1月4日,國家網際網路資訊辦公室等13個部門聯合修訂釋出了《網路安全審查辦法》(以下簡稱“辦法”)。
老虎ESOP瞭解到,原《辦法》是2020年6月1日起開始施行。今年7月滴滴等企業發生網路安全審查事件,當月《辦法》修訂草案的徵求意見稿被公佈,因此《辦法》的修訂也一直被市場廣泛關注。
1月4日,《辦法》的修訂版正式釋出,並將於2022年2月15日起正式施行。
據瞭解,此次的《辦法》修訂終版,並未提及赴香港上市,赴國外上市的網路安全審查也被明確了審查門檻為“掌握超過100萬用戶個人資訊”。
《辦法》未提及“赴港上市”
據老虎ESOP整理,此次《辦法》的修訂終稿第七條明確提到,“掌握超過100萬用戶個人資訊的網路平臺運營者赴國外上市,必須向網路安全審查辦公室申報網路安全審查”。
申報網路安全審查可能有以下三種情況:一是無需審查;二是啟動審查後,經研判不影響國家安全的,可繼續赴國外上市程式;三是啟動審查後,經研判影響國家安全的,不允許赴國外上市。
這裡提到的涉及境外上市網路安全審查的邊界被定義為了“赴國外上市”,字面意義上來看內地企業赴港上市是不需要進行審查的。
而且在1月4日同時進行的相關“答記者問”上,國家網際網路資訊辦公室有關負責人也並未提及赴港上市的相關資訊。
不過赴港上市雖不在“出國上市”的範圍之內,但也屬於“出境上市”,究竟在實操中是否要遵循《辦法》的規定進行網路安全審查,仍待進一步觀察。
掌握超百萬使用者資訊的“網路平臺運營者”赴國外上市須經審查
關於出國上市的網路安全審查門檻,被明確定義為了“掌握超過100萬用戶個人資訊”,被審查物件為“網路平臺運營者”。
去年7月公示的《辦法》徵求意見稿中新增的被審查物件為“資料處理者”,而在正式版的《辦法》中該表述被換成了“網路平臺運營者”。
僅從字面意義上看,網路平臺運營的範圍比資料處理更寬泛。不過《辦法》中也未有關於“網路平臺運營者”的定義。具體的審查實操中將如何執行,可能需要再進一步觀察。
哪些情況會觸發網路安全審查?
從最終的《辦法》條款來看,進行網路安全審查的方式主要有3種。
第一,主動申報。根據《辦法》第二條,“關鍵資訊基礎設施運營者採購網路產品和服務,網路平臺運營者開展資料處理活動,影響或者可能影響國家安全的,應當按照本辦法進行網路安全審查”。
第二,監管機構主動審查。根據《辦法》第十六條,“網路安全審查工作機制成員單位認為影響或者可能影響國家安全的網路產品和服務以及資料處理活動,由網路安全審查辦公室按程式報中央網路安全和資訊化委員會批准後,依照本辦法的規定進行審查。”
第三,社會監督舉報。《辦法》的第十三條、第十九條中提到,網路安全審查要堅持事前監督與持續監督相結合、企業承諾與社會監督相結合,網路安全審查辦公室也會透過接受舉報等形式加強事前事中事後監督。
網路安全審查的重要時間節點
涉及到海外上市的情況,網路平臺運營者應當在向國外證券監管機構提出上市申請之前,申報網路安全審查。
去年7月份公佈的徵求意見稿對特別審查程式的週期設定為3個月內完成,不過《條例》修訂終版則作出了 “一般應當在90個工作日內完成”的新規定,並提到情況複雜的可以延長。
條款衝突如何處理?
《辦法》的終版已經落地,且即將在2022年2月15日正式實施。
不過《辦法》中的條款,與2021年11月釋出的《網路資料安全管理條例(徵求意見稿)》(以下簡稱“條例”)的部分觀點表述並不完全重合。
例如《辦法》中並未提到赴港上市需要進行網路安全審查,但《條例》徵求意見稿中卻明確提到了“資料處理者赴香港上市,影響或者可能影響國家安全的應申報網路安全審查”。
不過條例中提到赴港上市的網路安全審查,是2021年11月釋出的徵求意見稿《條例》裡提到的。
未規定赴港上市網路審查的條款則出自是2022年1月4日公佈的《辦法》終版內容。
從時間序列上按最新規定來看,赴港上市並未被劃入監管範圍。所以從目前來看,相關網路安全審查條款可以先以最新落地的《辦法》為準,待到終版《條例》落地後,再看最新政策如何規定。
網路安全審查的重點評估情形
(一)產品和服務使用後帶來的關鍵資訊基礎設施被非法控制、遭受干擾或者破壞的風險;
(二)產品和服務供應中斷對關鍵資訊基礎設施業務連續性的危害;
(三)產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
(四)產品和服務提供者遵守中國法律、行政法規、部門規章情況;
(五)核心資料、重要資料或者大量個人資訊被竊取、洩露、毀損以及非法利用、非法出境的風險;
(六)上市存在關鍵資訊基礎設施、核心資料、重要資料或者大量個人資訊被外國政府影響、控制、惡意利用的風險,以及網路資訊保安風險;
(七)其他可能危害關鍵資訊基礎設施安全、網路安全和資料安全的因素。
網路安全審查應提交的材料
被審查人申報網路安全審查,應當提交以下材料:
(一)申報書;
(二)關於影響或者可能影響國家安全的分析報告;
(三)採購檔案、協議、擬簽訂的合同或者擬提交的首次公開募股(IPO)等上市申請檔案;
(四)網路安全審查工作需要的其他材料。
本文資料、內容來源於國家網際網路資訊辦公室網站。
