否就一定免于网络安全审查。
此外,值得一提的是,在《网络数据安全管理条例(征求意见稿)》却对赴港上市的情形作出了规定,要求赴港上市的数据处理者,如果影响或者可能影响国家安全的,则需要申报网络安全审查。
c) “上市”行为应作广义理解
三、 网络安全审查的审查主体及启动方式
如之前所述,基于国家安全的考虑,《办法》负责审查的主体包括:中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局。
通过上述部门的联合审查,以确保审查的全面性,从而保护国家网络及数据安全。审查的启动方式包括:主动申报和被动申报。主动申报又分为两类,一类为不属于必须申报的范畴,但为进行确认,从而主动进行网络安全审查的申报工作。第二类为企业属于必须申报范畴的,按照申报规则进行申报。如申报后,主管机关认为属于特别审查程序范畴的,则会启动特别审查程序,并通知相关企业。而被动申报是指相关部门认为企业属于应当申报的范畴,但是并未申报。因此相关部门依职权启动网络安全审查的程序。应当注意的是,如果相关部门认为本次为应报未报的,可依据《网络安全法》《数据安全法》和《网络安全审查办法》予以处罚,处罚措施包括但不限于责令整改、罚款,停业整顿等。
四、 网络安全审查的流程及时间
《办法》对审查流程及时间也有着较为明确的规定:
如果对流程进行整体计算:从申报开始,只涉及一般流程的申报项目,最长可能需要的时间为10+30+15+15=70个工作日。对于特别审查程序而言,最长可能需要的时间为:70个工作日(一般流程)+3个月(正常)+n≈135+n个工作日。
随着“三驾马车”的颁布及生效,数据及网络合规的时代开始到来。《办法》的制定及生效更意味着针对整个数据合规体系的框架开始细化,并且在实施层面有了更多可操作性,且合规的方向更加明确。这些逐渐落地的制度和规章也从各个角度对企业的合规提出了更细致和更新的要求。因此,希望在新的时代机遇下,在保障权利的同时,承担应付的责任,完成对合规的新挑战。
特别声明
本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。
专业领域
