新年第一个工作日,《网络安全审查办法》经过将近半年的征求意见公布了正式稿(三稿对比请见后附)。与征求意见稿相比,正式稿的最大变化之处在于:
(1) 限缩了《网络安全审查办法》的适用对象和情形,更加清晰地将网络安全审查流程确定在关键信息基础设施运营者和网络平台运营者主体身份上。
(2) 上市活动整体纳入国家安全风险考虑因素,不再区分国外上市、香港上市和境内上市情形。
(3) 首提审查期间当事人的“预防和消减风险”的义务。
(4) 明确了网络安全审查制度与数据安全审查制度、外商投资审查制度的并行关系。
总体而言,《网络安全审查办法》是一部简明扼要地以维护国家安全为宗义的法规,因而其每一条款均掷地有声。无论是原则性条款,还是要件式列举,均会对企业在下一步工作中的合规理解和具体执行发生重大影响。我们拟从《网络安全审查办法》的出台背景及本次正式稿的主要调整内容入手与大家共同讨论这部法规带来的挑战和困惑。
一、出台背景
若需理解《网络安全审查办法》正式公布带来的瞩目的原因,就必须了解《网络安全审查办法》的出台背景。网络安全审查制度的根本目标在于维护国家安全。早在《国家安全法》和《网络安全法》中即对国家安全审查制度进行了确立,并最终作为《网络安全审查办法》的立法背景予以确认。《数据安全法》的出台进一步重申了数据安全审查制度,《网络安全审查办法》正式稿也将其吸纳为制定依据之一。
《国家安全法》第五十九条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的网络信息技术产品和服务,以及其他重大事项和活动,进行国家安全审查。
《网络安全法》第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
《数据安全法》第二十四条规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。
在此基础上,监管机构通过多层次的立法尝试,逐步探索出网络安全审查的基本监管框架(见下图立法沿革)。例如,在2017年网信办公开征求意见的《网络产品和服务安全审查办法(征求意见稿)》中,首次提出网信办将会同11个部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。网络安全审查委员会的组织架构最终在正式版本的《网络产品和服务安全审查办法(试行)》中确立,该试行办法作为《网络安全法》的重要配套规章,与《网络安全法》一同正式实施,直至2020年,该试行办法才被《网络安全审查办法》(2020版本)所取代,而前述网络安全审查委员会也被网络安全审查办公室取代其职能。
可见,《网络安全审查办法》始终密切围绕维护国家安全这一目的,在有限的可能涉及国家安全的领域内展开监管并默默无闻,直至其在2021年7月2日被网络安全审查办公室发布的通告所引用,该通告为——《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》。由于滴滴与民众出行的密切相关性,网络安全审查制度乃至其背后的国家安全利益才首次进入公众视野,并引发强烈关注
二、适用主体进行明确梳理
在2020年旧版本的《网络安全审查办法》中,适用主体仅有“关键信息基础设施企业”(CIIO),适用情形则为关键信息基础设施企业“采购网络产品和服务”“影响或可能影响国家安全的”情形。因此,当滴滴受到网络安全审查的通报公布后,大量质疑滴滴是否构成关键信息基础设施企业从而具备适用《网络安全审查办法》资格的声音不绝于耳,而随后公布的《网络安全审查办法》修订稿中,迅速将适用主体由CIIO扩展到包括数据处理者这一边界广泛的概念。需要看到,数据处理者则是《数据安全法》提出的正式概念,但凡实施了数据处理的主体,均可以被认为是数据处理者,而数据处理活动的定义贯穿数据全生命周期,包括“数据的收集、存储、使用、加工、传输、提供、公开等”。因而以“数据处理者”作为《网络安全审查办法》的适用主体仍有可能分散“网络安全审查”的执法精力。
在本次《网络安全审查办法》的正式稿中,适用主体被调整为明确的两类,即“关键信息基础设施企业”(CIIO),和“网络平台运营者”。关键信息基础设施企业已经由《关键信息基础设施安全保护条例》提供了明确的识别和认定,而“网络平台运营者”尚且缺乏明确定义。根据公开检索,相近定义为《网络数据安全管理条例(征求意见稿)》和《互联网平台分类分级指南(征求意见稿)》确认的“互联网平台运营者/经营者”概念,《网络安全法》中确立的“网络运营者”概念,以及《电子商务法》中的“电子商务平台经营者”概念,相关概念内涵分别如下所列:
《网络安全法》
- 网络运营者,是指网络的所有者、管理者和网络服务提供者。
《互联网平台落实主体责任指南
(征求意见稿)》
- 互联网平台,是指通过网络信息技术,使相互依赖的双边或者多边主体在特定载体提供的规则下交互,以此共同创造价值的商业组织形态。
- 平台经营者,是指向自然人、法人及其他市场主体提供经营场所、交易撮合、信息发布等互联网平台服务的法人及非法人组织。通过互联网等信息网络从事销售商品或者提供服务的自建网站经营者,可参照平台经营者适用本指南。
《网络数据安全管理条例
(征求意见稿)》
- 互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。
- 大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
《电子商务法》
电子商务平台经营者,是指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务,供交易双方或者多方独立开展交易活动的法人或者非法人组织。
除了CIIO作为适用主体的确定性外,目前来看“网络平台运营者”并非一个具有普遍通识的法律概念。从对“平台”的朴素理解来看,其功能必须具备撮合和连接性。例如《互联网平台分类分级指南(征求意见稿)》中即根据其平台中所撮合和连接的双方不同,而将平台进行了如下类别划分。因此,我们谨慎认为“网络平台运营者”应该是针对此类具备多方交易功能、提供综合服务的平台运营者,并非单纯的通过网络仅提供自身服务的运营者,或仅提供平台搭建等技术服务的运营者。就这个层面而言,《网络安全审查办法》的适用主体实际上相比征求意见稿进行了范围限缩。
三、适用情形的梳理和澄清
正式稿第五六七八一共四个条款中简明扼要的说明了申报网络安全审查的适用情形,我们试简单区分如下:
值得注意的是,尽管“预判义务”被确立为关键信息基础设施企业的专门义务,但并不完全排斥其他当事人(网络运营者)对自身数据处理活动进行预先分析的要求,因为《网络安全审查办法》第三条开宗明义地指出其审查范围囊括了“产品和服务以及数据处理活动”。因此,从《网络安全审查办法》第八条的规定可以合理推测,一旦当事人在数据处理活动中“经分析认为自身活动可能影响或者可能影响国家安全的”,均应申报网络安全审查。换句话说,赴港上市企业仍应时刻自省是否存在可能影响或者可能影响国家安全的数据处理活动,一旦存在应主动申报网络安全审查。这一规定实质也与《网络数据安全管理条例(征求意见稿)》确立的网络安全审查制度接壤。后者第十三条规定:“处理一百万人以上个人信息的数据处理者赴国外上市的”,或“数据处理者赴香港上市,影响或者可能影响国家安全的”,应当申报网络安全审查。可见,《网络数据安全管理条例(征求意见稿)》确立的网络安全审查原则同样区别了赴国外上市和赴境外上市情形,即,附国外上市企业只要包含处理个人信息过百万,则必须申报;但赴港上市企业若自行分析认为影响或者可能影响国家安全的,同样应申报网络安全审查。
《网络数据安全管理条例
(征求意见稿)》
第十三条 数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:
(一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;
(二)处理一百万人以上个人信息的数据处理者赴国外上市的;
(三)数据处理者赴香港上市,影响或者可能影响国家安全的;
(四)其他影响或者可能影响国家安全的数据处理活动。
大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。
此外我们注意到,《网络安全审查办法》似乎对于上市情形格外重视,且展现了对全部上市企业风险的关注,其第七条、第八条和第十条的相关条款均展现了这种关注。我们初步认为,上市活动整体纳入国家安全风险考虑因素,不再区分国外上市、香港上市和境内上市情形。
同时,为具体落实赴国外上市企业的网络安全审查工作,《网络安全审查办法》答记者问中专门公布了接受审查资料的窗口单位,即网络安全审查办公室设在国家互联网信息办公室,具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查等任务。中国网络安全审查技术与认证中心设立网络安全审查咨询窗口。
第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
第八条 当事人申报网络安全审查,应当提交以下材料:……(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件。
第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。
四、申报流程调整
在申报流程方面,为方便各位理解,我们将最新流程进行了整理,具体请见附。根据最新公布流程,全部网络安全审查程序履行完毕最长需要约160个工作日。
后附对比稿:
或许您还想看
作者简介
周 杨
北京德和衡律师事务所高级联席合伙人
北京市律师协会科技与大数据法律事务专业委员会委员,互联网仲裁院副秘书长,网络空间安全战略与法律委员会委员,曾任职奇虎360法律顾问,负责多个产品线合规工作,《360隐私保护白皮书》首版撰稿人之一,多年来专注从事网络安全及相关互联网产品合规工作,极少数数据保护与法律专业的跨界律师。目前专注于金融领域、互联网高新技术领域及前沿领域研究,擅长领域主要包含数据安全保护、信息安全、GDPR、电子商务、科技金融和网络文化。
手机:18610123230
邮箱:zhouyang@qzyuhang56.com
史 蕾
北京德和衡(深圳)律师事务所合伙人
数字经济与人工智能业务中心秘书长。曾就职于环球资源(NASQ:GSOL)和奇虎360公司法务部,拥有十多年的公司内部法务工作经验。擅长股权激励、公司治理及互联网产品合规风控;专注互联网游戏、直播、互联网教育与出版、大数据和网络安全等行业领域;新三板挂牌及公司治理。
手机:15810040811
邮箱:shilei@qzyuhang56.com