《网络安全审查办法（修订草案征求意见稿）》修订要点与影响分析

扩大网络安全审查的适用范围

 (一) 审查范围扩大至包括数据处理者

根据《网络安全法》和《审查办法》，网络安全审查制度审查的重点对象是关键信息基础设施运营者（CIIO）采购网络产品和服务（《审查办法》第二条），但相关监管部门可以依职权将其认为有可能影响国家安全的网络产品和服务纳入审查（《审查办法》第十五条）。

在《审查办法》基础上，《征求意见稿》第二条规定扩大了适用网络安全审查的范围，明确将数据处理者（“运营者”）开展数据处理活动，影响或可能影响国家安全的，纳入了网络安全审查范围。

《征求意见稿》第二条规定：

• 关键信息基础设施运营者采购网络产品和服务，以及

• 数据处理者开展数据处理活动，影响或可能影响国家安全的，应当进行网络安全审查。

后者可涵盖的对象可能远远大于前者。根据《数据安全法》的规定，所谓数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。

(二)  审查要点和标准从网络安全扩展至数据安全

《审查办法》主要针对CIIO采购特定网络产品和服务相关的供应链安全风险，而《征求意见稿》明确将《数据安全法》补充为立法依据，且将审查范围扩展至CIIO、数据处理者数据处理活动以及赴国外上市相关的国家安全风险，特别是“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。

“核心数据”和“重要数据”均系近期出台并将于9月1日正式实施的《数据安全法》提出的重要概念，目前均未界定其具体范畴。

(三)  明确掌握100万用户个人信息的运营者赴国外上市的强制网络安全审查申报义务

《征求意见稿》第六条规定：“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”。

 这意味着，即使不属于非关键信息基础设施运营者的企业，如果处理个人信息达到规定的数量要求，其在赴国外上市前亦必须申报网络安全审查。

国家标准GB/T 35273 - 2020《信息安全技术个人信息安全规范》中规定企业“处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息”应当设立专职的个人信息保护负责人和个人信息保护工作机构，《征求意见稿》似乎参考了此项个人信息数据标准。

此外，《征求意见稿》中使用的是“掌握”而非《数据安全法》、《个人信息保护法（草案）》（第二次审议稿）中的“处理”概念，可解释范围更广。

根据第六条的规定，仅“赴国外上市”的行为触发强制的网络安全审查。从文义解释的角度看，由于香港和澳门特别行政区不属于“国外”的范围，拟赴香港上市的企业应不会受到本条的限制。

增加证监会作为网络安全审查的成员单位

为应对新增的审查范围，《征求意见稿》明确将证监会纳入中央网络安全和信息化委员会领导网络安全审查工作机制的范畴，与此前的网信办等十二部委联合开展审查。

就在数日前，中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》（“《意见》”），明确提出“完善数据安全、跨境数据流动、涉密信息管理等相关法律法规”，“压实境外上市公司信息安全主体责任”，“加强跨境信息提供机制与流程的规范管理”的工作要求。

《征求意见稿》将证监会纳为工作机制成员单位，有助于证监会在贯彻落实《意见》的过程中发现影响或可能影响国家安全的国外上市行为，并根据《征求意见稿》第十六条的规定，依职权主动申请发起网络安全审查。

全球主要国家上市的信息披露和合规要求各有不同，但都有通过行政执法、投资者发起证券民事诉讼，甚至刑事追责等手段，强制上市企业必须强调真实、完整、准确披露拟上市公司的信息。

高科技企业掌握的科技数据、用户数据，业务涉及的敏感数据，关系到所在国家的网络数据安全甚至是国家安全。对企业来说，如何平衡好上市信息披露等法律合规和监管要求与业务属地的业务合规与监管要求，是企业面临的重要课题。

新增审查要点

《《征求意见稿》第十条进一步增加了网络安全审查中考虑的国家安全风险因素，即“（五）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”，以及“（六）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。

《征求意见稿》第十条规定了网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险，主要考虑以下因素（注：新增的考虑因素已经突出提示）：

• 产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险；

• 产品和服务供应中断对关键信息基础设施业务连续性的危害；

• 产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

• 产品和服务提供者遵守中国法律、行政法规、部门规章情况；

• 核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；

• 国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险；

• 其他可能危害关键信息基础设施安全和国家数据安全的因素。

特别审查程序期限延长

总体而言，《征求意见稿》的审查流程总体沿用了现行《审查办法》确定的审查材料和审查流程，只是将在出现网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见不一致情况下，需征求有关部门意见并报中央网络安全和信息化委员会批准的特别审查流程期限由45个工作日延长至3个月，且情况复杂的仍可以延长。

无论是主动申报的审查，还是面临网络安全审查办公室依职权发起的审查，有关企业均应将3个月的期限考虑在内，以免实质性地影响商业计划的进程。

明确“重要通信产品”属于“网络产品和服务”

《征求意见稿》在“网络产品和服务”中新增了“重要通信产品”，但仍然没有对网络产品和服务的具体范围给出进一步的说明。

目前，网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

由于网络安全审查工作办公室有权根据《征求意见稿》第十六条，直接对“影响或可能影响国家安全的”网络产品和服务，以及数据处理活动和国外上市行为启动审查，如某项网络产品和服务在行业属性上具备敏感性且已经或可能进入关键信息基础设施运营者的供应链体系，或者其数据处理规模较大、处理的数据性质较为敏感，将有可能被认为“影响或可能影响国家安全”而面临审查，同样值得企业关注。

相关建议

若企业相关业务涉及处理个人信息或核心数据、重要数据，特别是掌握了大量个人信息数据的基础互联网服务企业，应当重视网络安全审查的相关规定，应当按照《网络安全法》、《数据安全法》以及未来出台的《个人信息保护法》等相关法律规定做好个人信息保护及数据安全、网络安全工作；同时，组织或委托专业机构对数据处理的合规性，特别是数据处理是否可能影响国家安全，抓紧开展自评估。

附：《网络安全审查办法（修订草案征求意见稿）》修改前后对比