行業(yè)新聞
為落實《數(shù)據(jù)安全法》等法律法規(guī)的要求,國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部、財政部、商務(wù)部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、中國證券監(jiān)督管理委員會、國家保密局、國家密碼管理局等十三部門聯(lián)合修訂發(fā)布了《網(wǎng)絡(luò)安全審查辦法》,今日起施行。
01《辦法》修訂的主要內(nèi)容
《網(wǎng)絡(luò)安全審查辦法》2020版 | 《網(wǎng)絡(luò)安全審查辦法》2022版 | |
立法依據(jù) | 《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡(luò)安全法》 | 《中華人民共和國國家安全法》、《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》 |
立法目的 | 確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,維護國家安全 | 確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全,維護國家安全 |
網(wǎng)絡(luò)安全審查工作機制構(gòu)成 | 網(wǎng)信辦、發(fā)改委、工信部、公安部、國家安全部、財政部、商務(wù)部、央行、市監(jiān)總局、廣電總局、國密局、國密管理局 | 網(wǎng)信辦、發(fā)改委、工信部、公安部、國家安全部、財政部、商務(wù)部、央行、市監(jiān)總局、廣電總局、證監(jiān)會、國密局、國密管理局 |
網(wǎng)絡(luò)安全審查觸發(fā)條件 | 1. 關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),影響或可能影響國家安全的 2. 網(wǎng)絡(luò)安全審查工作機制成員單位認為影響或可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù) 3.社會舉報 | 1. 關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),影響或可能影響國家安全的 2. 網(wǎng)絡(luò)平臺運營者開展數(shù)據(jù)處理活動,影響或者可能影響國家安全的 3.掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市 4. 網(wǎng)絡(luò)安全審查工作機制成員單位認為影響或者可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)以及數(shù)據(jù)處理活動 5.社會舉報 |
需提交的申報材料 | 1.申報書; 2.關(guān)于影響或可能影響國家安全的分析報告; 3.采購文件、協(xié)議、擬簽訂的合同等; 4.網(wǎng)絡(luò)安全審查工作需要的其他材料 | 1.申報書; 2.關(guān)于影響或者可能影響國家安全的分析報告; 3.采購文件、協(xié)議、擬簽訂的合同或者擬提交的首次公開募股(IPO)等上市申請文件; 4.網(wǎng)絡(luò)安全審查工作需要的其他材料 |
重點評估的國家安全風險因素 | 1.產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞,以及重要數(shù)據(jù)被竊取、泄露、毀損的風險; 2.產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害; 3.產(chǎn)品和服務(wù)的安全性、開放性、透明性、來源的多樣性,供應(yīng)渠道的可靠性以及因為政治、外交、貿(mào)易等因素導致供應(yīng)中斷的風險; 4.產(chǎn)品和服務(wù)提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況; 5.其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國家安全的因素。 | 1.產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞的風險; 2.產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害; 3.產(chǎn)品和服務(wù)的安全性、開放性、透明性、來源的多樣性,供應(yīng)渠道的可靠性以及因為政治、外交、貿(mào)易等因素導致供應(yīng)中斷的風險; 4.產(chǎn)品和服務(wù)提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況; 5.核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被竊取、泄露、毀損以及非法利用或者非法出境的風險; 6.上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網(wǎng)絡(luò)信息安全風險; 7.其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的因素。 |
特別審查時限 | 特別審查程序一般應(yīng)當在45個工作日內(nèi)完成,情況復(fù)雜的可以適當延長。 | 特別審查程序一般應(yīng)當在90個工作日內(nèi)完成,情況復(fù)雜的可以延長。 |
新增義務(wù) | 為了防范風險,當事人應(yīng)當在審查期間按照網(wǎng)絡(luò)安全審查要求采取預(yù)防和消減風險的措施。 | |
網(wǎng)絡(luò)產(chǎn)品和服務(wù)范圍 | 核心網(wǎng)絡(luò)設(shè)備、高性能計算機和服務(wù)器、大容量存儲設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計算服務(wù),以及其他對關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù) | 核心網(wǎng)絡(luò)設(shè)備、重要通信產(chǎn)品、高性能計算機和服務(wù)器、大容量存儲設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計算服務(wù),以及其他對關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。 |
第一條 為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全,維護國家安全,根據(jù)《中華人民共和國國家安全法》、《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》,制定本辦法。
第二條 關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),網(wǎng)絡(luò)平臺運營者開展數(shù)據(jù)處理活動,影響或者可能影響國家安全的,應(yīng)當按照本辦法進行網(wǎng)絡(luò)安全審查。
前款規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施運營者、網(wǎng)絡(luò)平臺運營者統(tǒng)稱為當事人。
第三條 網(wǎng)絡(luò)安全審查堅持防范網(wǎng)絡(luò)安全風險與促進先進技術(shù)應(yīng)用相結(jié)合、過程公正透明與知識產(chǎn)權(quán)保護相結(jié)合、事前審查與持續(xù)監(jiān)管相結(jié)合、企業(yè)承諾與社會監(jiān)督相結(jié)合,從產(chǎn)品和服務(wù)以及數(shù)據(jù)處理活動安全性、可能帶來的國家安全風險等方面進行審查。
第四條 在中央網(wǎng)絡(luò)安全和信息化委員會領(lǐng)導下,國家互聯(lián)網(wǎng)信息辦公室會同中華人民共和國國家發(fā)展和改革委員會、中華人民共和國工業(yè)和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務(wù)部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、中國證券監(jiān)督管理委員會、國家保密局、國家密碼管理局建立國家網(wǎng)絡(luò)安全審查工作機制。
網(wǎng)絡(luò)安全審查辦公室設(shè)在國家互聯(lián)網(wǎng)信息辦公室,負責制定網(wǎng)絡(luò)安全審查相關(guān)制度規(guī)范,組織網(wǎng)絡(luò)安全審查。
第五條 關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的,應(yīng)當預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的,應(yīng)當向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。
關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作部門可以制定本行業(yè)、本領(lǐng)域預(yù)判指南。
第六條 對于申報網(wǎng)絡(luò)安全審查的采購活動,關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)當通過采購文件、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查,包括承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶數(shù)據(jù)、非法控制和操縱用戶設(shè)備,無正當理由不中斷產(chǎn)品供應(yīng)或者必要的技術(shù)支持服務(wù)等。
第七條 掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市,必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。
第八條 當事人申報網(wǎng)絡(luò)安全審查,應(yīng)當提交以下材料:
?。ㄒ唬┥陥髸?;
(二)關(guān)于影響或者可能影響國家安全的分析報告;
?。ㄈ┎少徫募f(xié)議、擬簽訂的合同或者擬提交的首次公開募股(IPO)等上市申請文件;
?。ㄋ模┚W(wǎng)絡(luò)安全審查工作需要的其他材料。
第九條 網(wǎng)絡(luò)安全審查辦公室應(yīng)當自收到符合本辦法第八條規(guī)定的審查申報材料起10個工作日內(nèi),確定是否需要審查并書面通知當事人。
第十條 網(wǎng)絡(luò)安全審查重點評估相關(guān)對象或者情形的以下國家安全風險因素:
?。ㄒ唬┊a(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或者破壞的風險;
?。ǘ┊a(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害;
?。ㄈ┊a(chǎn)品和服務(wù)的安全性、開放性、透明性、來源的多樣性,供應(yīng)渠道的可靠性以及因為政治、外交、貿(mào)易等因素導致供應(yīng)中斷的風險;
?。ㄋ模┊a(chǎn)品和服務(wù)提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況;
?。ㄎ澹┖诵臄?shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險;
?。┥鲜写嬖陉P(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網(wǎng)絡(luò)信息安全風險;
?。ㄆ撸┢渌赡芪:﹃P(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的因素。
第十一條 網(wǎng)絡(luò)安全審查辦公室認為需要開展網(wǎng)絡(luò)安全審查的,應(yīng)當自向當事人發(fā)出書面通知之日起30個工作日內(nèi)完成初步審查,包括形成審查結(jié)論建議和將審查結(jié)論建議發(fā)送網(wǎng)絡(luò)安全審查工作機制成員單位、相關(guān)部門征求意見;情況復(fù)雜的,可以延長15個工作日。
第十二條 網(wǎng)絡(luò)安全審查工作機制成員單位和相關(guān)部門應(yīng)當自收到審查結(jié)論建議之日起15個工作日內(nèi)書面回復(fù)意見。
網(wǎng)絡(luò)安全審查工作機制成員單位、相關(guān)部門意見一致的,網(wǎng)絡(luò)安全審查辦公室以書面形式將審查結(jié)論通知當事人;意見不一致的,按照特別審查程序處理,并通知當事人。
第十三條 按照特別審查程序處理的,網(wǎng)絡(luò)安全審查辦公室應(yīng)當聽取相關(guān)單位和部門意見,進行深入分析評估,再次形成審查結(jié)論建議,并征求網(wǎng)絡(luò)安全審查工作機制成員單位和相關(guān)部門意見,按程序報中央網(wǎng)絡(luò)安全和信息化委員會批準后,形成審查結(jié)論并書面通知當事人。
第十四條 特別審查程序一般應(yīng)當在90個工作日內(nèi)完成,情況復(fù)雜的可以延長。
第十五條 網(wǎng)絡(luò)安全審查辦公室要求提供補充材料的,當事人、產(chǎn)品和服務(wù)提供者應(yīng)當予以配合。提交補充材料的時間不計入審查時間。
第十六條 網(wǎng)絡(luò)安全審查工作機制成員單位認為影響或者可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)以及數(shù)據(jù)處理活動,由網(wǎng)絡(luò)安全審查辦公室按程序報中央網(wǎng)絡(luò)安全和信息化委員會批準后,依照本辦法的規(guī)定進行審查。
為了防范風險,當事人應(yīng)當在審查期間按照網(wǎng)絡(luò)安全審查要求采取預(yù)防和消減風險的措施。
第十七條 參與網(wǎng)絡(luò)安全審查的相關(guān)機構(gòu)和人員應(yīng)當嚴格保護知識產(chǎn)權(quán),對在審查工作中知悉的商業(yè)秘密、個人信息,當事人、產(chǎn)品和服務(wù)提供者提交的未公開材料,以及其他未公開信息承擔保密義務(wù);未經(jīng)信息提供方同意,不得向無關(guān)方披露或者用于審查以外的目的。
第十八條 當事人或者網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者認為審查人員有失客觀公正,或者未能對審查工作中知悉的信息承擔保密義務(wù)的,可以向網(wǎng)絡(luò)安全審查辦公室或者有關(guān)部門舉報。
第十九條 當事人應(yīng)當督促產(chǎn)品和服務(wù)提供者履行網(wǎng)絡(luò)安全審查中作出的承諾。
網(wǎng)絡(luò)安全審查辦公室通過接受舉報等形式加強事前事中事后監(jiān)督。
第二十條 當事人違反本辦法規(guī)定的,依照《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》的規(guī)定處理。
第二十一條 本辦法所稱網(wǎng)絡(luò)產(chǎn)品和服務(wù)主要指核心網(wǎng)絡(luò)設(shè)備、重要通信產(chǎn)品、高性能計算機和服務(wù)器、大容量存儲設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計算服務(wù),以及其他對關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。
第二十二條 涉及國家秘密信息的,依照國家有關(guān)保密規(guī)定執(zhí)行。
國家對數(shù)據(jù)安全審查、外商投資安全審查另有規(guī)定的,應(yīng)當同時符合其規(guī)定。
第二十三條 本辦法自2022年2月15日起施行。2020年4月13日公布的《網(wǎng)絡(luò)安全審查辦法》(國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部、財政部、商務(wù)部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局令第6號)同時廢止。
一、《網(wǎng)絡(luò)安全審查辦法》修訂的背景及法律依據(jù)
網(wǎng)絡(luò)安全審查制度與數(shù)據(jù)安全審查制度是《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》確立的兩項重要國家安全審查制度?!毒W(wǎng)絡(luò)安全法》第三十五條規(guī)定:“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查?!保弧稊?shù)據(jù)安全法》第二十四條規(guī)定:“國家建立數(shù)據(jù)安全審查制度,對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查?!保弧蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第十九條規(guī)定:運營者應(yīng)當優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù);采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的,應(yīng)當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查?!蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第十九條在《網(wǎng)絡(luò)安全法》第三十五條的基礎(chǔ)上,增加了“運營者應(yīng)當優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”,強調(diào)了網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)鏈安全。
根據(jù)上述規(guī)定,《數(shù)據(jù)安全法》中的數(shù)據(jù)安全審查制度與《網(wǎng)絡(luò)安全法》中的網(wǎng)絡(luò)安全審查制度有所不同,前者的審查主要針對影響或者可能影響國家安全的數(shù)據(jù)處理活動,主要包括:數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等;后者的審查主要針對關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),影響或可能影響國家安全的情形。
2020年6月1日施行的《網(wǎng)絡(luò)安全審查辦法》(以下簡稱:原《審查辦法》)第二條提出:“關(guān)鍵信息基礎(chǔ)設(shè)施運營者(以下簡稱運營者)采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),影響或可能影響國家安全的,應(yīng)當按照本辦法進行網(wǎng)絡(luò)安全審查?!?可見,原《審查辦法》中的網(wǎng)絡(luò)安全審查,主要是依據(jù)《網(wǎng)絡(luò)安全法》針對關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),影響或可能影響國家安全情形的安全審查制度。
隨著《數(shù)據(jù)安全法》于2021年9月1日正式實施,影響或者可能影響國家安全的數(shù)據(jù)處理活動也將面臨國家安全審查。由于原《審查辦法》只涉及了《網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)安全審查”制度,沒有涉及《數(shù)據(jù)安全法》中的“數(shù)據(jù)安全審查”內(nèi)容。因此,有必要在原《審查辦法》的基礎(chǔ)上增加數(shù)據(jù)安全審查的內(nèi)容。
新修訂的《網(wǎng)絡(luò)安全審查辦法》第一條規(guī)定:“為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全,維護國家安全,根據(jù)《中華人民共和國國家安全法》、《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》,制定本辦法。”
從上述立法目的看,《網(wǎng)絡(luò)安全審查辦法》的上位法涉及三部法律和一部國務(wù)院條例,修訂后的《網(wǎng)絡(luò)安全審查辦法》在《國家安全法》和《網(wǎng)絡(luò)安全法》的基礎(chǔ)上,增加了《數(shù)據(jù)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》,其中《數(shù)據(jù)安全法》明確提出“國家建立數(shù)據(jù)安全審查制度”;《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》要求“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的,應(yīng)當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查”。
這里需要說明,《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》均要求關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的,應(yīng)當通過國家安全審查。但是《網(wǎng)絡(luò)安全法》于2017年6月1日開始實施,當時尚沒有出臺《網(wǎng)絡(luò)安全審查辦法》,《網(wǎng)絡(luò)安全法》第三十五條要求:“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查”?!毒W(wǎng)絡(luò)安全法》實施后的三年,《網(wǎng)絡(luò)安全審查辦法》于2020年6月1日實施,正式確立了網(wǎng)絡(luò)安全審查的規(guī)則和適用。因此,2021年9月1日開始實施的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第十九條則規(guī)定:“采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的,應(yīng)當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查。“《網(wǎng)絡(luò)安全法》僅規(guī)定“應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查”;《關(guān)鍵信息基礎(chǔ)設(shè)安全保護條例》則要求“應(yīng)當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查”,更強調(diào)了依網(wǎng)絡(luò)安全審查規(guī)則通過安全審查。
二、網(wǎng)絡(luò)安全審查的客體和原則
《網(wǎng)絡(luò)安全審查辦法》第二條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施運營者(以下簡稱運營者)采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),數(shù)據(jù)處理者(以下稱運營者)開展數(shù)據(jù)處理活動,影響或可能影響國家安全的,應(yīng)當按照本辦法進行網(wǎng)絡(luò)安全審查。
根據(jù)上述規(guī)定,《網(wǎng)絡(luò)安全審查辦法》審查的客體有兩大類,一是關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù);二是數(shù)據(jù)處理者開展數(shù)據(jù)處理活動,這兩類客體是網(wǎng)絡(luò)安全審查法律關(guān)系主體的權(quán)利和義務(wù)指向的對象,只要這兩類客體的行為或結(jié)果影響或可能影響國家安全的,必須依法進行國家網(wǎng)絡(luò)安全審查。
《網(wǎng)絡(luò)安全審查辦法》從關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),以及數(shù)據(jù)處理者開展數(shù)據(jù)處理活動的安全性和可能帶來的國家安全風險兩大視角,確立了網(wǎng)絡(luò)與數(shù)據(jù)安全審查的原則?!毒W(wǎng)絡(luò)安全審查辦法》第三條明確了網(wǎng)絡(luò)安全審的“四個相結(jié)合”原則,一是堅持防范網(wǎng)絡(luò)安全風險與促進先進技術(shù)應(yīng)用相結(jié)合;二是堅持過程公正透明與知識產(chǎn)權(quán)保護相結(jié)合;三是事前審查與持續(xù)監(jiān)管相結(jié)合;四是企業(yè)承諾與社會監(jiān)督相結(jié)合。
(一)堅持防范網(wǎng)絡(luò)安全風險與促進先進技術(shù)應(yīng)用相結(jié)
網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全審查以及數(shù)據(jù)處理活動的安全審查,必須在貫徹總體國家安全觀的基礎(chǔ)上,堅持防范網(wǎng)絡(luò)安全風險與促進先進技術(shù)應(yīng)用相結(jié)。在促進先進技術(shù)的應(yīng)用和產(chǎn)業(yè)發(fā)展的基礎(chǔ)上防范網(wǎng)絡(luò)與數(shù)據(jù)安全風險,以防范網(wǎng)絡(luò)與數(shù)據(jù)安全風險保障先進技術(shù)的應(yīng)用和產(chǎn)業(yè)發(fā)展。
(二)堅持過程公正透明與知識產(chǎn)權(quán)保護相結(jié)合
實施網(wǎng)絡(luò)產(chǎn)品、服務(wù)與數(shù)據(jù)處理活動的安全審查必須保證公正透明,其中“公正”的前提是審查過程中的“透明”,只有保證審查過程中的“透明”規(guī)則和流程,才能保障公正審查制度的落實。
同時,在實施公正透明審查的過程中,應(yīng)當采取嚴格的措施保護知識產(chǎn)權(quán)。《網(wǎng)絡(luò)安全審查辦法》第十七條明確要求,參與網(wǎng)絡(luò)安全審查的相關(guān)機構(gòu)和人員應(yīng)當嚴格保護知識產(chǎn)權(quán),對在審查工作中知悉的商業(yè)秘密、個人信息,當事人、產(chǎn)品和服務(wù)提供者提交的未公開材料,以及其他未公開信息承擔保密義務(wù);未經(jīng)信息提供方同意,不得向無關(guān)方披露或者用于審查以外的目的。
(三)堅持事前審查與持續(xù)監(jiān)管相結(jié)合
網(wǎng)絡(luò)與數(shù)據(jù)安全審查的核心是有效預(yù)防和化解國家安全風險,因此必須堅持事前審查為基礎(chǔ)。同時,要持續(xù)推進事中事后監(jiān)管的法治化、制度化、規(guī)范化?!毒W(wǎng)絡(luò)安全審查辦法》強化了網(wǎng)絡(luò)與數(shù)據(jù)安全的事前審查機制,重點事前評估相關(guān)對象,尤其是采購產(chǎn)品和服務(wù)可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的風險因素。
(四)堅持企業(yè)承諾與社會監(jiān)督相結(jié)合
保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全,維護國家安全和發(fā)展利益是關(guān)鍵信息基礎(chǔ)設(shè)施運營者和數(shù)據(jù)處理者的法定主體責任。因此,網(wǎng)絡(luò)與數(shù)據(jù)安全審查應(yīng)當以企業(yè)自查把關(guān)為前提,并對其網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購活動以及數(shù)據(jù)處理活動的安全性、合法性、風險性作出承諾,有效預(yù)防和化解國家安全風險,同時要接受社會的監(jiān)督。
《網(wǎng)絡(luò)安全審查辦法》要求,關(guān)鍵信息基礎(chǔ)設(shè)施運營者申報網(wǎng)絡(luò)安全審查的采購活動時,應(yīng)當通過采購文件、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查,并承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶數(shù)據(jù)、非法控制和操縱用戶設(shè)備,無正當理由不中斷產(chǎn)品供應(yīng)或者必要的技術(shù)支持服務(wù)等。與此同時,關(guān)鍵信息基礎(chǔ)設(shè)施運營者還應(yīng)當督促產(chǎn)品和服務(wù)提供者履行在網(wǎng)絡(luò)安全審查中作出的上述承諾。
三、網(wǎng)絡(luò)安全審查的重點對象
國家網(wǎng)絡(luò)安全審查,主要針對關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),以及網(wǎng)絡(luò)平臺運營者開展數(shù)據(jù)處理活動,影響或者可能影響國家安全的風險因素。根據(jù)《網(wǎng)絡(luò)安全審查辦法》第十條的規(guī)定,網(wǎng)絡(luò)安全審查重點評估相關(guān)對象或者情形的以下國家安全風險因素:(一)產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或者破壞的風險;(二)產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害;(三)產(chǎn)品和服務(wù)的安全性、開放性、透明性、來源的多樣性,供應(yīng)渠道的可靠性以及因為政治、外交、貿(mào)易等因素導致供應(yīng)中斷的風險;(四)產(chǎn)品和服務(wù)提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況;(五)核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險;(六)上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網(wǎng)絡(luò)信息安全風險;(七)其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的因素。
從上述影響或者可能影響國家安全風險因素和審查權(quán)重上看,《網(wǎng)絡(luò)安全審查辦法》第十條(一)至(四)主要強調(diào)與關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)網(wǎng)絡(luò)產(chǎn)品和服務(wù)引發(fā)的國家安全風險因素。需要指出的是,并不是關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購的所有網(wǎng)絡(luò)產(chǎn)品和服務(wù)均需要進行國家網(wǎng)絡(luò)安全審查,《網(wǎng)絡(luò)安全審查辦法》所指的“網(wǎng)絡(luò)產(chǎn)品和服務(wù)”主要指核心網(wǎng)絡(luò)設(shè)備、重要通信產(chǎn)品、高性能計算機和服務(wù)器、大容量存儲設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計算服務(wù),以及其他對關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。
《網(wǎng)絡(luò)安全審查辦法》第十條(五)(六)主要是針對核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險,以及上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風險等。目前,我國數(shù)據(jù)立法將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù),這個數(shù)據(jù)分類的方法主要是基于數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權(quán)益的影響和重要程度。
2021年11月,國家網(wǎng)信辦公布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》明確提出,國家對個人信息和重要數(shù)據(jù)進行重點保護,對核心數(shù)據(jù)實行嚴格保護?!昂诵臄?shù)據(jù)“,主要指關(guān)系國家安全、國民經(jīng)濟命脈、重要民生和重大公共利益等的數(shù)據(jù);”重要數(shù)據(jù)“,是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數(shù)據(jù)。
“重要數(shù)據(jù)”主要包括以下七類數(shù)據(jù):一是未公開的政務(wù)數(shù)據(jù)、工作秘密、情報數(shù)據(jù)和執(zhí)法司法數(shù)據(jù);二是出口管制數(shù)據(jù),出口管制物項涉及的核心技術(shù)、設(shè)計方案、生產(chǎn)工藝等相關(guān)的數(shù)據(jù),密碼、生物、電子信息、人工智能等領(lǐng)域?qū)野踩?、?jīng)濟競爭實力有直接影響的科學技術(shù)成果數(shù)據(jù);三是國家法律、行政法規(guī)、部門規(guī)章明確規(guī)定需要保護或者控制傳播的國家經(jīng)濟運行數(shù)據(jù)、重要行業(yè)業(yè)務(wù)數(shù)據(jù)、統(tǒng)計數(shù)據(jù)等;四是工業(yè)、電信、能源、交通、水利、金融、國防科技工業(yè)、海關(guān)、稅務(wù)等重點行業(yè)和領(lǐng)域安全生產(chǎn)、運行的數(shù)據(jù),關(guān)鍵系統(tǒng)組件、設(shè)備供應(yīng)鏈數(shù)據(jù);五是達到國家有關(guān)部門規(guī)定的規(guī)?;蛘呔鹊幕颉⒌乩?、礦產(chǎn)、氣象等人口與健康、自然資源與環(huán)境國家基礎(chǔ)數(shù)據(jù);六是國家基礎(chǔ)設(shè)施、關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)運行及其安全數(shù)據(jù),國防設(shè)施、軍事管理區(qū)、國防科研生產(chǎn)單位等重要敏感區(qū)域的地理位置、安保情況等數(shù)據(jù);七是其他可能影響國家政治、國土、軍事、經(jīng)濟、文化、社會、科技、生態(tài)、資源、核設(shè)施、海外利益、生物、太空、極地、深海等安全的數(shù)據(jù)。上述七類重要數(shù)據(jù)不包括國家秘密和個人信息,但基于海量個人信息形成的統(tǒng)計數(shù)據(jù)、衍生數(shù)據(jù)有可能屬于重要數(shù)據(jù)。
如何識別重要數(shù)據(jù)?國家市場監(jiān)督管理總局和國家標準化委員會發(fā)布的《重要數(shù)據(jù)識別指南》(征求意見稿)確立了六項應(yīng)遵循的基本原則:
一是聚焦安全影響:從國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等角度識別重要數(shù)據(jù),只對組織自身而言重要或敏感的數(shù)據(jù)不屬于重要數(shù)據(jù),如企業(yè)的內(nèi)部管理相關(guān)數(shù)據(jù);
二是突出保護重點:通過對數(shù)據(jù)分級,明確安全保護重點,使一般數(shù)據(jù)充分流動,重要數(shù)據(jù)在滿足安全保護要求前提下有序流動,釋放數(shù)據(jù)價值;
三是銜接既有規(guī)定:充分考慮地方已有管理要求和行業(yè)特色,與地方、部門已經(jīng)制定實施的有關(guān)數(shù)據(jù)管理政策和標準規(guī)范緊密銜接;
四是綜合考慮風險:根據(jù)數(shù)據(jù)用途、面臨威脅等不同因素,綜合考慮數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用等風險,從保密性、完整性、可用性、真實性、準確性等多個角度識別數(shù)據(jù)的重要性;
五是定量定性結(jié)合:以定量與定性相結(jié)合的方式識別重要數(shù)據(jù),并根據(jù)具體數(shù)據(jù)類型、特性不同采取定量或定性方法;
六是動態(tài)識別復(fù)評:隨著數(shù)據(jù)用途、共享方式、重要性等發(fā)生變化,動態(tài)識別重要數(shù)據(jù),并定期復(fù)查重要數(shù)據(jù)識別結(jié)果。
四、網(wǎng)絡(luò)平臺運營者赴國外上市須申報網(wǎng)絡(luò)安全審查
網(wǎng)絡(luò)平臺,特別是大型網(wǎng)絡(luò)平臺的運營者擁有和處理著大量的重要數(shù)據(jù)、核心數(shù)據(jù)和海量的個人信息,其赴國外上市對國家安全具有重大影響和風險。為此,《網(wǎng)絡(luò)安全審查辦法》強化了對網(wǎng)絡(luò)平臺運營者赴國外上市可能帶來國家安全風險,對掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市,施行強制性網(wǎng)絡(luò)安全審查。
《網(wǎng)絡(luò)安全審查辦法》第十條在原《審查辦法》第九條網(wǎng)絡(luò)安全審查重點評估的五大國家安全風險因素的基礎(chǔ)上新增了兩項重要因素:一是核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險;二是上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網(wǎng)絡(luò)信息安全風險。同時,新增加一條并列為《網(wǎng)絡(luò)安全審查辦法》第七條,即“掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市,必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查?!斑@是一條強制性規(guī)定,也是一條不可逾越的紅線,任何網(wǎng)絡(luò)平臺運營者都必須嚴格遵守。
被列入《2021年中國網(wǎng)絡(luò)與數(shù)字法治領(lǐng)域十大事件》之一的“網(wǎng)絡(luò)安全審查辦公室對‘滴滴出行’啟動網(wǎng)絡(luò)安全審查”,就是一起典型的網(wǎng)絡(luò)平臺運營者赴國外上市啟動國家網(wǎng)絡(luò)安全審查的事件。2021年6月30日,“滴滴出行”采用VIE架構(gòu)(Variable Interest Entity),即“可變利益實體”在美上市。這是境內(nèi)主體為實現(xiàn)在境外上市采取的一種特別方式,其本質(zhì)是境外上市實體與境內(nèi)運營實體相分離,境外上市實體在境內(nèi)設(shè)立全資子公司,該全資子公司并不實際開展主營業(yè)務(wù),而是通過協(xié)議的方式控制境內(nèi)運營實體的業(yè)務(wù)和財務(wù),使該運營實體成為上市實體的可變利益實體,VIE架構(gòu)最關(guān)鍵的問題是“控制”境內(nèi)運營實體的業(yè)務(wù)。從“滴滴出行”于2021年6月11日向美國證券交易委員會遞交的IPO招股書可以看到:“滴滴出行”的業(yè)務(wù)涵蓋15個國家、4000個城市,年活躍用戶在4.93億,司機則有一千五百萬,4.9億年活躍用戶。
2021年7月2日,網(wǎng)絡(luò)安全審查辦公室發(fā)出公告,宣布對滴滴出行啟動網(wǎng)絡(luò)安全審查。公告稱,為防范國家數(shù)據(jù)安全風險,維護國家安全,保障公共利益,依據(jù)《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡(luò)安全法》,網(wǎng)絡(luò)安全審查辦公室按照《網(wǎng)絡(luò)安全審查辦法》,對“滴滴出行”實施網(wǎng)絡(luò)安全審查。為配合網(wǎng)絡(luò)安全審查工作,防范風險擴大,審查期間“滴滴出行”停止新用戶注冊。這是自《網(wǎng)絡(luò)安全審查辦法》2020年6月1日出臺以來,我國公開實施網(wǎng)絡(luò)安全審查的第一案。
2021年7月9日,國家網(wǎng)信辦發(fā)布通告稱:根據(jù)舉報,經(jīng)檢測核實,“滴滴企業(yè)版”等25款A(yù)pp存在嚴重違法違規(guī)收集使用個人信息問題。國家網(wǎng)信辦依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)規(guī)定,通知應(yīng)用商店下架上述25款A(yù)pp,要求相關(guān)運營者嚴格按照法律要求,參照國家有關(guān)標準,認真整改存在的問題,切實保障廣大用戶個人信息安全。各網(wǎng)站、平臺不得為“滴滴出行”和“滴滴企業(yè)版”等上述25款已在應(yīng)用商店下架的App提供訪問和下載服務(wù)。從以上公告看,“滴滴企業(yè)版”等25款A(yù)pp下架的直接原因,是因為滴滴平臺嚴重違法違規(guī)收集使用個人信息。7月16日,國家網(wǎng)信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務(wù)總局、市場監(jiān)管總局等部門聯(lián)合進駐滴滴出行科技有限公司,開展網(wǎng)絡(luò)安全審查。
根據(jù)國家網(wǎng)信辦等五部委發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》的規(guī)定,涉及汽車的重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益或者個人、組織合法權(quán)益的數(shù)據(jù),重要以下五類數(shù)據(jù):一是軍事管理區(qū)、國防科工單位以及縣級以上黨政機關(guān)等重要敏感區(qū)域的地理信息、人員流量、車輛流量等數(shù)據(jù);二是車輛流量、物流等反映經(jīng)濟運行情況的數(shù)據(jù);三是汽車充電網(wǎng)的運行數(shù)據(jù);四是包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù);五是涉及個人信息主體超過10萬人的個人信息;六是國家網(wǎng)信部門和國務(wù)院發(fā)展改革、工業(yè)和信息化、公安、交通運輸?shù)扔嘘P(guān)部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權(quán)益的數(shù)據(jù)。
通過對被下架的滴滴25款A(yù)pp分析不難看出,滴滴出行的業(yè)務(wù)在交通領(lǐng)域幾乎是無所不包,這25款A(yù)pp包括:滴滴企業(yè)版、滴滴打車、滴滴車主、滴滴順風車、滴滴代駕、滴滴司機、滴滴貨運、滴滴配送、滴滴護航、滴滴商戶、滴滴助手、滴滴小巴、滴滴公交、加油收銀臺商戶、滴滴金融,還有記錄儀等等。以上App不僅采集和處理了大量的地理數(shù)據(jù)、人員流量、車輛流量等,同時平臺控制了海量的個人信息,尤其是涉及大量汽車的重要數(shù)據(jù),包括車外數(shù)據(jù)、坐艙數(shù)據(jù)、位置軌跡數(shù)據(jù)、運行數(shù)據(jù)等,車外數(shù)據(jù)主要是通過攝像頭、雷達等傳感器從汽車外部環(huán)境采集的道路、建筑、地形、交通參與者等數(shù)據(jù),以及對其進行加工后產(chǎn)生的數(shù)據(jù),而且車外數(shù)據(jù)可能還包含人臉、車牌等個人信息以及車輛流量、物流等法律法規(guī)標準所規(guī)定的重要數(shù)據(jù);座艙數(shù)據(jù)涉及到通過攝像頭、紅外傳感器、指紋傳感器、麥克風等傳感器從汽車座艙采集的數(shù)據(jù),以及對其進行加工后產(chǎn)生的數(shù)據(jù),特別是座艙數(shù)據(jù)可能包含駕駛員和乘員的人臉、聲紋、指紋等敏感個人信息;位置軌跡數(shù)據(jù)涉及到基于衛(wèi)星定位、通信網(wǎng)絡(luò)等各種方式獲取的汽車定位和途經(jīng)路徑相關(guān)的數(shù)據(jù)等。
2021年3月,美國美國證券交易委員會(SEC)通過了實施《控股外國公司問責法》(Holding ForeignCompanies Accountable Act,簡稱HFCAA)的臨時最終規(guī)則。12月,SEC發(fā)布修正案,最終確定了《外國公司問責法案》的實施規(guī)則,為HFCAA的實施建立了框架。根據(jù)HFCAA的規(guī)定,在美上市的外國公司向SEC提交文件,證明該公司不受外國政府擁有或掌控,并要求這些企業(yè)遵守美國上市公司會計師監(jiān)督委員會(PCAOB)的審計標準,修正案還要求外國發(fā)行人在其年度報告中為自己及其任何合并的外國經(jīng)營實體提供某些額外的披露。[顯然,滴滴在美上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風險。
依據(jù)HFCAA規(guī)定,如果外國上市公司連續(xù)三年未能提交美國上市公司會計監(jiān)督委員會所要求的報告,允許SEC將其從交易所摘牌。事實上,滴滴在此前披露的招股書中已經(jīng)提到了退市的風險。招股書稱,根據(jù)美國證券交易委員會(SEC)的《外國公司問責法》(HFCAA),滴滴可能因為無法通過美國上市公司會計師監(jiān)督委員會(PCAOB)的審計標準,而導致退市。[6] 2021年12月3日,滴滴全球有限公司(NYSE:DIDI.N)發(fā)布公告稱:“經(jīng)認真研究,公司即日起啟動在紐交所退市的工作,并啟動在香港上市的準備工作?!盵8]
五、赴港上市是否需要申報網(wǎng)絡(luò)安全審查
《網(wǎng)絡(luò)安全審查辦法》(以下稱《審查辦法》)第七條規(guī)定:“掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市,必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查?!?該條的申報主體主要是針對“網(wǎng)絡(luò)平臺運營者”赴國外上市,至于赴香港上市的“網(wǎng)絡(luò)平臺運營者”是否需要申報網(wǎng)絡(luò)安全審查,《審查辦法》沒有作出規(guī)定。顯然,《審查辦法》第七條的適用范圍不包括赴香港上市,但是這并不意味著網(wǎng)絡(luò)平臺運營者或數(shù)據(jù)處理者赴香港上市不需要申報網(wǎng)絡(luò)安全審查。
2021年11月14日,國家網(wǎng)信辦公布《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》(以下稱《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》),依據(jù)《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》第十三條規(guī)定,數(shù)據(jù)處理者開展以下活動,應(yīng)當按照國家有關(guān)規(guī)定,申報網(wǎng)絡(luò)安全審查:(一)匯聚掌握大量關(guān)系國家安全、經(jīng)濟發(fā)展、公共利益的數(shù)據(jù)資源的互聯(lián)網(wǎng)平臺運營者實施合并、重組、分立,影響或者可能影響國家安全的;(二)處理一百萬人以上個人信息的數(shù)據(jù)處理者赴國外上市的;(三)數(shù)據(jù)處理者赴香港上市,影響或者可能影響國家安全的;(四)其他影響或者可能影響國家安全的數(shù)據(jù)處理活動。
《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》屬于國務(wù)院條例,其實施后的法律階位高于《審查辦法》;如果正式實施后的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》第十三條(二)和(三)將數(shù)據(jù)處理者赴國外上市和赴香港上市分開表述,其內(nèi)涵在于香港是中華人民共和國香港特別行政區(qū),屬于中國主權(quán)范圍,基本不存在《網(wǎng)絡(luò)安全審查辦法》第十條(六)關(guān)于“上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風險”等因素。因此,《網(wǎng)絡(luò)安全審查辦法》對國內(nèi)網(wǎng)絡(luò)平臺運營者或數(shù)據(jù)處理者赴香港上市是否需要申報網(wǎng)絡(luò)安全審查沒有作出要求。
2021年12月,中國證監(jiān)會發(fā)布《國務(wù)院關(guān)于境內(nèi)企業(yè)境外發(fā)行證券和上市的管理規(guī)定(草案征求意見稿)》(以下稱《境外上市管理規(guī)定》),《境外上市管理規(guī)定》總體上支持依法合規(guī)的境內(nèi)企業(yè)利用境外資本市場融資發(fā)展,不額外設(shè)置門檻和條件,但明確對四類情形實施嚴格的監(jiān)管紅線,不得赴境外上市:一是法律法規(guī)明確禁止上市融資;二是危害國家安全;三是存在重大權(quán)屬糾紛;四是存在違法犯罪行為。
在以上的規(guī)定中分別出現(xiàn)了“國外”和“境外”的表述,《網(wǎng)絡(luò)安全審查辦法》明確提出是“國外”上市;《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》將“國外”和“香港”上市分開表述;《境外上市管理規(guī)定》則規(guī)定了“境內(nèi)企業(yè)境外發(fā)行上市”。這里需要明確,《網(wǎng)絡(luò)安全審查辦法》和《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》中的“國外”與《境外上市管理規(guī)定》中“境外”有何區(qū)別;“國外”比較好理解,指中國以外的其他國家,但是“國外”與“境外”的法律語境相同嗎?根據(jù)2013年7月1日起施行的《中華人民共和國出境入境管理法》(以下簡稱《出境入境管理法》)第八十九條第一款的規(guī)定:“出境,是指由中國內(nèi)地前往其他國家或者地區(qū),由中國內(nèi)地前往香港特別行政區(qū)、澳門特別行政區(qū),由中國大陸前往臺灣地區(qū)?!笨梢姡冻鼍橙刖彻芾矸ā穼Α俺鼍场保ň惩猓┑亩x有三層含義,一是指由中國內(nèi)地前往其他國家或者地區(qū);二是由中國內(nèi)地前往香港特別行政區(qū)、澳門特別行政區(qū),這里的香港和澳門屬于中國的特別行政區(qū),特別行政區(qū)內(nèi)實行“一國兩制”,相對于“香港和澳門”,中國稱之為“中國內(nèi)地”;三是中國大陸前往臺灣地區(qū),臺灣地區(qū)屬于中國領(lǐng)土的區(qū)域,但中國尚未對其實施行政管轄,相對于“臺灣”地區(qū),中國稱之為“中國大陸”。由此,《境外上市管理規(guī)定》中的“境外”應(yīng)當包括國外和我國香港地區(qū)。
《境外上市管理規(guī)定》第八條規(guī)定:“境內(nèi)企業(yè)境外發(fā)行上市的,應(yīng)當嚴格遵守外商投資、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等國家安全法律法規(guī)和有關(guān)規(guī)定,切實履行國家安全保護義務(wù)。涉及安全審查的,應(yīng)當依法履行相關(guān)安全審查程序。“《境外上市管理規(guī)定》第十六條對境內(nèi)企業(yè)境外上市涉及損害國家安全以及向境外提供個人信息和重要數(shù)據(jù)的,提出了嚴格的監(jiān)管要求,即“境內(nèi)企業(yè)境外發(fā)行上市的,應(yīng)當嚴格遵守國家法律法規(guī)和有關(guān)規(guī)定,建立健全保密制度,采取必要措施落實保密責任,不得泄露國家秘密,不得損害國家安全和公共利益。境內(nèi)企業(yè)境外發(fā)行上市涉及向境外提供個人信息和重要數(shù)據(jù)的,應(yīng)當符合國家法律法規(guī)和有關(guān)規(guī)定?!?/span>
由此可以看出,國內(nèi)網(wǎng)絡(luò)平臺運營者或數(shù)據(jù)處理者無論是赴國外上市還是赴香港上市,只要其開展數(shù)據(jù)處理活動,就應(yīng)當嚴格遵守外商投資、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等國家安全法律法規(guī)和有關(guān)規(guī)定。但是從《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》第十三條(二)和(三)的表述上可以看出,數(shù)據(jù)處理者赴國外上市和赴香港上市,實施網(wǎng)絡(luò)安全審查的條件有所不同,前者(二)數(shù)據(jù)處理者赴國外上市,只要處理一百萬人以上個人信息,必須申報網(wǎng)絡(luò)安全審查;后者(三)則要求,數(shù)據(jù)處理者赴香港上市,影響或者可能影響國家安全的,應(yīng)當申報網(wǎng)絡(luò)安全審查。換言之,數(shù)據(jù)處理者赴香港上市是否需要申報網(wǎng)絡(luò)安全審查,關(guān)鍵要看是否會影響或者可能影響國家安全,如果存在影響或者可能影響國家安全的情形,就應(yīng)當申報網(wǎng)絡(luò)安全審查,否則,就無需申報網(wǎng)絡(luò)安全審查。然而,根據(jù)《境外上市管理規(guī)定》的要求,涉及安全審查的,應(yīng)當依法履行相關(guān)安全審查程序。筆者認為,網(wǎng)絡(luò)平臺運營者或數(shù)據(jù)處理者,只要涉及數(shù)據(jù)處理,尤其是處理個人信息超過一百萬人以上,赴香港上市最好主動申報網(wǎng)絡(luò)安全審查,是否影響或可能影響國家安全,由網(wǎng)絡(luò)安全審查辦公室研判。
六、申報網(wǎng)絡(luò)安全審查的材料與流程
當事人申報網(wǎng)絡(luò)安全審查,應(yīng)當提交以下三類材料,一是申報書,申報的主體包括關(guān)鍵信息基礎(chǔ)設(shè)施的運營者和網(wǎng)絡(luò)平臺運營者,前者主要申報采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),后者主要是開展數(shù)據(jù)處理活動,大多情況下的當事人既是關(guān)鍵信息基礎(chǔ)設(shè)施的運營者,也是網(wǎng)絡(luò)平臺運營者;二是關(guān)于影響或者可能影響國家安全的分析報告,應(yīng)重點圍繞《網(wǎng)絡(luò)安全審查辦法》第十條的重點評估對象或者情形對影響或可能影響的國家安全風險因素進行分析;三是提交采購文件、協(xié)議、擬簽訂的合同或者擬提交的首次公開募股(IPO)等上市申請文件,關(guān)鍵信息基礎(chǔ)設(shè)施運營者除了應(yīng)當提交采購文件、協(xié)議以及擬簽訂的合同,還應(yīng)當要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查,包括承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶數(shù)據(jù)、非法控制和操縱用戶設(shè)備,無正當理由不中斷產(chǎn)品供應(yīng)或者必要的技術(shù)支持服務(wù)等;首次公開募股(IPO)的當事人應(yīng)當提交上市申請文件,包括公司章程、發(fā)起人協(xié)議、發(fā)起人姓名或者名稱,發(fā)起人認購的股份數(shù)、出資種類及驗資證明、招股說明書、代收股款銀行的名稱及地址、承銷機構(gòu)名稱及有關(guān)的協(xié)議。除上述材料,網(wǎng)絡(luò)安全審查辦公室在網(wǎng)絡(luò)安全審查過程中需要其他材料的,當事人也應(yīng)當及時提交。
《網(wǎng)絡(luò)安全審查辦法》規(guī)定了嚴格的網(wǎng)絡(luò)安全審查程序和審查期限,申報網(wǎng)絡(luò)安全審查,網(wǎng)絡(luò)安全審查辦公室應(yīng)當履行以下審核程序:
(一)網(wǎng)絡(luò)安全審查辦公室收到數(shù)據(jù)處理者的申報網(wǎng)絡(luò)安全審查材料,在10個工作日內(nèi),確定是否需要審查,并書面通知當事人。處理的結(jié)果有兩個,一是啟動審查;二是無需審查;
(二)網(wǎng)絡(luò)安全審查辦公室認為需要啟動網(wǎng)絡(luò)安全審查的,應(yīng)當向當事人發(fā)出書面通知,自通知發(fā)出之日起30個工作日內(nèi)完成初步審查,包括形成審查結(jié)論建議和將審查結(jié)論建議發(fā)送網(wǎng)絡(luò)安全審查工作機制成員單位、相關(guān)部門征求意見,如果情況復(fù)雜的,可以延長15個工作日;
(三)網(wǎng)絡(luò)安全審查工作機制成員單位和相關(guān)部門應(yīng)當自收到審查結(jié)論建議之日起15個工作日內(nèi)書面回復(fù)意見,如果網(wǎng)絡(luò)安全審查工作機制成員單位、相關(guān)部門意見一致的,網(wǎng)絡(luò)安全審查辦公室以書面形式將審查結(jié)論通知當事人,如果審查結(jié)論不影響國家安全的,赴國外上市的可以繼續(xù)上市程序,如果審查結(jié)論認為影響國家安全的,則不允許赴國外(境外)上市;
(四)如果網(wǎng)絡(luò)安全審查工作機制成員單位、相關(guān)部門意見不一致,將按照特別審查程序處理,并通知當事人;按照特別審查程序處理的,網(wǎng)絡(luò)安全審查辦公室應(yīng)當聽取相關(guān)單位和部門意見,進行深入分析評估,再次形成審查結(jié)論建議,并征求網(wǎng)絡(luò)安全審查工作機制成員單位和相關(guān)部門意見,按程序報中央網(wǎng)絡(luò)安全和信息化委員會批準后,形成審查結(jié)論并書面通知當事人。啟動特別審查程序的,一般應(yīng)當在90個工作日內(nèi)完成,情況復(fù)雜的可以適當延長。
《網(wǎng)絡(luò)安全審查辦法》要求,凡參與網(wǎng)絡(luò)安全審查的相關(guān)機構(gòu)和人員應(yīng)當嚴格保護知識產(chǎn)權(quán),對在審查工作中知悉的商業(yè)秘密、個人信息,當事人、產(chǎn)品和服務(wù)提供者提交的未公開材料,以及其他未公開信息承擔保密義務(wù);未經(jīng)信息提供方同意,不得向無關(guān)方披露或者用于審查以外的目的。如果當事人或者網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者認為審查人員有失客觀公正,或者未能對審查工作中知悉的信息承擔保密義務(wù)的,可以向網(wǎng)絡(luò)安全審查辦公室或者有關(guān)部門舉報。