1月4日,国家互联网信息办公室等13个部门联合修订发布了《网络安全审查办法》(以下简称“办法”)。
老虎ESOP了解到,原《办法》是2020年6月1日起开始施行。今年7月滴滴等企业发生网络安全审查事件,当月《办法》修订草案的征求意见稿被公布,因此《办法》的修订也一直被市场广泛关注。
1月4日,《办法》的修订版正式发布,并将于2022年2月15日起正式施行。
据了解,此次的《办法》修订终版,并未提及赴香港上市,赴国外上市的网络安全审查也被明确了审查门槛为“掌握超过100万用户个人信息”。
《办法》未提及“赴港上市”
据老虎ESOP整理,此次《办法》的修订终稿第七条明确提到,“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。
申报网络安全审查可能有以下三种情况:一是无需审查;二是启动审查后,经研判不影响国家安全的,可继续赴国外上市程序;三是启动审查后,经研判影响国家安全的,不允许赴国外上市。
这里提到的涉及境外上市网络安全审查的边界被定义为了“赴国外上市”,字面意义上来看内地企业赴港上市是不需要进行审查的。
而且在1月4日同时进行的相关“答记者问”上,国家互联网信息办公室有关负责人也并未提及赴港上市的相关信息。
不过赴港上市虽不在“出国上市”的范围之内,但也属于“出境上市”,究竟在实操中是否要遵循《办法》的规定进行网络安全审查,仍待进一步观察。
掌握超百万用户信息的“网络平台运营者”赴国外上市须经审查
关于出国上市的网络安全审查门槛,被明确定义为了“掌握超过100万用户个人信息”,被审查对象为“网络平台运营者”。
去年7月公示的《办法》征求意见稿中新增的被审查对象为“数据处理者”,而在正式版的《办法》中该表述被换成了“网络平台运营者”。
仅从字面意义上看,网络平台运营的范围比数据处理更宽泛。不过《办法》中也未有关于“网络平台运营者”的定义。具体的审查实操中将如何执行,可能需要再进一步观察。
哪些情况会触发网络安全审查?
从最终的《办法》条款来看,进行网络安全审查的方式主要有3种。
第一,主动申报。根据《办法》第二条,“关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查”。
第二,监管机构主动审查。根据《办法》第十六条,“网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。”
第三,社会监督举报。《办法》的第十三条、第十九条中提到,网络安全审查要坚持事前监督与持续监督相结合、企业承诺与社会监督相结合,网络安全审查办公室也会通过接受举报等形式加强事前事中事后监督。
网络安全审查的重要时间节点
涉及到海外上市的情况,网络平台运营者应当在向国外证券监管机构提出上市申请之前,申报网络安全审查。
去年7月份公布的征求意见稿对特别审查程序的周期设定为3个月内完成,不过《条例》修订终版则作出了 “一般应当在90个工作日内完成”的新规定,并提到情况复杂的可以延长。
条款冲突如何处理?
《办法》的终版已经落地,且即将在2022年2月15日正式实施。
不过《办法》中的条款,与2021年11月发布的《网络数据安全管理条例(征求意见稿)》(以下简称“条例”)的部分观点表述并不完全重合。
例如《办法》中并未提到赴港上市需要进行网络安全审查,但《条例》征求意见稿中却明确提到了“数据处理者赴香港上市,影响或者可能影响国家安全的应申报网络安全审查”。
不过条例中提到赴港上市的网络安全审查,是2021年11月发布的征求意见稿《条例》里提到的。
未规定赴港上市网络审查的条款则出自是2022年1月4日公布的《办法》终版内容。
从时间序列上按最新规定来看,赴港上市并未被划入监管范围。所以从目前来看,相关网络安全审查条款可以先以最新落地的《办法》为准,待到终版《条例》落地后,再看最新政策如何规定。
网络安全审查的重点评估情形
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
网络安全审查应提交的材料
被审查人申报网络安全审查,应当提交以下材料:
(一)申报书;
(二)关于影响或者可能影响国家安全的分析报告;
(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;
(四)网络安全审查工作需要的其他材料。
本文数据、内容来源于国家互联网信息办公室网站。