观韬解读 | 《网络安全审查办法》重磅解读
作者:吴丹君
《网络安全审查办法》于2022年的第一个工作日发布,拉开了我国在《网络法》《数安法》《个保法》三驾马车引领下的网络安全和数据保护法律体系相关配套制度制定和落地的帷幕。赴香港上市企业是否需主动申报网络安全审查这一问题已尘埃落地,如何真正落实网络安全审查制度,在维护国家安全的前提下激发数字经济创新活力,还有待在实践中进一步思考与验证。
一、审查逻辑
“安全”一词贯穿《网络安全审查办法》(下称“《办法》”),然而,“安全”并不意味着完全消除风险。《办法》所构建的网络安全审查制度通过事前审查“关键信息基础设施安全风险”与“网络安全与数据安全风险”,事中各主体落实安全管理义务,以及网络安全审查办公室以接受举报等形式加强事前事中事后监督的方式,全流程、全方位地将“国家安全风险”限制在可控范围内,最终达到“确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全”的目的。
因此,网络安全审查的关键在于“产品和服务以及数据处理活动安全性、可能带来的国家安全风险”,而非主体是否属于CIIO抑或网络平台运营者。这一点亦可从《办法》第十六条赋予监管部门主动启动网络安全审查权力中看出——即使不属于《办法》所规定的具有主动申报义务的主体,亦可能被启动网络安全审查。
二、基本问题
(一)谁应主动申报网络安全审查?
根据《办法》第五条与第七条,目前有两类主体具有网络安全审查主动申报义务:
(1)采购网络产品和服务影响或可能影响国家安全的关键信息基础设施运营者(CIIO)。《办法》删除对CIIO的定义,并将《关键信息基础设施安全保护条例》明确为立法依据,实践中可援引该条例相关规定界定《办法》的适用范围。此外,《办法》将“重要通信产品”纳入“网络产品和服务”范畴。
(2)赴国外上市且掌握超过100万用户个人信息的网络平台运营者。相较《网络安全审查办法(修订草案征求意见稿)》(下称“《修订草案征求意见稿》”),《办法》将“数据处理者”改为“网络平台运营者”,然而,《办法》并未对“网络平台运营者”作出明确定义。参考《网络数据安全管理条例(征求意见稿)》对“互联网平台运营者”的定义[1],其需提供信息发布、社交、交易、支付、视听等较为特定的互联网平台服务,如提供网络基础设施服务(IAAS)的云计算服务商并不一定被纳入到该范畴。而参考《互联网平台分类分级指南(征求意见稿)》,其中提出的分类方案基本涵盖了目前市面上主要的互联网服务,亦明确将提供网络基础设施服务(IAAS)服务商纳入互联网平台的范畴。因此,监管机关在实践中对于“网络平台运营者”这一概念具有较大的解释空间。有观点认为,“网络平台运营者”本身不是用来区分某企业是否应进行网络安全审查的依据[2],应将界定重点定位于“赴国外上市”与“掌握超过100万用户个人信息”,这两点将在下文详述。
(二)由哪个部门负责开展网络安全审查工作?
《办法》建立了一个以中央网络安全和信息化委员会为领导,网络安全审查工作机制成员单位为支撑,网络安全审查办公室为执行主力的网络安全审查监管机制。其中,《办法》将中国证券监督管理委员会纳入网络安全审查工作机制成员单位,进一步完善国家网络安全审查工作机制。国家网信办在答记者问中正式明确“中国网络安全审查技术与认证中心”承担接收申报材料、对申报材料进行形式审查、提供咨询等任务,推动网络安全审查制度执行落地。[3]
部门 | 具体职责 |
中央网络安全和信息化委员会 | 1.领导网络安全审查工作; 2.决定是否批准特别审查程序审查结论; 3.决定是否批准开展网络安全审查办公室依职权启动的网络安全审查 |
网络安全审查工作机制成员单位 国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局 | 对网络安全审查办公室的审查结论书面回复意见 |
相关部门 |
网络安全审查办公室 | 1.负责制定网络安全审查相关制度规范; 2.组织网络安全审查,对申报材料进行实质审查,如需开展网络安全审查的,进行初步审查工作; 3.组织开展特别审查程序 |
中国网络安全审查技术与认证中心 | 1.在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查等任务; 2.设立网络安全审查咨询窗口 |
(三)网络安全审查周期与流程
相较《修订草案征求意见稿》,《办法》规定的网络安全审查流程未进行大幅调整。其中,特别审查程序的周期从“3个月”变更为“90个工作日”,且情况复杂的可以延长。
若企业主动申报网络安全审查,一般最长可在70个工作日(10+30+15+15)内结束。若进入特别审查程序,视实际情况复杂程度,所需时间将可能超过140个工作日。此外,网络安全审查办公室要求提供补充材料的时间不计入审查时间,网络安全审查周期可能进一步延长。因此,建议存在主动申报网络安全审查义务可能性的企业将网络安全审查申报纳入工作时间表,提前准备相关申报工作。
以下为企业主动申报网络安全审查的整体流程梳理:
三、概念辨析
(一)“掌握”与“处理”
备受关注的《办法》第七条使用了“掌握”而非“处理”的表述。根据《个保法》,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等;参考《数安条例》,“处理”指在数据处理活动中自主决定处理目的和处理方式,而“掌握”尚未在现有法律或征求意见稿中出现明确定义。
我们认为,使用“掌握”一词意味着网络安全审查采用“实质审查”路径,难以通过形式隔离规避风险。我们在提供上市项目法律服务中,常常遇到企业希望通过协议或分拆数据处理法律实体等方式将上市实体定义为“受托处理者”或减少所“控制”的数据规模,从而规避《个保法》《数安法》等法律法规对“处理者”设定的各项义务。
然而,如前文所分析的,审查关键在于“风险”而非“身份”,在赴国外上市场景中,网络安全审查制度的关键在于赴国外上市活动可能带来的国家安全风险。认定上市实体在数据处理活动中的法律地位,不仅需审核协议条款,更应评估上市实体对于数据处理的实际权限,以及数据处理法律实体的独立性等情况。置于《办法》第七条的场景中,即使通过协议安排等方式,使得上市主体在纸面上“失去”控制权,但在实践中仍能对超过100万用户个人信息的处理活动产生实质性的影响力,那么仍不能排除需主动申报网络安全审查的可能性。
(二)国家安全审查、网络安全审查、数据安全审查与外商投资审查
《国家安全法》明确建立国家安全审查和监管的制度和机制,《网安法》《数安法》《外商投资法》从网络安全、数据安全、外商投资三个维度构建该领域的安全审查制度。
虽然目前《办法》将“网络平台运营者开展数据处理活动”纳入适用范围,但结合《办法》第二十二条“国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定”,网络安全审查与数据安全审查并不完全等同,未来可能出台专门的数据安全审查制度以落实《数安法》第二十四条的规定。结合《数安法》对于“数据”的定义,该数据安全审查制度的适用范围将大于“网络平台运营者开展数据处理活动”,在中国境内开展的(无论线上或线下)影响或可能影响国家安全的数据处理活动均可能被囊括在内。
此外,参考《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》,其中规定“境内企业境外发行上市的,应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定,切实履行国家安全保护义务。涉及安全审查的,应当依法履行相关安全审查程序”,拟赴境外上市的企业存在同时适用三种安全审查的可能性,建议预留安全审查时间,提前做好申报准备。
国家安全审查 | 《国家安全法》 第五十九条 国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。 |
网络安全审查 | 《网络安全法》 第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。 |
数据安全审查 | 《数据安全法》 第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。 依法作出的安全审查决定为最终决定。 |
外商投资审查 | 《外商投资法》 第三十五条 国家建立外商投资安全审查制度,对影响或者可能影响国家安全的外商投资进行安全审查。 依法作出的安全审查决定为最终决定。 |
(三)数据安全审查与数据安全评估
若《数安条例》按照目前版本生效,赴国外上市企业在履行网络安全审查申报义务后,还面临着一项数据安全评估义务。该条例第三十二条要求,赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。
四、重点关注:赴境外上市
(一)赴香港上市企业无需承担主动申报网络安全审查义务
2021年7月,在滴滴出行等企业被通报开展网络安全审查后,《网络安全审查办法》的修订一直牵动着拟赴境外上市企业的神经。在众说纷纭之中,《数安条例》公开征求意见,明确区分“赴国外上市”与“赴香港上市”两种情形。最后,正式发布的《办法》第七条延续《修订草案征求意见稿》的写法,要求符合条件的“赴国外上市”企业履行主动申报网络安全审查的义务,未对“赴香港上市”企业设置该义务。
那么,后续出台的《数安条例》是否会对“赴香港上市”的企业施加主动申报网络安全审查义务呢?
《办法》由国家网信办、国家发展和改革委员会、中国证券监督管理委员会等13个部门联合印发,这表示与网络安全审查工作密切相关的政府部门已达成一致意见。同时,《办法》与《数安条例》的起草单位皆为国家网信办。基于前述情况,我们有理由认为,正式出台的《数安条例》很可能对相关条款进行修改,与《办法》保持一致,不再对赴香港上市企业设置主动申报义务。
这一政策导向将鼓励境内企业赴香港上市,根据国际会计师事务所安永于2021年12月15日发布的《中国内地和香港首次公开募股(IPO)市场调研》,中美两国监管日益严格令中资赴美IPO的热度下降,对于2022年全球IPO市场,预计中概股回归的势头延续,部分原计划赴美上市公司可能转向香港市场。[4]
当然,不要求主动申报不等于不审查。如网络安全审查工作机制成员单位认为某企业赴香港上市活动影响或者可能影响国家安全,待网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,仍可能进入网络安全审查程序。因此,我们亦建议赴香港上市的企业提前做好自评估工作,事前判断赴香港上市否存在影响国家安全的可能。
(二)网络安全与数据合规义务不可忽视
无论是否应主动申报网络安全审查,可能被认定为网络运营者、数据处理者或个人信息处理者的赴境外上市企业均不可忽视履行网络安全与数据合规义务。《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》要求境内企业境外发行上市的,应严格遵守网络安全、数据安全等国家安全法律法规和有关规定。若企业在网络安全和数据合规方面存在巨大缺陷,亦可能对赴境外上市进程造成影响。
对比近期网易云、嘀嗒出行、顺丰同城、喜马拉雅、商汤科技等赴香港上市企业的招股章程,可发现网络安全和数据合规相关内容占有一席之地,甚至处于非常重要的地位。如顺丰同城在其“风险因素”章节,即详细描述了与其业务相关的网络安全和数据合规风险:
“我们或第三方因使用信息而可能造成的隐私保护不当问题或事件,均可能会损害我们的声誉及品牌,或使我们受政府法规及其他法律义务的限制,并可能对我们的业务、财务状况及经营业绩产生重大不利影响。
作为一个技术驱动平台,我们的业务生成并处理大量的个人、交易、行为统计数据。我们面临处理及保护大量数据安全的固有风险,包括保护我们系统中暂存的数据、检测及禁止未经授权的数据共享及传输、防止外部对我们系统的攻击、监督防范员工的任何欺诈或不当使用,以及维护、更新我们的数据库。任何系统故障、安全漏洞或第三方试图非法获取数据而导致实际或被认定为泄露客户数据的事件,均可能损害我们的品牌声誉、令现有及潜在客户减少使用我们的服务、影响我们的业务并使我们承担潜在的法律责任。”
其次,无论赴国外上市抑或赴香港上市,均可能面临跨境数据流动问题。《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》即明确提出,涉及向境外提供个人信息和重要数据的,应当符合国家法律法规和有关规定。
参考《信息安全技术 数据出境安全评估指南(征求意见稿)》,“数据未转移存储至中国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外)”“向中国境内,但不属于中国司法管辖或未在境内注册的主体提供数据”等情形亦可能被认定为数据出境,因此,数据出境不仅可能发生在企业向境外证券监管机构提交上市申请材料过程中,亦可能发生在企业在境内接受上市辅导而将境内数据提供至境外律所、审计事务所或其他机构等活动过程中。
虽然目前《数据出境安全评估办法》仍为征求意见稿,根据我们最近与上海市网信办的沟通,工作人员亦表示目前未确定数据出境安全评估的整体工作流程,尚未开展过相关评估工作;但重要数据境内存储原则及个人信息出境制度的宏观设计已在《数安法》《个保法》等法律中明确,配套制度的落地指日可待,上海市网信办工作人员亦建议企业预先开展自评估。因此,我们建议拟赴境外上市企业密切关注立法进程,及时开展网络安全和数据合规自评工作;未雨绸缪,提前设计应对方案,并与监管部门保持沟通。
(三)通过实质消除或避免国家安全风险提高审查通过可能性
如前文分析,《办法》采用“实质审查”路径审查赴国家上市企业“影响或可能影响国家安全”的风险。换言之,如上市实体通过法律和技术安排实质消除或避免赴国外上市活动的国家安全风险,将提高顺利通过网络安全审查的可能性。
如上市实体实际剥离涉及大量个人信息或数据处理的业务,且能证明与接收前述业务的主体之间的独立性,不再具备“掌握”100万用户个人信息的条件,最终消除或避免赴国外上市对国家安全的影响,将有利于通过网络安全审查。《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》第八条亦规定,国务院有关主管部门可以要求剥离境内企业业务、资产或采取其他有效措施,消除或避免境外发行上市对国家安全的影响。
结语
技术的更新迭代在推动社会进步的同时,提升了引发当代社会风险的可能性,为了应对这一困境,需要法律的不断完善与发展,将于2022年2月15日生效的《网络安全审查办法》正是通过完善法律控制技术风险这一路径的生动注脚。可以预见,在2022年,网数领域的各项制度将逐步落地,让我们拭目以待并积极参与到法律制定的讨论中去。
[1] 《数安条例》第七十三条
互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。
[2] 小贝说安全:《文浅意深,关于〈网络安全审查办法(修订)〉的十个深度解读》.(2022-01-06)[2022-01-05]. https://mp.weixin.qq.com/s/_C5VArTA15Xk1_kSFqGlgg
[3] 中国网信网:《〈网络安全审查办法〉答记者问》.(2022-01-06)[2022-01-04]. http://www.cac.gov.cn/2022-01/04/c_1642894602460572.htm
[4] 安永:《A股IPO数量和筹资额双创历史新高 ⸺ 香港独角兽和中概股回归推高筹资额》.(2022-01-06)[2021-12-15]. https://www.ey.com/zh_cn/news/2021/12/number-of-a-share-ipos-and-amount-of-funds-raised-hit-record-high.