八问八答——《网络安全审查办法（修订草案征求意见稿）》重点解读

一、引言

国家互联网信息办公室于7月10日上午12点发布通知，公开征求《网络安全审查办法（修订草案征求意见稿）》（下称“意见稿”）意见（此前《网络安全审查办法》的解读请见文章：同道而相益，同心而共济——《网络安全审查办法》的创新与变化）。考虑到近期国家互联网信息办公室及网络安全审查办公室等监管机构对多家企业采取的监管措施，我们对意见稿部分重点内容进行分析解读，以供大家参考。

二、重点内容解读

本解读主要关注意见稿中的两方重点内容，其一是本次重点新增问题，其二是基础问题。我们将从这两方面进行逐一介绍。 

重点新增问题 （文末请见意见稿与现行生效版本之对比表格）

1）意见稿的适用对象？

意见稿适用对象包括关键信息基础设施运营者以及数据处理者。鉴于其中的数据处理者为新增主体，因此我们理解，即使企业不落入或者不确定是否落入关键信息基础设施运营者范围，若开展数据处理行为且达到影响或可能影响国家安全的标准，也有较高概率落入意见稿的监管范围。

2）主体适用的情况下，满足什么条件需要申报网络安全审查？

如果企业为关键信息基础设施运营者或者数据处理者，则满足以下条件之一即需要申报或通过网络安全审查：

自行申请

• 关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的；

  
  

• 掌握超过100万用户个人信息的运营者（关键信息基础设施运营者及数据处理者）赴国外上市的。

主动审查

• 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为的；
  

3）拟在港股上市，是否需要申请网络安全审查？是否也要符合数据出境等合规要求？

意见稿中所使用的表述为“国外上市”而非“境外上市”，我们理解，二者之间可能存在部分差别。

根据《中华人民共和国出境入境管理法》第八十九条，出境是指由中国内地前往其他国家或者地区，由中国内地前往香港特别行政区、澳门特别行政区，由中国大陆前往台湾地区；入境是指由其他国家或者地区进入中国内地，由香港特别行政区、澳门特别行政区进入中国内地，由台湾地区进入中国大陆。由此我们理解，“境外”实际上包含港澳台地区。

而对于“国内”、“国外”的区分，我们理解从文义解释，“国内”通常而言应当包含港澳台地区，而“国外”指“中华人民共和国以外的国家和地区”。

在上述理解的前提下，我们理解港股上市被认定为“国外上市”的可能性相对较低。但是鉴于我们上述对“境外”和“国外”的解读源于对其他领域法律的研究和参考，且本意见稿中并未对相关术语进行明确，我们仍无法排除相关概念有其他含义的可能性，建议对相关法律动态保持跟踪和关注。

对于港股上市过程及上市后数据传输至香港而言，参照《信息安全技术 数据出境安全评估指南》内“数据出境”的定义，其主要指“网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动”，因而从“境内”、“境外”划分的角度并结合上述对概念的解读，我们理解，数据传输至香港仍应属于数据跨境，因此企业需要满足我国《网络安全法》、《数据安全法》及配套措施内有关数据跨境的规定。

4）100万用户个人信息是指100万条个人信息还是100万人的个人信息？

与此要求类似的规定可见于《国家网络安全检查操作指南》中“认定关键信息基础设施”部分。在认定关键信息基础设施时所考查的因素包括“注册用户数超过1000万”、“日均访问量超过100万人次”、“造成超过100万人个人信息泄露”等，均从个人信息主体数量而非个人信息数量的角度进行规定。

鉴于《国家网络安全检查操作指南》与意见稿具有类似的立法目的，即对可能影响个人数量较多的实体或者活动（包括但不限于赴国外上市）进行严格监管，以保障经济和民生利益，我们理解，意见稿中的“100万用户个人信息”指100万自然人个人信息的可能性较高。

5）如何理解“掌握”个人信息，如仅提供存储或传输服务，或委托云服务商等其他第三方处理，是否落入监管范围？

我们理解，“掌握”个人信息这一表述与“控制者”的概念存在相似之处，因此对其的解读可以参考对控制者的定义。但鉴于我国目前在法律层面尚未进行控制者和处理者的明确区分，从监管趋严的角度而言，我们建议企业将物理上的数据的控制以及法律上对数据的处置均纳入此范畴并申请网络安全审查。

6）申报网络安全审查需要提交什么材料，IPO材料需要提供多少？

申报材料应当包括：

（一）申报书；

（二）关于影响或可能影响国家安全的分析报告；

（三）采购文件、协议、拟签订的合同或拟提交的IPO材料等；

（四）网络安全审查工作需要的其他材料。

具体而言，参考数据安全等相关立法，我们理解分析报告可能包含供应链安全、数据安全及合规、数据出境、司法管辖冲突解决机制等多项内容。出于审查目的考虑，我们理解IPO材料可能包括招股书等，但是否包括工作底稿还有待确定。

7）网络安全审查需要多长时间，是否会影响上市进程？

根据意见稿的规定，网络安全审查办公室应当自收到审查申报材料起，10个工作日内确定是否需要审查并书面通知运营者。如果认为需要开展网络安全审查的，自向运营者发出书面通知之日起30个工作日内完成初步审查，情况复杂的可以延长15个工作日。网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门自收到审查结论建议之日起15个工作日内向运营者书面回复意见。网络安全审查工作机制成员单位意见不一致的，按照特别审查程序处理，特别审查程序一般应当在3个月内完成，情况复杂的可以延长。

总得来说，一般程序所需时间，自申报开始，最长需要10+30+15+15=70个工作日。而对于特别审查程序，最长为：70个工作日+3个月+n≈135+n个工作日，即实际所需自然日可能达到180日（6个月）以上。

8）意见稿生效时间

鉴于近期较为活跃的网络安全审查执法趋势以及意见稿对赴国外上市等活动的重点监管，我们不排除意见稿较快生效的可能性。但即使还未生效或者拖迟生效，考虑到当前已经有企业被查处，我们理解，企业提前准备应对措施而非以未生效为由对抗可以在一定程度上降低风险。

基本问题

1）什么是关键信息基础设施运营者？

关键信息基础设施包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，但其具体范围和安全保护办法暂未正式出台。

在2020年公安部发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》中，公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门应制定本行业、本领域关键信息基础设施认定规则并报公安部备案。同时应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。

2）网络安全审查的主管机构有哪些？

主要包括国家网络安全审查工作机制和网络安全审查办公室。

其中，网络安全审查工作机制由国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局组建。同时，本次意见稿还将中国证券监督管理委员会纳入工作机制范畴。

网络安全审查办法（对比版）

本文作者

宁宣凤

合伙人

合规业务部

susan.ning@cn.kwm.com

业务领域：反垄断与反不正当竞争，以及网络安全与数据合规

在反垄断领域，宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前，宁宣凤律师就曾积极参与政府起草该项法案的咨询工作，并在该法颁布后，继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域，宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一，宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。

吴涵

合伙人

合规业务部

wuhan@cn.kwm.com

业务领域：网络安全、数据合规与治理

吴律师主要协助企业在数字经济转型期发挥数据驱动力，实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明，制定跨境数据传输计划，制定数据商业化合规方案，搭建算法治理体系，梳理企业数据（包括个人信息保护）合规体系，进行网络安全和数据合规自查，协助搭建数据融合的商业及合规框架，构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规，为中国走出去企业建立符合欧盟（GDPR）及美国（CCPA）等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。

蒋科

合伙人

合规业务部

jiangke@cn.kwm.com

业务领域：科技和电信领域合规、网络安全和数据合规

蒋律师曾在金杜工作过十年，回归前，蒋律师曾作为内部法务为亚马逊云服务和宝马集团在中国市场的产品和运营合规，数字化和网络安全项目等提供法律支持。蒋科律师擅长为各类科技、汽车、云服务行业及互联网公司提供领域内的合规咨询意见，并能够将领先的企业监管与网络及信息技术紧密结合。蒋科律师在众多复杂的项目中为客户提供了创新的综合解决方案，并得到客户的广泛认可。

刘阳璐

律师

合规业务部

感谢实习生张子谦对本文的贡献！

人工智能：

• 算法治理系列之——智能时代的算法治理 2021-06

• 算无遗策，画无失理？——算法合规在平台经济反垄断中的应用 2020-11

• AI与大数据的“理想城”：智慧城市合规的基础要点 2020-02

• 2020年“AI”应有大爱  2020-01

• 人工智能系列之人脸识别信息的内涵与合规难题  2019-11

• 人工智能系列开篇：伦理准则与现行规制  2019-09

数据合规：

• 个人信息保护立法效果、理念及价值平衡 ——欧盟GDPR生效实施三周年比较与前瞻 2021-5

• 数字征信时代的重要信号——征信业务新规草案解读 2021-1

• 成年人要看的利弊——互联网数据商业化的模式变局 2020-12

• Personal Information Protection Law (Draft): A New Data Regime 2020-11

• “道阻且长，行则将至” --从《个人信息保护法（草案）》看中国个人信息保护的思路和数字经济发展策略 2020-10

• 六个月倒计时！《生物安全法》中的数据合规赛道 2020-10

• 敢为天下先——特区培育数据要素市场的契机与合规要点 2020-10
  

• “以人为本”——聚焦央行消费者金融信息保护新规 2020-09
  

• 变化纵横出新意——民法典中个人信息的定位及影响 2020-06

• “欲穷千里目，更上一层楼”——《个人信息安全规范》最新修订要点评述 2020-03
  

• 问答精选-解读《个人金融信息技术保护规范》2020-02
  

• 解读《信息安全技术 个人信息告知同意指南（征求意见稿）》2020-02
  

• 疫情防控 | “风口”的安全降落伞——解读APP收集个人信息的最新规范”2020-02
  

• 2020年网络安全与数据合规：合规创造价值2020-02

• 疫情防控 | 解读网信办《关于做好个人信息保护利用大数据支撑联防联控工作的通知》 2020-02
  

• 疫情防控 | 数据资源流转与公开 2020-02
  

• 疫情防控|同舟共济——不同场景下健康医疗数据流转的合规路径 2020-02

• 宜未雨而绸缪——企业上市关注的重点数据合规问题 2020-01

• “数”年快乐——万字长文说“数据融合”  2020-01

• 平安夜里说平安——“数据资产”的误区与合规条件 2019-12

• 按图索骥——图示移动APP个人信息保护的重点 2019-11 

• “数据主权”浪潮下企业如何构建全球数据管理体系——兼评美国《国家安全与个人数据保护法》提案 2019-11

• 大一统而慎始也——新型信用监管机制问答 2019-10

• 竹杖芒鞋轻胜马：医疗大数据发展和合规管理并重  2019-09

• 星光奉献给长夜——儿童个人信息保护的亮点和启示  2019-08

• 投资出行领域，数据是金矿还是烫手山芋？2019-07

• “花径不曾缘客扫，蓬门今始为君开”——《中华人民共和国人类遗传资源管理条例》简析  2019-06

• “特别的爱给特别的你”——《儿童个人信息网络保护规定（征求意见稿）》要点评析  2019-06

• Development Of PrcRegulations On Cross Border Data Transfer  2019-06   

• “却顾所来径，苍苍横翠微”——短评《数据安全管理办法（征求意见稿）》 2019-05

• “利刃从前堪切玉，澄潭到底不容尘”——公安机关个人信息安全保护执法要点评析  2019-05

• 数据监管新要求，电子商务法时代跨境电商将走向何方？  2018-11

• 春风先发苑中梅——《国家健康医疗大数据标准、安全和服务管理办法（试行）》解读及启示  2018-10

• 你的“饼干”安全吗？——Cookie 与个人信息保护 2018-08

• “明者因时而变，知者随事而制” ——《个人信息安全规范》实务探讨 2018-02

• 谨于言而慎于行：互联网信息内容服务管理新规出台  2017-08

• No “Data”, No “Internet of Vehicles”  2017-07
  

• 布局“自动驾驶”：此时不为，更待何时？2017-07

• Putting an “Invisibility Cloak” over Personal Information —— A discussion on “invisible waybills” introduced by express industry   2017-07
  

• 图解“车联网”  2017-06
  

• 无“数据”，怎“车联”？——“车联网”数据类核心业务法律监管刍议   2017-05
  

• 为个人信息披上一件“隐形衣”——从快递行业推行“隐形面单”说开去  2017-05

• 欲善其事，先利其器——解读《互联网信息内容管理行政执法程序规定》  2017-05

• 你的数据，能不能走出国门？  2017-04
  

• 中国推进个人信息保护   2017-04
  

• 2017年，大数据合规离我们有多远？  2017-01

• 隔耳有“墙”——从美国FCC新规则谈个人信息保护新趋势  2016-12
  

• 个人信息保护的百万罚单时代来了？   2016-11

网络安全：

• 利刃出鞘：《数据安全法》下中国数据保护路径解读 2021-06
  

• Innovations & New Developments of Cybersecurity Review Measures 2020-05
  

• “柳暗花明又一村”——金融产业链的困局及破局思路  2020-03
  

• “欲穷千里目，更上一层楼”——《个人信息安全规范》最新修订要点评述  2020-03
  

• “云深不知处”——企业远程办公的网络安全常见问题及建议 2020-02
  

• “管中窥豹”——《生物安全法》前瞻及现行生物安全相关监管体系回顾 2020-02
  

• 博观而约取，厚积而薄发：《密码法》要点评析及企业合规路径   2019-11

• 千淘万漉虽辛苦，吹尽狂沙始到金——《网络安全审查办法（征求意见稿）》简析   2019-06
  

• 亡羊补牢未为迟：如何应对网络安全勒索事件   2019-06
  

• “欲穷千里目，更上一层楼”——国际新形势下的等保2.0   2019-05
  

• 叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较   2018-09
  

• 羌笛何须怨杨柳，春风“已”度玉门关——《网络安全法》元年纪要及展望   2018-01
  

• 《网安法》生效后不得不知的N件大事   2017-08
  

• “新”电信业务办法：更简、更活、更规范   2017-07

• 必将婴城固守，皆为金城汤池——看《关键信息基础设施安全保护条例（征求意见稿）》  2017-07
  

• Petya来袭，网络安全事件应急预案正当其时   2017-07
  

• Petya attack calls for an   emergency plan   2017-07
  

• 图解安全评估流程——互联网业务安全不可因“新”而废“管”   2017-06
  

• 《网络安全法》及其部分配套规定今起实施   2017-06
  

• “一带一路”背景下中国企业境外并购的网络安全和数据合规问题   2017-06
  

• 十三五“新常态”下企业营商的合规挑战   2017-05
  

• 开启互联网新闻监管新时代——《互联网新闻信息服务管理规定》述评   2017-05
  

• 画龙画虎先画骨 ——解读《网络产品和服务安全审查办法（试行）》   2017-05
  

• 热点解读：网信办连续颁布三项重磅新规   2017-05

我知道你  在看  哦