《网络安全审查办法（修订草案征求意见稿）》简评

本次意见稿把将于2021年9月1日实施的《中华人民共和国数据安全法》（“《数据安全法》”）列入了《网络安全审查办法》的立法依据。

随着数字经济的发展，数据已经成为互联网信息财产的重要部分，维护网络安全必然包括维护数据安全。《中华人民共和国网络安全法》（“《网络安全法》”）与《数据安全法》以不同角度立法共同规范网络信息和数据领域，互相补充，协同作用。将《数据安全法》列入上位法，有利于将《数据安全法》确立的数据安全审查制度纳入到现有的网络安全审查制度之中，助力数据安全审查制度的尽快落实，强化国家和企业的网络安全保护。

二、新增“数据处理者”作为审查对象

意见稿的适用对象包括了关键信息基础设施运营者和数据处理者。其中数据处理者作为新增主体，要求当开展“影响或可能影响国家安全”的数据处理活动时，应当进行网络安全审查。

这一修改扩大了网络安全审查对象范围，强化了数据安全对国家安全的重要性，将数据安全视为国家安全的重要基石。

三、新增“中国证券监督管理委员会”为监管主体

意见稿第四条将中国证券监督管理委员会（“证监会”）纳入了国家网络安全审查工作机制成员单位，今后证监会将联合包括网信办在内的12个国务院组成部门和直属机构共同组织开展网络安全审查工作。

此前，中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》（“《意见》”）。《意见》明确要进一步加强跨境监管执法司法协作，对跨境监管合作、中概股监管、法律域外适用制度提出一系列指导意见，体现了国家日益重视境外上市公司的相关风险，严加管理跨境数据流通安全。意见稿赋予证监会协同开展网络安全审查工作的权利，反映出国家对境外上市公司可能产生的数据安全风险极为重视。

四、设置了上市企业的审查要求

意见稿第六条是本次修订的亮点所在，提出“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”

第一，运营者需要“掌握”用户个人信息，该表述不同于《信息安全技术 个人信息安全规范》（“《个人信息安全规范》”）的“控制”[1]，也不同于《数据安全法》的“处理”[2]。对于“掌握”的具体含义，意见稿并无明确解释，鉴于监管日渐严格的趋势，在规范尚未界定明晰的情况下，合理扩大解释范围有利于企业规避风险。我们理解，可以综合参考《个人信息安全规范》和《数据安全法》的概念，将“掌握”理解为既包括物理意义上的控制状态，也包括法律意义上的收集、存储、传输等处理行为。

第二，如何认定“100万用户个人信息”的用户数量标准亟待相关监管部门出台规范。100万的数量级是指向用户数量还是信息数量？用户范围是仅限于国内用户，还是也包括国外用户？上述疑问均需要进一步解答。参考《国家网络安全检查操作指南》对于平台类关键基础设施认定的量化标准，以及《个人信息安全规范》对于需要设置个人信息保护专职人员和工作机构的平台条件的量化规定，均是从用户/信息主体数量而非信息数量的角度出发，因此，我们理解，此处的“100万用户个人信息”更有可能指向“100万名用户”。实际上，发展到赴国外上市的企业大概率已经具有可观的体量，极易触发用户数量标准这一要件，被纳入本条的规制范围。

第三，就“赴国外上市”这一要件，值得注意的是意见稿使用了“国外”而非“境外”的表述，那么赴香港上市是否属于应当申报网络安全审查的范围，值得考虑。一方面，从文意理解，港澳台地区一般与中国大陆地区共同组成“国内”的范围，“国外”则是指向“中华人民共和国以外的国家和地区”。另一方面，《中华人民共和国证券法》（“《证券法》”）第二条[3]和《网络安全法》第三十七条[4]均使用了“中华人民共和国境内”的表述，说明在法律意义上“国内”与“境内”的概念存在区别。由此可见，赴香港上市可能并不在本条的规制范围之内。但鉴于意见稿并未对相关术语进行解释，最终概念仍需等待相关法律法规作出规范。

五、新增重点评估考虑因素：核心数据、重要数据及国外上市

意见稿强调了数据处理活动以及国外上市可能带来的国家安全风险将成为网络安全审查的重点评估和考虑因素，具体表现为：（1）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；（2）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。同时将审查要点从网络安全扩展到了数据安全，在重点评估考虑因素的兜底条款中突出了数据安全的重要性。

上述新增与修改同样是为了保障我国数据安全，维护我国在全球范围内的数据主权。随着数据资产的价值提升，以及美国、欧盟等国家频发的数据立法和司法动作，我国必须积极作出回应并采取相应措施。

六、更新了审查程序

首先，针对赴国外上市的运营者，在申报网络安全审查时要求提交的申报材料中增加了“拟提交的IPO材料”，可以帮助网络安全审查办公室进一步判断运营者在国外上市可能涉及的数据安全、网络安全问题。

其次，意见稿将特别审查程序的期限从45个工作日延长至3个月，于是一般情形下，网络安全审查所需时间在45+15个工作日左右，特别审查程序则可能需要45日+15日+3个月甚至更长，有利于各审查工作机制成员单位充分考量涉及国家安全的事项，并做出谨慎决定。但是“提交补充材料的时间不计入审查时间”和“情况复杂的可以延长时间”给审查期限增加了很大的不确定性。

三、合规建议

意见稿的发布和未来新修订《网络安全审查办法》的生效，将有效保障网络安全审查制度的落实与实施，而对于可能被认定为关键信息基础设施运营者或数据处理者的企业或者单位，面对即将到来的严格监管，我们建议尽早开展相关合规建设，具体如下：

（1）对于现有的数据资产开展全面充分的梳理、评估工作，重点关注可能涉及核心数据、重要数据以及掌握100万用户个人信息的业务类型，结合业务运营需求，及时开展合规自查自纠工作。

（2）强化数据合规和个人信息保护合规建设，建立企业内部数据安全评估保护制度和网络安全审查制度，设置专门团队及负责人，形成完善的工作流程，积极履行合规义务。

（3）对目标上市国家或地区的监管合规要求开展全面调研，审慎分析在国外上市可能产生的国家数据安全风险，及时筹备应对网络安全审查的准备工作，畅通与监管部门的沟通渠道，配合审查。

（4）密切关注相关法律法规及政策文件的监管动态，定期开展数据合规和网络安全合规的培训，联合业务、产品、法务、安全等各个部门协同开展推进数据安全和网络安全保护工作。

【注】

[1] 《信息安全技术 个人信息安全规范》3.4：个人信息控制者 有能力决定个人信息处理目的、方式等的组织或个人。

[2] 《数据安全法》第三条 数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

[3] 《证券法》第二条 “在中华人民共和国境内，股票、公司债券、存托凭证和国务院依法认定的其他证券的发行和交易，适用本法。

[4] 《网络安全法》第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。