一分钟解读《网络安全审查办法》
2022-01-07
对于互联网和数据企业来说,又落下一“重磅新年礼物”。此“礼物”为2022年1月4日上午国家网信办、发改委、工信部、公安部、国安部、证监会等十三部门联合修订发布的《网络安全审查办法》(以下简称《办法》),并将于2022年2月15日起施行。作为私募基金及领域的律师,同样关注该《办法》的出台,并尝试快速解读分享。
一、为什么审查?
为了保障数据安全和网络安全,维护国家安全。根据《办法》第一条规定和《办法》答记者问,审查的原因是为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全。诚然,随着我国数字经济和互联网区块链领域的发展,数据的“失控”逐渐导致网络安全处于监管边缘,从而影响国家安全,亟待进行监管和审查,不久之前的滴滴事件即是实际案例的写照。原《办法》和《数据安全法》的施行,对于保障关键信息基础设施供应链安全和建立数据安全审查制度开了先河,《办法》的出台可进一步细化和巩固保障网络和数据安全,进一步完善网络安全法律体系。
二、谁审查?
网络安全审查办公室。根据《办法》第四条和《办法》答记者问,网络安全审查办公室设在国家互联网信息办公室,具体委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心承担接收申报材料、对申报材料进行形式审查等任务,并设立网络安全审查咨询窗户。
三、审查谁?
网络平台运营者和关键信息基础设施运营者(“当事人”)。根据《办法》第二条规定,审查的当事人分为两类,一类是关键信息基础设施运营者(Critical Information Infrastructure Operator),采购网络服务和网络产品影响或可能影响到国家安全的;另一类是网络平台运营者,掌握超过100万用户个人信息,并想赴国外上市的。那么何为关键信息基础设施运营者?何为网络平台运营者?根据《网络安全法》和《关键信息基础设施安全保护条例》(征求意见稿)的规定,我们认为关键信息基础设施运营者是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露的,可能会严重危害国家安全、国计民生、公共利益的网络设施、信息系统等的运营者。对于网络平台运营者,目前未有明确规定,我们建议利用互联网开展网络服务平台和网络产品平台的运营者,并掌握超过100万用户个人信息的,均可进行网络安全审查申报,以提高企业合规程度,避免产生违反《办法》的法律风险。
四、具体审查条件?
根据《办法》第六条规定,对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,我们建议在采购协议或技术服务协议中做出如下约定:“乙方承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务,依照《网络安全审查办法》及相关法律法规的规定向网络安全审查办公室申报网络审查”。根据《办法》第七条规定,如掌握超过100万用户个人信息的网络平台运营者赴国外上市的,必须向网络安全审查办公室申报网络安全审查。国外应不包含香港,但在实际操作层面,对于赴港上市是否会依据职权进行主动审查,也未可知,建议向有关部门进行咨询。另外“100万用户个人信息”具体的范围和数据维度如何?也待进一步细化和解释。
五、需提交哪些审查材料?
根据《办法》第八条,当事人申报网络安全审查,应当提交以下材料:“ (一)申报书;(二)关于影响或者可能影响国家安全的分析报告;(三)采购文件、协议、拟签订的合同或拟提交的首次公开募股(IPO)等上市申请文件;(四)网络安全审查工作需要的其他材料。”我们理解在网络安全审查咨询窗口中具有申报书的制式模板,分析报告则需要企业根据实际业务是否涉及国家安全的实际情况进行撰写;采购文件等合同是否具有金额、期限等细节要求,《办法》并未做出规定。需要进一步确认的是招股书等上市申请文件,是否包括底稿、是否需要在招股书中披露网络安全情况、首次公开募股的企业是否包括中概股企业等。
六、审查的流程?
七、有哪些审查结果?
免于审查、审查后批准上市和审查后研判威胁国家安全的,不允许国外上市。根据《办法》答记者问,申报网络安全审查可能有以下三种结果:一是无需审查;二是启动审查后,经研判不影响国家安全的,可继续赴国外上市程序;三是启动审查后,经研判影响国家安全的,不允许赴国外上市。需要注意的是,《办法》同时要求当事人应在审查期间按照网络安全审查要求采取预防和消减风险的措施。
八、违反《办法》会产生什么法律责任?
根据《办法》第二十条,违反规定的,依照《网络安全法》、《数据安全法》的规定处理,包括但不限于主管部门责令改正、给予警告、罚款等法律责任。按照以往的案例经验,还有可能会被有关主管部门责令暂停相关业务(比如暂停用户注册)、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等。
《办法》的发布是对《网络安全法》和《数据安全法》及时响应,是网络安全和数据安全法律领域的“一员大将”。不可回避,仍有许多实操问题悬疑。但对监管实践拭目以待的同时,“备战”合规,刻不容缓!
本文作者:
指导合伙人:
声明:
本文由k8凯发天生赢家·一触即发律师事务所律师原创,仅代表作者本人观点,不得视为k8凯发天生赢家·一触即发律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。