1月4日,国家互联网信息办公室、国家发展和改革委员会等十三部门联合修订发布《网络安全审查办法》(以下简称《办法》),自2022年2月15日起施行。《办法》明确,掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。申报网络安全审查可能有以下三种情况:一是无需审查;二是启动审查后,经研判不影响国家安全的,可继续赴国外上市程序;三是启动审查后,经研判影响国家安全的,不允许赴国外上市。
据国家互联网信息办公室有关负责人介绍,《办法》重点聚焦的是网络平台运营者开展上述数据处理活动,影响或者可能影响国家安全的情形。关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
东海律师事务所合伙人朱洪告诉记者,《办法》的修订,是在《数据安全法》施行后,国家数据安全审查制度建立的背景下进行的,主要落实了《数据安全法》中网络数据领域安全审查的部分。
《办法》指出,国家安全风险因素中有三项都与数据信息安全相关,包括核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
同时,《办法》也将配合去年发布和实施的《个人信息保护法》《关键信息基础设施安全保护条例》共同对关键基础设施运营者和网络平台运营者进行督促,积极预判使用网络产品、服务或进行数据处理活动的安全后果,从而对信息安全主体提出更高标准的要求。网络安全审查制度将帮助企业提升自我监督能力,降低市场中的网络安全风险,保护消费者的安全权益。
“《办法》并非单纯是中方针对美国制裁措施而采取的反制手段,而是对标国际网络安全法律体系的一部分。在海外许多国家也有类似的制度用于规范数据安全出海问题,如美国的《国家安全与个人数据保护法提案》等。”朱洪表示。
值得注意的是,《办法》中并未对赴港上市企业提出主动申报网络安全审查的要求。但这不意味着一些公司可以采取香港上市的方式规避安全审查。朱洪表示,根据法律规定,企业无论在国外还是香港上市,都属于数据出境行为。网络安全审查部门可以按照要求提请对企业进行审查。因此,企业依然要主动判断赴香港上市是否会影响国家安全。
中国信息安全研究院副院长左晓栋介绍说,在这方面,《办法》与《国务院关于境内企业境外发行证券和上市的管理规定》等证券行业监管制度保持一致。后者由证监会会同国务院有关部门研究起草,已于2021年12月公开征求意见。按该文件第八条规定,境内企业境外发行上市的,应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定,切实履行国家安全保护义务。涉及安全审查的,应当依法履行相关安全审查程序。
此外,《办法》还回应了社会关切,某些被审查企业被要求停止注册新用户,这显然是一种防范风险扩大的措施。那么,在审查结论还没有作出的情况下,何时会采取此类措施呢?《办法》第十六条明确,为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和削减风险的措施。这说明,这类措施不是因主动申报而起,而是被审查机制成员单位发现威胁或风险后,采取的应对措施。
