随着《中华人民共和国网络安全法》(简称“《网络安全法》”)《中华人民共和国数据安全法》(简称“《数据安全法》”)和《中华人民共和国个人信息保护法》(简称“《个人信息保护法》”)“三驾马车”的并行齐驱的局面开启,同时相关配套法律法规、部门规章、国家标准等也进一步完善,我国数据合规监管呈现出立法加速、执法趋细、中概股企业赴国外上市涉及的数据出境监管趋严的新态势。
2021年7月,网络安全审查办公室宣布对三大互联网平台进行网络安全审查,《网络安全审查办法》紧跟着又进行了重大修订,网络安全审查制度的重要性与地位被广泛关注。在2021年7月事件之前,对该办法较为重视的基本是关键信息基础设施运营者(简称“关基运营者”),而2021年7月事件后,资本市场对网络安全审查制度的注意力有增无减。直到2022年6月23日,网络安全审查办公室约谈某知名学术期刊数据库负责人,宣布对其启动网络安全审查[1],网络安全审查的几类启动机制均已被触发。鉴于此,网络安全审查制度已成为监管部门对企业网络安全、数据安全合规现状进行全面审查并要求强制整改的有力抓手,各类企业应对不断更新的监管要求有充分认知,对合规红线保持警惕,并且结合自身情况适时进行调整与优化。
为向读者展示更加完整的网络安全审查制度,以求全面介绍目前网络安全审查制度的整体概况、审查要点及流程以及在上市过程中拟上市企业主体应当关注的合规要点。我们将推出系列文章,本文为第一篇,拟对网络安全审查制度的演进、网络安全审查制度的要点进行梳理与总结。
一、网络安全审查制度的演进
我国网络安全审查制度可追溯至2015年发布并生效的《中华人民共和国国家安全法》(简称“《国家安全法》”)。其中第五十九条明确,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
全国人大常委会于2016年11月发布并于2017年6月1日生效的《网络安全法》第三十五条明确,关键信息基础设施运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
2020年4月13日,国家互联网信息办公室(简称“网信办”)与其他11个国务院直属部门共同发布了《网络安全审查办法》,要求“关基运营者”采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查,并明确废止了2017年5月2日发布的《网络产品和服务安全审查办法(试行)》(现已失效)(简称“《网安审查试行办法》”)。《网安审查试行办法》将必须进行网络安全审查的对象限定于关系国家安全的网络和信息系统采购的重要网络产品和服务。
2021年7月2日,网络安全审查办公室发布公告,对某互联网出行平台启动网络安全审查。[2]随后,网信办会同其他六部委联合进驻该平台,开展网络安全审查,以确定其是否符合《国家安全法》《网络安全法》及《网络安全审查办法》。在审查过程中,该平台被要求暂停注册新用户。同一时期,网信办还启动了对其他二个互联网平台的网络安全审查。
2021年7月10日,网信办发布了《网络安全审查办法》修订草案,并向社会公开征求意见(简称“《审查办法修订意见稿》”)。《审查办法修订意见稿》扩大了网络安全审查的范围,将所有在中国大陆境内收集、产生数据,可能影响国家安全的数据处理者纳入了审查范围,由此明确网络安全审查将同时涵盖网络安全与数据处理活动安全两方面内容。此外,《审查办法修订意见稿》第六条规定,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。同时,进一步明确,对于数据处理者开展数据处理活动,影响或可能影响国家安全的,也应进行网络安全审查。审查内容主要分为两类,一类是针对核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险,另一类则是针对国外上市后关键信息基础设施、核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
2021年9月1日生效并实施的《数据安全法》承袭了《审查办法修订意见稿》对网络安全审查适用范围进行扩展的思路,第二十四条规定,“对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”自此,网络安全审查对象以生效法律规定得以确认,其不仅针对《网络安全法》下的“关基运营者”,而且包括“关基运营者”在内的开展数据处理活动的所有数据处理者。
工信部于2021年9月30日发布的《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》(简称“《工信部数安办法(意见稿)》”)沿袭了《数据安全法》对相关数据处理活动进行国家安全审查的思路,明确工信部应对影响或可能影响国家安全的工业和电信数据处理活动开展数据安全审查。因此,如果数据处理活动影响或可能影响国家安全的,则相关企业可能需要在国家数据安全工作协调机制下同时接受工信部和网信办的安全审查。
2021年11月14日,网信办公布《网络数据安全管理条例(征求意见稿)》(简称《数安条例意见稿》”),对《网络安全法》《数据安全法》《个人信息保护法》中的规定进行了细化。其中需要重点关注的条款是第十三条规定的网络安全审查义务:在如下情况下,一般数据处理者应当申报网络安全审查:(1)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;(2)处理一百万人以上个人信息的数据处理者赴国外上市的;(3)数据处理者赴香港上市,影响或者可能影响国家安全的;(4)其他影响或者可能影响国家安全的数据处理活动。
经修订的《网络安全审查办法》(简称“《审查办法》”)于2021年12月28日由网信办发布,并自2022年2月15日起施行。《审查办法》在《审查办法修订意见稿》的基础上,进一步明确了需要主动申报网络安全审查的触发条件为(1)关键信息基础设施运营者采购网络产品和服务,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的;(2)网络平台运营者开展数据处理活动,影响或者可能影响国家安全的;以及(3)掌握超过100万个人信息的“网络平台运营者”赴国外上市,须申报网络安全审查。此外,《审查办法》第十六条还新增了网络安全审查办公室主动审查的情形,即网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,进行审查。为了防范风险,当事人还应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。并且,《审查办法》对当事人申报须提交的材料、重点评估的安全风险因素等内容予以调整。
我们将网络安全审查制度的演进过程制作为如下图示,供读者参阅:
二、网络安全审查的要点
(一)适用主体
第一,关键信息基础设施运营者。根据《审查办法》,关键信息基础设施运营者采购网络产品和服务(主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务),应当预判该产品和服务投入使用后影响或可能影响国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。根据《关键信息基础设施安全保护条例》,重要行业和领域的主管部门、监督管理部门将根据认定规则负责组织认定本行业、本领域的关键信息基础设施,并及时将认定结果通知运营者,并通报国务院公安部门。
第二,网络平台运营者。根据《审查办法》,网络平台运营者须在以下两类场景主动申报网络安全审查:开展数据处理活动(包括数据的收集、存储、使用、加工、传输、提供、公开等活动),影响或者可能影响国家安全的;以及掌握超过100万用户个人信息的网络平台运营者赴国外上市。虽然《审查办法》未明确“网络平台运营者”的定义。但是,同样由国家互联网信息办公室起草的《数安条例意见稿》将“互联网平台运营者”定义为“为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者”。由于《数安条例草案》目前仍在征求公众意见的阶段,未正式颁布,企业虽可参照该定义初步评估自身是否会被认定为“网络平台运营者”,但最终认定结果有待有关部门颁布细则进行进一步明确。
第三,根据《审查办法》的规定,网络安全审查工作机制成员单位认为任何网络运营者存在影响或者可能影响国家安全的网络产品和服务以及数据处理活动的,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照《审查办法》的规定对相关当事人进行审查。同样地,《审查办法》亦未对该条款中何为 “影响或可能影响国家安全”提供明确的具有可参照性的定义,将该等概念的认定结果交给了监管部门,但可以参考下文中列举的网络安全审查办公室的审核要点。
(二)启动方式
根据《审查办法》,网络安全审查的启动方式为主动申报审查与网络安全审查办公室依职权审查。
第一,主动申报审查。如前所述,主要包括三类情况。(1)关键信息基础设施运营者采购网络产品和服务的,预判该产品和服务投入使用后影响或者可能影响国家安全的,应当向网络安全审查办公室主动申报网络安全审查。(2)网络平台运营者开展数据处理活动,影响或者可能影响国家安全的;(3)掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
对于主动申报的网络安全审查,根据《审查办法》第八条,当事人应当提交的材料包括:(一)申报书;(二)关于影响或者可能影响国家安全的分析报告;(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;(四)网络安全审查工作需要的其他材料。
第二,依职权启动。根据《审查办法》第十六条,网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照《审查办法》的规定进行审查。此外,网络安全审查办公室通过接受举报等形式加强事前事中事后监督,如审查办公室认为被举报的某产品或者服务或者某数据处理活动已经或者可能对国家安全产生风险的,可按《审查办法》启动审查。
(三)审查主体
根据《审查办法》,网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。同时,网信办会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。
与此前的《审查办法修订意见稿》相比,《审查办法》取消了有关“关键信息基础设施保护工作部门”。因此,根据《审查办法》,网络安全审查办公室将成为实际进行网络安全审查的审查主体,同时可能会同网络安全审查工作机制成员单位展开审查工作。在实践中,具体工作由网络安全审查办公室委托中国网络安全审查技术与认证中心(CCRC)承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查等任务。因此,前述提及的相关材料的提交及咨询窗口正是CCRC。
(四)网络安全审查的流程与要点
根据《审查办法》规定,由当事人主动发起网络安全审查申报的启动流程包括:材料提交、材料审查、初步审查、意见反馈及特别审查程序。有关具体规定及时间节点,请参考图1。网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,依职权主动发起的网络安全审查流程请参考图2。
根据《审查办法》第十条,网络安全审查办公室的审核要点包括:
- 产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
- 产品和服务供应中断对关键信息基础设施业务连续性的危害;
- 产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
- 产品和服务提供者遵守中国法律、行政法规、部门规章情况;
- 核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
- 上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
- 其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
图1 当事人主动申报启动的网络安全审查流程
图2 有关部门依职权主动发起网络安全审查流程
(五)违规后果
根据《审查办法》,当事人应申报未申报,或在网络安全审查开展过程中未按要求配合工作的,应当依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。具体言之,根据《网络安全法》第65条,关键信息基础设施运营者使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
根据《数据安全法》第45条第二款,违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处200万元以上1000万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。根据《数据安全法》第48条第一款,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
如企业属于《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》第七条列举的不得境外发行上市的情形(包括经审查境外发行上市威胁或危害国家安全的)而进行境外发行上市的,国务院证券监督管理机构、国务院有关主管部门对境内企业给予警告,并处以一百万元以上一千万元以下的罚款,情节严重的,责令暂停相关业务或者停业整顿、吊销相关业务资质许可或者吊销营业执照。对境内企业的控股股东、实际控制人、董事、监事、高级管理人员给予警告,单处或者并处五十万元以上五百万元以下的罚款。
此外,证券公司、律师事务所未严格履行职责、督促企业遵守相关规定的,给予警告,并处以五十万元以上五百万元以下的罚款。对有关责任人员给予警告,并处以20万元以上200万元以下的罚款。
三、总结
随着网络安全审查制度体系的逐步落地与完善,企业上市前的数据合规实施工作、评估及审计落实情况,以及确认是否需要依法主动申报网络安全审查已然成为拟赴境外上市企业所需面临的新课题。
在经历了激烈的社会舆论风波后,某知名学术期刊数据库公司于2022年6月24日被正式宣布启动网络安全审查,这也预示着对于“影响或者可能影响国家安全的网络产品和服务以及数据处理活动”的企业而言,网络安全审查在目之所及的未来将呈现高发与趋严的态势,需要引起充足重视。一方面,高标准建立并落实自身的网络安全、数据安全与个人信息保护相关制度以最大程度达到合规要求;另一方面,若遇到需主动申报或被监管部门依职权启动网络安全审查的情形,企业也应沉着应对,积极配合有关部门开展后续工作。如果涉及到拟赴国外或境外上市的中概股企业,还需在上市前搭建较为完整的数据合规体系,以应对上市过程中保荐人、中介机构的询问以及监管部门的审核。经自评估,如有可能需要申报网络安全审查的,应当在上市材料递交前履行该义务,以符合监管要求,避免该报未报风险。
注释:
[1] http://www.cac.gov.cn/2022-06/24/c_1657686783575480.htm。
[2] http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm。