数欲静 风不止:关于网络安全审查办法最新修订你需要知道的八个问题

来源:金诚同达

文章摘要
飍 2021年7月10日,国家互联网信息办公室下发关于《网络安全审查办法(修订草案征求意见稿)》(以下简称“《办法(修订草案)》”)公开征求意见的通知,而就在前日晚间,国家互联网信息办公室发布《关于下

2021年7月10日,国家互联网信息办公室下发关于《网络安全审查办法(修订草案征求意见稿)》(以下简称“《办法(修订草案)》”)公开征求意见的通知,而就在前日晚间,国家互联网信息办公室发布《关于下架“滴滴企业版”等25款App的通报》,再往前回溯至7月6日,中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》。接连三波刷屏之作,不断将“滴滴出行”“运满满”“货车帮”“BOSS直聘”引发的“网络安全审查”讨论“快速迭代”式地推向新的高潮。
此前,团队曾连发两文,分别从“网络安全是什么”和“App个保合规”两个角度对此次系列热点事件进行探讨:
1. 起风了 请添衣 | 关于滴滴出行被实施网络安全审查你最想知道的八个问题
2. 风再起 何处往 | 被实施网安审查后滴滴出行再被下架,App个保合规你需要知道的八个问题
本文系连载第三篇,我们将以《办法(修订草案)》为核心,围绕其最新修订的八个要点推出“8问8答”。

下为详文。
Q1为什么新增《数据安全法》作为上位法依据?
1. 《数据安全法》是什么?
《数据安全法》已于2021年6月10日通过,将于2021年9月1日起施行。作为我国数据领域的基础性立法,完善了数据安全的顶层设计,其规定了数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全、法律责任等内容,对于规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益具有划时代的意义。
2. 为什么适用《数据安全法》?
纵观《办法(修订草案)》的修订内容,其最核心的变化体现在新增对数据处理者开展数据处理活动的规范。《国家安全法》《网络安全法》固然能够适用,但涉及数据安全的、直接的规定确实相对有限。在《国家安全法》《网络安全法》之外,适逢《数据安全法》已经出台并且即将生效,《办法(修订草案)》第一条新增《数据安全法》作为其上位法依据,恰逢其时、恰如其分。
有人可能会说,不对呀,《数据安全法》到2021年9月1日才生效,现在还未生效,怎么就恰逢其时、恰当其分了呢?卖个关子,到了Q8,给你答案。
3. 网络安全审查和数据安全审查的关系?
除适用《数据安全法》的原则性规定之外,《办法(修订草案)》主要指向的应为《数据安全法》第二十四条的规定,即:
国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
依法作出的安全审查决定为最终决定。
为什么指向该条规定?探讨完Q2,疑惑将会自然消解。我们继续探讨网络安全审查和数据安全审查的关系。
我们先把思绪回到《办法(修订草案)》发布之前。彼时,《数据安全法》规定的数据安全审查和《网络安全法》规定的网络安全审查之前的关系如何,是并行、合并适用亦或是其他关系,众说纷纭,但似乎占据主流的猜测为二者并行,且后续会像《网络安全法》配套出台《网络安全审查办法》一样出台《数据安全法》配套的数据安全审查相关管理办法。
我们再把思绪回到《办法(修订草案)》发布之后。此时,似乎“拨开云雾见月明”,可以初步得出的理解为,网络安全审查和数据安全审查一并由《网络安办法(修订草案)》加以规定,二项审查可能同时触发,亦可能单独触发。而后续再出台单独的数据安全审查相关办法的可能性,也就比较低了。
Q2网安审查还是只适用于关键信息基础设施运营者吗?
先说答案:网安审查不再限于关键信息基础设施运营者,还包括数据处理者。换言之,所有开展数据处理活动的主体,均可能被实施网安审查。
缘何如此肯定?依据有二:
其一、《办法(修订草案)》第二条对其适用范围进行了扩张
先上条文对比表格。

网络安全审查办法

办法(修订草案)

第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。

第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。


如上,不难看出,基于影响或者可能影响国家安全的前提,在原有适用范围限于“关键信息基础设施运营者采购网络产品和服务”的基础上,《办法(修订草案)》第二条新增“数据处理者开展数据处理活动”作为新的、单独的网安审查情形。
新惑再起,如何理解“数据处理者开展数据处理活动”?《办法(修订草案)》未对此作出明确界定,“运营者”范围获得极大扩张。
我们试着把目光回到Q1,看看能否从上位法中找寻到我们想要的答案?结果没有让我们失望,还真找到了。
《数据安全法》第三条第二款将“数据处理”界定为“包括数据的收集、存储、使用、加工、传输、提供、公开等”,可以说,将数据全生命周期的各项活动均纳入到“数据处理”的范围。而在数字化时代,开展数据处理活动的主体的广泛性无需多言。
言已至此,“所有开展数据处理活动的主体,均可能被实施网安审查”也就不言而喻了。
其二、掌握超过100万用户个人信息的运营者赴国外上市应申报网安审查
《办法(修订草案)》新增第六条规定“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。
本条规定一出,足够吸引眼球。其与此前滴滴等三家被实施网络安全审查后,我们的观察“结合以上赴美上市信息梳理,比较有意思的直观结论似乎是:新近成功赴美IPO的三家企业均被实施网络安全审查,似有深意”似乎“不谋而合”。而相当一部分报道《办法(修订草案)》的文章,使用的标题均涉及“掌握超过100万用户个人信息的运营者赴国外上市,必须申报网络安全审查!”,亦足以看出本条规定的影响力。
本条规定的具体影响,我们留待Q5细谈。回归本问题,本条规定系对《办法(修订草案)》第二条规定的一种具体适用。“掌握超过100万用户个人信息的运营者赴国外上市”,并未强调必须是关键信息基础设施运营者,而主要是从掌握数据达到特定数量的角度来说的。
Q3网安审查还是以事前报请审查为主吗?
答案是肯定的。
《办法(修订草案)》并未改变《网络安全审查办法》的主要审查模式,即网络安全审查还是以事前报请审查为主。《办法(修订草案)》对第五条未进行变更,新增第六条强调赴国外上市必须报请网安审查,第八条对报请审查的材料中仅新增“拟提交的IPO审查材料”,而“拟签订的合同”“拟提交的IPO材料”,这里的两个“拟”亦足以看出事前审查的意味。
当然,《办法(修订草案)》第十六条亦保留了依职权启动审查的规定,并顺应整体修改思路,将“数据处理活动以及国外上市行为”新增纳入到依职权启动审查的情形。多说一句,依职权启动审查,不区分事前、事中还是事后审查,只要“认为影响或可能影响国家安全”,在报批后均可进行审查。
Q4如何理解网安审查主要考虑要素的变化?
同样先上条文对比图:

网络安全审查办法

办法(修订草案)

第九条 网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

(五)其他可能危害关键信息基础设施安全和国家安全的因素。

第十条 网络安全审查重点评估采购网络产品和服务活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

(五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;

(六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险;

(七)其他可能危害关键信息基础设施安全和国家数据安全的因素。


对于网络安全审查主要考虑要素的变化,我们总结了以下五大要点理解:
1. 修订后的第十条删除“网络产品和服务”,我们认为这并非改变法条的原意,而是用“采购活动”取代了“采购网络产品和服务”。“采购活动”也并非此次修订所使用的新词,如现行生效版《网络安全审查办法》第六条也适用了“采购活动”表述。
2. 修订后的条文将“数据处理活动”和“国外上市”两类情形加入,该等修订系源于此次第二条的修订(“数据处理者”纳入“运营者”范畴)和第六条的新增(满足特定条件的运营者赴国外上市情形)。
3. 修订后的第(一)款删除了“以及重要数据被窃取、泄露、毁损”表述,进而将被删内容单独列为第(五)款“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”,该第(五)款的内容更为具象化,新增了“非法利用”“出境”两项,更具周延性,同时呼应《数据安全法》和个人信息保护的内容,核心数据、重要数据、个人信息被同时列明。通过第(五)款,网络安全审查将可以全面引致到数据安全法、个人信息保护法领域,相应地,因数据安全和个人信息保护问题引发的风险,均称为网络安全审查中的评估内容,这对于审查者和被审查者,都绝非易事。
4. 修订后的条文新增第(六)款,系针对国外上市情况而设定,且是针对“国外上市后”的情形,意味着既已国外上市的“中概股”们,均有被“秋后算账”的可能,如果我们对该款的理解正确,则将对中概股企业影响极为重大,从业机构需要评估自身被发起网络安全审查的可能性而积极筹备,以及被发起网络安全审查后的积极应对。
5. 修订后的第(七)款增加“数据安全”表述,系源于《数据安全法》列为《网络安全审查办法》的制定依据缘由。
Q5《办法(修订草案)》对赴国外上市的影响如何?
终于来到了这个最受关注的问题。毫无疑问,《办法(修订草案)》对于赴国外上市将会产生直接影响。可以说,国家安全、网络安全和数据安全问题之下,赴国外上市迎来“拐点”。
其实,在滴滴等三家互联网企业被实施网络安全审查后,根据媒体报道,已经向美国证券监督管理委员会(SEC)递交招股说明书的在线音频内容平台喜马拉雅、本地出行平台哈啰出行等公司均已暂缓其上市计划。[1]《办法(修订草案)》第六条的规定,清楚、明晰、直观地表达了国家对持有大量个人信息企业赴国外上市的态度,亦宣誓了国家在复杂的国际环境下,对于维护国家利益、数据安全和个人信息保护的信心和决心。
该条款系此次修订最受关注条款(没有之一)。直抒胸臆式的条文表达,与近期事件强呼应,亦可视作国家在“赴国外上市”问题上的表态。“必须”等严肃措辞亦可视作国家态度的体现。“超100万用户”的准入标准,基本能够把国内全部的互联网企业揽入怀中。该条影响重大,“泛”而“严”地在一众互联网公司的国外上市之路上架起了网络安全审查的卡口。与7月6日的《关于依法从严打击证券违法活动的意见》形成强呼应。
如若“掌握超过100万用户个人信息”的审查条件在后续的正式稿中未予调整,那么大多数拟赴国外上市的企业均会触发该条件,而需要报请网安审查,特别是以C端业务为主的企业,持有用户个人信息达到上亿级别的比比皆是。
自此,对于有上市计划的企业而言,除了考虑能否符合当地上市规则、融资预期等上市传统考虑因素之外,国家安全、网络安全和数据安全,将成为选择上市地点考虑因素中的“重头戏”(如首选“香港”而非“国外”)。
上市获益固然重要,安全底线不可挑战。
Q6前期已经在国外上市的企业可能被启动网安审查吗?
前期已经在国外上市的企业,不要觉得反正我前期已经上市了,网安审查的“火烧不到我这里”,不要“隔岸观火、沾沾自喜”。别不信,这不是危言耸听。
首先,滴滴等三家互联网企业虽然是新近赴国外上市,但其确实也已经上市了。当地的上市规则等,可不仅仅是为了新近上市专门制定的。
其次,如Q3所述,依职权调查,不区分事前、事中还是事后审查。前期上市,如果被网络安全审查工作机制成员单位认为影响或可能影响国家安全,依然可能被依职权启动调查。
国家安全、网络安全和数据安全面前,国外上市早不是“救命稻草”。
建议已经在国外上市的企业,立刻开展自查,开展数据合规安排,需要报请审查的及时报请审查,需要采取其他措施的及时采取其他措施,哪怕是“断臂自救”。
Q7滴滴等三家互联网企业会适用《办法(修订草案)》吗?
《办法(修订草案)》一出,当然的疑问就是,滴滴等三家互联网企业会适用《办法(修订草案)》吗?
我们的理解是,不太可能会。简言之,从法理的角度,“法不溯及既往”,且《办法(修订草案)》并未设置规定溯及力的条款。滴滴等三家互联网企业被决定实施网安审查之时,乃至现在,生效、适用的均为《网络安全审查办法》《办法(修订草案)》未正式出台、未正式生效。
当然,滴滴等三家互联网企业被实施网安审查的后果,我们一同观望。
Q8《办法(修订草案)》预计何时正式出台?
先来给大家罗列三个信息点,大家顺着来自行回答一下《办法(修订草案)》预计何时正式出台这个问题。

序号

信息点

1

国家近期采取的一系列网安审查相关的行动、出台/发布的规定

2

《办法(修订草案)》第二十三条规定“本办法自2021年【】月【】日起实施”

3

《办法(修订草案)》适用《数据安全法》(2021年9月1日)作为上位法依据


相信机智的你,已经猜出来我们想要给出的预测了。Q1卖的关子,也该解开了。
我们的预测是,《办法(修订草案)》预计2021年年内正式出台,但应该不会早于2021年9月1日。
在八问答之外,我们亦对《网络安全审查办法》《办法(修订草案)》进行了逐条比对分析,具体见下图示:




数欲静 风不止
7月上旬的最后一天,却有一种已然过完整月的感觉,风起、风再起,从首例审查案例公布,到App全网下架,再到同类审查案例再公布,网安、数安、个保话题密集抛出,让人应接不暇。而深圳经济特区的数据条例正式公布全文,在数据安全话题之外,引申出更综合的话题探讨(其内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面)。本以为“滴滴事件”慢慢回归平静,热搜话题可以向地方数据立法、数据综合立法方向延展,可以静心研究数据行业发展和数字经济促进了,“周五晚上见”(25款App下架)和“周六见”(网络安全审查办法修订)又大风不止。近日事件的深远影响,才刚刚掀起冰山一角,数欲静而风不止,这场变革,你我皆置身其中,皆需迎头面对。
技术驱动法律,专业成就未来