2021年12月28日，国家互联网信息办公室联合十二部委修订发布了《网络安全审查办法》（“《网安审办法》”）。这是原《网络安全审查办法》（“旧《网安审办法》”）自2020年6月1日施行以来的首次修订，旨在帮助《数据安全法》的落实，保障关键信息基础设施供应链安全，进一步维护国家安全。

根据立方网络安全与数据合规团队的观察，本次修订的亮点如下：

1. 适用对象的扩大

此前，网络安全审查申报的适用对象仅包括采购网络产品和服务的关键信息基础设施运营者，而《网安审办法》第七条规定，掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。这一新增规定与国家互联网信息办公室在2021年11月公布的《网络数据安全管理条例（征求意见稿）》第十三条第（二）项的规定相契合。

但需要注意的是，《网络数据安全管理条例（征求意见稿）》第十三条第（一）（三）项所规定网络安全审查申报的适用对象还包括特定情形的互联网平台运营者和赴港上市的数据处理者，而《网安审办法》并未明确要求这两类主体进行网络安全审查。

2. 审查主体的扩充

与扩大后的适用对象相呼应，《网安审办法》新增中国证券监督管理委员会为网络安全审查工作机制成员单位。从行政管理层面理顺了境外上市的网络平台运营者的主要审查机构。

作为提示，虽然网络安全审查办公室设在国家互联网信息办公室之下，但在内部审查中，网络安全审查办公室会将征求其他十二家网络安全审查机制成员单位以及关键信息基础设施安全保护工作部门的意见，并根据其意见修改审查结论建议。

根据国家互联网信息办公室有关负责人就《网安审办法》答记者问[1]披露的信息，申报网络安全审查可能会有三种结果：

• 无需审查；

• 启动审查后，经研判不影响国家安全的，可继续赴国外上市程序；

• 启动审查后，经研判影响国家安全的，不允许赴国外上市。

3. 审查材料和审查重点的增加

针对境外上市的网络平台运营者，其拟提交的首次公开募股（IPO）等上市申请文件也被纳入审查材料范围，被强制要求递交。就提交网络安全审查申请的时间要求，网信办相关负责人在答记者问中明确应该是“网络平台运营者应当在向国外证券监管机构提出上市申请之前，申报网络安全审查。”

就审查内容方面，《网安审办法》明确将“核心数据”和“大量重要信息”与旧法关注的“重要数据”相并列，强调这些数据被窃取、泄露、毁损以及非法利用、非法出境的风险，以及网络平台运营者在上市活动中其关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险。

4. 特别审查程序周期延长

《网安审办法》明确规定，审查期限应当自网络安全审查办公室收到符合规定的审查申报材料起算，可以预见此后因材料补充产生的耗时将不被计入审查期限内。此外，特别审查程序的期限也从45日进一步延长至90个工作日，且情况复杂的仍可以延长。具体流程和时间要求见下表：

5. 当事人在接受审查期间应自行采取预防和消减风险的措施

《网安审办法》第十六条规定，针对由网络安全审查工作机制成员单位主动发起的网络安全审查，即便尚未得出审查结论，为了防范风险，当事人有义务在审查期间按照网络安全审查要求采取预防和消减风险的措施。这一要求反映了网络安全审查对国家安全的重要性和敏感性。

《网络安全审查办法》新旧版本对比

特别声明