2022版《网络安全审查办法》重点问题评析

网络安全审查制度源于2016年颁布的《网络安全法》(“《网安法》”)。为加强关键信息基础设施安全保护, 《网安法》第二十五条规定, 关键信息基础设施的运营者(“CIIO”)采购网络产品和服务, 可能影响国家安全的, 应当通过国家网信部门会同国务院有关部门组织的国家安全审查。为落实这一规定, 国家网信办制定《网络产品和服务安全审查办法(试行)》, 于2017年6月1日与《网安法》同日实施。2020年, 在总结实践经验的基础上, 国家网信办等12部门联合制定了《2020办法》, 对网络安全审查对象、程序、标准等进行了细致的规定。

2021年6月10日,《数据安全法》(“《数安法》”)正式颁布, 明确规定国家建立数据安全审查制度。《数安法》颁布一月之际, 国家首次实施网络安全审查制度。2021年7月2日, 网络安全审查办公室发布公告,宣布对“滴滴出行”实施网络安全审查, 这是《网安法》确立网络安全审查制度以来, 首次对外公布的审查行动。2021年7月10日, 为进一步落实《数安法》要求, 国家网信办发布了《网络安全审查办法(修订草案征求意见稿)》, 将数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围, 并针对企业赴国外上市等场景作出了特别规定。近日, 修订后的《办法》正式颁布, 并将于2022年2月15日起施行。

与《2020办法》相比, 新颁布的《办法》在以下方面进行了重点修改: 

• 将数据处理活动纳入审查范围

• 赴国外上市须申报审查

• 特别审查程序时限延长

• 依职权审查时, 当事人有义务预防和消减风险

将数据处理活动纳入审查范围

为了进一步保障网络安全和数据安全, 《办法》将“网络平台运营者开展数据处理活动影响或者可能影响国家安全”等情形纳入网络安全审查范围。相应的, 《办法》第二条新增“网络平台运营者”作为审查的适用对象, 与CIIO一并统称为“当事人”。然而, 《办法》并没有对“网络平台运营者”进行详细定义。虽然此前《互联网平台落实主体责任指南(征求意见稿)》《网络数据安全管理条例(征求意见稿)》等规定对“互联网平台运营者”进行了较为明确的界定[1], 但“互联网平台”与“网络平台”并不完全相同, 相关概念仍有待监管部门进一步厘清。现阶段, 我们建议企业不应过度关注自身是否属于“网络平台运营者”, 而应该根据数据处理活动所涉及的风险程度来判断是否需要申报审查。

在审查内容上, 《办法》也特别强调了对于数据安全的关注, 将《2020办法》中的“重要数据被窃取、泄露、毁损的风险”扩充为“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”。

此外, 《办法》第二十二条第二款指出, 国家对数据安全审查、外商投资安全审查另有规定的, 应当同时符合其规定。换言之, 网络安全审查的适用范围并不限于《办法》中已列明的情形。今后, 监管部门可能会在数据安全、外商投资相关审查办法中, 提出网络安全审查的要求。

例如, 2021年实施的《外商投资安全审查办法》明确将“(外国投资者)投资关系国家安全的重要农产品、重要能源和资源、重大装备制造、重要基础设施、重要运输服务、重要文化产品与服务、重要信息技术和互联网产品与服务、重要金融服务、关键技术以及其他重要领域, 并取得所投资企业的实际控制权”列为应当主动申报外商投资安全审查的情形。[2]结合《办法》的立法精神, 预计将来在“外国投资者通过并购方式取得境内企业的实际控制权”的场景中, 若被投资企业构成CIIO或网络平台运营者, 则很可能需要同时进行网络安全审查。

赴国外上市须申报审查

《办法》指出, 掌握超过100万用户个人信息的网络平台运营者赴国外上市, 必须向网络安全审查办公室申报网络安全审查, 并相应地将中国证券监督管理委员会纳入“网络安全审查机制成员单位”。根据《办法》第十条, 审查的一个关键因素是“上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险, 以及网络信息安全风险。”

鉴于《网络数据安全管理条例(征求意见稿)》在第十三条中明确区分了“赴国外上市”和“赴香港上市”两种场景下的网络安全审查申报标准。[3]《办法》相关条款表明, 企业在赴香港上市时, 如果不影响国家安全, 申报网络安全审查并非强制性要求。但值得注意的是, 在赴香港上市的过程中, 如涉及跨境传输等数据处理活动, 仍需遵守法律法规关于数据出境的规定。

在《<网络安全审查办法>答记者问》一文中, 国家网信办有关负责人具体说明了赴国外上市时的申报时机以及可能的结果。[4]网络平台运营者应在向国外证券监管机构提出上市申请之前, 申报网络安全审查, 并提交包括“拟提交的首次公开募股(IPO)等上市申请文件”在内的相关材料。申报网络安全审查可能有以下三种情况: 一是无需审查; 二是启动审查后, 经研判不影响国家安全的, 可继续赴国外上市程序; 三是启动审查后, 经研判影响国家安全的, 不允许赴国外上市。

特别审查程序时限延长

《办法》第十四条对特别审查程序的完成时限进行了调整, 将《2020办法》规定的45个工作日延长为90个工作日。

在我国网络安全审查制度中, 分为一般审查程序以及在“相关网络安全审查部门意见不一致时”启动的特别审查程序[5]。考虑到修订后的《办法》涉及的审查情形增加, 特别是可能涉及到企业赴国外上市等复杂情形, 国家网信办适当的延长了特别审查程序的时限。

依职权审查时, 当事人有义务预防和消减风险

根据《办法》第十六条(《2020办法》第十五条), 除了依当事人申请进行审查外, 网络安全审查办公室也可以依职权进行审查。此外, 《办法》在第十六条新增一款, 规定“为了防范风险, 当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施”。

根据国家网信办在对“滴滴出行”等企业进行网络安全审查的过程中发布的一系列通报, 上述措施可能包括但不限于从应用商店下架App、停止新用户注册等。这意味着, 在网络安全审查办公室依职权启动的审查中, 被审查的企业可能会面临严重的业务连续性问题。

修订后, 网络安全审查具体的审查程序如下图所示: 

网络安全审查启动后, 对于情况复杂的, 企业可能面临150天(45+15+90)甚至更长时间的审查。在此期间, 对于依申请进行的网络安全审查, 企业可能无法在审查期间内签署网络产品与服务的供应合同、开展相应的数据处理活动或完成上市程序; 对于依职权进行的网络安全审查, 企业的日常业务也可能受到相应影响。

《办法》第二十条指出, 当事人违反办法规定的, 依照《网安法》《数安法》的规定处理。根据《网安法》第六十五条, CIIO应当申报网络安全审查而没有申报的, 或者使用网络安全审查未通过的产品和服务的, 由有关主管部门责令停止使用相关产品和服务, 处采购金额一倍以上十倍以下罚款; 对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款)。

对于网络平台运营者违反《办法》规定时的责任, 目前《数安法》等法律尚未有对应的规定。《网络数据安全管理条例(征求意见稿)》第六十条规定了相应的罚则, 企业未按照国家有关规定申报网络安全审查的, 由有关主管部门责令改正, 给予警告, 可以并处五万元以上五十万元以下罚款, 对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款; 拒不改正或者导致危害数据安全等严重后果的, 处五十万元以上二百万元以下罚款, 并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照, 对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

为了给网络安全审查制度提供执法依据, 国家网信办可能会尽快出台《网络数据安全管理条例》。届时, 无论是CIIO或网络平台运营者, 若未按要求申报网络安全审查, 相关的企业和直接责任人员均应对违规行为负责。

作者:

长按下图识别二维码关注我们

© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。

点击“阅读原文”，直达通力官网了解更多资讯！