激活网络安全审查制度筑牢数据安全防火墙—— 《网络安全审查办法（修订草案征求意见稿）》评析

原创陈际红蔡鹏李瑞等中伦视界 2022-07-31

作者：

陈际红蔡鹏李瑞贾申

吴佳蔚王梦迪骆天李梦涵

7月10日，国家互联网信息办公室发布《网络安全审查办法（修订草案征求意见稿）》（以下简称“《审查办法（征求意见稿）》”），并公开征求意见，启动对运营了四年时间的网络安全审查制度的又一次修订。此次修订，一方面是对是近期境内公司国外上市引发数据安全担忧的直接回应，另一方面，也将《中华人民共和国数据安全法》（以下简称“《数据安全法》”）所确立的数据安全审查制度纳入到业已建立的网络安全审查制度的范围，实现数据安全审查制度的尽快落地实施。

相较于现行《网络安全审查办法》，《审查办法（征求意见稿）》增加《数据安全法》为立法依据，同时对数据处理活动、国外上市行为的网络安全审查作出更加严格的监管。

点击可查看大图

我们理解，网络安全审查办公室最近的一系列网络安全审查行动及《网络安全审查办法》的修订，在有效地激活网络安全审查制度的同时，必将重塑这项重要的国家安全审查制度。我们将从立法依据和目的的调整、监管机构的变更、触发条件、审查程序和要点的变更等重点变化分析此次修订对企业的影响，并提出合规应对的建议。

一

覆盖数据安全审查，增加《数据安全法》为立法依据

《数据安全法》于今年6月10日颁布，并将于9月10日实施。《数据安全法》呼应《国家安全法》关于建立国家安全审查制度的规定，建立了数据领域的国家安全审查制度[1]，对影响或者可能影响国家安全的数据处理活动进行国家安全审查，但《数据安全法》未对数据安全审查制度所覆盖的审查范围及实施程序予以进一步明确。考虑到《数据安全法》将于9月1日正式实施，数据安全审查相关配套法规的制定成为社会关注的焦点，而《审查办法（征求意见稿）》则犹如一场及时雨。

首先，本次《审查办法（征求意见稿）》增加《数据安全法》为立法依据，为监管数据处理活动提供了直接的法律依据；其次，《审查办法（征求意见稿）》扩大了网络安全审查的适用，将数据处理活动纳入到网络安全审查的范围。现行《网络安全审查办法》规定的应当开展网络安全审查的行为是关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的行为，而《审查办法（征求意见稿）》增加了数据处理者开展数据处理活动，影响或者可能影响国家安全的行为；第三，将网络安全审查的义务主体涵盖到数据处理者，大大拓宽了网络安全审查的义务主体。现行《网络安全审查办法》以关键信息基础设施运营者（Critical Information Infrastructure Operator，“CIIO”）为监管抓手，以CIIO采购网络产品和服务为切入点，通过网络安全审查维护关键信息基础设施（Critical Information Infrastructure，“CII”）的供应链安排。《审查办法（征求意见稿）》则要求数据处理者开展数据处理活动，影响或可能影响国家安全的，亦应当进行网络安全审查。

我们理解，现行《网络安全审查办法》除了十五条规定的依职权启动网络安全审查外，以运营者构成CIIO为适用前提，因此适用范围有限。而由于数据处理包括了数据的收集、存储、使用、加工、传输、提供、公开等数据生命周期内的全部活动[2]，数据处理者也是一个非常广泛的概念，既包括CIIO也包括非CIIO企业。如果说现行网络安全审查制度只与少数企业有关的话，《审查办法（征求意见稿）》适用的范围更加普遍。

二

外国上市严监管，证监会被纳入网络安全审查工作机制

现行《网络安全审查办法》规定，由中央网络安全和信息化委员会统一领导网络安全审查工作，包括国家互联网信息办公室在内的12个国务院组成部门和直属机构共同建立网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室，负责制定规范，组织审查，具体工作委托中国网络安全审查技术与认证中心承担。

《审查办法（征求意见稿）》第四条将中国证券监督管理委员会（以下简称“证监会”）纳入国家网络安全审查工作机制成员单位，此调整反映出国家对企业国外上市行为所带来的数据安全问题的高度关注。

2021年7月6日，中共中央办公厅、国务院办公厅印发《关于依法从严打击证券违法活动的意见》（以下简称“《意见》”）。《意见》明确进一步加强跨境监管执法司法协作，完善数据安全、跨境数据流动、涉密信息管理等相关法律法规，压实境外上市公司信息安全主体责任，加强跨境信息提供机制与流程的规范管理。《意见》体现了国家对证券违法行为的从严打击的意志，加强跨境数据提供的安全管理与规范。《审查办法（征求意见稿）》中增加中国证券监督管理委员会作为网络安全审查工作机制成员单位，体现了联动、协同管理的监管思路。

国外上市对维护国家数据安全保护提出了更大的挑战：国外上市意味着上市公司需要进行持续性的信息披露，这可能涉及数据的跨境传输和披露。同时，国外上市，有可能受制于“长臂管辖权”。“长臂管辖”的基本法理依据是“最低限度联系理论”和所谓“效果原则”，在国外上市会明显地建立上市企业和该国法律管辖连接点。企业一旦涉及国外司法或行政案件，企业也会面临证据开示或证据配合提供的义务。

三

上市申报门槛：百万个人信息

《审查办法（征求意见稿）》第六条是本次修订中的新增条款，明确掌握超过100万用户个人信息的数据处理者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

首先，该条款中使用了“掌握”这一概念，不同于《个人信息安全规范》中的“控制”[3]，也非《个人信息保护法（草案）》以及《数据安全法》中的“处理”[4]，我们认为该条适用对象包括直接向个人用户提供服务而处理个人信息的企业（通常为个人信息控制者）。但是，包括云服务运营商在内的受托处理数据的企业，是否会因为不构成“掌握”从而被排除在外，其内涵有待后续修订予以明确。

其次，关于“100万用户个人信息”的触发门槛。对于数据处理者而言，能够发展到上市阶段，通常拥有大体量的用户以及相应的用户个人信息，非常容易触发该门槛。就敏感度而言，一是由于数据量较大，二是业务活动中可能会涉及个人敏感信息甚至重要数据，由此监管机构对于其赴国外上市行为提出主动申报的要求。与此同时，用户数量的认定标准，境外用户数量是否应当纳入计算等，同样有待进一步明晰。

最后，关于“上市”一词的理解，我们认为，此次《审查办法（征求意见稿）》的立法目的是为加强对数据安全风险的控制，因此，此处不应对“上市”作过于狭义的理解，应当理解为包括境内公司在国外的IPO、SPAC、RTO，还可能包括已上市公司的股票增发以及发债等一系列融资行为。该等行为涉及的境外监管机构要求的信息披露以及相关数据出境行为有可能引发国家安全风险。

已在国外上市并掌握大量用户个人信息的企业是否需要网络安全审查？

《审查办法（征求意见稿）》规定相关企业赴国外上市应主动申报网络安全审查，同时强调评估对象包括“国外上市可能带来的国家安全风险”，但并未明确这一修订生效时已在国外上市的中概股公司是否应当申报审查。这可能导致如下问题：一方面，已在国外上市并掌握大量用户个人信息的企业如进行股票增发或发行债券等活动，是否属于应主动申报网络安全审查的范畴，尚未明确；另一方面，根据《审查办法（征求意见稿）》规定，包括证监会在内的网安审查工作机制的成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为，报请批准后均可按规定开展网络安全审查。因而相关监管部门可依职权对已上市并掌握大量用户个人信息、日常开展数据处理活动的中概股公司开展网络安全审查。

此外，相较于《证券法》以及国务院的有关规定，此条款并未使用“境外”这一概念，而是使用了“国外”一词。我们理解，这一特殊安排的用意旨在将赴香港上市排除在本条所规定的网络安全审查的范围[5]，但赴港上市是否需要申请网络安全审查，还需主管部门进一步明确。

“赴港上市”是否也需要申请网络安全审查？

《审查办法（征求意见稿）》将企业“赴国外上市”活动纳入网络安全审查的范围，但没有使用《证券法》及相关法律法规中常见的“境外”/“境内”的概念。香港上市是否属于应当被纳入网络安全审查，是一个容易引起讨论的问题。

一方面，笔者理解，香港上市应属于境外上市而非国外上市，从文义解释的角度，企业赴香港上市并不在必须主动申报网络安全审查范围之内。另一方面，从涉及跨境数据传输问题的角度来看，《网络安全法》规定了跨境传输重要数据和个人信息应依法进行安全评估，同时，上述规定也强调了评估国家安全风险的重点考虑因素包括“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”，而香港上市必然涉及到数据的跨境传输问题，也属于可能影响国家安全的“数据处理活动”，有可能因此而落入监管机构依职权发起网络安全审查的范畴。在修订草案征求意见稿的后续修订中，这一问题仍有待相关主管部门和监管机构进一步明确。

四

触发网络安全审查情形增多，审查程序更新

在现行《网络安全审查办法》的框架下，触发网络安全审查机制的情形如下：

CIIO采购。CIIO采购网络产品和服务，应当预判国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。由网络安全审查办公室确定是否需要审查。
网络安全审查办公室依职权启动。网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

《审查办法（征求意见稿）》则增加了如下的触发情形：

国外上市。掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。
数据处理活动。数据处理者开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。

当然，网络安全审查办公室依职权启动也包括了对数据处理活动及外国上市行为的审查。

相应地，《审查办法（征求意见稿）》根据新的条款规定更新了审查程序，如下图。其中，特别审查程序的时间由45天延长至3个月。因此，一般情形下的网络安全审查在60个工作日（45日+15日）内完成，而如果进入特别审查程序，则审查周期可能为5个月（45日+15日+3个月）甚至更长。此外，网络安全审查办公室要求提交补充材料的时间不计入审查时间。

启动特别审查程序的前提是网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见不一致。而网络安全审查工作机制成员单位是分属于不同行业的相关监管机构，从不同行业角度考量存在难以形成一致意见的可能性。延长特别审查程序的时间更利于各单位充分论证、考量，对涉及国家安全的事项谨慎作出决定。

点击可查看大图

五

核心数据、重要数据和国外上市成为重要评估因素

《审查办法（征求意见稿）》新增数据处理及国外上市行为可能带来的国家安全风险的考量因素，主要是核心数据、重要数据或者大量个人信息被窃取、泄露、毁损、非法利用或出境的风险，以及国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。第一类是普遍可能存在的安全风险，而第二类是国外政府的控制或恶意利用的风险。

近年来，中国企业在海外频频遭受制裁，2020年8月，美国总统特朗普签署行政令，试图禁止任何美国个人或实体与抖音海外版(TikTok)、微信（WeChat）及其中国母公司进行任何交易。虽然此禁令由于司法审查的介入和总统选举等因素没有得以实施，但确实为公司的正常运营带来了非常大的不确定性。2021年6月10日，全国人大通过《中华人民共和国反外国制裁法》，自公布之日起施行。外国国家违反国际法和国际关系基本准则，以各种借口或者依据其本国法律对我国进行遏制、打压，对我国公民、组织采取歧视性限制措施，干涉我国内政的，我国有权采取相应反制措施。

在当前国际局势下，国家安全面临多方面的非传统风险，随着数据资产价值的提升，资本市场发展、数据自由流动与国家安全和公共利益之间的考量，会成为政策制定者考虑的重要问题。

六

新增“重要通信产品”到网络产品和服务

对于网络产品和服务的范围，《审查办法（征求意见稿）》第二十一条中新增了“重要通信产品”。通信产品包括无线通信产品和有限通信产品，诸如路由器、交换机等产品。通信产品对于数据处理活动的安全性、完整性和可用性有着重要意义，加入此类产品意味着监管部门在信息传输的信道层面加强监管，从各个维度对于可能影响国家安全的网络产品和服务进行审查。

七

影响与应对策略

网络安全审查办公室一系列网络安全审查行动，有效地激活了网络安全审查制度。《审查办法（征求意见稿）》将数据处理活动和国外上市纳入到网络安全审查制度，扎牢篱笆，防范新型国家安全风险。相信伴随着《数据安全法》九月一日的生效，数据安全审查会越来越频繁，对于防范新型国家安全风险具有重要意义。

对于企业而言，数据合规势在必行，面对严格的监管趋势，我们对于计划或者即将赴国外上市的科技公司，网络服务和产品提供者，涉及数据处理的运营者提出以下建议：

结合自身业务进行数据识别、梳理和盘点工作，对于数据资产的情况进行充分了解，对于可能涉及重要数据、国家核心数据、处理用户数量到达百万级别以上的产品和业务线进行重点关注，及时开展合规自查和整改工作。
建立内部的数据分类分级制度并实行对应的保护措施，密切关注核心数据和重要数据的认定标准和指南。在相关识别指引出台前，建议依据定义做初步识别，如有必要进行监管沟通，积极管理风险。
持续关注CIIO的认定标准，评估自身适用的义务项。如构成CIIO的情况下，应当建立和完善自身的招采评估制度以及网络安全审查预判制度，初步判断是否会影响国家安全，并配合后续的审查。
审慎选择上市地点，全面评估数据风险和监管风险。在确定国外上市的情况下，充分考虑网络安全审查的可能性，与监管机构保持沟通，配合国外监管机构的信息披露要求时严格遵守国内法律法规要求。如果必要，事先获得国内主管部门的批准，履行相应评估程序。
企业运营过程中持续保持数据处理的合规性，完善企业内部的个人信息保护制度及数据安全制度，建立数据安全影响评估制度，根据法律要求和行业良好实践及时审视自身的合规状况，落实合规义务。

[注]

[1] 《数据安全法》第二十四条：国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。

[2]《个人信息保护法（草案）》二审稿第四条明确指出：“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”。

《数据安全法》第三条规定，“数据处理，是指数据的收集、存储、加工、使用、提供、交易、公开等行为”。

[3]《个人信息安全规范》3.4：个人信息控制者有能力决定个人信息处理目的、方式等的组织或个人。

[4] 《数据安全法》第三条：数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

[5] 《中华人民共和国出境入境管理法》第八十九条：出境，是指由中国内地前往其他国家或者地区，由中国内地前往香港特别行政区、澳门特别行政区，由中国大陆前往台湾地区。

The End

作者简介

陈际红律师

北京办公室合伙人

业务领域：知识产权权利保护, 网络安全和数据保护, 反垄断和竞争法