|
|
|
赛博星人
引言
随着信息技术的发展,新型智能设备及数字化产品等先进制造业发展加快,互联网、大数据、人工智能和实体经济深度融合,数据得到了广泛的应用,数字经济正发展得如火如荼。2012年联合国就曾发布大数据政务白皮书,指出数据对于联合国和世界各国政府来说是一个历史性机遇。数据正成为一种宝贵的资源甚至是新的生产要素是颠扑不破之事实。
在全球化格局不断变化重组的当下,数据也逐步成为国家安全面临的新局面新情况。基于我国统筹传统安全与非传统安全的国家安全方针,数据安全是非传统安全的核心部分,是国家安全制度体系及国家安全能力建设的重点内容。如上一期我们分享的《数据安全法》解读内容所示(见图1),国家的领域空间不再只包含传统的物理空间,网络空间已成为与物理空间并列的重要领域范围,而数据作为网络空间中的必要要素,其主权特性在各种领域、事件或研究中得到增强。
数据安全已成为国家安全的重要内容,世界多国也纷纷将数据安全上升至国家安全高度,不断建立完善数据安全制度,加快数据安全保护及安全监管。
近日,滴滴赴美上架后被进行网络安全审查,并被要求下架整改。随后,国家网信办依据《国家安全法》、《网络安全法》及《数据安全法》修订了《网络安全审查办法》向社会公开征求意见。修订草案拟新增规定,要求掌握超过百万用户个人信息的运营者赴国外上市,必须申报网络安全审查。该修订是对当下热点问题的及时回应,从中我们可以感知到国家正逐步完善数据安全保护和安全监管的体系建立,数据安全不再单单只关注个人和企业组织的权益、利益,已经被提升到国家层面,对于此相关企业组织需要重点关注并遵守相关规定。
针对此次的修订草案,普华永道数据安全及隐私保护服务团队进行了全文对比解读,并梳理了网络安全审查的审查期限流程图,供企业客户及广大读者交流之用。如需转载请联系我们获得授权并注明出处。
01
《网络安全审查办法》2020年版
第一条 为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》,制定本办法。
《网络安全审查办法(修订草案征求意见稿)》
第一条 为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》《中华人民共和国数据安全法》,制定本办法。
修订内容解读
增加了《数据安全法》作为上位法依据,《数据安全法》已经正式公布,将于2021年9月1日正式施行,该修订符合《立法法》中部门规章制定的要求。同时,也反映了修订本办法的主要目的是应对数据安全问题对国家安全的影响,数据安全将是网络安全审查中的重要内容。
02
《网络安全审查办法》2020年版
第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
《网络安全审查办法(修订草案征求意见稿)》
第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
修订内容解读
增加了主体,实则是扩大了规章的适用对象及行为范围。实务中许多企业组织并不确定自身是否属于关键信息基础设施运营者,暂无生效的规定对该主体映射的企业类型进行明确定义,2020年4月就《网络安全审查办法》答记者问时,相关负责人提到在电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查,而实务中不少涉及大量数据使用或网络安全的非属此几类领域的企业,原有的规定不明确的同时也形成了规制的“窟窿”。
行为方面,原条款只规定了采购网络产品和服务的行为,不能有效评价其他会产生安全风险的行为。修订增加数据处理者的主体,能囊括评价更多的企业组织,只要有开展数据处理活动的运营者,则会落入规章的规制范围。大大提高了监管的范围及力度。
03《网络安全审查办法》2020年版
第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。
《网络安全审查办法(修订草案征求意见稿)》
第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。
修订内容解读
未进行修订。
04
《网络安全审查办法》2020年版
第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。
《网络安全审查办法(修订草案征求意见稿)》
第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。
修订内容解读
增加了网络安全审查工作机制建立的监管单位主体。
证监会的加入是对上市企业的网络安全审查加严的重要信号,自此,相关部门由12个增加到13个。
网络安全审查办公室的设置依然保留,此机构的设置也意味着网络安全审查本身是常态化工作,属于监管机关重点关注内容。但具体的审查动作由什么部门或机构来执行暂未在本办法中明确,机制和制度规范的具体落地执行不清晰,但通过对本办法第九条的规定分析,我们认为网络安全审查办公室是一手处理者,是企业申报过程中需要对接的首要“窗口”。
05
《网络安全审查办法》2020年版
第五条 运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。
《网络安全审查办法(修订草案征求意见稿)》
第五条 运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。
修订内容解读
未进行修订。但该条款未进行修订与本办法第二条的修订脱节。条款保留原有条款的表述,缺失了数据处理者开展数据处理活动的情形,是草案的瑕疵之处。
06
《网络安全审查办法》2020年版
无对应条款
《网络安全审查办法(修订草案征求意见稿)》
第六条 掌握超过100 万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
修订内容解读
新增条款,是本次修订的最大亮点和关注点。该新增条款是对原第五条中主动申报审查情形的增加,单独作为一条条款,体现了上市企业的网络安全审查重要性。条款的核心内容主要有以下三部分:
①“掌握超过100万”:强调对数据的控制性和控制量。基于本办法的定位和与个人信息保护的统一性,我们分析认为100万对应的应是个人信息的主体数量,而非信息的条数。对于大多数涉及个人信息使用的企业组织,100万个用户是个较低的门槛,意味着监管的范围之大。其中掌握的描述承袭了GDPR中控制者的表述,与本办法第二条的数据处理表述有不衔接的瑕疵,第二条表述是采用了类似GDPR中处理者的表述。从监管的目的出发,我们分析认为处理(包括存储、传输、共享或加工)等均应进行安全审查,无论其是否是控制者,只要是有处理活动的皆应纳入本办法的规制范围,表述为“处理超过100万”会更为恰当。
②“用户个人信息”:我国的《个人信息保护法》仍未正式公布,根据GB/T 35273-2020,个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”,此处对于个人信息的理解可以参见该标准规范。
但该国标同时规定了个人信息经匿名化处理后所得的信息不属于个人信息,在此前公布的《个人信息保护法(草案)》中也规定了个人信息不包括匿名化处理后的信息。基于本办法的目的,我们分析认为虽然个人信息的识别定义可以参见相关规定,但对于匿名化后非个人信息的相关规定不适用于本办法,或许本办法需要表明判定标准不考虑是否采取了匿名化措施。
③“国外上市”:根据该表述,我们分析认为满足该条件进行上市时要主动申报不包含在香港上市的情形,这也给上市的选择留下了一个“缺口”,当证券交易所所在地的安全属于《国家安全法》、《网络安全法》及《数据安全法》的有效管辖范围时,无需做单独的网络安全审查申报,相反,则应被纳入。
但需要注意,不进行网络安全审查申报,并不代表无需遵循相关法律法规的规定,在国标《信息安全技术数据处境安全评估指南(征求意见稿)》的规定中,依旧是区分境内境外,而非国内与国外,我国证券法也采用的是境内境外的区分标准。因此,如果是在港上市,其中涉及到数据的相关安全与合规仍需要满足我国《国家安全法》、《网络安全法》、《数据安全法》及相关法律法规的要求。
07
《网络安全审查办法》2020年版
第六条 对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。
《网络安全审查办法(修订草案征求意见稿)》
第七条 对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。
修订内容解读
未进行修订。
08
《网络安全审查办法》2020年版
第七条 运营者申报网络安全审查,应当提交以下材料:
(一)申报书;
(二)关于影响或可能影响国家安全的分析报告;
(三)采购文件、协议、拟签订的合同等;
(四)网络安全审查工作需要的其他材料。
《网络安全审查办法(修订草案征求意见稿)》
第八条 运营者申报网络安全审查,应当提交以下材料:
(一)申报书;
(二)关于影响或可能影响国家安全的分析报告;
(三)采购文件、协议、拟签订的合同或拟提交的IPO 材料等;
(四)网络安全审查工作需要的其他材料。
修订内容解读
增加了“拟提交的IPO 材料”。
IPO材料属于泛述性表达,根据上市地区的不同,IPO材料有所差异。以我国境内上市为例,IPO材料一般包含报告书、公司章程、股东会决议、公司执照、招股说明书、财务会计报告、法律意见书、证券机构推荐书、承销协议及保荐协议等材料。
分析本办法维护国家安全的目的,需要审查网络及数据相关的内容,一般披露的IPO材料并不能有效达成该目标,是否包含一些会计或审计工作底稿,对于此也有较大争议,将对上市过程中的材料准备及审核工带来“未知数”。
09
《网络安全审查办法》2020年版
第八条 网络安全审查办公室应当自收到审查申报材料起,10 个工作日内确定是否需要审查并书面通知运营者。
《网络安全审查办法(修订草案征求意见稿)》
第九条 网络安全审查办公室应当自收到审查申报材料起,10 个工作日内确定是否需要审查并书面通知运营者。
修订内容解读
未进行修订。
具体的审查期限参见文末图片。
10
《网络安全审查办法》2020年版
第九条 网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)其他可能危害关键信息基础设施安全和国家安全的因素。
《网络安全审查办法(修订草案征求意见稿)》
第十条 网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;
(六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险;
(七)其他可能危害关键信息基础设施安全和国家数据安全的因素。
修订内容解读
增加了“数据处理活动及国外上市”的情形,并将数据风险单独作为考虑因素之一。同时,国外上市后的数据安全风险作为主要的考虑因素。数据处理活动及国外上市情形的增加是本办法此次修订的最大亮点。
对比法条,我们可以发现本办法2020年版的规定中,已经出现了数据安全相关的规定,彼时仅规定了重要数据的类型。而在修订的草案中,数据类型范围被扩大,包含了核心数据、重要数据及个人信息。体现了审查内容有将侧重点放在数据安全上的趋势,也特别强调了国外上市这一重点审查情形,对于上市后的数据最低标准的限制即有被外国政府影响的风险就纳入考虑因素。
审查内容的增加将对有国外上市计划的企业带来更长的准备时间,无论是从法律法规的查明、业务场景的分析层面,还是对于是否影响国家安全的全面判断上,都需要更长的自查评估和配合审查时间。
11
《网络安全审查办法》2020年版
第十条 网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30 个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15 个工作日。
《网络安全审查办法(修订草案征求意见稿)》
第十一条 网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30 个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15 个工作日。
修订内容解读
未进行修订。
12
《网络安全审查办法》2020年版
第十一条 网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15 个工作日内书面回复意见。网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。
《网络安全审查办法(修订草案征求意见稿)》
第十二条 网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15 个工作日内书面回复意见。网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。
修订内容解读
未进行修订。
13
《网络安全审查办法》2020年版
第十二条 按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。
《网络安全审查办法(修订草案征求意见稿)》
第十三条 按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。
修订内容解读
未进行修订。
14
《网络安全审查办法》2020年版
第十三条 特别审查程序一般应当在45 个工作日内完成,情况复杂的可以适当延长。
《网络安全审查办法(修订草案征求意见稿)》
第十四条 特别审查程序一般应当在3 个月内完成,情况复杂的可以延长。
修订内容解读
修订了特别审查程序的期限,由45个工作日延长为3个月。
此次修订草案中对一般审查程序期限未做变动。一方面本办法第十二条中对特别审查程序的启动机制中,设置了意见不一致时可以启动特别审查的程序,无需修订一般审查程序的期限也能有效控制审查,也给监管机构留足了适用的空间。
审查期限的延长将对企业经营过程中的一些活动,特别是上市,产生较大的“阻碍”作用。我们分析认为,企业有计划进行国外上市的,更需要建立完善的数据安全和网络安全制度体系,以更好地应对监管的要求,保障企业的经营与发展。
15
《网络安全审查办法》2020年版
第十四条 网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。
《网络安全审查办法(修订草案征求意见稿)》
第十五条 网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。
修订内容解读
未进行修订。
16
《网络安全审查办法》2020年版
第十五条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。
《网络安全审查办法(修订草案征求意见稿)》
第十六条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。
修订内容解读
增加了需要进行网络安全审查的情形。解读与第二条一致。
17
《网络安全审查办法》2020年版
第十六条 参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。
《网络安全审查办法(修订草案征求意见稿)》
第十七条 参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。
修订内容解读
未进行修订。
18
《网络安全审查办法》2020年版
第十七条 运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。
《网络安全审查办法(修订草案征求意见稿)》
第十八条 运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。
修订内容解读
未进行修订。
19
《网络安全审查办法》2020年版
第十八条 运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。网络安全审查办公室通过接受举报等形式加强事前事中事后监督。
《网络安全审查办法(修订草案征求意见稿)》
第十九条 运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。网络安全审查办公室通过接受举报等形式加强事前事中事后监督。
修订内容解读
未进行修订。
20
《网络安全审查办法》2020年版
第十九条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。
《网络安全审查办法(修订草案征求意见稿)》
第二十条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。
修订内容解读
增加了《数据安全法》作为处罚依据,对《网络安全法》的法律责任引用也扩大了范围,不再局限于第六十五条。《数据安全法》将于2021年9月1日施行,该法设定了多重法律责任,本办法将其作为依据,也体现了对违反网络安全审查要求的惩罚力度之大。这将有效震慑相关违法违规行为,有效督促相关企业完善自身的数据安全及网络安全体系制度,特别是建立完善内部的安全审查配合工作流程。
21
《网络安全审查办法》2020年版
第二十条 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。
本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
《网络安全审查办法(修订草案征求意见稿)》
第二十一条 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
修订内容解读
增加了需要进行网络安全审查的情形。解读与第二条一致。
22
《网络安全审查办法》2020年版
第二十一条 涉及国家秘密信息的,依照国家有关保密规定执行。
《网络安全审查办法(修订草案征求意见稿)》
第二十二条 涉及国家秘密信息的,依照国家有关保密规定执行。
修订内容解读
未进行修订。
23
《网络安全审查办法》2020年版
第二十二条 本办法自 2020年6月1日起实施,《网络产品和服务安全审查办法(试行)》同时废止。
《网络安全审查办法(修订草案征求意见稿)》
第二十三条 本办法自 2021 年起实施,《网络产品和服务安全审查办法(试行)》同时废止。
修订内容解读
2021年的修订草案中将时间的年份明确为2021年,因此分析预计本办法的正式施行日期将会在本年度内。而本办法修订草案出台日期为2021年7月10日,需在余下不到半年的时间内完成,可以看出其重要性。
快速的修订能有效回应当下的热点问题,亦体现了数据安全、网络安全及国家安全的紧迫性。对于本年度计划国外上市的相关企业而言,是一个正当头的“暂停键”。即使是暂无国外上市计划的相关企业,只要涉及到数据处理的,应当及时地针对性地开展安全合规的配合工作。
附:审查期限流程梳理
结语
总而言之,网络安全审查办法的修订不是数据安全的起点,也不是终点。对于国家而言,数据主权不再是抽象化的概念,而是已经建立并被不断完善、逐步落地执行的国家主权内容。对于企业的安全与合规而言,构建完善的安全与合规体系,打造和运用安全合规的技术和产品,经营过程中严格遵守相关法律法规,是新的趋势要求亦是必要的发展方针。
|
|
【全网最全】31个省市!残保金政策汇编及申
全网最全|2022年失业保险稳岗补贴政策汇总
2021年个税汇算容易出现哪些错误?税务总局
【全网最全】历史上最高规模退税减税!2022
京公网安备 11010802035448号
( 京ICP备19053597号-1,电话18600416813,邮箱liwei03@51shebao.com ) 了解Tax100创始人胡万军
优化与建议
隐私政策