为落实《数据安全法》等法律法规的要求����,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布了《网络安全审查办法》����,今日起施行�����。
01《办法》修订的主要内容
| 《网络安全审查办法》2020版 | 《网络安全审查办法》2022版 |
立法依据 | 《中华人民共和国国家安全法》《中华人民共和国网络安全法》 | 《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全���;ぬ趵 |
立法目的 | 确保关键信息基础设施供应链安全����,维护国家安全 | 确保关键信息基础设施供应链安全����,保障网络安全和数据安全����,维护国家安全 |
网络安全审查工作机制构成 | 网信办、发改委、工信部、公安部、国家安全部、财政部、商务部、央行、市监总局、广电总局、国密局、国密管理局 | 网信办、发改委、工信部、公安部、国家安全部、财政部、商务部、央行、市监总局、广电总局、证监会、国密局、国密管理局 |
网络安全审查触发条件 | 1. 关键信息基础设施运营者采购网络产品和服务����,影响或可能影响国家安全的 2. 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务 3.社会举报 | 1. 关键信息基础设施运营者采购网络产品和服务����,影响或可能影响国家安全的 2. 网络平台运营者开展数据处理活动����,影响或者可能影响国家安全的 3.掌握超过100万用户个人信息的网络平台运营者赴国外上市 4. 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动 5.社会举报 |
需提交的申报材料 | 1.申报书���; 2.关于影响或可能影响国家安全的分析报告���; 3.采购文件、协议、拟签订的合同等���; 4.网络安全审查工作需要的其他材料 | 1.申报书���; 2.关于影响或者可能影响国家安全的分析报告���; 3.采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件���; 4.网络安全审查工作需要的其他材料 |
重点评估的国家安全风险因素 | 1.产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏����,以及重要数据被窃取、泄露、毁损的风险���; 2.产品和服务供应中断对关键信息基础设施业务连续性的危害���; 3.产品和服务的安全性、开放性、透明性、来源的多样性����,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险���; 4.产品和服务提供者遵守中国法律、行政法规、部门规章情况���; 5.其他可能危害关键信息基础设施安全和国家安全的因素�����。 | 1.产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险���; 2.产品和服务供应中断对关键信息基础设施业务连续性的危害���; 3.产品和服务的安全性、开放性、透明性、来源的多样性����,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险���; 4.产品和服务提供者遵守中国法律、行政法规、部门规章情况���; 5.核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或者非法出境的风险���; 6.上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险����,以及网络信息安全风险���; 7.其他可能危害关键信息基础设施安全、网络安全和数据安全的因素�����。 |
特别审查时限 | 特别审查程序一般应当在45个工作日内完成����,情况复杂的可以适当延长�����。 | 特别审查程序一般应当在90个工作日内完成����,情况复杂的可以延长�����。 |
新增义务 |
| 为了防范风险����,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施�����。 |
网络产品和服务范围 | 核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务����,以及其他对关键信息基础设施安全有重要影响的网络产品和服务 | 核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务����,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务�����。
|
第一条 为了确保关键信息基础设施供应链安全����,保障网络安全和数据安全����,维护国家安全����,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全���;ぬ趵����,制定本办法�����。
第二条 关键信息基础设施运营者采购网络产品和服务����,网络平台运营者开展数据处理活动����,影响或者可能影响国家安全的����,应当按照本办法进行网络安全审查�����。
前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人�����。
第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权���;は嘟岷稀⑹虑吧蟛橛氤中喙芟嘟岷稀⑵笠党信涤肷缁峒喽较嘟岷����,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查�����。
第四条 在中央网络安全和信息化委员会领导下����,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制�����。
网络安全审查办公室设在国家互联网信息办公室����,负责制定网络安全审查相关制度规范����,组织网络安全审查�����。
第五条 关键信息基础设施运营者采购网络产品和服务的����,应当预判该产品和服务投入使用后可能带来的国家安全风险�����。影响或者可能影响国家安全的����,应当向网络安全审查办公室申报网络安全审查�����。
关键信息基础设施安全���;すぷ鞑棵趴梢灾贫ū拘幸怠⒈玖煊蛟づ兄改�����。
第六条 对于申报网络安全审查的采购活动����,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查����,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备����,无正当理由不中断产品供应或者必要的技术支持服务等�����。
第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市����,必须向网络安全审查办公室申报网络安全审查�����。
第八条 当事人申报网络安全审查����,应当提交以下材料:
�����。ㄒ唬┥瓯ㄊ���;
�����。ǘ)关于影响或者可能影响国家安全的分析报告���;
�����。ㄈ┎晒何募、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件���;
�����。ㄋ模┩绨踩蟛楣ぷ餍枰钠渌牧�����。
第九条 网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内����,确定是否需要审查并书面通知当事人�����。
第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:
�����。ㄒ唬┎泛头务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险���;
�����。ǘ)产品和服务供应中断对关键信息基础设施业务连续性的危害���;
�����。ㄈ┎泛头务的安全性、开放性、透明性、来源的多样性����,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险���;
�����。ㄋ模┎泛头务提供者遵守中国法律、行政法规、部门规章情况���;
�����。ㄎ澹┖诵氖荨⒅匾莼蛘叽罅扛鋈诵畔⒈磺匀 ⑿孤丁⒒偎鹨约胺欠ɡ谩⒎欠ǔ鼍车姆缦���;
�����。┥鲜写嬖诠丶畔⒒∩枋⒑诵氖荨⒅匾莼蛘叽罅扛鋈诵畔⒈煌夤府影响、控制、恶意利用的风险����,以及网络信息安全风险���;
�����。ㄆ撸┢渌赡芪:丶畔⒒∩枋┌踩⑼绨踩褪莅踩囊蛩�����。
第十一条 网络安全审查办公室认为需要开展网络安全审查的����,应当自向当事人发出书面通知之日起30个工作日内完成初步审查����,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见���;情况复杂的����,可以延长15个工作日�����。
第十二条 网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见�����。
网络安全审查工作机制成员单位、相关部门意见一致的����,网络安全审查办公室以书面形式将审查结论通知当事人���;意见不一致的����,按照特别审查程序处理����,并通知当事人�����。
第十三条 按照特别审查程序处理的����,网络安全审查办公室应当听取相关单位和部门意见����,进行深入分析评估����,再次形成审查结论建议����,并征求网络安全审查工作机制成员单位和相关部门意见����,按程序报中央网络安全和信息化委员会批准后����,形成审查结论并书面通知当事人�����。
第十四条 特别审查程序一般应当在90个工作日内完成����,情况复杂的可以延长�����。
第十五条 网络安全审查办公室要求提供补充材料的����,当事人、产品和服务提供者应当予以配合�����。提交补充材料的时间不计入审查时间�����。
第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动����,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后����,依照本办法的规定进行审查�����。
为了防范风险����,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施�����。
第十七条 参与网络安全审查的相关机构和人员应当严格���;ぶ恫����,对在审查工作中知悉的商业秘密、个人信息����,当事人、产品和服务提供者提交的未公开材料����,以及其他未公开信息承担保密义务���;未经信息提供方同意����,不得向无关方披露或者用于审查以外的目的�����。
第十八条 当事人或者网络产品和服务提供者认为审查人员有失客观公正����,或者未能对审查工作中知悉的信息承担保密义务的����,可以向网络安全审查办公室或者有关部门举报�����。
第十九条 当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺�����。
网络安全审查办公室通过接受举报等形式加强事前事中事后监督�����。
第二十条 当事人违反本办法规定的����,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理�����。
第二十一条 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务����,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务�����。
第二十二条 涉及国家秘密信息的����,依照国家有关保密规定执行�����。
国家对数据安全审查、外商投资安全审查另有规定的����,应当同时符合其规定�����。
第二十三条 本办法自2022年2月15日起施行�����。2020年4月13日公布的《网络安全审查办法》(国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局令第6号)同时废止�����。
一、《网络安全审查办法》修订的背景及法律依据
网络安全审查制度与数据安全审查制度是《网络安全法》、《数据安全法》和《关键信息基础设施安全���;ぬ趵啡妨⒌牧较钪匾野踩蟛橹贫�����。《网络安全法》第三十五条规定:“关键信息基础设施的运营者采购网络产品和服务����,可能影响国家安全的����,应当通过国家网信部门会同国务院有关部门组织的国家安全审查�����。”���;《数据安全法》第二十四条规定:“国家建立数据安全审查制度����,对影响或者可能影响国家安全的数据处理活动进行国家安全审查�����。”���;《关键信息基础设施安全���;ぬ趵返谑盘豕娑ǎ涸擞哂Φ庇畔炔晒喊踩尚诺耐绮泛头务���;采购网络产品和服务可能影响国家安全的����,应当按照国家网络安全规定通过安全审查�����。《关键信息基础设施安全���;ぬ趵返谑盘踉凇锻绨踩ā返谌逄醯幕∩����,增加了“运营者应当优先采购安全可信的网络产品和服务”����,强调了网络产品和服务的供应链安全�����。
根据上述规定����,《数据安全法》中的数据安全审查制度与《网络安全法》中的网络安全审查制度有所不同����,前者的审查主要针对影响或者可能影响国家安全的数据处理活动����,主要包括:数据的收集、存储、使用、加工、传输、提供、公开等���;后者的审查主要针对关键信息基础设施运营者采购网络产品和服务����,影响或可能影响国家安全的情形�����。
2020年6月1日施行的《网络安全审查办法》(以下简称:原《审查办法》)第二条提出:“关键信息基础设施运营者(以下简称运营者)采购网络产品和服务����,影响或可能影响国家安全的����,应当按照本办法进行网络安全审查�����。” 可见����,原《审查办法》中的网络安全审查����,主要是依据《网络安全法》针对关键信息基础设施运营者采购网络产品和服务����,影响或可能影响国家安全情形的安全审查制度�����。
随着《数据安全法》于2021年9月1日正式实施����,影响或者可能影响国家安全的数据处理活动也将面临国家安全审查�����。由于原《审查办法》只涉及了《网络安全法》中的“网络安全审查”制度����,没有涉及《数据安全法》中的“数据安全审查”内容�����。因此����,有必要在原《审查办法》的基础上增加数据安全审查的内容�����。
新修订的《网络安全审查办法》第一条规定:“为了确保关键信息基础设施供应链安全����,保障网络安全和数据安全����,维护国家安全����,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全���;ぬ趵����,制定本办法�����。”
从上述立法目的看����,《网络安全审查办法》的上位法涉及三部法律和一部国务院条例����,修订后的《网络安全审查办法》在《国家安全法》和《网络安全法》的基础上����,增加了《数据安全法》和《关键信息基础设施安全���;ぬ趵����,其中《数据安全法》明确提出“国家建立数据安全审查制度”���;《关键信息基础设施安全���;ぬ趵芬蟆肮丶畔⒒∩枋┑脑擞卟晒和绮泛头务可能影响国家安全的����,应当按照国家网络安全规定通过安全审查”�����。
这里需要说明����,《网络安全法》和《关键信息基础设施安全���;ぬ趵肪蠊丶畔⒒∩枋┑脑擞卟晒和绮泛头务可能影响国家安全的����,应当通过国家安全审查�����。但是《网络安全法》于2017年6月1日开始实施����,当时尚没有出台《网络安全审查办法》����,《网络安全法》第三十五条要求:“关键信息基础设施的运营者采购网络产品和服务����,可能影响国家安全的����,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”�����。《网络安全法》实施后的三年����,《网络安全审查办法》于2020年6月1日实施����,正式确立了网络安全审查的规则和适用�����。因此����,2021年9月1日开始实施的《关键信息基础设施安全���;ぬ趵返谑盘踉蚬娑ǎ骸安晒和绮泛头务可能影响国家安全的����,应当按照国家网络安全规定通过安全审查�����。“《网络安全法》仅规定“应当通过国家网信部门会同国务院有关部门组织的国家安全审查”���;《关键信息基础设安全���;ぬ趵吩蛞蟆坝Φ卑凑展彝绨踩娑ㄍü踩蟛椤����,更强调了依网络安全审查规则通过安全审查�����。
二、网络安全审查的客体和原则
《网络安全审查办法》第二条规定����,关键信息基础设施运营者(以下简称运营者)采购网络产品和服务����,数据处理者(以下称运营者)开展数据处理活动����,影响或可能影响国家安全的����,应当按照本办法进行网络安全审查�����。
根据上述规定����,《网络安全审查办法》审查的客体有两大类����,一是关键信息基础设施运营者采购网络产品和服务���;二是数据处理者开展数据处理活动����,这两类客体是网络安全审查法律关系主体的权利和义务指向的对象����,只要这两类客体的行为或结果影响或可能影响国家安全的����,必须依法进行国家网络安全审查�����。
《网络安全审查办法》从关键信息基础设施的运营者采购网络产品和服务����,以及数据处理者开展数据处理活动的安全性和可能带来的国家安全风险两大视角����,确立了网络与数据安全审查的原则�����。《网络安全审查办法》第三条明确了网络安全审的“四个相结合”原则����,一是坚持防范网络安全风险与促进先进技术应用相结合���;二是坚持过程公正透明与知识产权���;は嘟岷���;三是事前审查与持续监管相结合���;四是企业承诺与社会监督相结合�����。
(一)坚持防范网络安全风险与促进先进技术应用相结
网络产品和服务的安全审查以及数据处理活动的安全审查����,必须在贯彻总体国家安全观的基础上����,坚持防范网络安全风险与促进先进技术应用相结�����。在促进先进技术的应用和产业发展的基础上防范网络与数据安全风险����,以防范网络与数据安全风险保障先进技术的应用和产业发展�����。
(二)坚持过程公正透明与知识产权���;は嘟岷
实施网络产品、服务与数据处理活动的安全审查必须保证公正透明����,其中“公正”的前提是审查过程中的“透明”����,只有保证审查过程中的“透明”规则和流程����,才能保障公正审查制度的落实�����。
同时����,在实施公正透明审查的过程中����,应当采取严格的措施���;ぶ恫�����。《网络安全审查办法》第十七条明确要求����,参与网络安全审查的相关机构和人员应当严格���;ぶ恫����,对在审查工作中知悉的商业秘密、个人信息����,当事人、产品和服务提供者提交的未公开材料����,以及其他未公开信息承担保密义务���;未经信息提供方同意����,不得向无关方披露或者用于审查以外的目的�����。
(三)坚持事前审查与持续监管相结合
网络与数据安全审查的核心是有效预防和化解国家安全风险����,因此必须坚持事前审查为基础�����。同时����,要持续推进事中事后监管的法治化、制度化、规范化�����。《网络安全审查办法》强化了网络与数据安全的事前审查机制����,重点事前评估相关对象����,尤其是采购产品和服务可能危害关键信息基础设施安全、网络安全和数据安全的风险因素�����。
(四)坚持企业承诺与社会监督相结合
保障网络安全和数据安全����,维护国家安全和发展利益是关键信息基础设施运营者和数据处理者的法定主体责任�����。因此����,网络与数据安全审查应当以企业自查把关为前提����,并对其网络产品和服务的采购活动以及数据处理活动的安全性、合法性、风险性作出承诺����,有效预防和化解国家安全风险����,同时要接受社会的监督�����。
《网络安全审查办法》要求����,关键信息基础设施运营者申报网络安全审查的采购活动时����,应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查����,并承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备����,无正当理由不中断产品供应或者必要的技术支持服务等�����。与此同时����,关键信息基础设施运营者还应当督促产品和服务提供者履行在网络安全审查中作出的上述承诺�����。
三、网络安全审查的重点对象
国家网络安全审查����,主要针对关键信息基础设施运营者采购网络产品和服务����,以及网络平台运营者开展数据处理活动����,影响或者可能影响国家安全的风险因素�����。根据《网络安全审查办法》第十条的规定����,网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险���;(二)产品和服务供应中断对关键信息基础设施业务连续性的危害���;(三)产品和服务的安全性、开放性、透明性、来源的多样性����,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险���;(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况���;(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险���;(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险����,以及网络信息安全风险���;(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素�����。
从上述影响或者可能影响国家安全风险因素和审查权重上看����,《网络安全审查办法》第十条(一)至(四)主要强调与关键信息基础设施相关网络产品和服务引发的国家安全风险因素�����。需要指出的是����,并不是关键信息基础设施运营者采购的所有网络产品和服务均需要进行国家网络安全审查����,《网络安全审查办法》所指的“网络产品和服务”主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务����,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务�����。
《网络安全审查办法》第十条(五)(六)主要是针对核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险����,以及上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险等�����。目前����,我国数据立法将数据分为一般数据、重要数据、核心数据����,这个数据分类的方法主要是基于数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度�����。
2021年11月����,国家网信办公布的《网络数据安全管理条例(征求意见稿)》明确提出����,国家对个人信息和重要数据进行重点���;����,对核心数据实行严格���;�����。“核心数据“����,主要指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据���;”重要数据“����,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用����,可能危害国家安全、公共利益的数据�����。
“重要数据”主要包括以下七类数据:一是未公开的政务数据、工作秘密、情报数据和执法司法数据���;二是出口管制数据����,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据����,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据���;三是国家法律、行政法规、部门规章明确规定需要���;せ蛘呖刂拼サ墓揖迷诵惺荨⒅匾幸狄滴袷荨⑼臣剖莸���;四是工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据����,关键系统组件、设备供应链数据���;五是达到国家有关部门规定的规���;蛘呔鹊幕颉⒌乩怼⒖蟛⑵蟮热丝谟虢】怠⒆匀蛔试从牖肪彻一∈���;六是国家基础设施、关键信息基础设施建设运行及其安全数据����,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据���;七是其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据�����。上述七类重要数据不包括国家秘密和个人信息����,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据�����。
如何识别重要数据���?国家市场监督管理总局和国家标准化委员会发布的《重要数据识别指南》(征求意见稿)确立了六项应遵循的基本原则:
一是聚焦安全影响:从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据����,只对组织自身而言重要或敏感的数据不属于重要数据����,如企业的内部管理相关数据���;
二是突出���;ぶ氐悖和ü允莘旨����,明确安全���;ぶ氐����,使一般数据充分流动����,重要数据在满足安全���;ひ笄疤嵯掠行蛄鞫����,释放数据价值���;
三是衔接既有规定:充分考虑地方已有管理要求和行业特色����,与地方、部门已经制定实施的有关数据管理政策和标准规范紧密衔接���;
四是综合考虑风险:根据数据用途、面临威胁等不同因素����,综合考虑数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险����,从保密性、完整性、可用性、真实性、准确性等多个角度识别数据的重要性���;
五是定量定性结合:以定量与定性相结合的方式识别重要数据����,并根据具体数据类型、特性不同采取定量或定性方法���;
六是动态识别复评:随着数据用途、共享方式、重要性等发生变化����,动态识别重要数据����,并定期复查重要数据识别结果�����。
四、网络平台运营者赴国外上市须申报网络安全审查
网络平台����,特别是大型网络平台的运营者拥有和处理着大量的重要数据、核心数据和海量的个人信息����,其赴国外上市对国家安全具有重大影响和风险�����。为此����,《网络安全审查办法》强化了对网络平台运营者赴国外上市可能带来国家安全风险����,对掌握超过100万用户个人信息的网络平台运营者赴国外上市����,施行强制性网络安全审查�����。
《网络安全审查办法》第十条在原《审查办法》第九条网络安全审查重点评估的五大国家安全风险因素的基础上新增了两项重要因素:一是核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险���;二是上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险����,以及网络信息安全风险�����。同时����,新增加一条并列为《网络安全审查办法》第七条����,即“掌握超过100万用户个人信息的网络平台运营者赴国外上市����,必须向网络安全审查办公室申报网络安全审查�����。“这是一条强制性规定����,也是一条不可逾越的红线����,任何网络平台运营者都必须严格遵守�����。
被列入《2021年中国网络与数字法治领域十大事件》之一的“网络安全审查办公室对‘滴滴出行’启动网络安全审查”����,就是一起典型的网络平台运营者赴国外上市启动国家网络安全审查的事件�����。2021年6月30日����,“滴滴出行”采用VIE架构(Variable Interest Entity)����,即“可变利益实体”在美上市�����。这是境内主体为实现在境外上市采取的一种特别方式����,其本质是境外上市实体与境内运营实体相分离����,境外上市实体在境内设立全资子公司����,该全资子公司并不实际开展主营业务����,而是通过协议的方式控制境内运营实体的业务和财务����,使该运营实体成为上市实体的可变利益实体����,VIE架构最关键的问题是“控制”境内运营实体的业务�����。从“滴滴出行”于2021年6月11日向美国证券交易委员会递交的IPO招股书可以看到:“滴滴出行”的业务涵盖15个国家、4000个城市����,年活跃用户在4.93亿����,司机则有一千五百万����,4.9亿年活跃用户�����。
2021年7月2日����,网络安全审查办公室发出公告����,宣布对滴滴出行启动网络安全审查�����。公告称����,为防范国家数据安全风险����,维护国家安全����,保障公共利益����,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》����,网络安全审查办公室按照《网络安全审查办法》����,对“滴滴出行”实施网络安全审查�����。为配合网络安全审查工作����,防范风险扩大����,审查期间“滴滴出行”停止新用户注册�����。这是自《网络安全审查办法》2020年6月1日出台以来����,我国公开实施网络安全审查的第一案�����。
2021年7月9日����,国家网信办发布通告称:根据举报����,经检测核实����,“滴滴企业版”等25款App存在严重违法违规收集使用个人信息问题�����。国家网信办依据《中华人民共和国网络安全法》相关规定����,通知应用商店下架上述25款App����,要求相关运营者严格按照法律要求����,参照国家有关标准����,认真整改存在的问题����,切实保障广大用户个人信息安全�����。各网站、平台不得为“滴滴出行”和“滴滴企业版”等上述25款已在应用商店下架的App提供访问和下载服务�����。从以上公告看����,“滴滴企业版”等25款App下架的直接原因����,是因为滴滴平台严重违法违规收集使用个人信息�����。7月16日����,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司����,开展网络安全审查�����。
根据国家网信办等五部委发布的《汽车数据安全管理若干规定(试行)》的规定����,涉及汽车的重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用����,可能危害国家安全、公共利益或者个人、组织合法权益的数据����,重要以下五类数据:一是军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据���;二是车辆流量、物流等反映经济运行情况的数据���;三是汽车充电网的运行数据���;四是包含人脸信息、车牌信息等的车外视频、图像数据���;五是涉及个人信息主体超过10万人的个人信息���;六是国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据�����。
通过对被下架的滴滴25款App分析不难看出����,滴滴出行的业务在交通领域几乎是无所不包����,这25款App包括:滴滴企业版、滴滴打车、滴滴车主、滴滴顺风车、滴滴代驾、滴滴司机、滴滴货运、滴滴配送、滴滴护航、滴滴商户、滴滴助手、滴滴小巴、滴滴公交、加油收银台商户、滴滴金融����,还有记录仪等等�����。以上App不仅采集和处理了大量的地理数据、人员流量、车辆流量等����,同时平台控制了海量的个人信息����,尤其是涉及大量汽车的重要数据����,包括车外数据、坐舱数据、位置轨迹数据、运行数据等����,车外数据主要是通过摄像头、雷达等传感器从汽车外部环境采集的道路、建筑、地形、交通参与者等数据����,以及对其进行加工后产生的数据����,而且车外数据可能还包含人脸、车牌等个人信息以及车辆流量、物流等法律法规标准所规定的重要数据���;座舱数据涉及到通过摄像头、红外传感器、指纹传感器、麦克风等传感器从汽车座舱采集的数据����,以及对其进行加工后产生的数据����,特别是座舱数据可能包含驾驶员和乘员的人脸、声纹、指纹等敏感个人信息���;位置轨迹数据涉及到基于卫星定位、通信网络等各种方式获取的汽车定位和途经路径相关的数据等�����。
2021年3月����,美国美国证券交易委员会(SEC)通过了实施《控股外国公司问责法》(Holding ForeignCompanies Accountable Act����,简称HFCAA)的临时最终规则�����。12月����,SEC发布修正案����,最终确定了《外国公司问责法案》的实施规则����,为HFCAA的实施建立了框架�����。根据HFCAA的规定����,在美上市的外国公司向SEC提交文件����,证明该公司不受外国政府拥有或掌控����,并要求这些企业遵守美国上市公司会计师监督委员会(PCAOB)的审计标准����,修正案还要求外国发行人在其年度报告中为自己及其任何合并的外国经营实体提供某些额外的披露�����。[显然����,滴滴在美上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险�����。
依据HFCAA规定����,如果外国上市公司连续三年未能提交美国上市公司会计监督委员会所要求的报告����,允许SEC将其从交易所摘牌�����。事实上����,滴滴在此前披露的招股书中已经提到了退市的风险�����。招股书称����,根据美国证券交易委员会(SEC)的《外国公司问责法》(HFCAA)����,滴滴可能因为无法通过美国上市公司会计师监督委员会(PCAOB)的审计标准����,而导致退市�����。[6] 2021年12月3日����,滴滴全球有限公司(NYSE:DIDI.N)发布公告称:“经认真研究����,公司即日起启动在纽交所退市的工作����,并启动在香港上市的准备工作�����。”[8]
五、赴港上市是否需要申报网络安全审查
《网络安全审查办法》(以下称《审查办法》)第七条规定:“掌握超过100万用户个人信息的网络平台运营者赴国外上市����,必须向网络安全审查办公室申报网络安全审查�����。” 该条的申报主体主要是针对“网络平台运营者”赴国外上市����,至于赴香港上市的“网络平台运营者”是否需要申报网络安全审查����,《审查办法》没有作出规定�����。显然����,《审查办法》第七条的适用范围不包括赴香港上市����,但是这并不意味着网络平台运营者或数据处理者赴香港上市不需要申报网络安全审查�����。
2021年11月14日����,国家网信办公布《网络数据安全管理条例(征求意见稿)》(以下称《网络数据安全管理条例》)����,依据《网络数据安全管理条例》第十三条规定����,数据处理者开展以下活动����,应当按照国家有关规定����,申报网络安全审查:(一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立����,影响或者可能影响国家安全的���;(二)处理一百万人以上个人信息的数据处理者赴国外上市的���;(三)数据处理者赴香港上市����,影响或者可能影响国家安全的���;(四)其他影响或者可能影响国家安全的数据处理活动�����。
《网络数据安全管理条例》属于国务院条例����,其实施后的法律阶位高于《审查办法》���;如果正式实施后的《网络数据安全管理条例》第十三条(二)和(三)将数据处理者赴国外上市和赴香港上市分开表述����,其内涵在于香港是中华人民共和国香港特别行政区����,属于中国主权范围����,基本不存在《网络安全审查办法》第十条(六)关于“上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险”等因素�����。因此����,《网络安全审查办法》对国内网络平台运营者或数据处理者赴香港上市是否需要申报网络安全审查没有作出要求�����。
2021年12月����,中国证监会发布《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》(以下称《境外上市管理规定》)����,《境外上市管理规定》总体上支持依法合规的境内企业利用境外资本市场融资发展����,不额外设置门槛和条件����,但明确对四类情形实施严格的监管红线����,不得赴境外上市:一是法律法规明确禁止上市融资���;二是危害国家安全���;三是存在重大权属纠纷���;四是存在违法犯罪行为�����。
在以上的规定中分别出现了“国外”和“境外”的表述����,《网络安全审查办法》明确提出是“国外”上市���;《网络数据安全管理条例》将“国外”和“香港”上市分开表述���;《境外上市管理规定》则规定了“境内企业境外发行上市”�����。这里需要明确����,《网络安全审查办法》和《网络数据安全管理条例》中的“国外”与《境外上市管理规定》中“境外”有何区别���;“国外”比较好理解����,指中国以外的其他国家����,但是“国外”与“境外”的法律语境相同吗���?根据2013年7月1日起施行的《中华人民共和国出境入境管理法》(以下简称《出境入境管理法》)第八十九条第一款的规定:“出境����,是指由中国内地前往其他国家或者地区����,由中国内地前往香港特别行政区、澳门特别行政区����,由中国大陆前往台湾地区�����。”可见����,《出境入境管理法》对“出境”(境外)的定义有三层含义����,一是指由中国内地前往其他国家或者地区���;二是由中国内地前往香港特别行政区、澳门特别行政区����,这里的香港和澳门属于中国的特别行政区����,特别行政区内实行“一国两制”����,相对于“香港和澳门”����,中国称之为“中国内地”���;三是中国大陆前往台湾地区����,台湾地区属于中国领土的区域����,但中国尚未对其实施行政管辖����,相对于“台湾”地区����,中国称之为“中国大陆”�����。由此����,《境外上市管理规定》中的“境外”应当包括国外和我国香港地区�����。
《境外上市管理规定》第八条规定:“境内企业境外发行上市的����,应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定����,切实履行国家安全���;ひ逦�����。涉及安全审查的����,应当依法履行相关安全审查程序�����。“《境外上市管理规定》第十六条对境内企业境外上市涉及损害国家安全以及向境外提供个人信息和重要数据的����,提出了严格的监管要求����,即“境内企业境外发行上市的����,应当严格遵守国家法律法规和有关规定����,建立健全保密制度����,采取必要措施落实保密责任����,不得泄露国家秘密����,不得损害国家安全和公共利益�����。境内企业境外发行上市涉及向境外提供个人信息和重要数据的����,应当符合国家法律法规和有关规定�����。”
由此可以看出����,国内网络平台运营者或数据处理者无论是赴国外上市还是赴香港上市����,只要其开展数据处理活动����,就应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定�����。但是从《网络数据安全管理条例》第十三条(二)和(三)的表述上可以看出����,数据处理者赴国外上市和赴香港上市����,实施网络安全审查的条件有所不同����,前者(二)数据处理者赴国外上市����,只要处理一百万人以上个人信息����,必须申报网络安全审查���;后者(三)则要求����,数据处理者赴香港上市����,影响或者可能影响国家安全的����,应当申报网络安全审查��������;谎灾����,数据处理者赴香港上市是否需要申报网络安全审查����,关键要看是否会影响或者可能影响国家安全����,如果存在影响或者可能影响国家安全的情形����,就应当申报网络安全审查����,否则����,就无需申报网络安全审查�����。然而����,根据《境外上市管理规定》的要求����,涉及安全审查的����,应当依法履行相关安全审查程序�����。笔者认为����,网络平台运营者或数据处理者����,只要涉及数据处理����,尤其是处理个人信息超过一百万人以上����,赴香港上市最好主动申报网络安全审查����,是否影响或可能影响国家安全����,由网络安全审查办公室研判�����。
六、申报网络安全审查的材料与流程
当事人申报网络安全审查����,应当提交以下三类材料����,一是申报书����,申报的主体包括关键信息基础设施的运营者和网络平台运营者����,前者主要申报采购网络产品和服务����,后者主要是开展数据处理活动����,大多情况下的当事人既是关键信息基础设施的运营者����,也是网络平台运营者���;二是关于影响或者可能影响国家安全的分析报告����,应重点围绕《网络安全审查办法》第十条的重点评估对象或者情形对影响或可能影响的国家安全风险因素进行分析���;三是提交采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件����,关键信息基础设施运营者除了应当提交采购文件、协议以及拟签订的合同����,还应当要求产品和服务提供者配合网络安全审查����,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备����,无正当理由不中断产品供应或者必要的技术支持服务等���;首次公开募股(IPO)的当事人应当提交上市申请文件����,包括公司章程、发起人协议、发起人姓名或者名称����,发起人认购的股份数、出资种类及验资证明、招股说明书、代收股款银行的名称及地址、承销机构名称及有关的协议�����。除上述材料����,网络安全审查办公室在网络安全审查过程中需要其他材料的����,当事人也应当及时提交�����。
《网络安全审查办法》规定了严格的网络安全审查程序和审查期限����,申报网络安全审查����,网络安全审查办公室应当履行以下审核程序:
(一)网络安全审查办公室收到数据处理者的申报网络安全审查材料����,在10个工作日内����,确定是否需要审查����,并书面通知当事人�����。处理的结果有两个����,一是启动审查���;二是无需审查���;
(二)网络安全审查办公室认为需要启动网络安全审查的����,应当向当事人发出书面通知����,自通知发出之日起30个工作日内完成初步审查����,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见����,如果情况复杂的����,可以延长15个工作日���;
(三)网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见����,如果网络安全审查工作机制成员单位、相关部门意见一致的����,网络安全审查办公室以书面形式将审查结论通知当事人����,如果审查结论不影响国家安全的����,赴国外上市的可以继续上市程序����,如果审查结论认为影响国家安全的����,则不允许赴国外(境外)上市���;
(四)如果网络安全审查工作机制成员单位、相关部门意见不一致����,将按照特别审查程序处理����,并通知当事人���;按照特别审查程序处理的����,网络安全审查办公室应当听取相关单位和部门意见����,进行深入分析评估����,再次形成审查结论建议����,并征求网络安全审查工作机制成员单位和相关部门意见����,按程序报中央网络安全和信息化委员会批准后����,形成审查结论并书面通知当事人�����。启动特别审查程序的����,一般应当在90个工作日内完成����,情况复杂的可以适当延长�����。
《网络安全审查办法》要求����,凡参与网络安全审查的相关机构和人员应当严格���;ぶ恫����,对在审查工作中知悉的商业秘密、个人信息����,当事人、产品和服务提供者提交的未公开材料����,以及其他未公开信息承担保密义务���;未经信息提供方同意����,不得向无关方披露或者用于审查以外的目的�����。如果当事人或者网络产品和服务提供者认为审查人员有失客观公正����,或者未能对审查工作中知悉的信息承担保密义务的����,可以向网络安全审查办公室或者有关部门举报�����。
公安备案号:44030502000376