解决方案-审查网络安全案例-0基础信息安全指南

解决方案-审查网络安全案例-0基础信息安全指南

2021年12月28日，国家网信办等13部委联合发布《网络安全审查办法》（以下简称《办法》）。《办法》在2020年4月《网络安全审查办法》的基础上加入了对数据处理活动和掌握大量个人信息网络平台运营者赴国外上市进行网络安全审查的有关规定，对于数据处理者，尤其是拟上市的互联网企业具有重大的意义。

一、网络安全审查的适用主体

（一）关键信息基础设施运营者

《办法》第二条规定：“关键信息基础设施运营者采购网络产品和服务，影响或者可能影响国家安全的，应进行网络安全审查。”其制定依据是《网络安全法》第三十五条的明确规定：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”《关键信息基础设施安全保护条例》第十九条提出了相同的要求。

应当注意的是，《办法》第二十一条对“网络产品和服务”进行了限缩解释，将其定义为“核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。”除此之外，还需“影响或者可能影响国家安全”。对此《办法》及其他有关规定并未明确具体的条件，第五条规定关键信息基础设施安全保护工作部门（也即行业、领域主管部门、监督管理部门，可能会存在交叉重复的情形）可以制定预判指南。在相应预判指南暂未出台的情况下，企业可根据第十条规定的七项国家安全风险因素进行预判，只要其中一项风险较大，即应申报网络安全审查。

（二）网络平台运营者

《办法》第二条规定：“网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应进行网络安全审查。”国家网信办有关负责人在答记者问中表示，增加“网络平台运营者开展数据处理活动”系依据《数据安全法》第二十四条“国家建立数据安全审查制度”的规定。这说明对网络平台运营者基于网络平台开展“数据处理活动”仍然受《办法》的规制。根据2021年11月14日网信办发布的《网络数据安全管理条例（征求意见稿）》（以下简称“《数安条例》”）的立法体例显示，立法正逐步将数据安全、网络安全的监管规则统筹到一部立法中，故意在数据安全与网络安全交叉的领域实现规则统一，使实践中操作更为便捷。实际上，网络安全是数据安全的基石，网络安全可以保障数据安全，数据安全离不开网络安全。立法中将数据安全影响国家安全的审查纳入网络安全审查的范畴，就是抓住了网络安全是数据安全的基础，数据安全影响国家安全的审查也离不开网络安全审查。部分专业文章根据第二十二条“国家对数据安全审查、外商投资安全审查另有规定的，应当同时符合其规定”认为对网络平台运营者的网络安全审查不属于数据安全审查，过分拘泥于文本，忽略了立法的本意。实际上，数据安全审查指对“影响或者可能影响国家安全的数据处理活动进行国家安全审查”，判断数据安全审查应采实质重于形式的方式，只要审查的对象是数据处理活动，被审查的主体是网络平台运营者，审查的内容影响或可能影响对国家安全的，就属网络安全审查范畴。至于非网络平台运营者，则不能一概而论。

值得讨论的是，《网络安全审查办法（修订草案征求意见稿）》（以下简称“《征求意见稿》”）中此处对主体的表述为“数据处理者”，但正式文本中则为“网络平台运营者”。《数安条例》中虽无“网络平台运营者”的概念，但其规定了互联网平台运营者申报网络安全审查的情形，且将互联网平台运营者定义为“为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者”，此定义似乎包括所有利用互联网提供服务的主体。《电子商务法》《互联网平台落实主体责任指南（征求意见稿）》均将“平台经营者”定义为“向自然人、法人及其他市场主体提供经营场所、交易撮合、信息发布等互联网平台服务的法人及非法人组织。”有观点认为“网络平台运营者”不包括“单纯直接以自己名义向客户提供商品或服务、不提供平台服务的数据处理者”。笔者认为“网络平台运营者”包含《电子商务法》中的“自销”平台和“第三方入驻”的平台，因为此处《办法》使用“运营者”，而非“经营者”。无论如何，《办法》第十六条规定了网络安全审查工作机制成员单位发起的审查，该条并未限制数据处理活动的主体，因此无论如何理解，数据处理者均可能成为网络安全审查的对象。数据处理者不应仅以自身非网络平台运营者为由认为其数据处理活动不适用网络安全审查，而应积极履行网络安全、数据安全义务。

综上，根据《办法》我们总结被网络安全审查的主体共有以下适用情形：第一是《办法》第五条“关键信息基础设施运营者采购网络产品和服务。”当关键信息基础设施运营者预判采购的产品和服务投入使用后可能带来的国家安全风险时；第二是第七条“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”；第三是第十六条规定的网络安全审查工作机制成员单位对影响或者可能影响国家安全的网络产品和服务以及数据处理活动发起，在此情况下当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施；第四是第二条“关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。”；第五是第十九条“网络安全审查办公室通过接受举报等形式加强事前事中事后监督。”此处需要注意的是《办法》第十九条第一款“当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。”此处“当事人”与被接受举报的主体是否一致，如果均为“当事人”中包括的“关键信息基础设施运营者、网络平台运营者”，那么网络平台运营者采购产品或服务是否也是被审查的对象，值得探讨。

二、大型网络平台运营者赴国外上市的审查

《办法》第七条规定：“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须申报网络安全审查。”该种情形将个人信息数量作为衡量标准，且《办法》第十条第六款审查内容也包括网络信息安全风险。对于拟赴港上市企业而言，此处的“国外”不包括香港，也即赴港上市的企业不是必须主动申报网络安全审查，这一点与2021年7月发布的《征求意见稿》保持一致。但这并不意味着赴港上市完全不需要网络安全审查，2021年11月的《数安条例》第十三条将赴港上市和国外上市分开进行规定，认为只要影响或者可能影响国家安全的，仍需申报网络安全审查。我们认为，虽然《办法》没有明确要求，但根据《办法》第二条“网络平台运营者开展数据处理活动，影响或者可能影响国家安全的”都应当按照本《办法》进行网络安全审查。因此，我们认为赴港上市影响或者可能影响国家安全的仍需申报网络安全审查。

至于《办法》中使用“掌握”而非“处理”，说明二者应有所区别。掌握应为一种实质性要求，例如美国云法案（CLOUD ACT）采用的拥有（）、监管（）或控制（）标准。显而易见，“掌握”的内涵和外延均广于“处理”。

无论上述讨论对该种适用情形的各项条件进行何种限缩，均应注意这只是就主动申报而言，《办法》第十六条规定的网络安全审查工作机制成员单位发起的审查不受此类条件的限制。因此，无论何种数据处理者赴何地上市，都可能受到网络安全审查，只是适用的路径存在差别而已。企业不能仅因可能无需主动申报就认为网络安全审查与己无关，而应当与行业主管机关及网信部门积极沟通，避免被忽然发起审查而推迟上市时间、造成不必要的损失。

三、网络审查流程

为便于读者理解，我们根据《办法》绘制了网络安全审查的流程图：

据此计算，如各有关部门意见一致，不进入特别审查程序，网络安全审查将耗时最长70个工作日；若各部门意见出现分歧，进入特别审查程序，网络安全审查将耗时160个工作日甚至可无限期延长。欲采购网络产品或服务的CIIO及拟上市企业应根据自身情况，预判可能适用的情况，合理将网络安全审查规划进交易时间进度表。

马军 宁人律师事务所金融与科技委员会副主任、合伙人

邮箱：majun@.com

业务领域：网络与知识产权、私募股权和投资基金、税务与财富管理

姜赫律师助理

~

网络安全学习，我们一起交流

~