2022年1月4日,国家网信办与发改委等十三部门联合发布修订后的《网络安全审查办法》(下称新版《审查办法》),新版《审查办法》已于2022年2月15日起正式施行。而修订前的《网络安全审查办法》(下称旧版《审查办法》)是自2020年6月1日才正式实施的,至今还不到两年时间。
修订后的《审查办法》增加了哪些值得关注的重要内容?本文拟对此进行梳理介绍。
与旧版《审查办法》的安全审查对象只有单一的“关键信息基础设施运营者采购网络产品和服务”相比,新版《审查办法》最大的变化就是在第二条将“网络平台运营者开展数据处理活动”纳入了安全审查范围!而将“数据处理活动”列入审查所呼应的正是在2021年9月1日刚生效的《数据安全法》第二十四条关于“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查”的规定,这一呼应从新版《审查办法》第一条将《数据安全法》新增作为上位法依据亦可得到证实。故新版《审查办法》所规制的安全审查情形呈现了两大变化:一是审查申报人除了关键信息基础设施运营者(下称关基运营者)之外新增了网络平台运营者;二是审查行为在关基运营者采购网络产品和服务之外增加了开展数据处理活动。新版《审查办法》第二条第二款规定“前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人”、第八条第一款规定“当事人申报网络安全审查,应当提交以下材料:……”。据此可见“网络平台运营者”已经被作为网络安全审查的申报主体。但是哪些主体属于“网络平台运营者”,新版《审查办法》并没有给出明确指引。不过有两份尚未生效的文件可以参考:一份是由国家网信办在2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》(下称《数安条例征求意见稿》)中,将“互联网平台运营者”定义为“为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者”;另一份则是由国家市场监督管理总局起草的《互联网平台落实主体责任指南(征求意见稿)》,对于“平台经营者”的定义是“指向自然人、法人及其他市场主体提供经营场所、交易撮合、信息发布等互联网平台服务的法人及非法人组织”。鉴于上述文件里的《数安条例征求意见稿》同样是由国家网信办发布,且将“数据处理者”作为“互联网平台运营者”的基本定性,故上述定义可以作为对新版《审查办法》所规定的“网络平台运营者”的理解和参考。但需要注意的是,尚处于征求公众意见阶段的《数安条例征求意见稿》在第十三条同样对申报网络安全审查的情形进行了列举,而该条所规定的申报主体是“数据处理者”,这一主体概念的外沿明显要大于“网络平台运营者”。尽管该条例尚未生效,但至少说明对于网络安全审查的理解不能只限于新版《审查办法》的规定,而对于申报主体的范围也不应拘泥于“网络平台运营者”,安全审查的启动条件也很可能不止于“赴国外上市”。当然上述问题的答案还有待《网络数据安全管理条例》正式生效后的具体内容而定。//三、 掌握用户信息超百万的运营者赴国外上市必须申报//新版《审查办法》在第七条新增关于“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”的规定。在该规定里,“掌握超过100万用户个人信息”和“赴国外上市”成为必须申报安全审查的两大基本特征。“超过100万用户个人信息”这一数据标准的出现并非首次,国家网信办在2021年10月29日发布的《数据出境安全评估办法(征求意见稿)》中,已将“处理个人信息达到一百万人的个人信息处理者向境外提供个人信息”的情形列为应当向国家网信部门申报数据出境安全评估的法定情形之一,所以百万个人信息就成为数据处理活动的一个关键节点。此处需要厘清的是,新版《审查办法》所规定的“100万用户个人信息”并不是指网络平台运营者向境外提供的用户个人信息数量,而是指网络平台运营者所“掌握”用户个人信息数量的特征,也就是说只要掌握用户信息数量超过百万,即使完全不需要向境外提供用户信息,但只要赴国外上市就必须申报网络安全审查;而如果符合上述特征的网络运营平台还需要向境外提供个人信息的,在申报网络安全审查的同时还需要申报数据出境安全评估,而且数据出境安全评估与网络安全审查属于不同类别的行政程序,两者不可相互取代。“赴国外上市”这一规定不难理解,但赴香港上市是否包括在内就不甚明了。对于这一问题,国家网信办在《数安条例征求意见稿》的第十三条里将“赴国外上市”与“赴香港上市”进行了并列表述,那姑且可以将新版《审查办法》里的“赴国外上市”视为不包括“赴香港上市”。但赴香港上市是否就免于网络安全审查了呢?答案并不确定,因为《数安条例征求意见稿》第十三条同样将“数据处理者赴香港上市,影响或者可能影响国家安全的”列为需要申报网络安全审查的情形之一,但上述条例目前尚未生效。那么“赴国外上市”是不是就一定会启动网络安全审查机制呢?答案也是否定的,新版《审查办法》规定的是“必须申报”而非必须启动网络安全审查,新版《审查办法》第九条规定“网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内,确定是否需要审查并书面通知当事人”,也就是说申报结果“可能有以下三种情况:一是无需审查;二是启动审查后,经研判不影响国家安全的,可继续赴国外上市程序;三是启动审查后,经研判影响国家安全的,不允许赴国外上市。”[1]正是由于“赴国外上市”被列为网络安全审查的申报条件,所以中国证券监督管理委员会也被新增成为网络安全审查工作机制成员单位。//四、 核心数据、重要数据及个人信息被列为审查重点评估因素//新版《审查办法》在第十条列举审查重点评估国家安全风险因素时,在旧版规定的基础上增加了“核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险”和“上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险”等两项。上述规定里的“核心数据”和“重要数据”是根据我国《数据安全法》第二十一条关于国家建立数据分类分级保护制度的规定,对数据进行的级别划分。而《数安条例征求意见稿》是根据对国家安全、公共利益或个人、组织合法权益的影响和重要程度的不同而将数据划分为“一般数据”、“重要数据”和“核心数据”三级,并尝试对“重要数据”和“核心数据”进行了定义。除了上述几点重要内容外,新版《审查办法》还在审查期间新增加了当事人应当按照审查要求采取预防和消减风险的措施的规定,另外还将特别审查程序的时限从原来的45个工作日延长到90个工作日,这些调整内容应该都是考虑到安全审查程序的重要性和复杂性而新设的。综上所述,新版《审查办法》的出台体现了我国网络安全审查制度与时俱进的特点。但经过上述解读也能发现,新版《审查办法》对“网络平台运营者”、“赴国外上市”、“核心数据”、“重要数据”等基础概念并没有做出明确规定,而由国家网信办在2021年11月14日发布的《数安条例征求意见稿》里,对上述这些基础概念的定义都有涉及,而且同样也有关于网络安全审查的具体规定,这两份同样由国家网信办发布的文件规定是否需要协调统一还有待观察,但至少在目前阶段理解适用新版《审查办法》时,《数安条例征求意见稿》的相关内容还不可或缺。3月3日下午15:00-16:00,知产前沿”线上直播特别邀请达晓律师事务所高级合伙人:邓勇律师,以“从典型案例看网络安全和个人信息保护领域的典型问题”为主题进行直播分享。讲座中将介绍:1)从Apache安全漏洞事件谈谈对网络安全规制对象的理解 ,2)从修订后的《网络安全审查办法》看网络安全审查的新变化,以及3)从个人信息保护十大典型案例看刑事案件的发展态势。
注释(上下滑动阅览)
【1】《<网络安全审查办法>答记者问》http://www.cac.gov.cn/2022-01/04/c_1642894602460572.htm。如需内容推广、转载授权、原创投稿、发布招聘启事等新媒体合作相关事宜,请添加编辑微信哦。作者:邓勇
编辑:Sharon
扫码购买观看(长期有效)
(www.caiips.com)
(www.giips.cn)
(www.meddeviceip.com)
(www.pharmaip.cn)
(www.ipforefront.com)