一、网络安全审查办法概述
虽然《办法》于近日才开始正式实施,但其征求意见稿在2021年初就已经向社会公开。在信息网络时代,对于元宇宙、数字藏品平台等数据驱动型企业和关键信息基础设施运营者如何在日常经营中合规采购互联网产品和服务、实现境外上市等,该《办法》是绕不开的关键。
分析一部规范性文件首先要看其效力层级,《办法》是由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部等十三个国家部委出台的部门规章,其效力等级较高,仅在全国人大及其常委会制定的法律和国务院发布的行政法规之下。
该《办法》属于《国家安全法》《网络安全法》《数据安全法》三部法律及《关键信息基础设施安全保护条例》的下位法,制定《办法》的目的是为了确保关键信息基础设施供应链安全,保障网络安全和数据安全、维护国家安全,与之前的征求意见稿相比增加了“网络安全和数据安全”,并将“关键新型基础设施供应链”的表述修改为“关键信息基础设施供应链”。虽然未提及个人信息保护,但《办法》同样在涉及个人信息出境和掌握个人信息企业赴境外上市等方面规定了严格的审查程序。
(一)网络安全审查主体
根据《办法》第四条,网络安全审查由网络安全审查办公室负责。该办公室设在国家互联网信息办公室,主要负责制定网络安全审查相关制度规范,组织网络安全审查。
同时《办法》明确,网络安全审查办公室和网络安全审查制度是由中央网络安全和信息化委员会领导,由十三部委联合制定。
(二)网络安全审查范围
当前,网络安全审查的对象主要有两类:(1) 关键信息基础设施运营者;(2)网络平台运营者。
根据《关键信息基础设施安全保护条例》第二条之规定,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。依据《关键信息基础设施安全保护条例》和当前实施的《办法》以上关键信息基础设施运营者主要在采购网络产品和服务等活动中负有预判国家安全风险,并在需要的时候进行网络安全审查的义务。
而对于网络平台运营者来说,需要达到特定条件才需进行网络安全审查。根据《办法》第七条:掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
二、关键信息基础设施运营者网络安全审查
《办法》对于关键信息基础设施运营者的审查主要集中在其采购网络产品和服务等方面。根据《办法》第五条之规定:关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。《办法》所称的“网络产品”和“服务”主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。
也就是说,《办法》对于基础设施运营者在采购各类网络产品和服务提出了较高的要求,对此,关键信息基础设施运营者应当尽快建立一套完善的评估系统,对即将采购的产品是否可能对国家安全造成影响进行充分的评估。
而对于经评估发现影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。
目前对于具体的评估系统建设和评估方法可依据和参考《关键信息基础设施安全保护条例》、《信息安全技术 关键信息基础设施安全检查评估指南》以及中国网络安全审查技术与认证中心发布的《信息安全服务规范》(CCRC-ISV-R01:2021)等规范性文件、各类国家标准进行制定,必要时可委托有资质的第三方评估机构对所采购的网络产品及服务进行针对性评估。
三、网络平台运营者境外上市安全审查
《办法》第七条明确要求,掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报审查。各大元宇宙平台和NFT、数字藏品运营者皆在此范围内。目前,中国网络安全审查技术与认证中心已经设立网络安全审查咨询窗口,开始接受网络平台运营者赴国外上市的审查申报。
(一)如何进行上市前审查
与2021年的征求意见稿相比,《办法》扩大了网络安全审查的覆盖范围。当前,掌握超过100万用户个人信息的网络平台运营者在赴国外上市前必须申报审查。网络平台运营者应该申报审查而未申报,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定承担相应法律责任。具体来说,申报网络安全审查应当提交以下材料:
1. 申报书;
2. 关于影响或者可能影响国家安全的分析报告;
3. 采购文件、协议、拟签订的合同或者拟提交的首次公开募股(TPO)等上市申请文件;
4. 网络安全审查工作需要的其他材料。
伙伴们需要注意的是,《办法》规定的审查申报条件为“赴国外上市”并不意味着运营者赴香港上市就可以不进行网络安全审查。根据《办法》第十六条之规定:网络安全审查工作机制成员单位(即制定《办法》的十三个部委)认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动可由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。
(二)何时进行审查申报
同时,对于具体的申报时机,根据国家互联网信息办公室负责人介绍,企业应当在向国外证券监管机构提出上市申请之前申报审查。
对于《办法》实施前,已经向外国证券监管机构提交过上市申请文件但尚未完成上市的运营者,如掌握超过100万用户个人信息,也应在上市前主动申报审查。而对于《办法》实施前已经在国外上市的运营者,则不需要申报审查。但对于已上市企业赴国外进行二次上市、双重主要上市等情况,属于新发起的“国外上市”活动,符合申报要求的应主动申报审查。
另外,《办法》规定的运营者赴国外上市方式不限于首次公开募股(IPO)一种,其他各类上市方法均在审查范围内,包括但不限于造壳上市(SPAC)、反向收购、直接上市等方法。
![_($0PXQFQ7Y(P~4838LJ_]L.png](/upload/image/ann/20240326/20240326729559.png)
