新修订《网络安全审查办法》初步解读

发布时间:2022-03-01

文 | 王小敏律师团队 汇业律师事务所

一、为保障网络安全和数据安全,增加《数据安全法》《关键信息基础设施安全保护条例》为立法依据

2021年9月1日正式实施的《数据安全法》,建立了数据安全审查制度,规定对影响或者可能影响国家安全的数据处理活动进行国家安全审查[1]。《关键信息基础设施安全保护条例》亦对采购网络产品和服务可能影响国家安全的运营者设置了数据安全审查的义务。[2]但《数据安全法》和《关键信息基础设施安全保护条例》仅简单规定需要进行“安全审查”,却未明确与数据安全审查制度相配套的审查机制、数据范围、实施程序等内容。在此前提下,新修订的《网络安全审查办法》有助于相关企业开展网络安全审查制度合规工作的进一步落地。

二、扩大监管范围和对象,将网络平台运营者的数据处理活动纳入监管

新办法之所以将《数据安全法》和《关键信息基础设施安全保护条例》作为立法依据,实际上就是为监管数据处理活动提供直接的法律依据。新办法在原《网络安全审查办法》(以下简称“原办法”)规定的“关键信息基础设施运营者采购网络产品和服务”基础上,将网络平台运营者的数据处理活动也纳入了到网络安全审查的范围。[3]

原办法中除在第15条规定了网络安全审查办公室依职权启动网络安全审查外,其他条款均以关键信息基础设施运营者作为适用的主体,因此原办法的适用范围比较有限。新办法将网络平台运营者的数据处理活动纳入了监管范围,而数据处理又包括数据的收集、存储、使用、加工、传输、提供、公开等内容,[4]由此可见,新办法进一步扩大了网络安全审查的对象和范围,适用场景范围也更加广泛。

需要注意的是,新办法虽然将“网络平台运营者”的数据处理活动纳入监管,但鉴于其并未对“网络平台运营者”进行定义,而对于传统企业(例如食品、药品、汽车等生产企业)等进行的数据处理活动是否属于《网络安全审查办法》审查对象及范围,仍是后续在实践落地过程中需要监管部门进一步明确的问题,即使我们认为应对“网络平台运营者”进行扩大化解释,以满足新办法的立法背景和规制目的。

三、主动申报VS依职权审查

新办法中规定“关键信息基础设施运营者应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。”[5]同时在第七条中规定掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。由此可见,新修订的《网络安全审查办法》在充分尊重关键信息基础设施运营者基于自身运营及使用场景的风险识别及商业目的的基础上,考虑到保障网络安全、数据安全及国家安全,增加要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须主动申报网络安全审查的规定。该等规定旨在尽量避免行政部门无差别、大规模地介入相关企业的日常运营及上市活动。

除特定企业作为申报者主动申报外,新办法亦规定了网络安全审查工作机制成员单位可依职权主动进行网络安全审查义务。主动申报审查与依职权审查两种审查启动机制相结合,一方面体现了我国充分尊重并考虑企业针对其自身经营及使用场景进行的风险识别及商业决策,另一方面又体现了我国进一步保护网络数据安全及国家安全的立法趋势。

四、严管企业赴国外上市,证监会被纳入网络安全审查工作机制成员单位

新办法将中国证券监督管理委员会(以下简称“证监会”)纳入了国家网络安全审查工作机制成员单位,同时明确规定“掌握100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查”。与原办法相比,前述条款的增加明显反映出国家对企业赴国外上市活动可能引发的网络安全问题高度关注。根据新办法,企业赴国外上市申报网络安全审查的结果有三种:一是无需审查;二是启动审查后,经研判不影响国家安全的,可继续赴国外上市程序;三是启动审查后,经研判影响国家安全的,不允许赴国外上市。[6]关于赴国外上市企业网络安全审查申报的时间节点,网信办有关负责人明确企业需在向国外证券监管机构提出上市申请之前提出申报。[7]

新办法虽然明确规定相关企业赴国外上市应主动申报网络安全审查,但对于已在国外上市且掌握了大量用户个人信息的企业是否也要适用新修订的《网络安全审查办法》而主动进行申报审查并未明确,同时,尽管新办法明确规定应主动申报网络安全审查的对象是赴“国外”上市的掌握100万用户个人信息的网络平台运营者,但实践中对于赴港上市的满足特定条件的企业是否应当进行网络安全审查亦值得讨论,不排除监管部门依然会根据举报或依职权启动对相关企业的网络安全审查。另外,抛开网络安全审查制度,前述赴港上市企业仍有可能因数据跨境传输或披露等问题影响国家安全而落入监管范畴。

五、网络安全审查申报材料及流程

新修订的《网络安全审查办法》规定的审查材料和审查流程与原办法相比变化不大,但对于赴国外上市的情况而言,需要将“拟提交的首次公开募股(IPO)” 等上市申请文件提交审查,鉴于赴境外上市所需提交的材料众多,具体需要提交的材料范围及审查重点仍有待在实践中进一步明确。

新办法更新了特别审查程序的一般期限,由45个工作日延长至90个工作日。因此,一般情形下的网络安全审查在60个工作日(45+15)内完成,进入特别审查程序的企业审查周期则为5个月(45+15+90)以上,另外网络安全审查办公室要求提交补充材料的时间不计入审查时间,则整体的审查时间会更为漫长,可能达到半年以上。新修订的网络安全审查流程总体如下图所示:

微信图片_20220301112528.jpg

另外,启动特别审查程序的前提是网络安全审查工作机制成员单位及相关部门之间的意见不一致。而网络安全审查工作机制成员单位及相关部门是分属于不同领域的相关监管机构,从不同领域的角度考量存在难以形成一致意见的可能性,也正是如此,延长特别审查程序的时间势必更利于各单位机关充分考量,对涉及国家安全、公共利益的重大事项谨慎作出决定。

依据网信办有关负责人的《〈网络安全审查办法〉答记者问》,赴国外上市企业的网络安全审查申报材料应向中国网络安全审查技术与认证中心提交,中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查等任务,同时还设立有网络安全审查咨询窗口。

六、当事人在网络安全审查工作中的新增权利与义务

根据新修订的《网络安全审查办法》第16条,网络安全审查办公室可以依职权启动网络安全审查机制,同时增设当事人在审查期间的预防和消减风险的义务。

同时,网络安全审查过程中当事人及相关人员对商业秘密、个人信息、信息提供方提交的未公开材料负有保密义务。相较原办法,增加了对个人信息的保密义务,且明确了当事人及网络产品和服务提供者的举报权利,当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。从企业合规的角度,当事人有按期督促产品和服务提供者履行其作出的网络安全审查承诺内容并进行核验的义务,就其违反承诺等情况及时向网络安全审查办公室举报。

七、网络产品和服务范围新增“重要通信产品”

相比原办法,新《网络安全审查办法》修订了对网络产品和服务的定义,增加了“重要通信产品”以及“对网络安全和数据安全有重要影响的网络产品和服务”的内容。通信产品包括无线通信产品和有线通信产品,鉴于对“重要通信产品”的定义在法条上尚未完全明确,企业实践中应重视重要岗位职员的工作手机、测试机、座机、路由器、交换机、传真、对讲机等“通信产品”的网络安全和数据安全的审查义务。

参考资料

[1]《数据安全法》第24条。

[2]《关键信息基础设施安全保护条例》第19条。

[3]《网络安全审查办法》第2条。

[4]《数据安全法》第3条。

[5]《网络安全审查办法》第5条。

[6]《〈网络安全审查办法〉答记者问》

[7]《〈网络安全审查办法〉答记者问》

返回列表