近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布《网络安全审查办法》(以下简称《办法》),自2022年2月15日起施行。
国家互联网信息办公室有关负责人表示,网络安全审查是网络安全领域的重要法律制度,原《办法》自2020年6月1日施行以来,对于保障关键信息基础设施供应链安全,维护国家安全发挥了重要作用。为落实《数据安全法》等法律法规要求,国家互联网信息办公室联合相关部门修订了《办法》。
《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据审查实际需要,增加证监会作为网络安全审查工作机制成员单位,同时完善了国家安全风险评估因素等内容。
国家互联网信息办公室有关负责人表示,《办法》修订对保障国家网络安全和数据安全具有重要意义。
问答
申报网络安全审查或有三种结果
国家互联网信息办公室有关负责人就《网络安全审查办法》相关问题回答了记者的提问。
问:请简要介绍《办法》修订背景?
答:网络安全审查是网络安全领域的重要法律制度。原《办法》自2020年6月1日施行以来,通过对关键信息基础设施运营者采购活动进行审查和对部分重要产品等发起审查,对于保障关键信息基础设施供应链安全,维护国家安全发挥了重要作用。
2021年9月1日,《数据安全法》正式施行,明确规定国家建立数据安全审查制度。我们据此对《网络安全审查办法》进行了修订,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查,主要目的是为了进一步保障网络安全和数据安全,维护国家安全。
问:网络平台运营者赴国外上市申报网络安全审查,可能的结果有几类?
答:对外开放是我国的基本国策,我们始终支持境内企业依法依规合理利用境外资本市场融资发展。《办法》明确“掌握100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查”,申报网络安全审查可能有以下三种情况:一是无需审查;二是启动审查后,经研判不影响国家安全的,可继续赴国外上市程序;三是启动审查后,经研判影响国家安全的,不允许赴国外上市。
问:如何理解网络安全审查中涉及的数据处理活动?
答:根据《数据安全法》,数据处理活动包括数据的收集、存储、使用、加工、传输、提供、公开等活动。《办法》重点聚焦的是网络平台运营者开展上述数据处理活动,影响或者可能影响国家安全的情形。
问:网络平台运营者何时申报赴国外上市网络安全审查?
答:网络平台运营者应当在向国外证券监管机构提出上市申请之前,申报网络安全审查。
问:赴国外上市网络安全审查如何提交申报材料?
答:网络安全审查办公室设在国家互联网信息办公室,具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查等任务。中国网络安全审查技术与认证中心设立网络安全审查咨询窗口。 来源:中国网信网
分析
个人数据可推断国家情况
根据《网络安全审查办法》第二条,除了关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,也应当进行网络安全审查。国家网信办指出,数据处理活动包括数据的收集、存储、使用、加工、传输、提供、公开等活动。工信部赛迪研究院赛迪顾问总裁秦海林解读,这项修订是大数据发展的必然要求。
秦海林说:“因为现在很多To C企业收集的都是个人数据,但是通过个人数据,实际上可以用大数据分析方法,了解这个国家这个地区的人的基本行为,也可以判断出国家和区域的经济社会活动情况。那么对于一个别的国家来说,它是一个非常重要的信息。”
国内排名千位App月活可超百万
《办法》第七条明确,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。一些机构发布的榜单显示,即使是国内排名在1000位的App,月活人数也超过了100万。有专家分析,考虑到这些App都会或多或少收集用户个人信息,这意味着互联网平台前往国外上市基本都要申报网络安全审查。
《办法》还增加证监会作为网络安全审查工作机制成员单位。秦海林认为,这主要是出于审查实际需要考虑,“因为上市公司也有自己的规则,哪一些(信息)可公开,哪些不可公开,证监会是要参与进来,是要发声的。其他部门又不知道上市公司的一些要求是什么,财务数据的公开性到底是什么,证监会加进来以后,它会强化对公司整体的运行情况进行监管。”
企业上市要符合国家安全
在国家安全风险评估因素方面,《办法》增加了两条,分别是:核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。
秦海林说:“就是加上国家安全的‘红绿灯’,对企业的成长是有监控的,不是你怎么样把利益做到最大化都是好的。因为很多企业上市,资本市场对它有一个评估,资本市场评估得高并不代表这家企业的实力、竞争力就一定强,这个前提还有一个,就是要符合国家安全。”
央广网