《网络安全审查办法（修订草案征求意见稿）》为什么这样改？重点解读、前后对比

李威03

《网络安全审查办法（修订草案征求意见稿）》为什么这样改？重点解读、前后对比

出品丨自主可控新鲜事

本文内容来源于金杜研究院、中国信息安全研究院

正文共6637，建议阅读时间15分钟

微信原文请点击：《网络安全审查办法（修订草案征求意见稿）》为什么这样改？重点解读、前后对比

2021年7月10日，国家网信办官网发布了《网络安全审查办法（修订草案征求意见稿）》（以下简称《修订草案》），向社会公开征集意见。

正值国家网信办对滴滴等企业实施网络安全审查期间，故《修订草案》的公布引发了社会强烈关注，各方纷纷对比新旧文件的差别。

《网络安全审查办法》修订基于何种考虑？代表了什么政策趋势？除正被审查的企业外，已在国外上市或重要数据、个人信息处理者会受到什么影响？企业今后如何化解合规风险？这成为当前业内十分关心的问题。

今天，小编带大家一起解码《修订草案》。

重点内容解读

本解读主要关注意见稿中的两方重点内容，一是本次重点新增问题，其二是基础问题。

一、重点新增问题

1）意见稿的适用对象？

意见稿适用对象包括关键信息基础设施运营者以及数据处理者。鉴于其中的数据处理者为新增主体，因此我们理解，即使企业不落入或者不确定是否落入关键信息基础设施运营者范围，若开展数据处理行为且达到影响或可能影响国家安全的标准，也有较高概率落入意见稿的监管范围。

2）主体适用的情况下，满足什么条件需要申报网络安全审查？

如果企业为关键信息基础设施运营者或者数据处理者，则满足以下条件之一即需要申报或通过网络安全审查：

自行申请

• 关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的；
  
• 掌握超过100万用户个人信息的运营者（关键信息基础设施运营者及数据处理者）赴国外上市的。
  
  
  
  

主动审查

• 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为的；
  
  
  
  

3）拟在港股上市，是否需要申请网络安全审查？是否也要符合数据出境等合规要求？

意见稿中所使用的表述为“国外上市”而非“境外上市”，我们理解，二者之间可能存在部分差别。

根据《中华人民共和国出境入境管理法》第八十九条，出境是指由中国内地前往其他国家或者地区，由中国内地前往香港特别行政区、澳门特别行政区，由中国大陆前往台湾地区；入境是指由其他国家或者地区进入中国内地，由香港特别行政区、澳门特别行政区进入中国内地，由台湾地区进入中国大陆。由此我们理解，“境外”实际上包含港澳台地区。

而对于“国内”、“国外”的区分，我们理解从文义解释，“国内”通常而言应当包含港澳台地区，而“国外”指“中华人民共和国以外的国家和地区”。

在上述理解的前提下，我们理解港股上市被认定为“国外上市”的可能性相对较低。但是鉴于我们上述对“境外”和“国外”的解读源于对其他领域法律的研究和参考，且本意见稿中并未对相关术语进行明确，我们仍无法排除相关概念有其他含义的可能性，建议对相关法律动态保持跟踪和关注。

对于港股上市过程及上市后数据传输至香港而言，参照《信息安全技术 数据出境安全评估指南》内“数据出境”的定义，其主要指“网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动”，因而从“境内”、“境外”划分的角度并结合上述对概念的解读，我们理解，数据传输至香港仍应属于数据跨境，因此企业需要满足我国《网络安全法》、《数据安全法》及配套措施内有关数据跨境的规定。

4）100万用户个人信息是指100万条个人信息还是100万人的个人信息？

与此要求类似的规定可见于《国家网络安全检查操作指南》中“认定关键信息基础设施”部分。在认定关键信息基础设施时所考查的因素包括“注册用户数超过1000万”、“日均访问量超过100万人次”、“造成超过100万人个人信息泄露”等，均从个人信息主体数量而非个人信息数量的角度进行规定。

鉴于《国家网络安全检查操作指南》与意见稿具有类似的立法目的，即对可能影响个人数量较多的实体或者活动（包括但不限于赴国外上市）进行严格监管，以保障经济和民生利益，我们理解，意见稿中的“100万用户个人信息”指100万自然人个人信息的可能性较高。

5）如何理解“掌握”个人信息，如仅提供存储或传输服务，或委托云服务商等其他第三方处理，是否落入监管范围？

我们理解，“掌握”个人信息这一表述与“控制者”的概念存在相似之处，因此对其的解读可以参考对控制者的定义。但鉴于我国目前在法律层面尚未进行控制者和处理者的明确区分，从监管趋严的角度而言，我们建议企业将物理上的数据的控制以及法律上对数据的处置均纳入此范畴并申请网络安全审查。

6）申报网络安全审查需要提交什么材料，IPO材料需要提供多少？

申报材料应当包括：

（一）申报书；

（二）关于影响或可能影响国家安全的分析报告；

（三）采购文件、协议、拟签订的合同或拟提交的IPO材料等；

（四）网络安全审查工作需要的其他材料。

具体而言，参考数据安全等相关立法，我们理解分析报告可能包含供应链安全、数据安全及合规、数据出境、司法管辖冲突解决机制等多项内容。出于审查目的考虑，我们理解IPO材料可能包括招股书等，但是否包括工作底稿还有待确定。

7）网络安全审查需要多长时间，是否会影响上市进程？

根据意见稿的规定，网络安全审查办公室应当自收到审查申报材料起，10个工作日内确定是否需要审查并书面通知运营者。如果认为需要开展网络安全审查的，自向运营者发出书面通知之日起30个工作日内完成初步审查，情况复杂的可以延长15个工作日。网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门自收到审查结论建议之日起15个工作日内向运营者书面回复意见。网络安全审查工作机制成员单位意见不一致的，按照特别审查程序处理，特别审查程序一般应当在3个月内完成，情况复杂的可以延长。

总得来说，一般程序所需时间，自申报开始，最长需要10+30+15+15=70个工作日。而对于特别审查程序，最长为：70个工作日+3个月+n≈135+n个工作日，即实际所需自然日可能达到180日（6个月）以上。

二、基本问题

1）什么是关键信息基础设施运营者？

关键信息基础设施包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，但其具体范围和安全保护办法暂未正式出台。

在2020年公安部发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》中，公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门应制定本行业、本领域关键信息基础设施认定规则并报公安部备案。同时应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。

2）网络安全审查的主管机构有哪些？

主要包括国家网络安全审查工作机制和网络安全审查办公室。

网络安全审查办法（修订前后对比）

为什么这样改？

1、问：7月10日，网信办发布了《网络安全审查办法（修订草案征求意见稿）》，开始征求意见。之前，网信办陆续公布了滴滴等企业接受网络安全审查的消息，结合此消息，该如何看待此次该办法修订的背景？

左晓栋（中国信息安全研究院副院长）：《网络安全审查办法》的修订，发生在对滴滴等赴美上市企业审查期间，且其条款针对企业赴国外上市作了明确规定，所以大家很容易将这两件事关联起来，公众的关注点也很容易停留在这上面。事实上，这次修订是一次重大制度设计。

首先，《修订草案》中相关上市要求条款是在落实最近中办、国办最近印发的《关于依法从严打击证券违法活动的意见》精神。该意见要求“加强跨境监管合作。完善数据安全、跨境数据流动、涉密信息管理等相关法律法规”。

其次，更重要和更实质性的，《修订草案》是为了落实《数据安全法》第二十四条的要求。该条提出，国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。企业赴国外上市只是可能出现数据安全风险的一种具体情形，所以从整体上说，《修订草案》是为了建立数据安全审查制度。

《数据安全法》将在2021年9月1日实施，此次审查办法的修订，表明数据安全法进入实施前紧锣密鼓的准备阶段，法律中设立的各项重大制度将逐步通过法规和细则予以落实。

2、问：《修订草案》在数据安全法颁布后即刻发布，我们应该怎么看待网络安全审查制度和数据安全审查制度的关系？两者是否合并实施了？

左晓栋：关于网络安全审查制度和数据安全审查制度的关系，社会上有几种疑问。一是：这两个制度是同一个部门实施吗？在网络安全审查制度已经由国家网信部门实施的情况下，数据安全审查制度是否由中央国家安全领导机构的办事机构或国家安全机关实施？二是如果数据安全审查制度也由国家网信部门实施，那么网络安全审查制度和数据安全审查制度会合并实施吗？

这些疑问涉及到部门职责，需要权威部门给出解答。但有几个事实是清晰的。一是中央网信办已经成立了一个新的局，即“网络数据管理局”，最近的新闻中已经披露了该局的一些公开活动；二是《修订草案》所有新修订内容都明确指向了对数据处理活动影响国家安全风险的审查，且在《修订草案》中这本身属于网络安全审查的一部分。这两个事实应该能够部分回答社会上的上述疑问。

另外，从技术上讲，至少有以下三点也是明确的：

（1）《数据安全法》第二十四条提出数据安全审查制度的立法宗旨，就是防范数据处理活动带来的国家安全风险，这与《修订草案》的变动是一致的。

（2）网络安全和数据安全不可能绝对剥离，且很多网络安全风险来自数据处理活动，网络安全审查制度天然应当包括对数据处理活动的审查。即使在修订之前的《网络安全审查办法》中，也已经考虑了“重要数据被窃取、泄露、损毁的风险”。因此，如将两者严格分开甚至放在不同部门，本身有违科学规律。

（3）在国家已经建立了整套网络安全审查制度的前提下，不太可能也没有必要另起炉灶重新建立一个数据安全审查办公室、重新指定技术支撑机构，这在资源上也是浪费，且因技术上的部分重合必然带来职责交叉。

当然，数据安全审查制度的建立是一个需要不断探索的过程，我认为这次只是一个开头，并不表明这个制度已经完全建立起来了、所有的问题都解决了。但是其迈出了最重要的第一步，相信这个制度会随着时间发展不断健全完善。

3、问：滴滴等企业宣布被审查后，《修订草案》才发布，此刻数据安全法还没有正式生效，对此次审查的法律依据您如何评价？

左晓栋：滴滴被审查之初，的确很多人猜测是因为滴滴被列为了关键信息基础设施。因为网络安全审查的启动条件是关键信息基础设施运营者采购产品和服务时可能影响国家安全。甚至为此还引发了很多“阴谋论”。

事实上，这与滴滴是否被列为关基没有必然关系，因为网络安全审查的启动还有第二种条件，即网络安全审查机制成员单位认为网络产品和服务可能影响国家安全。数据处理活动，显然是一种“网络服务”。

因此，对滴滴等企业启动安全审查，法律依据是充分的。

不同的是，滴滴等这些企业存在的网络安全风险，主要是数据安全风险，且因企业赴美上市而引发。因此，虽然法律依据充分，但举一反三，尽快建立我国数据安全审查制度，针对特定领域的安全风险作出制度性安排，并针对企业赴国外上市等特殊场景明确制度细则，就成了当务之急。

数据安全法的确还没有生效，但审查办法的修订也有一个过程。修订完成开始实施时，一定会和数据安全法的生效日期保持协调，也就是2021年9月1日。

4、问：《修订草案》中的“数据处理者”适用于哪些企业？《修订草案》通过后，已经在境外上市的互联网企业是否还需要进行网络安全审查？还有哪些企业在处理数据时要主动申报网络安全审查？

左晓栋：应当从数据安全法的实施范围出发去理解“数据处理者”。《数据安全法》规定，数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。这意味着，所有涉及上述数据处理活动的主体，只要其活动影响或可能影响国家安全，都应当接受网络安全审查。从这个角度而言，修订后的网络安全审查办法的规范对象较广。

当然，对实施范围的理解也要结合网络安全审查办法的特性。网络安全审查是一种重要的威慑手段，既然是“威慑”，那就不可能轻易、频繁使用。所以，虽然没有规定哪类数据处理活动一定可以豁免网络安全审查，但也不可能每一次的数据处理活动都要进行审查。但我个人认为，今后在这个问题上有必要制定进一步的细则。《修订草案》第六条规定，掌握超过100万用户个人信息的运营者赴国外上市要申报网络安全审查，这是一种明确的启动条件。但其他情形下数据处理活动进入网络安全审查程序的启动条件是什么呢？评判标准是什么呢？这有待后续明确。

至于审查办法的修订稿实施后，哪些企业需要补充申报网络安全审查，或者主动申报网络安全审查，需要等待政策进一步的规定。但可以明确的是，从现在起，所有的数据处理者，特别是掌握了批量个人信息或重要数据的大型互联网企业、公共服务机构，以及已经在国外上市的互联网企业，要自行组织或者委托专业机构对本企业数据处理的合规性，特别是其数据处理是否可能影响国家安全，抓紧开展自查。

即使没有网络安全审查制度，相关企业也应该重视这项工作。因为《数据安全法》第三十条已经对重要数据处理者规定了“定期开展风险评估”的义务。《个人信息保护法（二审稿）》第五十四条也规定了“合规审计”的义务，第五十五条规定了“事前进行风险评估”的义务。

5、问：《网络安全审查办法》在2020年刚刚印发实施时，很多人认为这个制度是“对外”的，但首次公开实施即针对国内企业。特别是新增的第六条“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”，这更是针对国内企业，怎么理解这一情况？另外，第六条规定的100万用户的门槛并不高，是否意味着所有赴国外上市的企业都需要接受网络安全审查？

左晓栋：有必要指出，网络安全审查制度的实施从来就不是只“对外”或者“对内”。这个制度一视同仁，目的是建立在开放环境下维护国家安全的能力。所谓“开放环境”，是指在全球化条件下，不可能闭关锁国拒绝国外网络产品和服务，但也不意味着国内产品和服务就没有风险。

另外还要指出，很多人将注意力放在审查滴滴是网络安全审查制度首次彰显威力，这种论断有吸引眼球的嫌疑。加上前期的三年试行、去年一年的正式实施，这项制度已经有四年之久的历史了，怎么可能是第一次实施呢？又怎么可能只盯着国内企业呢？因此，社会上炒作“首次”和“国内企业”毫无意义。

《修订草案》第六条的规定的确针对的国内企业，因为在国外上市是一种特定的可能导致数据安全风险的活动，是当前的一个热点问题，国外企业在美国上市管他干什么？但这不是《修订草案》新增审查内容的全部。甚至根据《数据安全法》第二条的规定，不但境内的国外、国内企业开展数据处理活动要管，甚至境外的数据处理活动如果影响我国国家安全，不排除也要进行审查。

100万的确不是一个高门槛，对目前主流互联网服务而言，用户可以轻易超出100万。特别是企业到了可以上市的程度时，其用户量更为可观。但这个100万的数字并不是从企业经营规模或经济实力考虑的，而是综合考虑了我国互联网产业发展的实际情况、批量个人信息泄露后对国家安全和公共利益带来的影响而确定的标准，主要考虑的是社会影响。实践中，100万用户已经是很大的群体，发生个人信息安全事件的影响已经相当严重，所以说这个门槛是相对合适的。

6、问：特别审查程序从之前的45个工作日改为了3个月内完成，相当于在过去的基础上增加了半个月时间。这是否意味着审查程序会比过去更为复杂？这会不会对审查的技术准备工作带来挑战？

左晓栋：审查办法修订后，需要审查的情形增多，有的比较复杂，例如在国外上市这种情况。这次审查机制成员单位增加了证监会，针对的也是这类情况。因此，特别审查程序的时间需要适当延长。

出于效率的考虑，常规审查程序的时长没有变化。所以总体而言，审查程序没有本质变化。

但也要看到，《修订草案》毕竟扩展了数据安全审查内容，所以在具体的审查标准、技术手段、工作流程等方面，应当会做一些新的准备。

当然，一些人可能会关心，将来审查办或审查技术与认证中心是不是会“忙不过来”？新增的工作肯定会有，但我认为也不至于出现忙不过来的情况。这里面可能有个认识上的误区。如前所述，“审查”是一种非常规手段，不是“审计”，不是“评估”，不会事事审、时时审。

END

免责声明：本文系网络转载，版权归原作者所有。但因转载众多，或无法确认真正原始作者，故仅标明转载来源，如涉及作品版权问题，请与我们联系，我们将在第一时间协商版权问题或删除内容！内容为作者个人观点，并不代表本公众号赞同其观点和对其真实性负责。