《网安办法》七要点解读

2021年7月16日，国家互联网信息办公室（“网信办”）就《网络安全审查办法（修订草案征求意见稿）》（“《意见稿》”）公开征求意见，拟对网络安全审查制度进行修订和补充。《意见稿》增加了2021年发布的《数据安全法》作为其主要法律依据之一，在强化关键信息基础设施运营者（“关基运营者”）网络安全审查要求的基础上，也将数据处理者开展影响或可能影响国家安全的数据处理活动纳入网络安全审查范围。同时，《意见稿》明确提出，掌握超过100万用户个人信息的数据处理者赴国外上市，必须向网络安全审查办公室申报网络安全审查。《意见稿》的发布引起了市场的广泛关注、亦成为众多拟在海外上市企业需考虑的重要事项。2022年1月4日，修订的《网络安全审查办法》（“《新办法》”）正式发布并将自2022年2月15日起施行。

一、 哪些类型的企业建议特别关注《新办法》？

我们建议以下几类企业特别关注《新办法》的要求：

1、关基运营者

关基运营者是2017年《网络产品和服务安全审查办法（试行）》（“《试行办法》”）及2020年4月取代《试行办法》的《网络安全审查办法》（“《原审查办法》”）的主要规制的对象。特别是《原审查办法》首次提出了关基运营者应在采购前对国家安全风险进行预判的要求，并规定了明确的审查期限、审查因素、审查步骤等内容。根据《关键信息基础设施安全保护条例》（具体分析请参见我们的简讯《关键信息基础设施安全保护条例》正式出台），保护工作部门应根据认定规则组织认定本行业、本领域的关基并及时将认定结果通知运营者。因此，已被认定的关基运营者应特别关注《新办法》的要求。

2、拟赴国外上市的网络平台运营者

《新办法》扩大了网络安全审查的适用对象，在第二条中明确“网络平台运营者开展数据处理活动”属于《新办法》的管理范围。这一项新增要求之中有两个要素“网络平台运营者”和“数据处理活动”，我们分别说明如下：

(1)  网络平台运营者

《意见稿》中的表述为“数据处理者开展数据处理活动”，《新办法》最终将“数据处理者”改为“网络平台运营者”。

如何理解这里的“网络平台运营者”？ 这一改动似乎呼应了《意见稿》出台时采用的“用户”这一概念（《意见稿》第6条规定，掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查）。如果是一般的“数据处理者”，其未必存在“用户”，《新办法》采用了“网络平台运营者”，是否意味着仅适用于比“数据处理者”更小的范围？

在既有的法律法规中暂时仍没有很清晰的“网络平台运营者”的定义和范围，但相关规定和征求意见稿中有若干近似概念的定义（见下表）。这些近似的定义也会为“网络平台运营者”范围的具体界定提供一定的参考。但总的来看，“网络平台运营者”的概念在数字经济的今天相对可能是一个具有包容性的范围，也具有相应的空间去解释和适用。

《互联网平台分类分级指南（征求意见稿）》依据平台的连接对象和主要功能，将平台分为以下六大类。

(2)  赴国外上市

和《意见稿》类似，《新办法》也未对何种数据处理活动构成“影响或者可能影响国家安全”的数据处理活动作出明确规定，但二者均明确提到“掌握超过100万用户个人信息的网络平台运营者（《意见稿》中是数据处理者）赴国外上市”落入“影响或者可能影响国家安全的数据处理活动”中，受限于网络安全审查。

国外上市是否包括赴香港上市？这一问题在《意见稿》出台之际引起了热烈的讨论。后随着《数安条例草案》的发布，该问题似乎得到了澄清，因为《数安条例草案》明确区分了“赴国外上市”和“赴香港上市”，并对两者触发网络安全审查的前提条件做了不同的规定：对于赴国外上市的企业，如其处理一百万人以上个人信息，即须申报网络安全审查；而对于赴港上市企业，在影响或者可能影响国家安全时需要申报网络安全审查。虽《数安条例草案》尚未定稿出台，《新办法》只提“赴国外上市”而不再专门提及“赴港上市”，至少尚未对赴港上市设置明确的网络安全审查的要求。

3、开展其他数据处理活动的网络平台运营者

如上所述，《新办法》未对何种数据处理活动构成“影响或者可能影响国家安全”的“数据处理活动”作出明确规定。对于不赴国外上市的企业，什么情况下应当关注是否影响国家安全从而需要遵守《新办法》申报网络安全审查呢？

(1)  数据处理活动

根据《数据安全法》，数据处理活动包括数据的收集、存储、使用、加工、传输、提供、公开等活动。因此，数据全生命周期任何环节的处理活动，只要影响或可能影响国家安全，都可能面临相应的网络安全审查措施。

如上所述，《新办法》明确提及的需要进行网络安全审查的只有一种情况，即“掌握超过100万用户个人信息的网络平台运营者赴国外上市”（第7条） ；其他数据处理活动虽然不需要主动申请审查，但在影响或者可能影响国家安全的情形，监管者可以依职权启动网络安全审查，事中或事后追责。

值得注意的是，《数安条例草案》第13条规定，汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的，应当申报网络安全审查。但是《新办法》并未将该等情形列入需申报网络安全审查的场景，最终这种情况是否会受限于网络安全审查制度的要求还有待《数安条例草案》定稿后进一步予以明确。

(2)  影响或者可能影响国家安全

《国家安全法》第59条规定，国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。后续在《外商投资法》、《数据安全法》中均有相应的规定。

《意见稿》第10条规定，国外上市可能带来的国家安全风险需要重点评估的方面包括国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。

根据《新办法》第10条与《意见稿》规定类似，网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：　　

•  产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；

•  产品和服务供应中断对关键信息基础设施业务连续性的危害；　　

•  产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；　　

•  产品和服务提供者遵守中国法律、行政法规、部门规章情况；　　

•  核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险； 　　

•  上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险； 　　

•  其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

上述规定对于进一步评估“影响或者可能影响国家安全”的内涵和外延提供了参考。其中特别值得注意的是，一些涉及数据处理活动的因素，例如产品和服务提供者的合规情况（以上第4项）、个人信息被窃取、泄漏、毁损以及非法利用、非法出境的风险（以上第5项的部分）在以往可能并不一定被认为直接与国家安全挂钩。但在大数据时代，企业的合规情况、企业的网络安全、数据安全，均需要考虑参考上述因素评估对于国家安全的影响。正如2014年习近平主席在中央网络安全和信息化领导小组第一次会议上所讲，没有网络安全就没有国家安全。因此，即便不赴国外上市的企业，特别是可能落入“网络平台运营者”范围的企业，均应特别关注其网络和数据合规情况，以及其掌握的核心数据、重要数据或大量个人信息的安全问题。

二、 建议关注《新办法》的变化之一：触发情形扩展

我们理解，《新办法》实际上规定了三种网络安全审查的启动方式。

第一，主动申报网络安全审查。关基运营者采购网络产品和服务，预判认为该行为影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查（第5条）。掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查（第7条）。

第二，网络安全审查工作机制成员单位提请审查。成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查（第16条）。

第三，社会公众监督举报。网络安全审查办公室通过接受举报等形式加强事前事中事后监督（第19条）。这也是网络安全审查“事前审查与持续监管相结合、企业承诺与社会监督相结合”的体现（第3条）。

三、 建议关注《新办法》的变化之二：审查要点强化

在扩展了网络安全审查适用范围的基础上，《新办法》第10条整体上延续《意见稿》的做法，增加网络安全审查的评估要点，即：“（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险”。

相比于《意见稿》，《新办法》在赴国外上市场景中新增了“网络信息安全风险”这一评估要点。这里的“网络信息安全风险”，我们理解可以参照《网络安全法》第四章“网络信息安全”理解，既可能包括网络平台运营者收集的用户信息的安全，亦可能包括对用户发布的信息的内容管理要求，在评估之时也应当进行综合性的考虑。

四、 建议关注《新办法》的变化之三：审查流程确定

《新办法》整体延续了《意见稿》对于网络安全审查的流程的规定。

第8条规定了运营者申报网络安全审查应提交的材料；第9、11-14条明确了整个网络安全审查的具体流程与时长，整体上形成了由网络安全审查办公室、网络安全审查工作机制成员单位、中央网络安全和信息化委员会构成的三级审查机制，即：

• 网络安全审查材料审理后决定是否审查：10个工作日

• 网络安全审查办公室初步审查：30个工作日（可延长15个工作日）

• 网络安全审查工作机制成员单位回复初审意见：15个工作日

• 特别审查：原则上90个工作日（可延长）

另外，《新办法》第16条新增规定：为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。结合近期的网络安全审查实践，我们理解，这里的措施可能包括产品下架、停止新用户注册等。

五、 建议关注《新办法》的变化之四：负责主管机关的增加

《新办法》延续了《意见稿》的做法，增加“中国证券监督管理委员会”作为第13个网络安全审查工作机制成员单位，这一点与《新办法》第7条所增加的赴国外上市可能触发网络安全审查直接相关。这13家政府主管机关涉及到网络安全的主要方面，包括国家互联网信息办公室、国家发展和改革委、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局和国家密码管理局，从不同的侧面监管网络安全。我们理解，企业的赴国外上市行为是否影响国家安全的审查，除网信办外，还需要由证券监管部门针对该行为本身履行监管职能。

同时，《新办法》将企业拟提交的首次公开募股（IPO）等上市申请文件纳入申报材料范围（第8条），赋予了证券监管部门主动通过网络安全审查的方式对拟赴国外上市企业拟提交的IPO材料进行审查的权利（第16条）。

六、 《新办法》对其他企业的影响

(1)拟赴香港上市企业

尽管《新办法》只提到了赴国外上市的企业可能触发网络安全审查，但这也不意味着赴港上市的企业就高枕无忧、无需重视数据合规问题。如上所述，目前《数安条例草案》尚未定稿出台，《数安条例草案》下赴港上市依然可能触发网络安全审查，因此赴港上市是否需要、在什么情况下需要申报网络安全审查，仍有待于主管部门予以澄清。

除此以外，当前《网络安全法》、《数据安全法》、《个人信息保护法》均以落地实施，配套文件也在紧密制定和出台中，拟上市企业必须考虑和切实履行数据合规义务，落实三大法及相关配套制度中的数据安全保护义务。数据合规义务的履行情况是目前境内外证券交易所均重点关注的问题之一。拟上市企业要想在上市过程中交出漂亮的答卷，则必须在日常下足功夫，严格合规、密切追踪法规发展和动向，关注和重视保护其处理的核心数据、重要数据和个人信息。

《新办法》的出台意味着企业赴境外上市在数据合规方面的规制路径和政策预期将愈来愈明朗。我们建议企业把握政策机遇，积极应对网络安全审查的合规要求，对照三大法的规定建立数据合规制度和体系，为相关业务活动的开展做好准备。

(2)  其他企业

即便不构成关基运营者或开展影响国家安全的数据处理活动的网络平台运营者，对于其他企业，《新办法》也体现了《数安法》和《个保法》落地后的政策走势，包括：网络和数据安全被视为国家安全的重要方面、企业在采购网络产品和服务前需充分考量该等产品和服务使用后对企业网络和数据安全的影响、企业在采购网络产品和服务的协议中应强调供应商的网络安全责任、企业需权衡产品和服务供应中断可能造成的影响、企业须梳理自身掌握的核心数据、重要数据、个人信息等并依据现有的法律法规、部门规章加以保护、企业在开展数据跨境活动前仍应着重考虑其合规性等。

七、 《新办法》展望：实践之中仍待明确的事项

如上所述，《新办法》项下仍有多个问题尚不明确，有待于主管部门后续的进一步澄清，例如：什么样的数据处理活动影响或者可能影响国家安全；哪些企业构成“网络平台运营者”；《数安条例》的发布将如何影响相关的审核和报备工作、数据安全审查和网络安全审查的落地如何互相影响。我们也会持续关注这些问题在实践之中的明确和落地。