7月10日，国家互联网信息办公室发布《网络安全审查办法（修订草案征求意见稿）》（以下简称“《审查办法（征求意见稿）》）。本期专题解读本次修订中关于监管机构、触发条件、审查程序等变化，分析此次修订对企业的影响，并提出合规应对的建议。

一、覆盖数据安全审查，增加《数据安全法》为立法依据

首先，本次《审查办法（征求意见稿）》增加《数据安全法》为立法依据，为监管数据处理活动提供了直接的法律依据；

其次，《审查办法（征求意见稿）》扩大了网络安全审查的适用，将数据处理活动纳入到网络安全审查的范围。现行《网络安全审查办法》规定的应当开展网络安全审查的行为是关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的行为，而《审查办法（征求意见稿）》增加了数据处理者开展数据处理活动，影响或者可能影响国家安全的行为；

第三，将网络安全审查的义务主体涵盖到数据处理者，大大拓宽了网络安全审查的义务主体。现行《网络安全审查办法》以关键信息基础设施运营者（Critical Information Infrastructure Operator，“CIIO”）为监管抓手，以CIIO采购网络产品和服务为切入点，通过网络安全审查维护关键信息基础设施（Critical Information Infrastructure，“CII”）的供应链安排。《审查办法（征求意见稿）》则要求数据处理者开展数据处理活动，影响或可能影响国家安全的，亦应当进行网络安全审查。

二、外国上市严监管，证监会被纳入网络安全审查工作机制

《审查办法（征求意见稿）》第四条将中国证券监督管理委员会纳入国家网络安全审查工作机制成员单位，此调整反映出国家对企业国外上市行为所带来的数据安全问题的高度关注。

国外上市对维护国家数据安全保护提出了更大的挑战：国外上市意味着上市公司需要进行持续性的信息披露，这可能涉及数据的跨境传输和披露。同时，国外上市，有可能受制于“长臂管辖权”。“长臂管辖”的基本法理依据是“最低限度联系理论”和所谓“效果原则”，在国外上市会明显地建立上市企业和该国法律管辖连接点。企业一旦涉及国外司法或行政案件，企业也会面临证据开示或证据配合提供的义务。

三、上市申报门槛：百万个人信息

《审查办法（征求意见稿）》第六条是本次修订中的新增条款，明确掌握超过100万用户个人信息的数据处理者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

首先，该条款中使用了“掌握”这一概念，不同于《个人信息安全规范》中的“控制”，也非《个人信息保护法（草案）》以及《数据安全法》中的“处理”，我们认为该条适用对象包括直接向个人用户提供服务而处理个人信息的企业（通常为个人信息控制者）。但是，包括云服务运营商在内的受托处理数据的企业，是否会因为不构成“掌握”从而被排除在外，其内涵有待后续修订予以明确。

其次，关于“100万用户个人信息”的触发门槛。对于数据处理者而言，能够发展到上市阶段，通常拥有大体量的用户以及相应的用户个人信息，非常容易触发该门槛。就敏感度而言，一是由于数据量较大，二是业务活动中可能会涉及个人敏感信息甚至重要数据，由此监管机构对于其赴国外上市行为提出主动申报的要求。与此同时，用户数量的认定标准，境外用户数量是否应当纳入计算等，同样有待进一步明晰。

最后，关于“上市”一词的理解，我们认为，此次《审查办法（征求意见稿）》的立法目的是为加强对数据安全风险的控制，因此，此处不应对“上市”作过于狭义的理解，应当理解为包括境内公司在国外的IPO、SPAC、RTO，还可能包括已上市公司的股票增发以及发债等一系列融资行为。该等行为涉及的境外监管机构要求的信息披露以及相关数据出境行为有可能引发国家安全风险。

四、触发网络安全审查情形增多，审查程序更新

在现行《网络安全审查办法》的框架下，触发网络安全审查机制的情形如下：

- CIIO采购。CIIO采购网络产品和服务，应当预判国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。由网络安全审查办公室确定是否需要审查。
- 网络安全审查办公室依职权启动。网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

《审查办法（征求意见稿）》则增加了如下的触发情形：

- 国外上市。掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。
- 数据处理活动。数据处理者开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。

相应地，《审查办法（征求意见稿）》根据新的条款规定更新了审查程序。其中，特别审查程序的时间由45天延长至3个月。因此，一般情形下的网络安全审查在60个工作日（45日+15日）内完成，而如果进入特别审查程序，则审查周期可能为5个月（45日+15日+3个月）甚至更长。此外，网络安全审查办公室要求提交补充材料的时间不计入审查时间。

启动特别审查程序的前提是网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见不一致。而网络安全审查工作机制成员单位是分属于不同行业的相关监管机构，从不同行业角度考量存在难以形成一致意见的可能性。延长特别审查程序的时间更利于各单位充分论证、考量，对涉及国家安全的事项谨慎作出决定。

五、核心数据、重要数据和国外上市成为重要评估因素

《审查办法（征求意见稿）》新增数据处理及国外上市行为可能带来的国家安全风险的考量因素，主要是核心数据、重要数据或者大量个人信息被窃取、泄露、毁损、非法利用或出境的风险，以及国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。第一类是普遍可能存在的安全风险，而第二类是国外政府的控制或恶意利用的风险。

在当前国际局势下，国家安全面临多方面的非传统风险，随着数据资产价值的提升，资本市场发展、数据自由流动与国家安全和公共利益之间的考量，会成为政策制定者考虑的重要问题。

六、新增“重要通信产品”到网络产品和服务

对于网络产品和服务的范围，《审查办法（征求意见稿）》第二十一条中新增了“重要通信产品”。通信产品包括无线通信产品和有限通信产品，诸如路由器、交换机等产品。通信产品对于数据处理活动的安全性、完整性和可用性有着重要意义，加入此类产品意味着监管部门在信息传输的信道层面加强监管，从各个维度对于可能影响国家安全的网络产品和服务进行审查。

1）什么是关键信息基础设施运营者？

关键信息基础设施包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，但其具体范围和安全保护办法暂未正式出台。

在2020年公安部发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》中，公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门应制定本行业、本领域关键信息基础设施认定规则并报公安部备案。同时应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。

2）网络安全审查的主管机构有哪些？

主要包括国家网络安全审查工作机制和网络安全审查办公室。

其中，网络安全审查工作机制由国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局组建。同时，本次意见稿还将中国证券监督管理委员会纳入工作机制范畴。

1）意见稿的适用对象？　

2）主体适用的情况下，满足什么条件需要申报网络安全审查？　

3）拟在港股上市，是否需要申请网络安全审查？是否也要符合数据出境等合规要求？　

4）100万用户个人信息是指100万条个人信息还是100万人的个人信息？　

5）如何理解“掌握”个人信息，如仅提供存储或传输服务，或委托云服务商等其他第三方处理，是否落入监管范围？　

6）申报网络安全审查需要提交什么材料，IPO材料需要提供多少？　

7）网络安全审查需要多长时间，是否会影响上市进程？　

8）意见稿生效时间　

对于企业而言，数据合规势在必行，面对严格的监管趋势，我们对于计划或者即将赴国外上市的科技公司，网络服务和产品提供者，涉及数据处理的运营者提出以下建议：

- 结合自身业务进行数据识别、梳理和盘点工作，对于数据资产的情况进行充分了解，对于可能涉及重要数据、国家核心数据、处理用户数量到达百万级别以上的产品和业务线进行重点关注，及时开展合规自查和整改工作。

- 建立内部的数据分类分级制度并实行对应的保护措施，密切关注核心数据和重要数据的认定标准和指南。在相关识别指引出台前，建议依据定义做初步识别，如有必要进行监管沟通，积极管理风险。

- 持续关注CIIO的认定标准，评估自身适用的义务项。如构成CIIO的情况下，应当建立和完善自身的招采评估制度以及网络安全审查预判制度，初步判断是否会影响国家安全，并配合后续的审查。

- 审慎选择上市地点，全面评估数据风险和监管风险。在确定国外上市的情况下，充分考虑网络安全审查的可能性，与监管机构保持沟通，配合国外监管机构的信息披露要求时严格遵守国内法律法规要求。如果必要，事先获得国内主管部门的批准，履行相应评估程序。

- 企业运营过程中持续保持数据处理的合规性，完善企业内部的个人信息保护制度及数据安全制度，建立数据安全影响评估制度，根据法律要求和行业良好实践及时审视自身的合规状况，落实合规义务。

• 激活网络安全审查制度 筑牢数据安全防火墙——《网络安全审查办法（修订草案征求意见稿）》评析　[陈际红、蔡鹏、李瑞、贾申、吴佳蔚、王梦迪、骆天、李梦涵，中伦律师事务所]
• 八问八答——《网络安全审查办法（修订草案征求意见稿）》点解读　[宁宣凤、吴涵、蒋科、刘阳璐，金杜律师事务所]