作者:宁宣凤 吴涵 蒋科 刘阳璐 张子谦 金杜律师事务所合规业务部

一、引言

国家互联网信息办公室于7月10日上午12点发布通知,公开征求《网络安全审查办法(修订草案征求意见稿)》(下称“意见稿”)意见(此前《网络安全审查办法》的解读请见文章:同道而相益 )。考虑到近期国家互联网信息办公室及网络安全审查办公室等监管机构对多家企业采取的监管措施,我们对意见稿部分重点内容进行分析解读,以供大家参考。

二、重点内容解读

本解读主要关注意见稿中的两方重点内容,其一是本次重点新增问题,其二是基础问题。我们将从这两方面进行逐一介绍。

1. 重点新增问题 (文末请见意见稿与现行生效版本之对比表格)

1)意见稿的适用对象?

意见稿适用对象包括关键信息基础设施运营者以及数据处理者。鉴于其中的数据处理者为新增主体,因此我们理解,即使企业不落入或者不确定是否落入关键信息基础设施运营者范围,若开展数据处理行为且达到影响或可能影响国家安全的标准,也有较高概率落入意见稿的监管范围

2)主体适用的情况下,满足什么条件需要申报网络安全审查?

如果企业为关键信息基础设施运营者或者数据处理者,则满足以下条件之一即需要申报或通过网络安全审查:

自行申请

  • 关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的;
  • 掌握超过100万用户个人信息的运营者(关键信息基础设施运营者及数据处理者)赴国外上市的。

主动审查

  • 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为的;
3)拟在港股上市,是否需要申请网络安全审查?是否也要符合数据出境等合规要求?

意见稿中所使用的表述为“国外上市”而非“境外上市”,我们理解,二者之间可能存在部分差别。

根据《中华人民共和国出境入境管理法》第八十九条,出境是指由中国内地前往其他国家或者地区,由中国内地前往香港特别行政区、澳门特别行政区,由中国大陆前往台湾地区;入境是指由其他国家或者地区进入中国内地,由香港特别行政区、澳门特别行政区进入中国内地,由台湾地区进入中国大陆。由此我们理解,“境外”实际上包含港澳台地区。

而对于“国内”、“国外”的区分,我们理解从文义解释,“国内”通常而言应当包含港澳台地区,而“国外”指“中华人民共和国以外的国家和地区”。

在上述理解的前提下,我们理解港股上市被认定为国外上市的可能性相对较低。但是鉴于我们上述对“境外”和“国外”的解读源于对其他领域法律的研究和参考,且本意见稿中并未对相关术语进行明确,我们仍无法排除相关概念有其他含义的可能性,建议对相关法律动态保持跟踪和关注。

对于港股上市过程及上市后数据传输至香港而言,参照《信息安全技术 数据出境安全评估指南》内“数据出境”的定义,其主要指“网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动”,因而从“境内”、“境外”划分的角度并结合上述对概念的解读,我们理解,数据传输至香港仍应属于数据跨境,因此企业需要满足我国《网络安全法》、《数据安全法》及配套措施内有关数据跨境的规定

4)100万用户个人信息是指100万条个人信息还是100万人的个人信息?

与此要求类似的规定可见于《国家网络安全检查操作指南》中“认定关键信息基础设施”部分。在认定关键信息基础设施时所考查的因素包括“注册用户数超过1000万”、“日均访问量超过100万人次”、“造成超过100万人个人信息泄露”等,均从个人信息主体数量而非个人信息数量的角度进行规定。

鉴于《国家网络安全检查操作指南》与意见稿具有类似的立法目的,即对可能影响个人数量较多的实体或者活动(包括但不限于赴国外上市)进行严格监管,以保障经济和民生利益,我们理解,意见稿中的“100万用户个人信息”指100万自然人个人信息的可能性较高。

5)如何理解掌握个人信息,如仅提供存储或传输服务,或委托云服务商等其他第三方处理,是否落入监管范围?

我们理解,“掌握”个人信息这一表述与“控制者”的概念存在相似之处,因此对其的解读可以参考对控制者的定义。但鉴于我国目前在法律层面尚未进行控制者和处理者的明确区分,从监管趋严的角度而言,我们建议企业将物理上的数据的控制以及法律上对数据的处置均纳入此范畴并申请网络安全审查。

6)申报网络安全审查需要提交什么材料,IPO材料需要提供多少?

申报材料应当包括:

(一)申报书;

(二)关于影响或可能影响国家安全的分析报告;

(三)采购文件、协议、拟签订的合同或拟提交的IPO材料等;

(四)网络安全审查工作需要的其他材料。

具体而言,参考数据安全等相关立法,我们理解分析报告可能包含供应链安全、数据安全及合规、数据出境、司法管辖冲突解决机制等多项内容。出于审查目的考虑,我们理解IPO材料可能包括招股书等,但是否包括工作底稿还有待确定。

7)网络安全审查需要多长时间,是否会影响上市进程?

根据意见稿的规定,网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。如果认为需要开展网络安全审查的,自向运营者发出书面通知之日起30个工作日内完成初步审查,情况复杂的可以延长15个工作日。网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门自收到审查结论建议之日起15个工作日内向运营者书面回复意见。网络安全审查工作机制成员单位意见不一致的,按照特别审查程序处理,特别审查程序一般应当在3个月内完成,情况复杂的可以延长。

总得来说,一般程序所需时间,自申报开始,最长需要10+30+15+15=70个工作日。而对于特别审查程序,最长为:70个工作日+3个月+n≈135+n个工作日,即实际所需自然日可能达到180日(6个月)以上。

8)意见稿生效时间

鉴于近期较为活跃的网络安全审查执法趋势以及意见稿对赴国外上市等活动的重点监管,我们不排除意见稿较快生效的可能性。但即使还未生效或者拖迟生效,考虑到当前已经有企业被查处,我们理解,企业提前准备应对措施而非以未生效为由对抗可以在一定程度上降低风险。

2. 基本问题

1)什么是关键信息基础设施运营者?

关键信息基础设施包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,但其具体范围和安全保护办法暂未正式出台。

在2020年公安部发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》中,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门应制定本行业、本领域关键信息基础设施认定规则并报公安部备案。同时应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。

2)网络安全审查的主管机构有哪些?

主要包括国家网络安全审查工作机制网络安全审查办公室

其中,网络安全审查工作机制由国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局组建。同时,本次意见稿还将中国证券监督管理委员会纳入工作机制范畴。

网络安全审查办法(对比版)

原版

 修订草案征求意见稿
第一条   为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。 第一条   为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》,制定本办法。
第二条   关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。 第二条   关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
第三条   网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。 第三条   网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

第四条   在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。

第四条   在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。

第五条   运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。

关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。

第五条   运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。

关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。
第六条   掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
第六条 对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。 第七条 对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。

第七条   运营者申报网络安全审查,应当提交以下材料:

(一)申报书;

(二)关于影响或可能影响国家安全的分析报告;

(三)采购文件、协议、拟签订的合同等;

(四)网络安全审查工作需要的其他材料。

第八条   运营者申报网络安全审查,应当提交以下材料:

(一)申报书;

(二)关于影响或可能影响国家安全的分析报告;

(三)采购文件、协议、拟签订的合同或拟提交的IPO材料等;

(四)网络安全审查工作需要的其他材料。
第八条   网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。 第九条   网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。

第九条   网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

(五)其他可能危害关键信息基础设施安全和国家安全的因素。

第十条   网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险;

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

(五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;

(六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险;

(七)其他可能危害关键信息基础设施安全和国家数据安全的因素。
第十条   网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。 第十一条   网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。

第十一条   网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。

第十二条   网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。
第十二条   按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。 第十三条   按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。
第十三条   特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。 第十四条   特别审查程序一般应当在3个月内完成,情况复杂的可以延长。
第十四条   网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。 第十五条   网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。
第十五条   网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。 第十六条   网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。
第十六条   参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。 第十七条   参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。
第十七条   运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。 第十八条   运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。

第十八条   运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。

网络安全审查办公室通过接受举报等形式加强事前事中事后监督。

第十九条   运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。

网络安全审查办公室通过接受举报等形式加强事前事中事后监督。
第十九条   运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。 第二十条   运营者违反本办法规定的,依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。

第二十条   本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

第二十一条   本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
第二十一条   涉及国家秘密信息的,依照国家有关保密规定执行。 第二十二条   涉及国家秘密信息的,依照国家有关保密规定执行。
第二十二条   本办法自202061日起实施,《网络产品和服务安全审查办法(试行)》同时废止。