网络安全审查办法（2021年）

Cassie7

国家互联网信息办公室

中华人民共和国国家发展和改革委员会

中华人民共和国工业和信息化部

中华人民共和国公安部

中华人民共和国国家安全部

中华人民共和国财政部

中华人民共和国商务部

中国人民银行

国家市场监督管理总局

国家广播电视总局

中国证券监督管理委员会

国家保密局

国家密码管理局令

第8号

《网络安全审查办法》已经2021年11月16日国家互联网信息办公室2021年第20次室务会议审议通过，并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意，现予公布，自2022年2月15日起施行。

国家互联网信息办公室主任 庄荣文

国家发展和改革委员会主任 何立峰

工业和信息化部部长 肖亚庆

公安部部长 赵克志

国家安全部部长 陈文清

财政部部长 刘　昆

商务部部长 王文涛

中国人民银行行长 易　纲

国家市场监督管理总局局长 张　工

国家广播电视总局局长 聂辰席

中国证券监督管理委员会主席 易会满

国家保密局局长 李兆宗

国家密码管理局局长 刘东方

2021年12月28日

网络安全审查办法

第一条 为了确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全，根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》，制定本办法。

第二条 关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。

前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。

第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。

第四条 在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。

第五条 关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。

第六条 对于申报网络安全审查的采购活动，关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。

第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

第八条 当事人申报网络安全审查，应当提交以下材料：

（一）申报书；

（二）关于影响或者可能影响国家安全的分析报告；

（三）采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请文件；

（四）网络安全审查工作需要的其他材料。

第九条 网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内，确定是否需要审查并书面通知当事人。

第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：

（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；

（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；

（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；

（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

第十一条 网络安全审查办公室认为需要开展网络安全审查的，应当自向当事人发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见；情况复杂的，可以延长15个工作日。

第十二条 网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

网络安全审查工作机制成员单位、相关部门意见一致的，网络安全审查办公室以书面形式将审查结论通知当事人；意见不一致的，按照特别审查程序处理，并通知当事人。

第十三条 按照特别审查程序处理的，网络安全审查办公室应当听取相关单位和部门意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关部门意见，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知当事人。

第十四条 特别审查程序一般应当在90个工作日内完成，情况复杂的可以延长。

第十五条 网络安全审查办公室要求提供补充材料的，当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。

第十七条 参与网络安全审查的相关机构和人员应当严格保护知识产权，对在审查工作中知悉的商业秘密、个人信息，当事人、产品和服务提供者提交的未公开材料，以及其他未公开信息承担保密义务；未经信息提供方同意，不得向无关方披露或者用于审查以外的目的。

第十八条 当事人或者网络产品和服务提供者认为审查人员有失客观公正，或者未能对审查工作中知悉的信息承担保密义务的，可以向网络安全审查办公室或者有关部门举报。

第十九条 当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。

网络安全审查办公室通过接受举报等形式加强事前事中事后监督。

第二十条 当事人违反本办法规定的，依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。

第二十一条 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。

第二十二条 涉及国家秘密信息的，依照国家有关保密规定执行。

国家对数据安全审查、外商投资安全审查另有规定的，应当同时符合其规定。

第二十三条 本办法自2022年2月15日起施行。2020年4月13日公布的《网络安全审查办法》（国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局令第6号）同时废止。

【相关阅读】：

• 《网络安全审查办法》答记者问
• 新修订的《网络安全审查办法》为网络安全做“加法”
• 专家解读｜《网络安全审查办法》正式实施 企业赴国外上市融资应守住国家安全底线
• 专家解读｜新版《网络安全审查办法》有力夯实国家数据安全保障基石
• 专家解读｜用全面发展辩证的眼光看待《网络安全审查办法》
• 专家解读｜网络安全审查制度在《办法》修订中不断向前发展
• 专家解读｜云霓之望，《网络安全审查办法》修订稿的重要意义
• 专家解读｜新版《网络安全审查办法》筑牢网络安全和数据安全防线
• 专家解读｜新版《网络安全审查办法》发布实施 重在压实平台运营者网络安全主体责任
• 专家解读｜新版《网络安全审查办法》助推企业构筑更加健全的安全防线
  

Cassie7

《网络安全审查办法》答记者问

2022年1月4日

近日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订了《网络安全审查办法》（以下简称《办法》），自2022年2月15日起施行。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者的提问。

问：请简要介绍《办法》修订背景？

答：网络安全审查是网络安全领域的重要法律制度。原《办法》自2020年6月1日施行以来，通过对关键信息基础设施运营者采购活动进行审查和对部分重要产品等发起审查，对于保障关键信息基础设施供应链安全，维护国家安全发挥了重要作用。

2021年9月1日，《数据安全法》正式施行，明确规定国家建立数据安全审查制度。我们据此对《网络安全审查办法》进行了修订，将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围，并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查，主要目的是为了进一步保障网络安全和数据安全，维护国家安全。

问：网络平台运营者赴国外上市申报网络安全审查，可能的结果有几类？

答：对外开放是我国的基本国策，我们始终支持境内企业依法依规合理利用境外资本市场融资发展。《办法》明确“掌握100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查”，申报网络安全审查可能有以下三种情况：一是无需审查；二是启动审查后，经研判不影响国家安全的，可继续赴国外上市程序；三是启动审查后，经研判影响国家安全的，不允许赴国外上市。

问：如何理解网络安全审查中涉及的数据处理活动？

答：根据《数据安全法》，数据处理活动包括数据的收集、存储、使用、加工、传输、提供、公开等活动。《办法》重点聚焦的是网络平台运营者开展上述数据处理活动，影响或者可能影响国家安全的情形。

问：网络平台运营者何时申报赴国外上市网络安全审查？

答：网络平台运营者应当在向国外证券监管机构提出上市申请之前，申报网络安全审查。

问：赴国外上市网络安全审查如何提交申报材料？

答：网络安全审查办公室设在国家互联网信息办公室，具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下，承担接收申报材料、对申报材料进行形式审查等任务。中国网络安全审查技术与认证中心设立网络安全审查咨询窗口。

咨询电话：010-65994415

咨询邮箱：shencha@isccc.gov.cn

联系地址：北京市朝阳区朝外大街甲10号中认大厦

Cassie7

新修订的《网络安全审查办法》为网络安全做“加法”

        来源：人民网-强国论坛
        链接：http://www.cac.gov.cn/2022-02/16/c_1646636868663639.htm
        日期：2022年02月16日

        2月15日，由国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》（以下简称《办法》）正式施行。“此次修订以维护数据安全为中心，要求超过100万用户个人信息的网络平台运营者赴国外上市时必须申报网络安全审查，以做‘加法’的方式，新增了不少亮点。”北京航空航天大学工业和信息化法治研究院研究员雷震文在接受采访时表示。

        在扎根实践中不断完善

        互联网产品与服务在为日常生活带来巨大便利的同时，也带来了安全漏洞、数据泄露等网络安全威胁。

        《2020年中国互联网网络安全报告》指出，近年来网络产品和服务供应链安全形势愈加严峻，针对关键信息基础设施的信息窃取、攻击破坏等恶意活动持续增加，针对数据的网络攻击以及数据滥用问题日趋严重，数据安全风险在未来将更加突出。

        “网络安全审查是网络安全领域的重要法律制度。”国家网信办有关负责人在介绍《办法》修订背景时表示，2021年9月1日，《数据安全法》正式施行，明确规定国家建立数据安全审查制度，据此对《办法》进行修订，主要目的是进一步保障网络安全和数据安全，维护国家安全。

        在雷震文看来，再次修订《办法》可以从两个方面理解：一是应对网络安全新形势、新挑战的需要，多国网络空间博弈不断激烈，网络对抗与商业竞争和金融竞争逐渐融合，这给我国的网络安全维护带来了很多新问题；二是修订原《办法》能够为《数据安全法》相关规范的落实提供进一步的依据。

        为维护数据安全做“加法”

        “此次修订以维护数据安全为中心，以做‘加法’的方式，新增了不少亮点。”雷震文认为，扩大网络安全审查适用的范围是本次修订的首要亮点。

《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围，并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。

        “作为社会数字基础设施的网络平台往往聚集着海量数据，其数据处理行为可能会对国家安全和社会公共利益产生直接的影响。”雷震文解释称，《办法》对网络平台运营者的安全审查主要集中在两个方面：一是对平台运营者开展数据处理活动的审查，二是就特定网络平台运营者赴国外上市进行安全审查。

        “此外，《办法》对审查工作机制成员、审查重点评估的国家安全风险因素也进行了扩充。”雷震文介绍，《办法》增加了中国证券监督管理委员会作为国家网络安全审查工作机制成员，新增了网络安全审查重点评估中的国家安全风险因素。

        “《办法》对审查程序相关的部分规范也作出了必要调整，一是延长了特别审查程序的期限，即由原来的45个工作日延长至90个工作日；二是新增关于当事人在审查期间的义务的规定。”雷震文强调，这对于进一步发挥网络安全审查制度的实际功能，切实防范和控制网络安全风险具有十分积极的意义。

        化解风险需要关口前移

        “推行网络安全审查，加强风险识别和控制，是当前世界各主要国家防范网络安全风险的通行做法。”雷震文表示，此次《办法》的修订对于进一步扎实“篱笆”，有效应对数字社会、平台经济发展中出现的各类新型网络安全风险，对切实维护我国国家网络主权和安全具有积极的现实意义。

        第48次《中国互联网络发展状况统计报告》显示，2021年上半年，工业和信息化部网络安全威胁和漏洞信息共享平台接报网络安全事件49605件。

        “网络安全审查的主旨在于网络风险的识别与防范，是国家安全审查的重要组成部分。网络平台运营者是维护网络安全、国家安全的重要责任主体。”雷震文表示，保障数据安全与网络安全，要防患于未然。

        对此，雷震文建议，网络平台运营者化解网络安全风险、国家安全风险，应该注意以下三个方面：首先，应提高安全意识、法治意识，尤其应正确理解和处理维护网络安全与促进自身发展之间的关系，坚持安全发展理念，筑牢网络安全的基石；其次，应不断增强对自身运营安全的管理和评估，积极对照《网络安全法》和《数据安全法》的相关规定以及《办法》第10条列出的安全风险因素，做好安全风险的预判和评估、管理工作；最后，积极主动申报和配合网络安全审查，凡符合《办法》规定的审查条件的当事人都应负有主动申报并配合审查办公室做好安全审查工作的义务。

Cassie7

专家解读｜《网络安全审查办法》正式实施 企业赴国外上市融资应守住国家安全底线

        来源：中国网信网
        链接：http://www.cac.gov.cn/2022-02/17/c_1646738974343952.htm
        日期：2022年02月17日

        2月15日，国家互联网信息办公室、国家发展和改革委员会等十三部门联合发布的《网络安全审查办法》（以下简称《办法》）正式实施。《办法》第七条明确要求，掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报审查。中国网络安全审查技术与认证中心设立网络安全审查咨询窗口，开始接收网络平台运营者赴国外上市的审查申报。

        一、上市审查申报要求

        《办法》修订后扩大了网络安全审查的覆盖范围，掌握超过100万用户个人信息的网络平台运营者赴国外上市前必须申报审查。运营者应该申报审查而未申报，应承担相应法律责任。值得注意的是，《办法》规定的审查申报条件为“赴国外上市”，但是这不意味着运营者赴香港上市过程中可以忽视相应的网络安全、数据安全和国家安全风险。根据《办法》第十六条，网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序进行审查。

        对于《办法》实施前已经在国外上市的运营者，不需要申报审查。但是，对于已上市企业赴国外进行二次上市、双重主要上市等情况，属于新发起的“国外上市”活动，符合申报要求的应主动申报审查。

        二、上市审查申报时机

        根据《办法》第八条要求，运营者申报网络安全审查除需提交申报书和分析报告外，还应提交首次公开募股（IPO）等上市申请文件。在国家互联网信息办公室有关负责人回答“何时申报赴国外上市网络安全审查”问题的答复中，明确应当在向国外证券监管机构提出上市申请之前申报审查。综合以上信息，赴国外上市审查的申报时机，应为已准备好相应上市申请文件后，向国外提交上市申请文件前。对于《办法》实施前，已经向外国证券监管机构提交过上市申请文件但尚未完成上市的运营者，如掌握超过100万用户个人信息，也应在上市前主动申报审查。

        三、上市审查申报主体

        申报赴国外上市网络安全审查的主体，应是在中国境内注册的网络平台运营者实体。对于搭建海外上市架构的企业，申报主体应为负责实际业务运营的境内运营实体，即通过网络收集、存储、使用、处理数据的运营者实体。这里需要说明，《办法》规定的运营者赴国外上市方式不限于首次公开募股（IPO）一种，特殊目的公司并购（SPAC）、反向收购（RTO）、直接上市（DPO）等方式的上市也在审查范围内。

        网络安全审查属于国家安全审查范畴，对网络平台运营者赴国外上市开展审查，是维护国家安全的重要手段，也是促进平台经济稳定健康发展的客观需要。国家鼓励网络平台运营者基于业务发展需要进行融资、上市等活动。运营者在发展过程中应重视网络安全、数据安全风险的防范，牢牢守住国家安全底线，坚持合规经营，坚持安全和发展并重，让安全成为保证企业持续发展的驱动力。（作者：齐越，中国网络安全审查技术与认证中心）

Cassie7

专家解读｜新版《网络安全审查办法》有力夯实国家数据安全保障基石

        来源：中国网信网
        链接：http://www.cac.gov.cn/2022-02/17/c_1646738974434057.htm
        日期：2022年02月17日

        当前，数据作为国家新型生产要素和基础战略资源的代表，数据安全已成为保障网络强国建设、护航数字经济发展的安全基石。2022年2月15日起，国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》（以下简称新版《审查办法》）开始施行，新修订内容针对数据处理活动，聚焦国家数据安全风险，明确运营者赴国外上市的网络安全审查要求，为构建完善国家网络安全审查机制，切实保障国家安全提供了有力抓手。

        一、审查对象新增数据处理活动，突出赴国外上市申报审查

        （一）影响或者可能影响国家安全的数据处理活动在审查范围内

        与上版《审查办法》相比，新版《审查办法》要求网络平台运营者开展数据处理活动，影响或者可能影响国家安全的应按照新版《审查办法》进行网络安全审查。这意味着除了关键信息基础设施运营者采购网络产品和服务外，网络运营者开展影响或者可能影响国家安全的数据处理活动，也将在网络安全审查范围内。

        判断影响或者可能影响国家安全的数据处理活动，可从数据处理活动是否存在或疑似存在危害国家安全行为，或者是否存在国家安全风险等方面进行判断，例如掌握100万用户个人信息的运营者赴国外上市，掌握核心数据或重要数据的运营者赴国外上市，掌握我国禁止或限制出口技术的运营者赴国外上市，汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立等数据处理活动，一旦影响或者可能影响国家安全的，都可能成为网络安全审查的对象。

        （二）超过100万用户个人信息的运营者赴国外上市应申报审查

        新版《审查办法》明确规定掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。按照中国证监会公布的《国务院关于境内企业境外发行证券和上市的管理规定（草案征求意见稿）》和《境内企业境外发行证券和上市备案管理办法（征求意见稿）》，赴国外上市的主体涉及境内企业国外直接发行上市、境内企业国外间接发行上市。其中，直接发行上市是指注册在境内的股份有限公司在国外发行证券或者将其证券在国外上市交易；间接发行上市是指主要业务经营活动在境内的企业，以境外企业的名义，基于境内企业的股权、资产、收益或其他类似权益在国外发行证券或者将证券在国外上市交易。

        赴国外上市的方式或途径，包括但不限于首次公开发行并上市（IPO）、特殊目的公司收购（SPAC）上市、借壳上市，通过一次或多次收购、换股、划转以及其他交易安排实现境内企业资产境外直接或间接上市，境内上市公司分拆所属境内企业到国外发行上市，境内上市公司以境内上市股份为基础证券在国外发行可转换为基础证券的存托凭证等。此外，虽然新版《审查办法》没有提及赴香港上市，但是掌握超过100万用户个人信息的运营者赴香港上市，仍应按照数据出境安全评估的有关规定进行评估。

        二、审查评估聚焦国家数据安全风险因素

        运营者开展影响或可能影响国家安全的数据处理活动，可能带来多种国家数据安全风险，新版《审查办法》在供应链安全风险评价的基础上，新增了国家数据安全风险因素评价。

        （一）数据被窃取、泄露、毁损、非法利用、非法出境风险

        运营者对核心数据、重要数据、大量个人信息开展数据处理活动时，一旦数据被窃取、泄露、毁损、非法利用或非法出境，可能直接存在国家安全或公共利益风险：一是数据窃取或泄露。由于黑客攻击、员工窃取、数据安全能力不足、内部违规操作、违规共享等原因，处理的核心数据、重要数据或大量个人信息可能被窃取、未授权或违规泄露。二是数据毁损。处理的核心数据、重要数据或大量个人信息被违规篡改、破坏、丢失，危害数据的完整性和可用性。三是数据非法利用。例如大型网络平台运营者，可能汇聚了大量涉及国家安全、公共利益或个人权益的数据，一旦滥用大数据技术对掌握的大量敏感数据进行分析挖掘并任意共享或发布，可能对国家安全或公共利益造成威胁。四是数据非法出境。按照我国数据安全法律法规要求，关键信息基础设施运营者、重要数据处理者、超过100万用户个人信息的运营者等的个人信息和重要数据出境，应通过国家网信部门组织的数据出境安全评估。

        （二）外国政府影响、控制、恶意利用和网络信息安全风险

        随着美国《外国公司问责法案》落地执行，美国证券交易委员会（SEC）要求在美国上市的外国企业披露是否由政府实体拥有或控制、存在的监管环境风险，同时要求审计公司接受美国公共公司会计监督委员会（PCAOB）检查，披露上市公司的审计细节、工作底稿等信息。在这一背景下，赴国外上市的运营者将面临更多的国家数据安全风险，例如关键信息基础设施被外国政府影响、控制、恶意利用的风险；国外监管机构调取上市公司的敏感数据，导致核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险；网络信息舆论被境外机构操纵风险；上市公司控制权发生重大变更等。

        三、小结

        新版《审查办法》的发布，推动国家数据安全治理进入新阶段。网络运营者开展核心数据、重要数据和大量个人信息的数据处理活动时，应加强国家安全意识，预判数据处理活动可能带来的国家安全风险，影响或者可能影响国家安全的及时向网络安全审查办公室报告甚至申报网络安全审查，主动防范可能造成的国家安全风险。我国网络安全审查制度的不断完善，将为我国数据安全和网络安全保障体系建设打下坚实基础。（作者：胡影，中国电子技术标准化研究院）

Cassie7

专家解读｜用全面发展辩证的眼光看待《网络安全审查办法》

        来源：中国网信网
        链接：http://www.cac.gov.cn/2022-02/17/c_1646738974547304.htm
        日期：2022年02月17日

        近日，国家网信办等十三部门联合修订发布的《网络安全审查办法》（以下简称《办法》）开始施行，针对2017年开始试行、2020年正式实施的网络安全审查制度进行完善升级，提出了网络安全审查的新内容，体现了依法治网的新进展，开启网络安全审查的新篇章，修订恰逢其时意义重大，需要正确认识和把握。

        一、全面地看《网络安全审查办法》的“变”与“不变”

        《办法》将网络平台运营者开展影响或者可能影响国家安全的数据处理活动纳入网络安全审查，明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查，这两项内容是《办法》修订的主要部分，也是舆论关注和议论最为集中的审查之“变”，难免有因过分聚焦甚至夸大而带来曲解，破除片面解读需要系统把握《办法》的“变”与“不变”。

        一是坚持以应对国家安全风险为基本出发点未变。法律需要不断修订来应对不断变化的现实威胁，正如原《办法》以应对关键信息基础设施供应链安全风险为主，此次修订主要是为了应对当前突出的数据安全问题，特别是国内外大型互联网平台大规模收集、存储并违规出境我国公民个人信息风险，以及个别国家在网络空间行使单边主义和霸权行径，将提供数据作为市场准入和资本上市的前提条件，以此攫取我国敏感数据，这些“老问题”“新挑战”严重影响到我国网络安全和国家安全，亟需从国家治理上予以应对。

        二是坚持以落实国家安全、网络安全基础法律为主要目标未变。落实国家安全、网络安全法律法规要求的宗旨贯穿《办法》发展始终。从《国家安全法》明确建立国家安全审查与监管制度和机制，确立了网络安全审查的制度框架和总体思路，到《网络安全法》要求关键信息基础设施的运营者采购产品和服务申报网络安全审查，确立了网络安全审查的主要客体与主体，奠定了2017年《网络产品和服务安全审查办法（试行）》与2020年《网络安全审查办法》的基本雏形。在此基础上，此次《办法》是落实《数据安全法》和《关键信息基础设施安全保护条例》对于数据安全、网络安全的最新要求，可以说《办法》正是忠于国家安全、网络安全上位法的这种“不变”所带来的“变”，是我国依法治网的具体发展和生动体现。

        三是坚持审查程序正义的基本原则未变。《办法》坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合的四项基本原则未发生改变，有助于压实审查各方的权责利，明确审查的透明度，坚持审查的各方监督，体现出审查的程序正义。

        二、发展地看网络安全审查制度的演进与完善

        法律的生命在于实践，坚持与时俱进的法律发展观，在实践中不断修订法律，是维持法律有效性的关键因素。从2017年6月1日开始实施的《网络产品和服务安全审查办法（试行）》到2020年6月1日正式施行的《网络安全审查办法》，再到2022年2月15日开始施行的《网络安全审查办法》修订版，其间既有《数据安全法》和《关键信息基础设施安全保护条例》等新颁布的上位法自上而下推动，也有网络安全审查主体基于对滴滴出行、BOSS直聘等企业的具体审查总结经验自下而上完善，网络安全审查制度在实践探索中升级。

        一是组织结构更加完善。原《办法》确定了在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同11家部门联合建立网络安全审查工作机制的基本组织架构。此次修订的《办法》根据审查实际需要，增加证监会作为网络安全审查工作机制成员单位，对应赴国外上市网络平台运营者的审查，并增加了将企业拟提交的上市申请材料纳入网络安全审查申报范围的规定，凸显组织结构内部的职能分工，也体现了网络安全审查的“国家合力”特征以及专业技术性。

        二是审查时限更切实际。《办法》将特别审查程序从45天延长到90天，主要是针对未达成一致意见的审查结论进行再分析和评估，以及再次征求包括网络安全审查工作机制成员单位和相关部门意见所需要的时间。时间调整的根据源于已开展审查实践所得出的经验，审查举措的可操作性在“实践—反馈—优化”的过程中得以不断提高，同时也体现了对于审查结论更加审慎的态度。

        三是权力监督更加明确。《办法》既强调审查客体对于主体的责任与义务的监督，包括要求充分尊重和严格保护知识产权及相关商业秘密等，并单独增加对于审查中所涉及的个人信息的保护要求，明确规定运营者或网络产品和服务提供者可以举报网络审查中的失责行为，同时也鼓励社会监督当事人履行网络安全审查中作出的承诺，网络安全审查办公室通过接受举报等形式加强事前事中事后监督，意图以权力监督确保审查客观公正透明。

        三、辩证地看《网络安全审查办法》当前重点与长远意义

        由于涉及面广、牵涉主体多，《网络安全审查办法》出台、修订的全过程都备受关注，也出现对于《办法》修订的理解偏差，这是对于《办法》立法初衷与整体取意认识不到位所造成的，需要辩证客观看待《网络安全审查办法》的当前重点与长远意义。

        一是统筹安全与发展。网络安全审查不会影响发展，《办法》明确“防范网络安全风险与促进先进技术应用相结合”，针对关键信息基础设施运营者采购产品和服务以及网络平台运营者开展数据处理活动所开展的网络安全审查也是及早发现并避免相关活动可能存在的国家安全风险和危害，树立底线意识，筑牢发展屏障，通过依法依规开展审查获得安全发展新优势。

        二是平衡开放与治理。坚持对外开放是我国的基本国策。网络安全审查不会限制开放，启动审查后，经研判不影响国家安全的，可继续赴国外上市。同时《办法》不区分外国企业与中国境内企业，不存在区别对待。开展网络安全审查也是国际通行做法，《办法》许多举措均是引进吸收域外相应的经验启示和实践蓝本，为今后与国际接轨奠定了基础。

        三是兼顾当前与长远。网络安全审查不可能毕其功于一役，需要“立足当前、着眼长远”，不仅要立足应对当前威胁，补网络发展短板，堵网络安全“漏洞”，更要放眼长远，坚定不移推进，以构建更加体系化和系统化的网络安全审查机制，健全国家网络治理体系与法制体系，助力推进我国网络空间治理体系和治理能力现代化。（作者：桂畅旎，中国信息安全测评中心）

Cassie7

专家解读｜网络安全审查制度在《办法》修订中不断向前发展

        来源：中国网信网
        链接：http://www.cac.gov.cn/2022-01/05/c_1643005108492715.htm
        日期：2022年01月05日

        近日，国家互联网信息办公室、国家发展和改革委员会等十三部门联合发布了修订后的《网络安全审查办法》（以下简称《办法》）。作为2020年6月实施之后的重要修订，《办法》既是落实《数据安全法》《关键信息基础设施安全保护条例》等一系列新出台法律法规的明确要求，也是不断完善国家网络安全审查制度、适应国际国内网络安全新形势的重要举措，更是保障人民群众切身利益、促进经济社会发展和维护国家安全的现实需要。

        一、网络平台运营者影响或者可能影响国家安全的数据处理活动被纳入网络安全审查

        在《数据安全法》颁布施行的大背景下，《办法》扩大了网络安全审查的覆盖范围。网络安全审查的申报，在此之前仅限定在关键信息基础设施运营者影响或者可能影响国家安全的网络产品和服务采购活动，此次修订后，新纳入了网络平台运营者影响或者可能影响国家安全的数据处理活动，目前明确必须申报的就是掌握超过100万用户个人信息的网络平台运营者赴国外上市活动。法律定义的数据处理活动，包括数据的收集、存储、使用、加工、传输、提供、公开等。网络安全审查之所以关注网络平台运营者赴国外上市，是因为国内拟上市的企业往往会应国外证券监管机构、证券交易所等要求，在上市过程中提供或披露涉及国内平台运营的数据，这一过程将包括数据传输、提供、公开等行为，一旦这些数据发生泄露或被非法利用，将可能影响国家安全。2021年7月，网络安全审查办公室发起了针对滴滴出行、BOSS直聘等的审查，即是因为这些掌握大量数据的平台在国外上市，可能带来相关网络安全和数据安全风险，危害国家安全。　

　

        二、《办法》修订体现出网络安全审查制度的与时俱进

        随着近年来经济全球化步伐的加快，我国企业选择到国外证券市场上市融资的情况逐渐增多。以美国为例，2018年以来每年都有超过30家“中概股”企业在美挂牌上市，约占每年美国新上市公司的20%。2021年这一趋势达到高峰，仅2021上半年就有38家“中概股”企业在美上市，而其中具有网络平台属性的互联网企业超过了一半。此次《办法》修订的最大亮点，是把网络平台运营者赴国外上市纳入网络安全审查。这一制度设计主要考虑：一方面，赴国外上市的企业主要来自于电商、出行、招聘、教育、物流等重数据资产的领域，往往掌握大量国内用户数据，伴随网络平台业务的快速发展和资本的注入，其自身面临的网络安全风险正逐步增大；另一方面，国外证券监管等法律政策及政治环境近年发生了巨大变化，美国2020年通过的《外国公司问责法》明确提出了针对我国企业的信息披露要求，越来越详尽的数据披露进一步扩大了企业的数据安全风险，并严重威胁我国家安全。为应对日趋严峻的网络安全形势，网络安全审查制度必须与时俱进。　

　

        三、网络安全审查制度在实践中不断完善

        自《办法》2020年6月发布实施以来，网络安全审查以确保关键信息基础设施供应链安全为原则，历经一年半的实践，为关键信息基础设施的持续稳定运行筑起了一道安全防线，也积累了宝贵的审查实施经验。此次《办法》的修订在扩大审查范围的同时，也对审查的工作机制、工作流程等方面进行了适当的调整。调整的主要内容包括：增加证监会作为网络安全审查工作机制成员单位，明确网络安全审查办公室收到合格申报材料的时间为审查开始时间，增加上市申请文件作为上市审查申报材料的一部分，增加上市活动带来的数据安全风险作为国家安全风险考虑的因素之一，延长特别审查的工作时限至90个工作日等。总体上看，审查机制和流程延用了原有审查制度框架，针对新纳入赴国外上市审查这一变化，进行了有针对性的优化，审查制度在实践中正不断得到完善。

        网络安全审查是国家安全审查的重要组成部分，出于适应国际国内网络安全新形势、促进平台经济稳定健康发展的需要，适时地进行制度修订和调整，体现了制度不断向前发展的趋势。持续完善的网络安全审查制度，将为维护国家安全作出更大的贡献。（作者：齐越，中国网络安全审查技术与认证中心工程师）

Cassie7

专家解读｜云霓之望，《网络安全审查办法》修订稿的重要意义

        来源：中国网信网
        链接：http://www.cac.gov.cn/2022-01/05/c_1643005109319998.htm
        日期：2022年01月05日

        没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。如果说，有哪件事情引起了全社会对网络安全的高度关注，甚至到了妇孺皆知的程度，就不能不提及2021年7月几家互联网企业受到网络安全审查事件。同期，已试行三年、正式实施一年的《网络安全审查办法》开始修订，国家互联网信息办公室发布了征求意见稿。由于其将赴国外上市纳入审查范围，在资本市场引发震动。故半年以来，围绕网络安全审查制度的讨论和猜测甚多，一些人甚至将这个制度的影响上升到了中美关系、经济发展的层面。

        而今尘埃落定。2022年1月4日，《网络安全审查办法》（以下简称《办法》）修订后正式发布，成为网络安全、数据安全领域的一件大事。愿得长如此，年年物候新。对这一重要文件，如何理解其意义？可以从四个角度去看待。

        一、顺应形势，直面网络空间重大风险挑战

        当前，世界进入百年未有之大变局，我们在网络空间面临的风险挑战呈现新特点，突出表现为中美在网络空间对抗博弈加剧。战略上，美西方国家在IT高科技领域对我围追堵截、封锁限制，特别是动辄对我实施断供，一些国外企业不惜充当反华马前卒、两面派，我供应链安全面临前所未有的压力。战术上，数据安全被推向国际斗争第一线，外国政府和情报机构加大对我数据资源的攫取。尤其是，美国国会发布《外国公司问责法》，美国证券交易委员会（SEC）据此规定中概股应加强信息披露，其要求获取的企业审计底稿有可能使企业掌握的敏感数据悉数流失国外。

        山雨欲来，当有金石之计。为提高网络产品和服务的安全可控水平，防范供应链安全风险，2017年5月，国家互联网信息办公室印发了《网络产品和服务安全审查办法（试行）》。2020年4月，经试行3年后，国家互联网信息办公室正式印发《网络安全审查办法》。该办法实施仅一年半后，官方便发布修订稿，这正是为了应对一年以来的形势变化，进一步增强对网络空间重大风险挑战的防范能力。尤其是，《办法》在列举国家安全风险因素时，明确指出，要评估供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险，以及上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险。

        二、拨云见日，回应社会广泛关切

        社会对《办法》的热切期盼，主要来自于对几个重大问题的高度关注。此次《办法》的发布，使这些问题都有了最终答案。

        一是赴港上市要不要申报网络安全审查？《办法》第七条明确，文件要求申报审查的情况之一是“赴国外上市”，未提及赴香港上市。当然，这不意味着赴港上市不用再考虑数据安全因素，而是指赴港上市不必主动申报审查。如果网络安全审查机制成员单位认为赴港上市影响或可能影响国家安全的，可以由国家网络安全审查办公室报请中央网信委批准后进行审查。而且，在任何情况下，企业都应当履行数据安全保护义务，并遵守国家关于数据出境安全管理等制度的有关规定。

        二是网络安全审查与数据安全审查关系是什么？《办法》第二十二条明确，国家对数据安全审查另有规定的，应当同时符合其规定。国家互联网信息办公室在答记者问时指出，2021年9月1日，《数据安全法》正式施行，明确规定国家建立数据安全审查制度，网信办据此对《网络安全审查办法》进行了修订，将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围，这说明，网络安全审查是落实《数据安全法》的要求，是在网络数据领域的安全审查。当然，整个《数据安全法》的范围更广。

        三是如何理解审查的启动条件？此前，外界普遍认为，某企业受到审查，是因为其已被列为关键信息基础设施，采购的产品或服务可能影响国家安全。这是对网络安全审查启动条件的误读。事实上，除了主动申报外，还可由网络安全审查工作机制成员单位提请审查（《办法》第十六条），或由社会举报（《办法》第十九条），这与被审查对象是否属于关键信息基础设施、是否采购产品或服务、是否赴国外上市没有必然关系。

        《办法》还回应了社会的另一个关切：某些被审查企业被要求停止注册新用户，这显然是一种防范风险扩大的措施。那么，在审查结论还没有作出的情况下，何时会采取此类措施呢？《办法》第十六条明确，为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和削减风险的措施。这说明，这类措施不是因主动申报而起，而是被审查机制成员单位发现威胁或风险后，采取的应对措施。

        三、辩证统一，聚焦主要矛盾、支持经济发展

        网络安全审查制度有着独特的定位，这是一种国家安全审查。为此，《办法》着力处理好几对关系，体现了辩证统一。

        一是自主和开放的统一。有的人认为，2021年7月审查几家国内互联网企业是网络安全审查制度“首次亮剑”。还有人质疑，这个制度不是为了维护国家安全吗，怎么专挑国内企业“下手”？这都是错误的认识。首先，网络安全审查制度不区分国内和国外，对任何产品和服务一视同仁，目的是防范产品和服务带来的国家安全风险——事实上，在去年7月之前，国家有关部门已经对多家外国企业的产品和服务进行了审查。其次，网络安全审查制度不是为了把国外产品“赶出去”，而是要建立开放环境下维护国家安全的能力。即，在全球化条件下，任何国家不可能隔绝于世界之外，不可能只使用自己的产品和服务。那么在使用国外产品和服务的时候，要有能力防范其中的风险，要安全地使用国外产品和服务。

        二是安全与发展的统一。国家安全极端重要，但不能泛化，不能什么都是国家安全。《办法》聚焦影响国家安全的主要行为，借鉴了国际上同类审查的主要做法，考虑了近些年网络空间国际对抗博弈的特征变化，有着明确的指向和定位。同时，《办法》也顾及经济发展特别是数据驱动的数字经济发展的客观需要，不属于国家安全的事项、能利用常规手段（如产品测评认证制度）解决的，不纳入网络安全审查范围。

        在处罚上，《办法》也充分考虑了经济发展，体现了宽严相济的特点。如前所述，要求停止注册新用户、下架App等措施，对企业影响很大，故当企业主动申报审查时一般不采取这些措施，其适用于已经监测发现风险的特定情况。

        四、协同联动，共同构筑国家网络安全屏障

        当前，我国正在建立“三法两条例”为主的网络安全法律法规体系。除《网络安全法》于2017年6月实施外，《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》均于2021年发布和实施，《网络数据安全管理条例》2021年列入国务院立法计划、已经完成首轮公开征求意见。因此，《办法》与多部法律法规同步出台，是我国网络安全法律法规体系的内在组成部分，同其他网络安全政策法规以及其他领域的相关政策保持了协同。文件在实施时，也将充分考虑协同联动问题，以求整体效果。

        首先，《办法》与《国务院关于境内企业境外发行证券和上市的管理规定》等证券行业监管制度保持一致。后者由证监会会同国务院有关部门研究起草，已于2021年12月公开征求意见。按该文件第八条规定，境内企业境外发行上市的，应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定，切实履行国家安全保护义务。涉及安全审查的，应当依法履行相关安全审查程序。

        其次，《办法》与数据安全监管制度保持一致。《办法》此次修订的主要变化，是增加了对赴国外上市的要求，这主要出于数据安全等方面的考虑。本质上，赴国外上市是一种数据出境行为，要纳入我国数据出境安全管理制度进行管理。但如果已经对其进行了网络安全审查，则当然不必再重复进行出境安全评估，相关风险在审查中一并考虑即可。根据《办法》精神，赴香港上市不用申报网络安全审查，那么此类活动就需要直接落实我国数据出境安全管理规定。这也体现了我国网络安全政策的严密性以及内在的协同性。

        有人关心，《网络数据安全管理条例（征求意见稿）》曾将赴香港上市列为网络安全审查对象，鉴于条例级别高于部门规章，那么今后的政策是否还会生变？这需要考虑到时间因素，目前《办法》是最新的政策，相信有关政策法规会在这个问题上做好协调。（作者：左晓栋，中国信息安全研究院副院长）

Cassie7

专家解读｜新版《网络安全审查办法》筑牢网络安全和数据安全防线

       来源：中国网信网
       链接：http://www.cac.gov.cn/2022-01/06/c_1643071228808863.htm
       日期：2022年01月06日

       《网络安全审查办法》自实施以来，在确保关键信息基础设施供应链安全、维护国家安全方面起到了重要的保障作用。此次《网络安全审查办法》修订，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施保护条例》，旨在确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全。

       一、《网络安全审查办法》修订的亮点

       此次《网络安全审查办法》修订，增加了中国证券监督管理委员会作为国家网络安全审查工作机制成员。

       同时，增加了审查申报对象：掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。这部分申报对象须提交材料包括：申报书、关于影响或者可能影响国家安全的分析报告，拟提交的首次公开募股（IPO）等上市申请文件，网络安全审查工作需要的其他材料。

       网络安全审查重点评估的国家安全风险因素增加了两点内容：一是重点评估核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；二是重点评估上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险。

       针对网络平台运营者赴国外上市申报网络安全审查的结论，从《网络安全审查办法》答记者问看审查结论共分三种情况：一是无需审查；二是启动审查后，经研判不影响国家安全的，可继续赴国外上市程序；三是启动审查后，经研判影响国家安全的，不允许赴国外上市。

       二、各国为确保平台和数据安全纷纷出台监管措施

       国际重点国家和地区为防范网络安全、数据安全等安全风险，纷纷出台网络平台的监管措施，如《美国选择与创新在线法案》《终止平台垄断法案》《平台竞争和机会法案》《并购申报费现代化法案》《在线隐私法（草案）》等，《欧盟数字市场法（草案）》《数字服务法（草案）》《通用数据保护条例》，《俄罗斯联邦大众传媒法》《信息、信息技术和信息保护法》等等。

       其中，美国为保障国家安全出台了《确保信息通信技术及服务供应链安全行政命令》及配套规则，明确提出其审查涉及的敏感数据包括企业数据和个人数据两类，具体包括：一是企业在12月内任何时间点保存、收集、维护超过100万个人数据的情况，以及为美国行政部门和军事部门的人员和承包商提供特定或专用产品服务的企业收集的信息情况；二是个人征信数据、消费数据、保险数据、健康状况数据、非公开电子通信数据、地理位置数据、生物识别数据、身份识别数据等，以及个人基因检测信息、疾病信息等遗传信息。

       三、我国网络平台运营者赴国外上市风险加大

       随着美国《外国公司问责法案》和最终配套规则的发布，美国公众公司会计监督委员会（PCAOB）6100审计相关规则的发布，这些监管条款明显针对我国企业。如，要求在美上市企业提交关联公司的董事会成员中的中国共产党官员的姓名，明确发行人公司制度文件中是否包含中国共产党章程等。SEC还专门针对我国赴国外上市企业发布了《致中国公司的信函范本》的声明，要求美国指定注册会计师事务所为发行人编制的审计报告，明确提出合同协议不等同于VIE业务的股权所有权。

       如果我国企业连续三年被SEC认定为“发行人”，SEC将会立即对其实施交易禁令。如果“发行人”希望终止交易禁令，必须证明PCAOB能够检查或调查的其使用的注册会计师事务所。但近日，PCAOB又发布《〈外国公司问责法〉认定报告》，认定60余家在美注册中国会计师事务所“无法完成检查或调查”，国外的审计更加严格。

       目前情况下，掌握关键信息基础设施、核心数据、重要数据或者大量个人信息的网络平台运营者赴国外上市存在着较大的安全风险。

       四、企业应提高安全意识，积极主动申报审查

       根据《中华人民共和国国家安全法》第十一条，中华人民共和国公民、一切国家机关和武装力量、各政党和各人民团体、企业事业组织和其他社会组织，都有维护国家安全的责任和义务。

       我国网络平台运营者作为我国国家安全的责任主体的一部分，一是需加强国家安全的主体责任意识，防范上市给我国国家安全带来的风险；二是掌握关键信息基础设施、核心数据、重要数据或者大量个人信息的我国企业赴国外上市，存在被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险时，应积极主动申报网络安全审查，防范企业上市给国家安全带来风险。（作者：刘金芳，中国网络安全审查认证中心工程师）

Cassie7

专家解读｜新版《网络安全审查办法》发布实施 重在压实平台运营者网络安全主体责任

        来源：中国网信网
        链接：http://www.cac.gov.cn/2022-01/06/c_1643071228899247.htm
        日期：2022年01月06日

        当前社会的网络化进程不断深化，网络已经深刻影响到我国经济发展和民众日常生活，一些大型网络平台甚至已成为支撑社会运转的数字基础设施。网络平台的兴起，体现在其所拥有的数字市场操控能力及其商业模式对传统行业的颠覆性影响。网络平台的繁荣发展，在为全球经济注入活力的同时，也引发了新问题。网络平台运营者已经将用户与数据作为一种新资本，把数据化和商品化作为平台的核心运行机制。放眼全球，当前网络巨头的平台权利不仅能通过流量分配来控制依附于平台的相关方，甚至在自身发展成为社会数字基础设施的过程中，如果缺乏监管可能会影响到国家的经济、文化、社会和政治安全[1]，从而引发新的国家安全风险。

        欧盟一直以来对大型网络平台公司坚持严格治理的态度。根据《欧盟外商直接投资审查条例》，欧盟从关键基础设施、关键技术、关键供应、敏感信息等方面，审查非欧盟投资对欧盟成员国国家安全和公共秩序的风险。2020年12月，欧盟发布了《数字服务法案》和《数字市场法案》提案，针对在数字市场充当“看门人”角色的大型网络平台，明确监管内容和方式，设定了确保公平竞争等责任义务，以构建更加安全、透明和值得信赖的在线网络环境，促进欧盟数字创新和数字经济发展。

        美国近年来改革一系列法案要求，利用审查等手段维护本国大型网络平台企业商业及技术全球领先地位。2018年先后通过《外国投资风险审查现代化法案》（Foreign Investment Risk Review Modernization Act，FIRRMA）和《针对审查涉及外国人士和关键技术的若干交易的试点规定》，其中，FIRRMA明确要求对投资于美国技术、基础设施、数据等有关业务进行审查，突出了关键技术、关键基础设施和敏感个人数据在国家安全审查中的重要性。2020年8月，美国财政部发布《关于保护美国投资者防范中国公司重大风险的报告和建议》，针对包括中国在内的美国公众公司会计监督委员会（Public Company Accounting Oversight Board，PCAOB）无法实施检查的辖区，对美国证券监管机构（SEC）提出多项建议，包括对来自这些辖区的公司提高上市门槛，加强信息披露要求，强化投资风险提示等等，并建议SEC要求对已在美上市公司不满足PCAOB检查要求的进行摘牌。

        2021年2月，拜登签署《美国供应链行政令》，要求六大部门在一年内提交国防、公共卫生、信息技术、能源、交通和农业供应链安全审查报告。2021年5月，美国公众公司会计监督委员会（Public Company Accounting Oversight Board，PCAOB）就《外国公司问责法案》（Holding Foreign Companies Accountable Act，HFCAA），有关实施细则征求意见，这意味着主要针对中概股的监管政策，即将进入实质性执行阶段。2021年6月，拜登签署《关于保护美国人敏感数据不受外国竞争对手侵犯的行政令》，要求采取规范的决策框架和严格的实证分析，防范交易可能对美国国家安全和美国人民带来的风险，包括被敌对国家管辖的人员设计、开发、制造或供应的软件应用程序等风险。2021年12月，为落实《外国公司问责法案》的立法要求，SEC公布了最终实施规则，对受监管公司范围、申报及披露义务、以及强制退市程序等备受关注的问题明确了实施细则，其中多项要求直指中概股。

        相较于欧美等发达经济体，不断收紧对网络平台的监管要求，我国对网络平台运营者的监管要求逐步从“审慎包容”转向“强化督查”，以规范平台运营者健康发展。在这种新形势下，2022年1月，《网络安全审查办法》（以下简称《审查办法》）修订后正式发布。新版《审查办法》完善了国家网络安全审查有关要求，是坚持总体国家安全观，有效应对新形势下国家网络安全威胁，压实网络平台运营者国家安全和数据安全主体责任的重要举措。

        一、新版《审查办法》维护国家安全的根本目的不变，制定依据增加了《数据安全法》和《关键信息基础设施保护条例》

        新版《审查办法》的根本目的未变，表明建立实施审查制度“维护国家安全”的初心未改。《国家安全法》第五十九条要求国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。国家安全风险是动态的、相对的、多样的。在当前平台经济迅猛发展的时代背景下，网络平台对国家政治、经济、文化、社会以及公民合法权益等方面的影响不断增大，引发了新的网络安全风险，为了维护国家主权、安全和发展利益，需要完善审查有关要求，积极防御和有效应对。

        2021年，我国发布《数据安全法》和《关键信息基础设施保护条例》（以下简称《关基保护条例》），新版《审查办法》增加了相应法律依据。其中，《数据安全法》第二十四条要求“对影响或者可能影响国家安全的数据处理活动进行国家安全审查”，新版《审查办法》配套《数据安全法》有关审查要求，明确了网络平台运营者赴国外上市等数据处理活动的规定。《关基保护条例》第十九条要求运营者“采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查”，新版《审查办法》在原有关键信息基础设施运营者采购活动审查要求基础上，在制度依据方面体现了与《关基保护条例》的衔接关系。

        同时，新版《审查办法》立足维护国家安全根本目的，遵循的基本原则未变，仍为“防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监督相结合、企业承诺与社会监督相结合”。其中，值得说明的是，新版《审查办法》仍坚持防范网络安全风险与促进先进技术应用相结合，是统筹安全与发展的核心思想的体现，说明审查并不是以追求闭关锁国、技术倒退为目的，而是要在开放的环境下，有效识别和防范国家安全风险。

        二、新版《审查办法》关键信息基础设施运营者采购活动审查要求基本未变，审查对象增加了网络平台运营者赴国外上市活动

        我国网络平台社会数字基础设施重要性日益凸显，对国家安全和社会公共利益影响逐渐突出。大型网络平台运营者具有服务供给者和市场监督者双重职能的特征日益凸显。网络平台不仅为供需双方提供数字基础设施服务，是服务提供者；更重要的是越来越多的大型网络平台已具备一定的社会治理功能，这些企业通常会围绕平台运营，构建一套市场、用户和规则的自有治理结构，承担“看门人”的职能。网络平台这种前所未有的影响力对传统行业监管带来了很大挑战，不仅导致监管盲区，还一定程度上弱化甚至替代了国家公共部门监管体系。

        随着我国网络平台业务及技术能力的迅猛发展，近年来平台运营者选择赴国外上市的数量日益增多。例如，在美上市的中概股企业累计数量已达近三百家，其中约半数为网络平台运营者，仅以2021年上半年为例，就有近40家中概股企业在美上市。如何在促进企业发展的同时，保障国家安全和数据安全，迫切需要在制度层面明确企业主体责任。

        为此，新版《审查办法》在对关键信息基础设施运营者的产品和服务采购活动进行审查的基础上，重点增加了网络平台运营者赴国外上市活动的审查要求。其中，包括在第二条中增加“网络平台运营者开展数据处理活动”，还增加第七条“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”。可以看出，新版《审查办法》的适用对象明确增加网络平台运营者赴国外上市活动，以适应当前平台经济发展引发网络安全新风险监管要求的形势需要。

        三、新版《审查办法》启动方式和整体过程未变，审查中评估的重点因素补充了数据安全有关考虑

        新版《审查办法》的制度框架未变：一是审查启动方式仍为2种，一种为关键信息基础设施运营者或平台运营者申报审查，另一种是中央网信委批准实施的审查；二是审查整体过程基本未变，主要包括审查申报、初步审查、特别审查等。

        新版《审查办法》在第十条中补充了审查过程中需要评估的国家安全风险因素，包括“（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素”。补充这些因素，明确了审查过程中，重点关注赴国外上市网络平台运营者有关风险考虑，同时也体现审查立足国家层面网络安全和数据安全的监管视角。（作者：吴迪，中国网络安全审查技术与认证中心高级工程师）

        注1：国家介入、平台依赖于新闻业可持续发展——欧盟与澳大利亚平台监管政策的比较与启示，张志安，冉桢，新闻与写作.2021，（12）