2021年7月10日,国家互联网信息办公室(以下简称“网信办”)发布了《网络安全审查办法(修订草案征求意见稿)》(以下简称“修订草案”),这是在本月初网信办首次发布系列实施网络安全审查的公告后(相关评述请参见我们此前文章:《山雨欲来,更需未雨绸缪——网络安全审查中的供应链安全与合规实践》),主管机关拟在“立法”层面扩大网络安全审查适用范围的重要举措。
修订草案的发布可谓一石激起千层浪,若该法规生效,将对数据处理活动,尤其对关键信息基础设施运营者与数据处理者赴国外上市产生重要而深远的影响。
一、修订要点速览
对比2020年6月1日生效的《网络安全审查办法》(以下简称“办法”),修订草案的修订要点如下:
增加《数据安全法》作为立法依据及处罚依据。
扩大网络安全审查范围,对于数据处理者开展数据处理活动,影响或可能影响国家安全的,纳入网络安全审查审查范围,落实《数据安全法》的数据安全审查制度。
新增网络安全审查适用情形,掌握超过100万用户个人信息的运营者赴国外上市,须申报网络安全审查。
网络安全审查重点从网络安全扩展至数据安全,增加对“核心数据、重要数据或大量个人信息”以及“关键信息基础设施”可能遭遇的数据安全风险因素的考量。
将中国证券监督管理委员会纳入网络安全审查工作组。
变更申报材料及审查时间,增补申报网络安全审查应提交的材料,特别审查程序由45个工作日延长为3个月。
接下来我们将对其中部分修订要点进行重点解读。
二、部分重点条款及其潜在影响解读
1、审查主体对象范围扩大,哪些企业属于“数据处理者”?
办法中规定的网络安全审查主体对象主要是关键信息基础设施运营者(以下简称“CIIO”)、网络产品和服务提供者,修订草案将“数据处理者”也纳入网络安全审查对象范围,哪些企业属于“数据处理者”?
《民法典》第四编第六章“隐私权和个人信息保护”提出了“信息处理者”概念,但是未对其进行定义;《数据安全法》也提出了“重要数据的处理者”、“其他数据处理者”概念,但是仍未对其进行定义;《个人信息保护法(草案)》(第二次审议稿)明确了“个人信息处理者”的定义,即“个人信息处理者,是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。”需要讨论的是,前述个人信息处理者是否属于“数据处理者”范畴?企业不属于CIIO,但是相关业务涉及个人信息或其他数据的处理,是否可能会面临网络安全审查?
修订草案第六条规定的“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”以及第十条规定的“网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素:……(五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;(六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险;……”,梳理前述条款之间的逻辑关系,我们认为,个人信息处理者以及核心数据、重要数据的处理者均属于“数据处理者”范畴,即使企业不属于CIIO,只要其相关业务涉及个人信息或核心数据、重要数据的处理,若处理活动(如个人信息或核心数据、重要数据出境等)影响或可能影响国家安全,则可能会面临网络安全审查。
因此,若企业相关业务涉及处理个人信息或核心数据、重要数据的,应当重视网络安全审查的相关规定,一方面企业内部应当按照《网络安全法》、《数据安全法》以及未来出台的《个人信息保护法》等相关法律规定做好个人信息保护及数据安全、网络安全工作;另一方面企业在开展个人信息及核心数据、重要数据处理活动时,特别是涉及数据出境的,应当提前评估其安全风险,与相关监管部门保持良好沟通,避免面临相关法律风险。
2、审查行为对象范围扩大,如何认定掌握个人信息的数量?
办法中规定的网络安全审查行为对象主要是CIIO采购网络产品和服务,修订草案将数据处理者开展数据处理活动以及掌握超过100万用户个人信息的CIIO、数据处理者赴国外上市的行为也纳入网络安全审查对象范围,如何认定掌握个人信息的数量?
国家标准GB/T 35273 - 2020《信息安全技术个人信息安全规范》中规定企业“处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息”应当设立专职的个人信息保护负责人和个人信息保护工作机构,修订草案似乎参考了该个人信息数据标准。同时,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第十一条规定,“非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。”该规定可作为个人信息数量认定标准的参考。但是修订草案中使用的是“掌握”而非《数据安全法》、《个人信息保护法(草案)》(第二次审议稿)中的“处理”概念,可解释范围更广。
需要强调的是,行政监管对于个人信息数量的认定标准可能与司法机关在刑事案件中对于个人信息数量的认定方式存在一定的差异。因此,关于个人信息数量的具体认定方法,还有待于网信办出台相关实施细则或明确的指导意见。
3、 “赴国外上市”是否包括赴香港上市?
修订草案使用的是“赴国外上市”的概念,而非《证券法》及其配套法规中常用的“境内”和“境外”概念,在《证券法》及其配套法规中境外上市包括赴香港上市。修订草案似乎有意使用“国外上市”概念,将赴香港上市排除在网络安全审查范围之外,但最终含义仍有待相关监管部门后续在正式出台的新办法或执法实践中加以明确。
仍需强调的是,即便将掌握超过100万用户个人信息的运营者赴香港上市的公司排除在上市网络安全审查范围之外,也不能排除其因符合修订草案所规定的其他条件而受到网络安全审查的可能性。
综上分析,对于有海外上市计划的企业,应当提前对所处理的个人信息情况进行梳理,了解本企业掌握的个人信息数量、类型等情况,对于没有必要继续处理的个人信息,可以进行删除或匿名化处理。若企业拟引进投资人,特别是面向C端用户的互联网企业,在与投资人签署对赌协议时,应当考虑未来赴国外上市可能会面临网络安全审查所带来的能否成功上市以及上市延迟的风险。
4、未来出台的新《网络安全审查办法》是否具备法律溯及力?
修订草案未明确要求未来出台的新《网络安全审查办法》生效实施时,已经在国外上市的企业是否需要申报网络安全审查。但是,修订草案第十六条规定,“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查”,根据该规定,相关监管部门有权对已经在国外上市的企业的数据处理活动进行网络安全审查,并在网络审查中考虑修订草案第十条中规定的“(五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;(六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”因素。
因此,对于已经在国外上市的企业而言,亦需重视网络安全审查的相关规定。一方面企业需要对已发生的数据处理活动进行评估,若存在安全风险,应当及时采取补救措施;另一方面,企业未来在开展个人信息及核心处理、重要数据处理活动时,特别是涉及数据出境的,应当提前评估其安全风险,与相关监管部门保持良好沟通,履行相应的报告、评估、审查等义务,避免面临相关法律风险。
附:《网络安全审查办法(修订草案征求意见稿)》修改前后对比表
网络安全审查办法 2020年6月1日施行 | 网络安全审查办法(修订草案征求意见稿) 2021年7月10日发布 |
第一条为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。 | 第一条为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》,制定本办法。 |
第二条关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。 | 第二条关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。 |
第三条网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。 | 第三条网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。 |
第四条在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。 网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。 | 第四条在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。 网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。 |
第五条运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。 关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。 | 第五条运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。 关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。 |
第六条掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。 | |
第六条对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。 | 第七条对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。 |
第七条运营者申报网络安全审查,应当提交以下材料: (一)申报书; (二)关于影响或可能影响国家安全的分析报告; (三)采购文件、协议、拟签订的合同等; (四)网络安全审查工作需要的其他材料。 | 第八条运营者申报网络安全审查,应当提交以下材料: (一)申报书; (二)关于影响或可能影响国家安全的分析报告; (三)采购文件、协议、拟签订的合同或拟提交的IPO材料等; (四)网络安全审查工作需要的其他材料。 |
第八条网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。 | 第九条网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。 |
第九条网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素: (一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险; (二)产品和服务供应中断对关键信息基础设施业务连续性的危害; (三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险; (四)产品和服务提供者遵守中国法律、行政法规、部门规章情况; (五)其他可能危害关键信息基础设施安全和国家安全的因素。 | 第十条网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素: (一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险; (二)产品和服务供应中断对关键信息基础设施业务连续性的危害; (三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险; (四)产品和服务提供者遵守中国法律、行政法规、部门规章情况; (五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险; (六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险; (七)其他可能危害关键信息基础设施安全和国家数据安全的因素。 |
第十条网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。 | 第十一条网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。 |
第十一条网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。 网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。 | 第十二条网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。 网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。 |
第十二条按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。 | 第十三条按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。 |
第十三条特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。 | 第十四条特别审查程序一般应当在3个月内完成,情况复杂的可以延长。 |
第十四条网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。 | 第十五条网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。 |
第十五条网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。 | 第十六条网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。 |
第十六条参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。 | 第十七条参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。 |
第十七条运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。 | 第十八条运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。 |
第十八条运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。 网络安全审查办公室通过接受举报等形式加强事前事中事后监督。 | 第十九条运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。 网络安全审查办公室通过接受举报等形式加强事前事中事后监督。 |
第十九条运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。 | 第二十条运营者违反本办法规定的,依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。 |
第二十条本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。 本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。 | 第二十一条本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。 |
第二十一条涉及国家秘密信息的,依照国家有关保密规定执行。 | 第二十二条涉及国家秘密信息的,依照国家有关保密规定执行。 |
第二十二条本办法自2020年6月1日起实施,《网络产品和服务安全审查办法(试行)》同时废止。 | 第二十三条本办法自2021年 月 日起实施,《网络产品和服务安全审查办法(试行)》同时废止。 |
