网络安全审查的进一步升级 ——《网络安全审查办法(修订草案征求意见稿)》简评丨威科先行
作者丨刘新宇、吴豪雳
中伦律师事务所
* 本文为威科先行首发文章,转载请注明
2021年7月10日,国家互联网信息办公室发布了《网络安全审查办法(修订草案征求意见稿)》(以下简称“《办法(修订草案)》”),并向社会公开征求意见。自2021年7月2日网络安全审查办公室公告对“滴滴出行”实施网络安全审查以来,网络安全审查已经成为备受关注的“网络热点”,而《网络安全审查办法(修订草案征求意见稿)》,无疑会将围绕网络安全审查的讨论推向另一个高峰。
《办法(修订草案)》共二十三条,在原《网络安全审查办法》的基础上,《办法(修订草案)》将数据处理者开展的数据处理活动纳入了网络安全审查的范畴,并重点关注了数据处理者赴国外上市中的网络安全审查问题。以下,将结合《办法(修订草案)》的相关规定,对《办法(修订草案)》带来的新变化和潜在的影响进行解读。
一、扩大了网络安全审查的适用范围
原《网络安全审查办法》规定的网络安全审查适用范围仅限于关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的情形,《办法(修订草案)》对此进行了扩张,将数据处理者开展的数据处理活动和特定主体的国外上市行为纳入了网络安全审查的适用范围。同时,《办法(修订草案)》第十六条亦明确监管部门有权针对上述两种行为,依职权发起网络安全审查。
(一)数据处理者开展的数据处理活动
《办法(修订草案)》第二条明确将数据处理者开展的、影响或可能影响国家安全的数据处理活动一并纳入了网络安全审查的范围之中。
何谓“数据处理活动”?根据《中华人民共和国数据安全法》(以下简称“《数据安全法》”)第三条,数据处理活动包括数据的收集、存储、使用、加工、传输、提供、公开等。基于此,若《办法(修订草案)》后续落地,任何数据处理者收集、存储、使用、加工、传输、提供、公开数据的行为,只要影响或可能影响国家安全,都可能面临相应的网络安全审查措施。
针对影响或者可能影响国家安全的数据处理活动进行安全审查的相关规定曾见于《数据安全法》第二十四条,其规定,“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”《办法(修订草案)》第一条将《数据安全法》作为《办法(修订草案)》的上位法,并于第二条将数据安全审查的适用范围纳入网络安全审查的适用范围,似有将网络安全审查与数据安全审查合并实施之意,二者后续是否会合并实施,或有待正式稿明确或由后续监管实践验证。
(二)特定主体的国外上市行为
《办法(修订草案)》第六条规定,“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”,要求特定主体赴国外上市前,应当申报网络安全审查。
需要注意的是,《办法(修订草案)》采用的是“国外上市”的表述,其区别于《证券法》中使用的、包含香港特别行政区在内的“境外上市”。仅从文意而言,《办法(修订草案)》似有将香港上市排除在外之意,这可能对有境外上市筹划的境内企业上市地点的选择产生深远影响。
结合赴境外上市的中国企业现状,“掌握超过100万用户个人信息”这一条件触发难度较低,几乎所有以C端业务为主的企业均能够轻而易举触发该标准。对于这类企业,申报网络安全审查几乎成为了上市的必经之路。但这并不意味着以B端业务为主,不掌握海量用户个人信息的企业便高枕无忧。即使相关企业不符合超过100万用户个人信息这一标准,若其业务数据中包含核心数据、重要数据,且其境外上市过程中涉及到数据的提供、公开等数据处理活动的,则其可能适用《办法(修订草案)》第二条,属于开展的数据处理活动影响或可能影响国家安全的情形,从而触发网络安全审查。
而对于已经完成境外上市的中国企业而言,结合“滴滴”们的前车之鉴,网络安全审查仍可能是悬在其头上的“达摩克利斯之剑”。如前所述,若《办法(修订草案)》正式落地,网络安全审查工作机制成员单位仍有权根据《办法(修订草案)》第六条依职权针对该等企业的境外上市行为进行网络安全审查。但该类情形下,对于未通过网络安全审查的企业应如何处理,或许还有待正式稿或监管实践予以进一步明确。
二、增加证监会作为国家网络安全审查工作机制成员单位,将拟提交的IPO材料纳入申报材料范围
考虑到《办法(修订草案)》将特定主体赴国外上市纳入了网络安全审查的适用范围,为保障证监会履行针对境内企业在国外上市的监管职能,其加入国家网络安全审查工作机制成员单位亦是顺理成章的事情。2021年7月6日,中共中央办公厅与国务院办公厅发布《关于依法从严打击证券违法活动的意见》(以下简称“《意见》”),提出“完善数据安全、跨境数据流动、涉密信息管理等相关法律法规。抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定,压实境外上市公司信息安全主体责任”的要求。《办法(修订草案)》增加证监会作为国家网络安全审查工作机制成员单位,亦有利于证监会更好地履行《意见》的要求。
同时,《办法(修订草案)》第八条将企业拟提交的IPO材料纳入申报材料范围,赋予了证监会通过网络安全审查的方式对拟赴国外上市企业拟提交的IPO材料进行审查的权利。该条的上位法依据或是《中华人民共和国证券法》第二百二十四条。该条规定,“境内企业直接或者间接到境外发行证券或者将其证券在境外上市交易,应当符合国务院的有关规定。”
三、调整了网络安全审查的评估重点
在扩张了网络安全审查适用范围的基础上,《办法(修订草案)》第十条亦相应调整了网络安全审查的评估要点。
首先,第十条将原《网络安全审查办法》中的“重要数据被窃取、泄露、毁损的风险”单独列项,并调整为“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”,一方面同《数据安全法》确立的核心数据保护制度相衔接,一方面增加了“被非法利用或出境”的风险作为评估的重点。
其次,在将赴国外上市纳入网络安全审查的适用范围后,《办法(修订草案)》第十条增加了“国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”作为评估重点。对于赴国外上市而触发的网络安全审查而言,此项或是其网络安全审查工作的重中之重。
第三,《办法(修订草案)》第十条将原第(五)项“其他可能危害关键信息基础设施安全和国家安全的因素”调整为“其他可能危害关键信息基础设施安全和国家数据安全的因素”,突出强调网络安全审查的核心是关键信息基础设施安全和国家数据安全,亦与《办法(修订草案)》规定的立法目的和适用范围相对应。
四、延长了网络安全审查的期限
除了对评估重点的修订外,《办法(修订草案)》对于具体网络安全审查工作的另一个变化在于《办法(修订草案)》第十四条延长了网络安全审查的期限,将特别审查程序的期限从原《网络安全审查办法》的45个工作日增加至3个月。
考虑到《办法(修订草案)》扩张了网络安全审查的适用范围,将拟国外上市等纳入其中,且需审核的部分文件,如拟上市主体拟提交的IPO材料等相对较为复杂,将特别审查程序的期限进行延长具备一定的合理性。但如前所述,拟国外上市的企业几乎难以避免地需要面临网络安全审查的要求,而一旦进入特别审查程序,增加三个月左右的审查进程对于项目周期相对较短的国外上市而言可能产生较大的影响,对于拟国外上市企业而言,应当充分考虑项目的上市进程,并对此尽早进行相应筹划。
同时,不同于原《网络安全审查办法》第十三条所采用的“情况复杂的可以适当延长”的表述,《办法(修订草案)》采用的表述为“情况复杂的可以延长”。从文义出发,相较于原《网络安全审查办法》,《办法(修订草案)》留下的期限弹性更大。若拟上市企业在运营中涉及的数据安全问题较为复杂,导致所对应的网络安全审查时间被相应延长,则可能对企业国外上市的进程产生不利影响。
五、我们的建议
从近期的监管动作来看,国外上市企业的数据安全问题不仅已是当前监管部门的监管重点,亦可能对企业自身的发展产生极为深刻的影响,其不仅将直接影响企业上市的成功与否,且会对企业产生全方位的影响。企业一旦陷入依职权提起的网络安全审查,一方面可能面临业务运营受限的情形,另一方面可能为企业带来大量的负面舆情,造成用户对企业数据安全能力的不信任,影响企业的可持续发展。基于此,如何开展数据合规工作,如何妥善应对网络安全审查,亦成为企业应当关注的要点。就此,我们有如下建议,供拟上市企业参考:
1.加强对供应商的管理工作,建立统一的供应商管理制度,并执行事前尽调评估、协议充分约束、事中事后持续监管的供应商管理措施,尽可能确保网络产品和服务方面的供应链安全。
2.严密跟踪数据合规领域最新的立法、执法动态,尤其是核心数据、重要数据认定、关键信息基础设施识别等领域的最新动向,并结合相关立法和执法动态完善企业内控制度,贯彻落实数据分类分级、个人信息安全影响评估、数据合规审计等措施,提升数据安全水平。
3.提升个人信息保护水平,加强个人信息管理工作,规范个人信息的收集、存储、使用、对外提供、删除等数据全生命周期处理行为,着重关注《中华人民共和国个人信息保护法》的后续立法工作。
4.密切关注正式稿和后续配套审查标准的出台,并特别留意网络安全审查的具体实践情况。
结语
从2021年7月2日网络安全审查办公室公告对“滴滴出行”实施网络安全审查以来,网信部门如此之快地发布了《网络安全审查办法(修订草案征求意见稿)》,足可见监管对于网络安全审查的关注程度。考虑到《办法(修订草案)》以《数据安全法》为上位法,《办法(修订草案)》即使快速落地,其生效亦不会早于《数据安全法》的生效日期,即2021年9月1日。尽管如此,考虑到网络安全审查可能对企业带来的不利影响,对于拟国外上市企业或已国外上市企业而言,应当对网络安全审查有充分的认识,并早作筹划,以应对潜在的网络安全审查,尽可能降低网络安全审查对企业商业计划的影响。
相关阅读推荐:
· 数据安全立法架构的基本确立——《数据安全法》八大要点解析丨威科先行
作者简介
刘新宇律师
中伦律师事务所合伙人
金融创新和金融科技行业组牵头人。刘律师的业务领域为网络安全和数据保护、中国内地资本市场、金融产品、诉讼仲裁,擅长的特色行业为金融行业、通讯与技术。刘律师深刻理解数据与隐私保护、网络安全对现代商业的全方位影响,熟悉各种不断涌现的业务场景,并能从企业运营战略的角度为客户提供该领域的“一站式”法律服务。
吴豪雳
中伦律师事务所
在金融科技、网络安全与数据保护、投融资等领域具有丰富的执业经验,自执业以来曾为国内诸多金融机构、互联网企业、科技企业提供法律服务,服务内容主要涵盖日常合规、法律尽职调查、商业模式合规性论证、法律文本撰拟与审核、数据合规与隐私保护等。
威科先行丨网络安全合规模块
集合法规案例查询、更新信息接收、实务问题解决,为您提供全方位实务资源支持,助力您洞悉网络安全精髓,自信决策,合规经营。
申请试用
威科先行丨网络安全合规模块
长按并识别左侧二维码
WHEN YOU HAVE TO BE RIGHT.
想了解更多关于「威科先行」的产品和信息
欢迎长按下方图片,添加「小威」为微信好友