审查网络安全案例/网络安全审查系列文章（一）：网络安全审查概述_入门信息安全记录贴

审查网络安全案例/网络安全审查系列文章（一）：网络安全审查概述_入门信息安全记录贴

网络安全是国家安全的重要组成部分，网络安全审查是维护网络安全的重要法律制度，网络安全审查的启动以及审查结果对企业的经营、境外上市计划、社会形象等方面具有重大影响，因此，企业有必要了解网络安全审查相关的法律法规要求，并按规定申报网络安全审查。

作者丨刘平 刘浩

前言

网络安全是国家安全的重要组成部分，处于牵一发而动全身的重要地位，网络安全与国家安全密切相关，同时也影响着经济社会的稳定运行。网络安全已经成为我国面临的最复杂、最现实、最严峻的非传统安全问题之一。

网络安全审查是维护网络安全的重要法律制度，自2015年至2021年，我国已经通过制定《中华人民共和国国家安全法》（以下简称“《国家安全法》”）、《中华人民共和国网络安全法》（以下简称“《网络安全法》”）、《中华人民共和国数据安全法》（以下简称“《数据安全法》”）、《关键信息基础设施安全保护条例》《网络安全审查办法》等构建了网络安全审查的法律法规体系。自2021年至2023年，网络安全审查主管部门先后对某出行服务公司、三家大型互联网平台、某数据库、某关键信息基础设施产品供应商进行了网络安全审查，并作出相关行政处罚或消除网络安全风险的措施。

网络安全审查的启动以及审查结果对有关企业的经营、上市计划、社会形象等方面具有一定影响。因此，了解网络安全审查相关的法律法规要求，按要求申报网络安全审查，是企业运营管理过程中不可忽视的合规条件，特别是对于关键信息基础设施运营者、网络产品和服务供应商、网络平台运营者、数据处理者、拟赴境外上市的企业来说，了解和遵守网络安全审查的合规要求尤为重要。

本文将对我国的网络安全审查制度进行介绍，主要内容包括：网络安全审查的法律法规体系、触发网络安全审查的情形、网络安全审查的审查主体、需提交的资料、流程和时间、审核要点、网络安全审查期间的临时性措施、网络安全审查的结果、法律后果、过往案例等。

一、网络安全审查的法律法规体系

（一）《国家安全法》（2015）

《国家安全法》（2015）第59条规定，国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。

（二）《网络安全法》（2016）

《网络安全法》（2016）第35条规定，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

（三）《数据安全法》（2021）

《数据安全法》（2021）第24条规定，国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

（四）《关键信息基础设施安全保护条例》（2021）

《关键信息基础设施安全保护条例》（2021）第19条规定，运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。

（五）《网络数据安全管理条例（征求意见稿）》（2021年11月14日）

国家互联网信息办公室（以下简称“国家网信办”）2021年11月14日公布的《网络数据安全管理条例（征求意见稿）》第13条规定，数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：

（1）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；

（2）处理100万人以上个人信息的数据处理者赴国外上市的；

（3）数据处理者赴香港上市，影响或者可能影响国家安全的；

（4）其他影响或者可能影响国家安全的数据处理活动。

就上述《网络数据安全管理条例（征求意见稿）》，目前尚未有正式法规颁布。

（六）《网络安全审查办法》（2021）

《网络安全审查办法》（2021）第2条规定，关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。

《网络安全审查办法》（2021）第7条规定，掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

《网络安全审查办法》（2021）第16条规定，网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

二、触发网络安全审查的四种情形

根据上述法律法规，我们总结了触发网络安全审查的四种情形，包括应自主申报的三种情形以及主管部门依职权审查的情形。

（一）应自主申报的三种情形

《网络安全审查办法》（2021）第2条规定，关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。

《网络安全审查办法》（2021）第7条规定，掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

根据上述规定，关键信息基础设施运营者、网络平台运营者在以下三种情形下应自主申报网络安全审查：

1、关键信息基础设施运营者采购网络产品和服务，影响或者可能影响国家安全的

（1）关键信息基础设施运营者

根据《关键信息基础设施安全保护条例》（2021）第2条，本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

《关键信息基础设施安全保护条例》（2021）第10条规定，保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。

根据上述规定，我们建议，企业在判断自己是否构成关键信息基础设施运营者时：（a）首先，要看本行业、本领域的主管部门是否已经就本行业、本领域的关键信息基础设施进行了认定，以及企业是否收到了认定结果；（b）其次，如果主管部门尚未进行认定，或企业尚未收到认定结果的，企业应根据上述法律规定对自己是否构成关键信息基础设施运营者进行自评估，判断未来是否有可能被主管部门认定为关键信息基础设施运营者。

（2）采购网络产品和服务

根据《网络安全审查办法》（2021）第21条，本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。

（3）影响或者可能影响国家安全的

根据《网络安全审查办法》（2021）第10条，网络安全审查重点评估相关对象或者情形的国家安全风险因素包括7个方面，具体请见本文第六部分：网络安全审查的审查要点。

2、网络平台运营者开展数据处理活动，影响或者可能影响国家安全的

（1）网络平台运营者

《网络安全审查办法》（2021）未对“网络平台运营者”进行定义，企业可参考《网络数据安全管理条例（征求意见稿）》对于“互联网平台运营者”的定义。

根据《网络数据安全管理条例（征求意见稿）》（2021年11月14日）第73条第（九）款，互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。

（2）开展数据处理活动

根据《数据安全法》（2021）第3条，数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

此外，根据《网络数据安全管理条例（征求意见稿）》（2021年11月14日）第73条第（二）款，数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。

（3）影响或者可能影响国家安全

根据《网络安全审查办法》（2021）第10条，网络安全审查重点评估相关对象或者情形的国家安全风险因素包括7个方面，具体请见本文第六部分：网络安全审查的审查要点。

3、掌握超过100万用户个人信息的网络平台运营者赴国外上市

（1）掌握超过100万用户个人信息

注意《网络安全审查办法》（2021）在此使用的“掌握”的概念，不同于《信息安全技术 个人信息安全规范》（GB/T 35273-2020）中使用的“控制”的概念（个人信息控制者，是指有能力决定个人信息处理目的、方式等的组织或个人），也不同于《数据安全法》（2021）使用的“处理”的概念（数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等）和《个人信息保护法》（2021）使用的“处理”的概念（个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等）。

《网络安全审查办法》（2021）没有对“掌握”的概念予以进一步明确，我们理解，“掌握”概念的外延比“控制”及“处理”概念的外延更为广泛，可能包含“控制”“处理”“拥有”“持有”等内容。

（2）网络平台运营者

请参考以上第2点第（1）项的描述。

（3）赴国外上市

这里需要注意：“赴国外上市”的表述不同于“赴境外上市”。虽然《网络安全审查办法》（2021）并未对“赴国外上市”作进一步定义，但国家网信办在同一时期发布的《网络数据安全管理条例（征求意见稿）》（2021年11月14日）第13条明确对“赴国外上市”和“赴香港上市”概念进行了区分，企业可以此作为参考。

此外，根据《网络数据安全管理条例（征求意见稿）》（2021年11月14日）第13条，数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：

（1）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；

（2）处理100万人以上个人信息的数据处理者赴国外上市的；

（3）数据处理者赴香港上市，影响或者可能影响国家安全的；

（4）其他影响或者可能影响国家安全的数据处理活动。

《网络数据安全管理条例（征求意见稿）》目前尚未有正式法规颁布，笔者理解，如《网络数据安全管理条例（征求意见稿）》的上述规定最终形成正式规定，将进一步扩大应自主申报网络安全审查的范围，主要体现在以下两个方面：

（1）网络安全审查的申报主体：在关键信息基础设施运营者、网络平台运营者基础上，进一步扩大至数据处理者。

（2）应自主申报网络安全审查的情形：在关键基础信息设施运营者采购网络产品和服务，影响或者可能影响国家安全的、网络平台运营者开展数据处理活动，影响或者可能影响国家安全的、掌握超过100万用户个人信息的网络平台运营者赴国外上市三种情形的基础上，进一步扩大至：（a）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；（b）数据处理者赴香港上市，影响或者可能影响国家安全的；（c）以及其他影响或者可能影响国家安全的数据处理活动。特别是最后的兜底条款，将所有影响或者可能影响国家安全的数据处理活动全部包括在应自主申报网络安全审查的范围内。

（二）主管部门依职权审查的情形

4、网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动

《网络安全审查办法》（2021）第16条规定，网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

此外，《网络安全审查办法》（2021）第19条规定，……网络安全审查办公室通过接受举报等形式加强事前事中事后监督。

根据上述规定，主管部门依职权审查的情形包括但不限于以下两种：（1）主管部门主动发起审查；（2）主管部门接受举报而发起审查。

在主管部门依职权审查的情形下，被审查的对象包括两类：（1）影响或者可能影响国家安全的网络产品和服务；（2）影响或者可能影响国家安全的数据处理活动。

需要注意的是，在主管部门依职权审查的情形下，对被审查主体的范围并未进行限制，除了关键信息基础设施运营者、网络平台运营者之外，还可能包括其他更广泛的主体，如：网络产品和服务供应商、数据处理者等。

三、网络安全审查的审查主体

《网络安全审查办法》（2021）第4条规定，在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。

根据上述规定，网络安全审查的审查主体是网络安全审查办公室，设在国家网信办。

根据总结过往案例，一般由网络安全审查办公室发出启动网络安全审查的公告，是否通过网络安全审查的结论也是由网络安全审查办公室作出；但是，如果涉及作出行政处罚（如责令停止违法处理个人信息行为、处以罚款等），则是由国家网信办作出决定。

四、网络安全审查需提交的资料

《网络安全审查办法》（2021）第8条规定，当事人申报网络安全审查，应当提交以下材料：

（一）申报书；

（二）关于影响或者可能影响国家安全的分析报告；

（三）采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请文件；

（四）网络安全审查工作需要的其他材料。

五、网络安全审查的流程和时间

（一） 自主申报的流程和时间

1、一般审查程序

《网络安全审查办法》（2021）第9条规定，网络安全审查办公室应当自收到符合本办法第8条规定的审查申报材料起10个工作日内，确定是否需要审查并书面通知当事人。

《网络安全审查办法》（2021）第11条规定，网络安全审查办公室认为需要开展网络安全审查的，应当自向当事人发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见；情况复杂的，可以延长15个工作日。

《网络安全审查办法》（2021）第12条规定，网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。网络安全审查工作机制成员单位、相关部门意见一致的，网络安全审查办公室以书面形式将审查结论通知当事人；意见不一致的，按照特别审查程序处理，并通知当事人。

《网络安全审查办法》（2021）第15条规定，网络安全审查办公室要求提供补充材料的，当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

2、特别审查程序

《网络安全审查办法》（2021）第13条规定，按照特别审查程序处理的，网络安全审查办公室应当听取相关单位和部门意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关部门意见，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知当事人。

《网络安全审查办法》（2021）第14条规定，特别审查程序一般应当在90个工作日内完成，情况复杂的可以延长。

《网络安全审查办法》（2021）第15条规定，网络安全审查办公室要求提供补充材料的，当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

（二）依职权审查的流程和时间

《网络安全审查办法》（2021）第16条规定，网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

根据上述规定，依职权审查的流程和时间与自主申报的流程和时间相同。

六、网络安全审查的审查要点

《网络安全审查办法》（2021）第10条规定，网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：

（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；

（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；

（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；

（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

根据上述规定，我们总结网络安全审查重点评估的国家安全风险因素包括以下几大类别：

（1）产品和服务的风险：包括以上第（一）（二）（三）种情形；

（2）产品和服务提供者的风险：包括以上第（四）种情形；

（3）法律风险：包括以上第（四）（五）种情形；

（4）政治风险：包括以上第（三）（六）种情形；

（5）网络信息安全风险：包括以上第（五）（六）种情形。

七、网络安全审查期间的临时性措施

《网络安全审查办法》（2021）第16条规定，……为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。

根据过往处罚案例，在网络安全审查办公室发出启动网络安全审查的公告之后，在审查结论作出之前，为防止风险的进一步扩大，主管部门可能会在审查期间采取某些临时性措施，如：停止新用户注册、下架有关App等。

八、网络安全审查的结果

根据有关法律法规、过往审查案例、上市公司公告披露的信息，我们总结网络安全审查的结果主要有以下三类：

（一）经当事人自主申报网络安全审查，主管部门认为无需进行审查；

（二）经当事人自主申报网络安全审查或主管部门依职权进行审查，主管部门经研判后认为不影响国家安全；

（三）经当事人自主申报网络安全审查或主管部门依职权进行审查，主管部门经研判后认为影响国家安全，需要采取相应措施消除对国家安全的危害，并对网络安全审查过程中发现的违法行为予以行政处罚。

九、网络安全审查的法律后果

（一）未依法申报网络安全审查的法律后果

《网络安全审查办法》（2021）第20条规定，当事人违反本办法规定的，依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。

《网络安全法》（2016）第65条规定，关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

《关键信息基础设施安全保护条例》（2021）第41条规定，运营者采购可能影响国家安全的网络产品和服务，未按照国家网络安全规定进行安全审查的，由国家网信部门等有关主管部门依据职责责令改正，处采购金额1倍以上10倍以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。

《网络数据安全管理条例（征求意见稿）》（2021年11月14日公布）第60条规定，数据处理者不履行……第十三条（即要求申报网络安全审查的条款）….的规定，由有关主管部门责令改正，给予警告，可以并处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款；拒不改正或者导致危害数据安全等严重后果的，处50万元以上200万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处5万元以上20万元以下罚款。

（二）网络安全审查过程中发现的违法行为的法律后果

如主管部门在进行网络安全审查过程中发现被审查对象存在违法行为，监管部门将依据《网络安全法》、《数据安全法》、《个人信息保护法》等相关法律法规的相关规定进行处罚。

根据过往处罚案例总结，主管部门在进行网络安全审查过程中发现被审查对象存在的违法行为包括但不限于：未经同意收集个人信息、违反必要原则收集个人信息、未公开或明示收集使用规则、未准确告知个人信息处理目的、未提供账号注销功能、未及时删除用户个人信息、从事影响国家安全的数据处理活动等。

根据过往处罚案例，主管部门已经实施的行政处罚包括但不限于：责令停止违法处理个人信息行为、处以罚款等。

（三）网络安全审查过程中发现的影响国家安全事项的处理

根据过往处罚案例，如在网络安全审查过程中发现被审查对象未涉及违法行为，但其提供的产品或服务可能影响国家安全的，监管部门将会采取相应措施消除对国家安全的危害，如要求我国的关键信息基础设施运营者停止采购有关产品或服务。

十、网络安全审查的过往案例

自2021年至2023年，网络安全审查主管部门先后对某出行服务公司、三家大型互联网平台、某数据库、某关键信息基础设施产品供应商进行了网络安全审查，并作出行政处罚或消除网络安全风险的措施。相关信息如下：

点击可查看大图

结语

鉴于网络安全审查的启动、审查结果及有关行政处罚对企业的经营管理、上市计划、社会形象等方面的重大影响，企业应了解和遵守网络安全审查相关的法律法规，并按要求申报网络安全审查，确保企业在网络安全审查方面的合法合规，以避免对企业的经营管理、上市计划、社会形象等方面造成不利影响。

刘平 律师

深圳办公室

非权益合伙人

业务领域：中国内地资本市场, 网络安全和数据保护, 反垄断和竞争法

刘浩 律师

深圳办公室 资本市场部

~

网络安全学习，我们一起交流

~