文/《财经》E法刘畅
编辑/朱弢
1月4日,国家网信办、国家发改委等十三部门联合修订发布《网络安全审查办法》(下称《办法》),并自2022年2月15日起施行。
《办法》指出,网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。
《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报。根据审查实际需要,增加证监会作为网络安全审查工作机制成员单位,同时完善了国家安全风险评估因素等内容。
有专家对《财经》E法表示,《办法》出台的直接触发因素是滴滴赴美上市,有较强的针对性,但更深层次的因素则是国际形势的影响,并不能完全归因于对单一事件的回应。
谁是被审查的主体?
《办法》共23条,是在2020年公布的《网络安全审查办法(2020)》基础上,参照《数据安全法》《关键信息基础设施安全保护条例》等新法规的要求,修订了网络安全审查的范围及审查程序、考虑因素等内容。
《财经》E法注意到,《办法》第二条内容为“关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。”相较2021年7月10日公布的《网络安全审查办法(征求意见稿)》(下称《征求意见稿》),《办法》将被审查主体由此前的“数据处理者”改为“网络平台运营者”。
此外,《办法》第七条明确,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报。
上述新增规定意味着什么?
中国互联网协会研究中心副主任、北京师范大学网络法治国际中心执行主任吴沈括认为,《办法》的出台受到包括滴滴赴美上市在内的一系列事件的推动,有比较强的针对性,也弥补了在一段时期内监管的空白和薄弱之处。
“考虑到目前我们国家各网络平台的运营规模,可以说这一条(第七条)的覆盖面是非常广的。也就意味着在相当大的范围内,大部分网络平台若出现跨境、海外资本运作等问题,都会受到《办法》的规制。”吴沈括指出。
“但凡是到了出海上市这一步的平台,用户很少有低于百万的。这个规定实际上意味着,网络安全审查已经成为平台出海上市的‘规定动作’。”一位不愿具名的律师表示。
北京中闻律师事务所合伙人王维维指出,尽管目前中国法律法规中没有没有对网络平台运营者和数据处理者作出明确界定,但从概念上来理解,“网络平台运营者”的范围小于“数据处理者”。修改主要是由于《办法》相较于《数据安全法》或是《关键信息基础设施安全保护条例》等法律法规而言,其维护的主要是网络安全,“网络平台运营者”这一概念更为符合本法所规定的各种情形。
“此外,尽管在概念上精准把握和限缩,由于‘网络平台运营者’这一范围本身没有被确定,因此在实践中,“掌握超过100万用户个人信息”的各类运营者其是否需主动申报还是得以审查部门的具体认定为准。”王维维强调。
浙江省公共政策研究院研究员高艳东则指出,第二条一方面将关键基础设施运营者囊括在内,扩充了部分主体;另一方面又限缩在网络平台运营者之下,从文本来看,无疑将实体制造企业排除在外。
他认为,“这样的修改主要是因为本《办法》目的在于维护网络数据安全,其他实体制造企业也可能是数据处理者,但并不在规制范围之内。”
在世辉律师事务所合伙人王新锐看来,将主动申报的对象限定为网络平台,原因是这类平台赴国外上市的国家安全风险因素更为突出。而对于其他掌握大量数据的企业,审查机关依然可以依职权启动网络安全审查。
王新锐也认为,《办法》修订的直接触发因素是滴滴赴美上市,但他也指出,更深层次的因素则是国际形势的影响,并不完全是对单一事件的回应。
相较于《征求意见稿》,《办法》在多处新增“数据安全”“数据处理活动安全性”等表述。上海交通大学数据法律研究中心执行主任何渊认为,“网络安全和数据安全不是一回事”,而由于《数据安全法》规定的数据安全审查机制目前尚未建立,所以可能先借用网络安全审查机制来解决数据安全问题。未来,很可能还会出台专门的数据安全审查机制。
如何界定“国外上市”范围?
《财经》E法注意到,《办法》沿用了《征求意见稿》中“国外上市”的概念,但并未对其进行进一步界定。
另一个值得注意的要点是,在2021年11月14日国家网信办发布的关于《网络数据安全管理条例(征求意见稿)》第十三条中,把“赴国外上市”和“赴香港上市”加以区分。
王新锐据此认为,《办法》规定是国外上市,则赴港上市没有主动申报网络安全审查的义务。
王维维则有不同看法。他认为,这需要通过《办法》在实施过程审查机构的认定来予以验证。另外,《办法》第十六条规定,“网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查”,这明确了审查机构具有主动开展网络安全审查的权力。因此,“未来赴香港上市的运营者在涉及大量敏感数据处理等事关国家安全的活动时,很有可能也需主动申报。”
吴沈括表示,虽然按照《办法》的文本来看,已免除了赴港上市强制主动申报的普遍性义务,但在制度设计上,赴港上市的网络平台企业依然在网络安全审查制度管辖半径之内。
但吴沈括也强调,在具体的监管场景中,监管机关完全有可能依照职权作出申报要求,但这种要求是一种具体化、个性化的,也是个案意义上的,不是一般意义上的强制性要求。
高艳东针对《办法》第二条指出,只要数据处理活动可能影响国家安全的,无论是否赴国外还是香港上市,都会受到审查。
何渊同样认为,《办法》出台的目的主要就是为了防范网络平台企业在境外上市的安全风险,“即使到香港上市,从《个人信息保护法》和《数据安全法》的规定来说也属数据跨境。所以,企业最多免掉上市前主动申报的义务,但仍有保护数据安全和网络安全的义务。所以不用过于纠结要不要去主动申报,真问题是要把安全当做大事抓起来。”
“第十六条是否意味着,《办法》保留了对相关企业采取进一步监管措施或相应审查的可能?”一位电商平台法务部门员工对此犹为关心。
吴沈括认为,这一问题的逻辑与赴港上市是一致的:“不排除监管机关依职权提起安全审查,但这属于个案,不具有一般性的强制意义。”
高艳东认为,第十六条既针对还未赴国外上市的企业,也针对已赴国外上市网络平台运营者留的“后手”。他强调,从滴滴事件可以窥见,部分网络平台企业缺少网络风险防范意识,此规定保留了进一步加强监管的空间。
“可以想见,在保障国家安全上,没有任何网络平台企业可以置身事外。”高艳东总结。
如何判断是否具有安全风险?
在解答《办法》相关问题时,国家网信办有关负责人表示,网络平台运营者应当在向国外证券监管机构提出上市申请之前,申报网络安全审查。申报后可能有三种情况:一是无需审查;二是启动审查后,经研判不影响国家安全的,可继续赴国外上市程序;三是启动审查后,经研判影响国家安全的,不允许赴国外上市。
在实操中,如何判断是否影响国家安全?
根据《办法》第九条至第十二条关于安全审查步骤和程序的规定,当事人应提交申报书、关于影响或者可能影响国家安全的分析报告,以及采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件等材料,网络安全审查办公室自收到材料起10个工作日内,确定是否需要审查并书面通知当事人。
吴沈括介绍,国家安全是一个高度场景化的命题,它不会是笼统的判断,需要针对某种特定的场景,做出个性化的具体判断。
“所以在这个过程中,我们也会看到多个监管机关的共同参与,能够在很大程度上保证网络安全审查必要的技能储备、知识储备和业务储备,”吴沈括总结,“应当认为,网络安全审查将会有比较高的个性化、场景化、具体化的色彩,需要结合国内外的政治、经济、技术态势做出一个综合性的判断。”
此外,《办法》还明确,初步审查由网络安全审查办公室完成,并发送网络安全审查工作机制成员单位、相关部门征求意见。
“这意味着,审查将由网信部门和其他相关部门共同得出结论。”王新锐说。
就审查具体流程而言,《办法》第十二条规定,网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。各方意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。
上述规定均基本沿用了2020版的《办法》。但有一点修改值得注意,特别审查流程期限由2020版《办法》规定的45天,到《征求意见稿》的3个月,再到《办法》的“90个工作日,情况复杂的可以延长”,时长不断增加。
多位专家均表示,这体现了监管部门对网络安全的事宜的高度重视和审慎。
王维维表示,《办法》的修订,顺应了网络安全保护形势的重要变化,在规范互联网企业发展的同时,更在一定程度上为其指明了方向。
王维维建议,互联网企业应以《办法》重点评估的国家安全风险因素为参考,即以第十条规定中列举的是否存在关键信息基础设施被控制破坏、业务连续性中断、供应中断、违反法规、重要核心数据信息非法出境、重要数据信息被外国政府控制利用等风险因素为参考,加大在网络安全方面的自我审查,提升企业自身数据安全防护能力,加强网络和数据合规管理,以此来确保企业的数据处理活动合法合规。
高艳东提醒,相关企业一是应主动平衡好防范网络安全风险与促进先进技术应用的关系,增强自身合规意识;二是此前一些案例为戒,提升关键信息基础设施安全保障能力;三是加强数据安全建设。特别是在涉及数据跨境业务时,提高自我审查能力、加强数据分类分级保护。
吴沈括认为,企业要树立生态式的全面安全观,建立内外衔接的全流程生态安全管理措施,实现有效的战略性风控,最大限度减少包括国家安全在内的各类风险,从全局、全球的高度重新审视产业链、供应链层面的安全风险管控。