走出去智库观察  

1月4日，国家网信办等13部门联合修订并发布《网络安全审查办法》（以下简称《办法》），将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围。《办法》自2月15日起施行。

 

走出去智库（CGGT）特约法律专家、北京大成总部高级合伙人蔡开明指出，《办法》是在针对当前风险较高的关键信息基础设施运营者采购以及网络平台运营者赴国外上市两大业务率先出台的安全审查机制，同时保留了主管部门对可能存在风险的网络平台运营者开展其他数据处理活动进行网络安全审查的空间。如此一来，既保障了相关主管部门面对主要风险业务时有法可依，也为后续建立涵盖范围更广的数据安全审查制度积累立法和实践经验，同时也争取了建立完善相关制度的时间。

 

《办法》的立法背景是什么？有哪些风险点？今天，走出去智库（CGGT）刊发蔡开明律师团队的分析文章，供关注网络安全的读者参阅。

 

要 点

 

 

 

 

CGGT，CHINA GOING GLOBAL THINKTANK

 

1、《办法》将征求意见稿中审查对象之一的“数据处理者”限缩为“网络平台运营者”，即率先制定出针对较高风险的关基运营者、网络平台运营者的安全审查制度（即网络安全审查），避免了一时难以妥善规范的、当前风险较低的其他多种多样的“数据处理者”的干扰。

 

2、《办法》中的网络平台经营者，应当包含凭借任何网络开展具有类似前述“连接属性”平台业务的企业。从严格控制风险的角度，在当前关于“网络平台运营者”的概念定义尚无官方说明的情况下，如相关公司掌握超过100万用户个人信息且需要赴国外上市，可以首先咨询网络安全审查对接部门（注意保留相关咨询档案），或按照《办法》尝试申报网络安全审查，以规避潜在风险。

 

3、《办法》在制度设计上，可能由于赴港上市相较国外上市风险更低，因此并不需要强制要求所有网络平台运营者（赴港）上市前均主动申报网络安全审查，而是通过相关主管部门依据《办法》获得的主动提请发起审查的职权，对可能存在相关风险的特定上市活动进行网络安全审查。

 

正 文

 

 

 

 

CGGT，CHINA GOING GLOBAL THINKTANK

 

文/蔡开明 阮东辉

 

一、立法背景

 

2021年1月4日，国家网信办官方网站披露了国家网信办与国家发展和改革委员会、工业和信息化部、公安部、国家安全部等十三部门联合修订的《网络安全审查办法》（以下简称“《办法》”），该《办法》将于2022年2月15日起实施。

 

此前，2020年4月我国曾颁布并实施过一版《网络安全审查办法》（以下简称“2020版”），规定关键信息基础设施运营者（以下简称“关基运营者”）采购网络产品和服务需要进行网络安全审查。2021年，在《数据安全法》颁布后，中国证券监督管理委员会与制定2020版的十二个主管部门一道，在2021年7月制定并公布了《网络安全审查办法（征求意见稿）》（以下简称“征求意见稿”），将数据处理者开展数据处理活动纳入网络安全审查的范围。

 

《办法》在内容上虽然大多承继了征求意见稿的相关规定，但也对不少内容进行了重要调整，以下我们将根据《办法》及相关法律规定，对网络安全审查的重点内容进行分析解读。

 

三、网络安全审查对象

 

如前所述，在理解《办法》中对网络安全审查的定位设计后，我们已然可以理解为什么《办法》将审查的对象，从征求意见稿中的“关基运营者”和“数据处理者”，限缩为“关基运营者”和“网络平台运营者”。

 

1. 关于关基运营者

 

我国2021年已公布了《关键信息基础设施安全保护条例》，对“关键信息基础设施”进行了定义，即“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”实践中，我们也已知悉部分企业已经被相关部门明确告知其已被认定为关键信息基础设施运营者。如企业不确定自身是否可能构成关键信息基础设施运营者，可主动联系行业、领域主管部门、监督部门进行认定。

 

2. 关于网络平台运营者

 

《办法》及现行生效的各项法律法规均未见具体定义。但在2021年11月国家互联网信息办公室发布的《网络数据安全管理条例（征求意见稿）》中，对“互联网平台运营者”定义为“指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。”不过这一定义措辞为“互联网运营者”而非“网络运营者”。

 

《网络安全法》中对“网络”定义为“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。”其可能涵盖的范围十分广泛，因此我们理解“网络”的范围应当包括我们通常所说的“互联网”。

 

就“平台运营者”而言，国家市场监督管理总局在2021年10月颁布的《互联网平台分类分级指南（征求意见稿）》中对互联网平台归类中提及了“平台”具备的“连接属性”，即“通过网络技术把人和商品、服务、信息、娱乐、资金以及算力等连接起来，由此使得平台具有交易、社交、娱乐、资讯、融资、计算等各种功能。”

 

综上所述，我们理解《办法》中的网络平台运营者，应当包含凭借任何网络开展具有类似前述“连接属性”平台业务的企业。从严格控制风险的角度，在当前关于“网络平台运营者”的概念定义尚无官方说明的情况下，如相关公司掌握超过100万用户个人信息且需要赴国外上市，可以首先咨询网络安全审查对接部门（注意保留相关咨询档案），或按照《办法》尝试申报网络安全审查，以规避潜在风险。

 

根据国家网信办有关负责人就《办法》出台事宜的答记者问（以下简称“答记者问”），承担接收企业申报网络安全审查材料、对申报材料进行形式审查等工作的承接部门及联系方式为：

 

承接部门：中国网络安全审查技术与认证中心

咨询电话：010-65994415

咨询邮箱：shencha@isccc.gov.cn

联系地址：北京市朝阳区朝外大街甲10号中认大厦

 

五、审查程序

 

办法中最终确定的审查程序与2020版、征求意见稿中的审查框架基本一致。在网络安全审查办公室决定受理企业申请，或网络安全审查工作机制成员单位发起调查的申请获得中央网络安全和信息化委员会批准后，网络安全审查办公室即正式开展以下审查程序：

 

1. 初步审查程序

 

网络安全审查办公室在30个工作日内（不包含企业提交补充材料的时间，且情况复杂可延长15个工作日）形成审查结论建议，并将其发送给网络安全审查工作机制成员单位、相关部门征求意见。各相关单位、部门意见一致即结束审查并将审查结果通知当事人；相关单位、部门如意见不一致，则启动特别审查程序。

 

2. 特别审查程序

 

特别审查程序中，网络安全审查办公室需听取相关单位和部门意见再次形成审查结论建议，并在征求相关成员单位和部门对审查结论建议的意见后，报中央网络安全和信息化委员会批准形成审查结论，并通知当事人。

 

值得注意的是，特别审查程序将审查时效最终延长到了90个工作日（不包含企业提交补充材料时间），并保留了在复杂情况下可以延长这一审查时限的规定。同时，在《办法》第16条新增了第2款“为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。”这意味网络安全审查办公室可以在审查过程中率先要求相关企业采取整改措施（如下架相应APP等），而无需等待审查结束。

 

七、总结

 

即将生效的《网络安全审查办法》，相对此前公布的《网络安全审查办法（修订草案征求意见稿）》以及《网络数据安全管理条例（征求意见稿）》相关规定，调整的细节内容颇多，但影响同样重大。

 

总体来看，《网络安全审查办法》是在针对当前风险较高的关键信息基础设施运营者采购以及网络平台运营者赴国外上市两大业务率先出台的安全审查机制，同时保留了主管部门对可能存在风险的网络平台运营者开展其他数据处理活动进行网络安全审查的空间。如此一来，既保障了相关主管部门面对主要风险业务时有法可依，也为后续建立涵盖范围更广的数据安全审查制度积累立法和实践经验，同时也争取了建立完善相关制度的时间。

 

对于企业而言，由于《网络安全审查办法》已有具体规定，关键信息基础设施运营者与网络平台运营者需要格外关注相关风险，特别是关键信息基础设施运营者采购网络产品和服务的活动，以及网络平台运营者赴国外上市的活动，此外，网络平台运营者需意识到其他数据处理活动也有被开展网络安全审查的可能，因此也应给予充分关注。而其他企业，虽然并非《网络安全审查办法》下的规范对象，但同样应当注意在《数据安全法》、《个人信息保护法》下的相关数据安全保护合规要求。