尘埃落定，赴港上市企业不再需要进行网络安全审查

数据安全君

｜小贝案语｜
■ 在新年的第一个工作日，《网络安全审查办法》（以下简称《办法》）的修订稿正式发布。自2021年7月发生滴滴等企业受网络安全审查事件以来，《办法》的修订一直受到社会广泛关注。特别是，其中关于上市的条款搅动了中概股和港股市场风云，2021年11月公开征求意见的《网络数据安全管理条例》又进一步加重了业界的猜测。而今靴子终于落地，企业上市过程中面临的政策不确定性因素已然消散，且文件对企业上市总体利好，是一项刺激经济发展之举。围绕社会重大关切，小贝说安全总结了关于《办法》的几个结论和认识。为阅读方便，文末附上了《办法》原文。


一、赴香港上市不要求进行网络安全审查
  
2020年以来，美国证券交易委员会（SEC）对中概股提出严格要求，中企赴美上市风云突变。

2021年7月，“滴滴”事件中，国家网络安全审查之剑直指赴美上市的三家中国企业；同期，《办法》征求意见稿明确指出，赴“国外”上市的国内企业要接受网络安全审查。这一度刺激了国内企业转而赴港上市的意愿。

然而，2021年11月，《网络数据安全管理条例（征求意见稿）》第十三条又规定，数据处理者赴香港上市，影响或者可能影响国家安全的，也应当进行网络安全审查，这一政策动态使一大批拟赴港上市企业停下观望。
  
香港联交所也注意到了上述变化，多次要求境内企业出具权威数据安全背书，这也加重了企业的焦虑。
  
随着《办法》的发布，如今政策已经十分明朗——文件只对企业赴国外上市提了要求，不再提及香港，意味着赴港上市企业不需要进行网络安全审查。
  
二、《网络安全审查办法》和《网络数据安全管理条例》将保持一致
  
2021年11月14日，《网络数据安全管理条例》（以下简称《条例》）公开征求意见。关于网络安全审查，其文字描述与《办法》的征求意见稿不完全相同。由于《条例》征求意见时间（11月）晚于《办法》征求意见时间（7月），且《条例》定位于国务院行政法规，法律地位远高于《办法》作为部门规章的定位。故业内曾一度认为，《条例》代表了《办法》的修订方向。但最终的《办法》却依然与《条例》征求意见稿有所区别，特别是在关于赴港上市的问题上。
  
于是问题便产生了。《办法》层级低但已正式发布，《条例》层级高但是刚刚征求完意见，而在关键问题上两者表述不一致，怎么理解这种情况？即使《办法》已经最终发布，社会上也依然有所顾虑。
  
要看到，《办法》和《条例》的起草单位都是国家互联网信息办公室。因此，对于《条例》征求意见稿与《办法》最终稿的区别，归根结底是国家互联网信息办的内部协调事项（虽然《条例》后期要走国务院立法程序）。故而，两个文件中出现的不一致情况，与文件起草的不同阶段有关，应当以时间顺序而不是文件级别来作判断。目前，《条例》的征求意见期已经结束，随后会进入修改阶段，相信修改时会保持两者的一致。
  
三、境外上市企业仍不可回避数据出境安全管理义务
  
既然对赴港上市没有了数据安全审查的“路条”要求，那么企业是否还要再考虑数据安全问题呢？
  
答案是肯定的，企业赴香港上市依然应当认真对待数据安全问题。甚至在某种程度上，数据安全问题依然是决定企业赴港上市成功与否的重要因素。
  
这是因为，企业无论在国外还是香港上市，都属于数据出境行为，而我国正在建立数据出境安全管理制度。但如果赴国外上市活动已纳入网络安全审查事项，当然就不必再重复进行出境安全评估，相关风险在审查中一并考虑即可。那么，现在既然赴香港上市不用进行网络安全审查，则就又回到了数据出境安全这个话题上，企业当然要受这一制度管辖。
  
四、网络安全审查不等同于数据安全审查
  
2021年9月1日实施的《数据安全法》在第二十四条规定，国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。因此，社会上在解读《数据安全法》时，往往将滴滴等企业受到网络安全审查，以及《办法》对企业上市的网络安全审查，都作为数据安全审查制度的实施案例，甚至有的人将网络安全审查与数据安全审查合二为一。
  
此次《办法》第二十二条第二款指出，国家对数据安全审查、外商投资安全审查另有规定的，应当同时符合其规定。这意味着，官方首次明确，网络安全审查与数据安全审查不是等同的，以往社会上的很多解读是错误的。
  
五、上市是数据处理活动的一种而非全部，但上市有特殊性
  
《办法》最主要的修订，是在第二条中增加了“网络平台运营者开展数据处理活动”。即，网络安全审查制度自2017年正式建立以来，始终针对的是关键信息基础设施运营者采购产品和服务可能为国家安全带来的风险。此次则增加关注了对网络平台运营者开展数据处理活动时可能为国家安全带来的风险。
  
但从《办法》第二条之后的内容看，其明确指出的“数据处理活动”只有一种情况，即第七条提到的“掌握超过100万用户个人信息的网络平台运营者赴国外上市”。这就产生了新的问题，除了上市外，其他的数据处理活动就不用进行网络安全审查了吗？
  
回答这个问题，需要深刻理解《办法》第二条与其他条款的关系。第二条列出的是网络安全审查的宗旨，即影响或可能影响国家安全的行为要受到审查。尔后几条分别列出了对关键信息基础设施运营者采购产品和服务，以及网络平台运营者赴国外上市进行审查的程序性要求。需要注意，这些程序性要求针对的是主动申请审查的情况。但不意味着其他不需主动申请审查的活动就一定不会受到网络安全审查了。
  
因此，对赴国外上市之外的其他数据处理活动，不是不审查，而是在程序上不要求主动申报审查。
  
六、不能从“平台运营者”角度判断是否属于审查对象
  
《办法》在2021年7月征求意见时，新增的被审查对象是“数据处理者”。而《办法》最终发布时使用的是“网络平台运营者”。特别是，根据《办法》第七条规定，应当进行审查的对象是掌握超过100万用户个人信息的“网络平台运营者”。这必然会带来一个问题：有的企业虽然掌握了100万以上的用户个人信息，但其属于传统企业（例如食品生产企业），明显不是互联网企业，那么其是否属于被审查对象呢？
  
不仅如此，鉴于《办法》本身没有对“网络平台运营者”进行定义，有的人会参考《网络数据安全管理条例（征求意见稿）》或国家市场监管总局发布的《互联网平台分类分级指南（征求意见稿）》中的相关定义。但客观上，当企业掌握了100万以上用户个人信息时，其如果不涉及通过网络提供服务，这几乎是不可想象的。
  
因此，“网络平台运营者”本身不是用来区分某企业是否应该进行网络安全审查的依据。
  
  
七、对上市企业新增了“网络信息安全风险”的评估
  
《办法》第十条指出了网络安全审查重点评估的国家安全风险因素。其中第（六）项针对的是赴国外上市活动。即，上市存在的关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险。
  
对比2021年7月的《办法》征求意见稿，上述描述增加了“网络信息安全风险”。该词重点指向的是信息内容安全风险，即违法有害信息大规模扩散的情况。目前，利用人工智能、区块链、深度伪造、定向推送等技术传播违法有害信息、破坏网络安全设施的事例越来越多，技术风险已经与意识形态风险交织在一起，而赴国外上市活动将直接与外国机构打交道，这方面的风险不得不防。
  
八、网络安全审查启动条件不止一种
  
很多人认为，网络安全审查只有一种启动条件，这来自于对文件字面意思的片面理解。正是这种认识，导致2021年7月滴滴被审查时猜测满天飞。
  
实际上，网络安全审查的条件可以有三种。第一种见《办法》第二条，即主动申报。第二种见《办法》第十六条，即网络安全审查工作机制成员单位提请审查。第三种见《办法》第三条和第十九条，即社会举报。
  
九、特殊情况下企业要在审查期间采取预防和消减风险的措施
  
《办法》第十六条指出，为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。这可以认为是一种处罚措施，例如要求产品下架、停止注册新用户。但需要指出，这种处罚措施一般只适用于第十六条（以及社会举报），一般不适用于按照正常程序主动申报审查的情况。
  
十、试图规避“上市”网络安全审查的捷径不可行
  
企业上市的情况其实很复杂。例如，境内企业很多采取VIE（可变利益实体）架构；除了IPO（首次公开募股）外，重组上市、买壳上市、造壳上市等也是可选的上市路径；不仅如此，还有些企业试图成立独立公司，将数据处理业务从拟上市企业中剥离出来，转移给独立公司，并与该公司签署数据服务合同。
  
《办法》的出台不是孤立的，要与前不久征求意见的《国务院关于境内企业境外发行证券和上市的管理规定》一起理解。从后者对“上市”所作定义看，试图通过改变形式而规避网络安全审查的渠道基本走不通。特别是，网络安全审查制度的关注焦点是上市行为是否会导致数据安全、网络安全或信息内容安全风险，这是网络安全审查制度中定义“上市”行为的判断准则。故在制度实施中，不会拘泥于上市的形式，而将抽丝剥茧关注数据处理行为。
｜小贝结语｜
■ 网络安全审查是一项不断发展着的重要制度。《网络安全审查办法（修订）》的印发是一件大事，代表着一段时间内的制度探索有了结果。本期文章对此作了总结，但也仅是观点摘要，后续将推出完整的分析。
附：《网络安全审查办法》全文

国家互联网信息办公室
中华人民共和国国家发展和改革委员会
中华人民共和国工业和信息化部
中华人民共和国公安部
中华人民共和国国家安全部
中华人民共和国财政部
中华人民共和国商务部
中国人民银行
国家市场监督管理总局
国家广播电视总局
中国证券监督管理委员会
国家保密局
国家密码管理局
令
第8号
  《网络安全审查办法》已经2021年11月16日国家互联网信息办公室2021年第20次室务会议审议通过，并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意，现予公布，自2022年2月15日起施行。
网络安全审查办法
第一条 为了确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全，根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》，制定本办法。
第二条 关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。
前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。
第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。
第四条 在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。
网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。
第五条 关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。
关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。
第六条 对于申报网络安全审查的采购活动，关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。
第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。
第八条 当事人申报网络安全审查，应当提交以下材料：
（一）申报书；
（二）关于影响或者可能影响国家安全的分析报告；
（三）采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请文件；
（四）网络安全审查工作需要的其他材料。
第九条 网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内，确定是否需要审查并书面通知当事人。
第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：
（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；
（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；
（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；
（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；
（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；
（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；
（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
第十一条 网络安全审查办公室认为需要开展网络安全审查的，应当自向当事人发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见；情况复杂的，可以延长15个工作日。
第十二条 网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。
网络安全审查工作机制成员单位、相关部门意见一致的，网络安全审查办公室以书面形式将审查结论通知当事人；意见不一致的，按照特别审查程序处理，并通知当事人。
第十三条 按照特别审查程序处理的，网络安全审查办公室应当听取相关单位和部门意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关部门意见，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知当事人。
第十四条 特别审查程序一般应当在90个工作日内完成，情况复杂的可以延长。
第十五条 网络安全审查办公室要求提供补充材料的，当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。
第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。
为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。
第十七条 参与网络安全审查的相关机构和人员应当严格保护知识产权，对在审查工作中知悉的商业秘密、个人信息，当事人、产品和服务提供者提交的未公开材料，以及其他未公开信息承担保密义务；未经信息提供方同意，不得向无关方披露或者用于审查以外的目的。
第十八条 当事人或者网络产品和服务提供者认为审查人员有失客观公正，或者未能对审查工作中知悉的信息承担保密义务的，可以向网络安全审查办公室或者有关部门举报。
第十九条 当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。
网络安全审查办公室通过接受举报等形式加强事前事中事后监督。
第二十条 当事人违反本办法规定的，依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。
第二十一条 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。
第二十二条 涉及国家秘密信息的，依照国家有关保密规定执行。
国家对数据安全审查、外商投资安全审查另有规定的，应当同时符合其规定。
第二十三条 本办法自2022年2月15日起施行。2020年4月13日公布的《网络安全审查办法》（国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局令第6号）同时废止。
  总编辑|小贝




微信公众号
微信号｜xiaobeisaq
长按二维码关注


官方微信
长按二维码关注
了解更多信息