為落實(shí)《數(shù)據(jù)安全法》等法律法規(guī)的要求,國(guó)家互聯(lián)網(wǎng)信息辦公室���、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部���、公安部���、國(guó)家安全部���、財(cái)政部、商務(wù)部���、中國(guó)人民銀行���、國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家廣播電視總局���、中國(guó)證券監(jiān)督管理委員會(huì)���、國(guó)家保密局、國(guó)家密碼管理局等十三部門(mén)聯(lián)合修訂發(fā)布了《網(wǎng)絡(luò)安全審查辦法》���,今日起施行���。
01《辦法》修訂的主要內(nèi)容
| 《網(wǎng)絡(luò)安全審查辦法》2020版 | 《網(wǎng)絡(luò)安全審查辦法》2022版 |
立法依據(jù) | 《中華人民共和國(guó)國(guó)家安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》 | 《中華人民共和國(guó)國(guó)家安全法》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》���、《中華人民共和國(guó)數(shù)據(jù)安全法》���、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》 |
立法目的 | 確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全���,維護(hù)國(guó)家安全 | 確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全���,維護(hù)國(guó)家安全 |
網(wǎng)絡(luò)安全審查工作機(jī)制構(gòu)成 | 網(wǎng)信辦���、發(fā)改委、工信部���、公安部���、國(guó)家安全部、財(cái)政部���、商務(wù)部���、央行、市監(jiān)總局���、廣電總局���、國(guó)密局、國(guó)密管理局 | 網(wǎng)信辦���、發(fā)改委���、工信部、公安部���、國(guó)家安全部���、財(cái)政部、商務(wù)部���、央行���、市監(jiān)總局���、廣電總局���、證監(jiān)會(huì)���、國(guó)密局���、國(guó)密管理局 |
網(wǎng)絡(luò)安全審查觸發(fā)條件 | 1. 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),影響或可能影響國(guó)家安全的 2. 網(wǎng)絡(luò)安全審查工作機(jī)制成員單位認(rèn)為影響或可能影響國(guó)家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù) 3.社會(huì)舉報(bào) | 1. 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)���,影響或可能影響國(guó)家安全的 2. 網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者開(kāi)展數(shù)據(jù)處理活動(dòng)���,影響或者可能影響國(guó)家安全的 3.掌握超過(guò)100萬(wàn)用戶(hù)個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市 4. 網(wǎng)絡(luò)安全審查工作機(jī)制成員單位認(rèn)為影響或者可能影響國(guó)家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)以及數(shù)據(jù)處理活動(dòng) 5.社會(huì)舉報(bào) |
需提交的申報(bào)材料 | 1.申報(bào)書(shū); 2.關(guān)于影響或可能影響國(guó)家安全的分析報(bào)告���; 3.采購(gòu)文件���、協(xié)議、擬簽訂的合同等���; 4.網(wǎng)絡(luò)安全審查工作需要的其他材料 | 1.申報(bào)書(shū)���; 2.關(guān)于影響或者可能影響國(guó)家安全的分析報(bào)告; 3.采購(gòu)文件���、協(xié)議���、擬簽訂的合同或者擬提交的首次公開(kāi)募股(IPO)等上市申請(qǐng)文件���; 4.網(wǎng)絡(luò)安全審查工作需要的其他材料 |
重點(diǎn)評(píng)估的國(guó)家安全風(fēng)險(xiǎn)因素 | 1.產(chǎn)品和服務(wù)使用后帶來(lái)的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制���、遭受干擾或破壞���,以及重要數(shù)據(jù)被竊取、泄露���、毀損的風(fēng)險(xiǎn)���; 2.產(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害; 3.產(chǎn)品和服務(wù)的安全性���、開(kāi)放性���、透明性、來(lái)源的多樣性���,供應(yīng)渠道的可靠性以及因?yàn)檎?��、外交���、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn); 4.產(chǎn)品和服務(wù)提供者遵守中國(guó)法律���、行政法規(guī)���、部門(mén)規(guī)章情況; 5.其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國(guó)家安全的因素���。 | 1.產(chǎn)品和服務(wù)使用后帶來(lái)的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制���、遭受干擾或破壞的風(fēng)險(xiǎn); 2.產(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害���; 3.產(chǎn)品和服務(wù)的安全性���、開(kāi)放性、透明性���、來(lái)源的多樣性���,供應(yīng)渠道的可靠性以及因?yàn)檎?��、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn)���; 4.產(chǎn)品和服務(wù)提供者遵守中國(guó)法律、行政法規(guī)���、部門(mén)規(guī)章情況���; 5.核心數(shù)據(jù)、重要數(shù)據(jù)或大量個(gè)人信息被竊取���、泄露、毀損以及非法利用或者非法出境的風(fēng)險(xiǎn)���; 6.上市存在關(guān)鍵信息基礎(chǔ)設(shè)施���、核心數(shù)據(jù)���、重要數(shù)據(jù)或者大量個(gè)人信息被外國(guó)政府影響、控制���、惡意利用的風(fēng)險(xiǎn)���,以及網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn); 7.其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全���、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的因素���。 |
特別審查時(shí)限 | 特別審查程序一般應(yīng)當(dāng)在45個(gè)工作日內(nèi)完成,情況復(fù)雜的可以適當(dāng)延長(zhǎng)���。 | 特別審查程序一般應(yīng)當(dāng)在90個(gè)工作日內(nèi)完成���,情況復(fù)雜的可以延長(zhǎng)。 |
新增義務(wù) |
| 為了防范風(fēng)險(xiǎn)���,當(dāng)事人應(yīng)當(dāng)在審查期間按照網(wǎng)絡(luò)安全審查要求采取預(yù)防和消減風(fēng)險(xiǎn)的措施���。 |
網(wǎng)絡(luò)產(chǎn)品和服務(wù)范圍 | 核心網(wǎng)絡(luò)設(shè)備���、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲(chǔ)設(shè)備���、大型數(shù)據(jù)庫(kù)和應(yīng)用軟件���、網(wǎng)絡(luò)安全設(shè)備、云計(jì)算服務(wù)���,以及其他對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù) | 核心網(wǎng)絡(luò)設(shè)備���、重要通信產(chǎn)品���、高性能計(jì)算機(jī)和服務(wù)器���、大容量存儲(chǔ)設(shè)備、大型數(shù)據(jù)庫(kù)和應(yīng)用軟件���、網(wǎng)絡(luò)安全設(shè)備���、云計(jì)算服務(wù)���,以及其他對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)���。
|
02《網(wǎng)絡(luò)安全審查辦法》全文第一條 為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全���,保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全,維護(hù)國(guó)家安全���,根據(jù)《中華人民共和國(guó)國(guó)家安全法》���、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》���、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》���,制定本辦法。
第二條 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)���,網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者開(kāi)展數(shù)據(jù)處理活動(dòng)���,影響或者可能影響國(guó)家安全的���,應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查。
前款規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者���、網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者統(tǒng)稱(chēng)為當(dāng)事人���。
第三條 網(wǎng)絡(luò)安全審查堅(jiān)持防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與促進(jìn)先進(jìn)技術(shù)應(yīng)用相結(jié)合、過(guò)程公正透明與知識(shí)產(chǎn)權(quán)保護(hù)相結(jié)合���、事前審查與持續(xù)監(jiān)管相結(jié)合���、企業(yè)承諾與社會(huì)監(jiān)督相結(jié)合,從產(chǎn)品和服務(wù)以及數(shù)據(jù)處理活動(dòng)安全性���、可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)等方面進(jìn)行審查。
第四條 在中央網(wǎng)絡(luò)安全和信息化委員會(huì)領(lǐng)導(dǎo)下���,國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同中華人民共和國(guó)國(guó)家發(fā)展和改革委員會(huì)���、中華人民共和國(guó)工業(yè)和信息化部、中華人民共和國(guó)公安部、中華人民共和國(guó)國(guó)家安全部���、中華人民共和國(guó)財(cái)政部���、中華人民共和國(guó)商務(wù)部、中國(guó)人民銀行���、國(guó)家市場(chǎng)監(jiān)督管理總局���、國(guó)家廣播電視總局、中國(guó)證券監(jiān)督管理委員會(huì)���、國(guó)家保密局���、國(guó)家密碼管理局建立國(guó)家網(wǎng)絡(luò)安全審查工作機(jī)制。
網(wǎng)絡(luò)安全審查辦公室設(shè)在國(guó)家互聯(lián)網(wǎng)信息辦公室���,負(fù)責(zé)制定網(wǎng)絡(luò)安全審查相關(guān)制度規(guī)范���,組織網(wǎng)絡(luò)安全審查。
第五條 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的���,應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)���。影響或者可能影響國(guó)家安全的���,應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。
關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作部門(mén)可以制定本行業(yè)���、本領(lǐng)域預(yù)判指南���。
第六條 對(duì)于申報(bào)網(wǎng)絡(luò)安全審查的采購(gòu)活動(dòng),關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)通過(guò)采購(gòu)文件���、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查���,包括承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶(hù)數(shù)據(jù)、非法控制和操縱用戶(hù)設(shè)備���,無(wú)正當(dāng)理由不中斷產(chǎn)品供應(yīng)或者必要的技術(shù)支持服務(wù)等���。
第七條 掌握超過(guò)100萬(wàn)用戶(hù)個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市���,必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查���。
第八條 當(dāng)事人申報(bào)網(wǎng)絡(luò)安全審查���,應(yīng)當(dāng)提交以下材料:
(一)申報(bào)書(shū)���;
?��。ǘ╆P(guān)于影響或者可能影響國(guó)家安全的分析報(bào)告;
?��。ㄈ┎少?gòu)文件���、協(xié)議、擬簽訂的合同或者擬提交的首次公開(kāi)募股(IPO)等上市申請(qǐng)文件���;
?��。ㄋ模┚W(wǎng)絡(luò)安全審查工作需要的其他材料。
第九條 網(wǎng)絡(luò)安全審查辦公室應(yīng)當(dāng)自收到符合本辦法第八條規(guī)定的審查申報(bào)材料起10個(gè)工作日內(nèi)���,確定是否需要審查并書(shū)面通知當(dāng)事人���。
第十條 網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估相關(guān)對(duì)象或者情形的以下國(guó)家安全風(fēng)險(xiǎn)因素:
?��。ㄒ唬┊a(chǎn)品和服務(wù)使用后帶來(lái)的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或者破壞的風(fēng)險(xiǎn)���;
?��。ǘ┊a(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害;
?��。ㄈ┊a(chǎn)品和服務(wù)的安全性���、開(kāi)放性、透明性���、來(lái)源的多樣性���,供應(yīng)渠道的可靠性以及因?yàn)檎巍⑼饨?��、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn)���;
(四)產(chǎn)品和服務(wù)提供者遵守中國(guó)法律���、行政法規(guī)���、部門(mén)規(guī)章情況;
?��。ㄎ澹┖诵臄?shù)據(jù)���、重要數(shù)據(jù)或者大量個(gè)人信息被竊取、泄露���、毀損以及非法利用���、非法出境的風(fēng)險(xiǎn);
?��。┥鲜写嬖陉P(guān)鍵信息基礎(chǔ)設(shè)施���、核心數(shù)據(jù)���、重要數(shù)據(jù)或者大量個(gè)人信息被外國(guó)政府影響、控制���、惡意利用的風(fēng)險(xiǎn)���,以及網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn);
?��。ㄆ撸┢渌赡芪:﹃P(guān)鍵信息基礎(chǔ)設(shè)施安全���、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的因素。
第十一條 網(wǎng)絡(luò)安全審查辦公室認(rèn)為需要開(kāi)展網(wǎng)絡(luò)安全審查的���,應(yīng)當(dāng)自向當(dāng)事人發(fā)出書(shū)面通知之日起30個(gè)工作日內(nèi)完成初步審查���,包括形成審查結(jié)論建議和將審查結(jié)論建議發(fā)送網(wǎng)絡(luò)安全審查工作機(jī)制成員單位、相關(guān)部門(mén)征求意見(jiàn)���;情況復(fù)雜的���,可以延長(zhǎng)15個(gè)工作日���。
第十二條 網(wǎng)絡(luò)安全審查工作機(jī)制成員單位和相關(guān)部門(mén)應(yīng)當(dāng)自收到審查結(jié)論建議之日起15個(gè)工作日內(nèi)書(shū)面回復(fù)意見(jiàn)。
網(wǎng)絡(luò)安全審查工作機(jī)制成員單位���、相關(guān)部門(mén)意見(jiàn)一致的,網(wǎng)絡(luò)安全審查辦公室以書(shū)面形式將審查結(jié)論通知當(dāng)事人���;意見(jiàn)不一致的���,按照特別審查程序處理,并通知當(dāng)事人���。
第十三條 按照特別審查程序處理的���,網(wǎng)絡(luò)安全審查辦公室應(yīng)當(dāng)聽(tīng)取相關(guān)單位和部門(mén)意見(jiàn),進(jìn)行深入分析評(píng)估���,再次形成審查結(jié)論建議���,并征求網(wǎng)絡(luò)安全審查工作機(jī)制成員單位和相關(guān)部門(mén)意見(jiàn)���,按程序報(bào)中央網(wǎng)絡(luò)安全和信息化委員會(huì)批準(zhǔn)后,形成審查結(jié)論并書(shū)面通知當(dāng)事人���。
第十四條 特別審查程序一般應(yīng)當(dāng)在90個(gè)工作日內(nèi)完成���,情況復(fù)雜的可以延長(zhǎng)。
第十五條 網(wǎng)絡(luò)安全審查辦公室要求提供補(bǔ)充材料的���,當(dāng)事人���、產(chǎn)品和服務(wù)提供者應(yīng)當(dāng)予以配合。提交補(bǔ)充材料的時(shí)間不計(jì)入審查時(shí)間���。
第十六條 網(wǎng)絡(luò)安全審查工作機(jī)制成員單位認(rèn)為影響或者可能影響國(guó)家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)以及數(shù)據(jù)處理活動(dòng)���,由網(wǎng)絡(luò)安全審查辦公室按程序報(bào)中央網(wǎng)絡(luò)安全和信息化委員會(huì)批準(zhǔn)后,依照本辦法的規(guī)定進(jìn)行審查���。
為了防范風(fēng)險(xiǎn)���,當(dāng)事人應(yīng)當(dāng)在審查期間按照網(wǎng)絡(luò)安全審查要求采取預(yù)防和消減風(fēng)險(xiǎn)的措施���。
第十七條 參與網(wǎng)絡(luò)安全審查的相關(guān)機(jī)構(gòu)和人員應(yīng)當(dāng)嚴(yán)格保護(hù)知識(shí)產(chǎn)權(quán),對(duì)在審查工作中知悉的商業(yè)秘密���、個(gè)人信息���,當(dāng)事人、產(chǎn)品和服務(wù)提供者提交的未公開(kāi)材料���,以及其他未公開(kāi)信息承擔(dān)保密義務(wù);未經(jīng)信息提供方同意���,不得向無(wú)關(guān)方披露或者用于審查以外的目的���。
第十八條 當(dāng)事人或者網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者認(rèn)為審查人員有失客觀公正,或者未能對(duì)審查工作中知悉的信息承擔(dān)保密義務(wù)的���,可以向網(wǎng)絡(luò)安全審查辦公室或者有關(guān)部門(mén)舉報(bào)���。
第十九條 當(dāng)事人應(yīng)當(dāng)督促產(chǎn)品和服務(wù)提供者履行網(wǎng)絡(luò)安全審查中作出的承諾。
網(wǎng)絡(luò)安全審查辦公室通過(guò)接受舉報(bào)等形式加強(qiáng)事前事中事后監(jiān)督。
第二十條 當(dāng)事人違反本辦法規(guī)定的���,依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》���、《中華人民共和國(guó)數(shù)據(jù)安全法》的規(guī)定處理。
第二十一條 本辦法所稱(chēng)網(wǎng)絡(luò)產(chǎn)品和服務(wù)主要指核心網(wǎng)絡(luò)設(shè)備���、重要通信產(chǎn)品���、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲(chǔ)設(shè)備���、大型數(shù)據(jù)庫(kù)和應(yīng)用軟件���、網(wǎng)絡(luò)安全設(shè)備、云計(jì)算服務(wù)���,以及其他對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全���、網(wǎng)絡(luò)安全和數(shù)據(jù)安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。
第二十二條 涉及國(guó)家秘密信息的���,依照國(guó)家有關(guān)保密規(guī)定執(zhí)行���。
國(guó)家對(duì)數(shù)據(jù)安全審查���、外商投資安全審查另有規(guī)定的,應(yīng)當(dāng)同時(shí)符合其規(guī)定���。
第二十三條 本辦法自2022年2月15日起施行���。2020年4月13日公布的《網(wǎng)絡(luò)安全審查辦法》(國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)���、工業(yè)和信息化部、公安部���、國(guó)家安全部���、財(cái)政部、商務(wù)部���、中國(guó)人民銀行���、國(guó)家市場(chǎng)監(jiān)督管理總局���、國(guó)家廣播電視總局、國(guó)家保密局���、國(guó)家密碼管理局令第6號(hào))同時(shí)廢止���。
一、《網(wǎng)絡(luò)安全審查辦法》修訂的背景及法律依據(jù)
網(wǎng)絡(luò)安全審查制度與數(shù)據(jù)安全審查制度是《網(wǎng)絡(luò)安全法》���、《數(shù)據(jù)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》確立的兩項(xiàng)重要國(guó)家安全審查制度���。《網(wǎng)絡(luò)安全法》第三十五條規(guī)定:“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)���,可能影響國(guó)家安全的���,應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)組織的國(guó)家安全審查?��!?��;《數(shù)據(jù)安全法》第二十四條規(guī)定:“國(guó)家建立數(shù)據(jù)安全審查制度���,對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查?��!?��;《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第十九條規(guī)定:運(yùn)營(yíng)者應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù);采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國(guó)家安全的���,應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全規(guī)定通過(guò)安全審查���。《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第十九條在《網(wǎng)絡(luò)安全法》第三十五條的基礎(chǔ)上���,增加了“運(yùn)營(yíng)者應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”,強(qiáng)調(diào)了網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)鏈安全���。
根據(jù)上述規(guī)定���,《數(shù)據(jù)安全法》中的數(shù)據(jù)安全審查制度與《網(wǎng)絡(luò)安全法》中的網(wǎng)絡(luò)安全審查制度有所不同���,前者的審查主要針對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng),主要包括:數(shù)據(jù)的收集���、存儲(chǔ)���、使用、加工���、傳輸���、提供、公開(kāi)等���;后者的審查主要針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)���,影響或可能影響國(guó)家安全的情形。
2020年6月1日施行的《網(wǎng)絡(luò)安全審查辦法》(以下簡(jiǎn)稱(chēng):原《審查辦法》)第二條提出:“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者(以下簡(jiǎn)稱(chēng)運(yùn)營(yíng)者)采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)���,影響或可能影響國(guó)家安全的���,應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查���。” 可見(jiàn)���,原《審查辦法》中的網(wǎng)絡(luò)安全審查���,主要是依據(jù)《網(wǎng)絡(luò)安全法》針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),影響或可能影響國(guó)家安全情形的安全審查制度���。
隨著《數(shù)據(jù)安全法》于2021年9月1日正式實(shí)施���,影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)也將面臨國(guó)家安全審查。由于原《審查辦法》只涉及了《網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)安全審查”制度���,沒(méi)有涉及《數(shù)據(jù)安全法》中的“數(shù)據(jù)安全審查”內(nèi)容���。因此,有必要在原《審查辦法》的基礎(chǔ)上增加數(shù)據(jù)安全審查的內(nèi)容���。
新修訂的《網(wǎng)絡(luò)安全審查辦法》第一條規(guī)定:“為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全���,保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全,維護(hù)國(guó)家安全���,根據(jù)《中華人民共和國(guó)國(guó)家安全法》���、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》���、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》���,制定本辦法?��!?/span>
從上述立法目的看���,《網(wǎng)絡(luò)安全審查辦法》的上位法涉及三部法律和一部國(guó)務(wù)院條例,修訂后的《網(wǎng)絡(luò)安全審查辦法》在《國(guó)家安全法》和《網(wǎng)絡(luò)安全法》的基礎(chǔ)上���,增加了《數(shù)據(jù)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》���,其中《數(shù)據(jù)安全法》明確提出“國(guó)家建立數(shù)據(jù)安全審查制度”;《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》要求“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國(guó)家安全的,應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全規(guī)定通過(guò)安全審查”���。
這里需要說(shuō)明���,《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》均要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國(guó)家安全的,應(yīng)當(dāng)通過(guò)國(guó)家安全審查���。但是《網(wǎng)絡(luò)安全法》于2017年6月1日開(kāi)始實(shí)施���,當(dāng)時(shí)尚沒(méi)有出臺(tái)《網(wǎng)絡(luò)安全審查辦法》,《網(wǎng)絡(luò)安全法》第三十五條要求:“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)���,可能影響國(guó)家安全的���,應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)組織的國(guó)家安全審查”?��!毒W(wǎng)絡(luò)安全法》實(shí)施后的三年���,《網(wǎng)絡(luò)安全審查辦法》于2020年6月1日實(shí)施,正式確立了網(wǎng)絡(luò)安全審查的規(guī)則和適用���。因此���,2021年9月1日開(kāi)始實(shí)施的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第十九條則規(guī)定:“采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國(guó)家安全的,應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全規(guī)定通過(guò)安全審查���?��!啊毒W(wǎng)絡(luò)安全法》僅規(guī)定“應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)組織的國(guó)家安全審查”;《關(guān)鍵信息基礎(chǔ)設(shè)安全保護(hù)條例》則要求“應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全規(guī)定通過(guò)安全審查”���,更強(qiáng)調(diào)了依網(wǎng)絡(luò)安全審查規(guī)則通過(guò)安全審查���。
二、網(wǎng)絡(luò)安全審查的客體和原則
《網(wǎng)絡(luò)安全審查辦法》第二條規(guī)定���,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者(以下簡(jiǎn)稱(chēng)運(yùn)營(yíng)者)采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)���,數(shù)據(jù)處理者(以下稱(chēng)運(yùn)營(yíng)者)開(kāi)展數(shù)據(jù)處理活動(dòng),影響或可能影響國(guó)家安全的���,應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查���。
根據(jù)上述規(guī)定���,《網(wǎng)絡(luò)安全審查辦法》審查的客體有兩大類(lèi),一是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)���;二是數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)處理活動(dòng)���,這兩類(lèi)客體是網(wǎng)絡(luò)安全審查法律關(guān)系主體的權(quán)利和義務(wù)指向的對(duì)象,只要這兩類(lèi)客體的行為或結(jié)果影響或可能影響國(guó)家安全的���,必須依法進(jìn)行國(guó)家網(wǎng)絡(luò)安全審查���。
《網(wǎng)絡(luò)安全審查辦法》從關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),以及數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)處理活動(dòng)的安全性和可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)兩大視角���,確立了網(wǎng)絡(luò)與數(shù)據(jù)安全審查的原則���。《網(wǎng)絡(luò)安全審查辦法》第三條明確了網(wǎng)絡(luò)安全審的“四個(gè)相結(jié)合”原則���,一是堅(jiān)持防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與促進(jìn)先進(jìn)技術(shù)應(yīng)用相結(jié)合���;二是堅(jiān)持過(guò)程公正透明與知識(shí)產(chǎn)權(quán)保護(hù)相結(jié)合���;三是事前審查與持續(xù)監(jiān)管相結(jié)合;四是企業(yè)承諾與社會(huì)監(jiān)督相結(jié)合���。
(一)堅(jiān)持防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與促進(jìn)先進(jìn)技術(shù)應(yīng)用相結(jié)
網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全審查以及數(shù)據(jù)處理活動(dòng)的安全審查,必須在貫徹總體國(guó)家安全觀的基礎(chǔ)上���,堅(jiān)持防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與促進(jìn)先進(jìn)技術(shù)應(yīng)用相結(jié)���。在促進(jìn)先進(jìn)技術(shù)的應(yīng)用和產(chǎn)業(yè)發(fā)展的基礎(chǔ)上防范網(wǎng)絡(luò)與數(shù)據(jù)安全風(fēng)險(xiǎn),以防范網(wǎng)絡(luò)與數(shù)據(jù)安全風(fēng)險(xiǎn)保障先進(jìn)技術(shù)的應(yīng)用和產(chǎn)業(yè)發(fā)展���。
(二)堅(jiān)持過(guò)程公正透明與知識(shí)產(chǎn)權(quán)保護(hù)相結(jié)合
實(shí)施網(wǎng)絡(luò)產(chǎn)品���、服務(wù)與數(shù)據(jù)處理活動(dòng)的安全審查必須保證公正透明,其中“公正”的前提是審查過(guò)程中的“透明”���,只有保證審查過(guò)程中的“透明”規(guī)則和流程���,才能保障公正審查制度的落實(shí)���。
同時(shí),在實(shí)施公正透明審查的過(guò)程中���,應(yīng)當(dāng)采取嚴(yán)格的措施保護(hù)知識(shí)產(chǎn)權(quán)���。《網(wǎng)絡(luò)安全審查辦法》第十七條明確要求���,參與網(wǎng)絡(luò)安全審查的相關(guān)機(jī)構(gòu)和人員應(yīng)當(dāng)嚴(yán)格保護(hù)知識(shí)產(chǎn)權(quán)���,對(duì)在審查工作中知悉的商業(yè)秘密、個(gè)人信息���,當(dāng)事人���、產(chǎn)品和服務(wù)提供者提交的未公開(kāi)材料,以及其他未公開(kāi)信息承擔(dān)保密義務(wù)���;未經(jīng)信息提供方同意���,不得向無(wú)關(guān)方披露或者用于審查以外的目的���。
(三)堅(jiān)持事前審查與持續(xù)監(jiān)管相結(jié)合
網(wǎng)絡(luò)與數(shù)據(jù)安全審查的核心是有效預(yù)防和化解國(guó)家安全風(fēng)險(xiǎn),因此必須堅(jiān)持事前審查為基礎(chǔ)���。同時(shí)���,要持續(xù)推進(jìn)事中事后監(jiān)管的法治化、制度化���、規(guī)范化���?��!毒W(wǎng)絡(luò)安全審查辦法》強(qiáng)化了網(wǎng)絡(luò)與數(shù)據(jù)安全的事前審查機(jī)制���,重點(diǎn)事前評(píng)估相關(guān)對(duì)象,尤其是采購(gòu)產(chǎn)品和服務(wù)可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全���、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的風(fēng)險(xiǎn)因素���。
(四)堅(jiān)持企業(yè)承諾與社會(huì)監(jiān)督相結(jié)合
保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全���,維護(hù)國(guó)家安全和發(fā)展利益是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和數(shù)據(jù)處理者的法定主體責(zé)任。因此���,網(wǎng)絡(luò)與數(shù)據(jù)安全審查應(yīng)當(dāng)以企業(yè)自查把關(guān)為前提���,并對(duì)其網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購(gòu)活動(dòng)以及數(shù)據(jù)處理活動(dòng)的安全性、合法性���、風(fēng)險(xiǎn)性作出承諾���,有效預(yù)防和化解國(guó)家安全風(fēng)險(xiǎn),同時(shí)要接受社會(huì)的監(jiān)督���。
《網(wǎng)絡(luò)安全審查辦法》要求���,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者申報(bào)網(wǎng)絡(luò)安全審查的采購(gòu)活動(dòng)時(shí),應(yīng)當(dāng)通過(guò)采購(gòu)文件���、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查���,并承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶(hù)數(shù)據(jù)���、非法控制和操縱用戶(hù)設(shè)備,無(wú)正當(dāng)理由不中斷產(chǎn)品供應(yīng)或者必要的技術(shù)支持服務(wù)等���。與此同時(shí)���,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者還應(yīng)當(dāng)督促產(chǎn)品和服務(wù)提供者履行在網(wǎng)絡(luò)安全審查中作出的上述承諾。
三���、網(wǎng)絡(luò)安全審查的重點(diǎn)對(duì)象
國(guó)家網(wǎng)絡(luò)安全審查���,主要針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),以及網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者開(kāi)展數(shù)據(jù)處理活動(dòng)���,影響或者可能影響國(guó)家安全的風(fēng)險(xiǎn)因素。根據(jù)《網(wǎng)絡(luò)安全審查辦法》第十條的規(guī)定���,網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估相關(guān)對(duì)象或者情形的以下國(guó)家安全風(fēng)險(xiǎn)因素:(一)產(chǎn)品和服務(wù)使用后帶來(lái)的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制���、遭受干擾或者破壞的風(fēng)險(xiǎn);(二)產(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害���;(三)產(chǎn)品和服務(wù)的安全性���、開(kāi)放性���、透明性、來(lái)源的多樣性���,供應(yīng)渠道的可靠性以及因?yàn)檎?��、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn)���;(四)產(chǎn)品和服務(wù)提供者遵守中國(guó)法律���、行政法規(guī)、部門(mén)規(guī)章情況���;(五)核心數(shù)據(jù)���、重要數(shù)據(jù)或者大量個(gè)人信息被竊取、泄露、毀損以及非法利用���、非法出境的風(fēng)險(xiǎn)���;(六)上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)���、重要數(shù)據(jù)或者大量個(gè)人信息被外國(guó)政府影響���、控制、惡意利用的風(fēng)險(xiǎn)���,以及網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)���;(七)其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的因素���。
從上述影響或者可能影響國(guó)家安全風(fēng)險(xiǎn)因素和審查權(quán)重上看���,《網(wǎng)絡(luò)安全審查辦法》第十條(一)至(四)主要強(qiáng)調(diào)與關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)網(wǎng)絡(luò)產(chǎn)品和服務(wù)引發(fā)的國(guó)家安全風(fēng)險(xiǎn)因素���。需要指出的是���,并不是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)的所有網(wǎng)絡(luò)產(chǎn)品和服務(wù)均需要進(jìn)行國(guó)家網(wǎng)絡(luò)安全審查���,《網(wǎng)絡(luò)安全審查辦法》所指的“網(wǎng)絡(luò)產(chǎn)品和服務(wù)”主要指核心網(wǎng)絡(luò)設(shè)備、重要通信產(chǎn)品���、高性能計(jì)算機(jī)和服務(wù)器���、大容量存儲(chǔ)設(shè)備、大型數(shù)據(jù)庫(kù)和應(yīng)用軟件���、網(wǎng)絡(luò)安全設(shè)備���、云計(jì)算服務(wù),以及其他對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全���、網(wǎng)絡(luò)安全和數(shù)據(jù)安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)���。
《網(wǎng)絡(luò)安全審查辦法》第十條(五)(六)主要是針對(duì)核心數(shù)據(jù)、重要數(shù)據(jù)或大量個(gè)人信息被竊取���、泄露���、毀損以及非法利用���、非法出境的風(fēng)險(xiǎn),以及上市存在關(guān)鍵信息基礎(chǔ)設(shè)施���、核心數(shù)據(jù)���、重要數(shù)據(jù)或者大量個(gè)人信息被外國(guó)政府影響、控制���、惡意利用的風(fēng)險(xiǎn)等���。目前,我國(guó)數(shù)據(jù)立法將數(shù)據(jù)分為一般數(shù)據(jù)���、重要數(shù)據(jù)���、核心數(shù)據(jù),這個(gè)數(shù)據(jù)分類(lèi)的方法主要是基于數(shù)據(jù)對(duì)國(guó)家安全���、公共利益或者個(gè)人���、組織合法權(quán)益的影響和重要程度。
2021年11月���,國(guó)家網(wǎng)信辦公布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》明確提出���,國(guó)家對(duì)個(gè)人信息和重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù),對(duì)核心數(shù)據(jù)實(shí)行嚴(yán)格保護(hù)���?��!昂诵臄?shù)據(jù)“,主要指關(guān)系國(guó)家安全���、國(guó)民經(jīng)濟(jì)命脈���、重要民生和重大公共利益等的數(shù)據(jù);”重要數(shù)據(jù)“���,是指一旦遭到篡改���、破壞���、泄露或者非法獲取、非法利用���,可能危害國(guó)家安全���、公共利益的數(shù)據(jù)。
“重要數(shù)據(jù)”主要包括以下七類(lèi)數(shù)據(jù):一是未公開(kāi)的政務(wù)數(shù)據(jù)���、工作秘密���、情報(bào)數(shù)據(jù)和執(zhí)法司法數(shù)據(jù);二是出口管制數(shù)據(jù)���,出口管制物項(xiàng)涉及的核心技術(shù)���、設(shè)計(jì)方案、生產(chǎn)工藝等相關(guān)的數(shù)據(jù)���,密碼���、生物���、電子信息���、人工智能等領(lǐng)域?qū)?guó)家安全���、經(jīng)濟(jì)競(jìng)爭(zhēng)實(shí)力有直接影響的科學(xué)技術(shù)成果數(shù)據(jù);三是國(guó)家法律���、行政法規(guī)���、部門(mén)規(guī)章明確規(guī)定需要保護(hù)或者控制傳播的國(guó)家經(jīng)濟(jì)運(yùn)行數(shù)據(jù)、重要行業(yè)業(yè)務(wù)數(shù)據(jù)���、統(tǒng)計(jì)數(shù)據(jù)等���;四是工業(yè)、電信���、能源���、交通���、水利、金融���、國(guó)防科技工業(yè)���、海關(guān)、稅務(wù)等重點(diǎn)行業(yè)和領(lǐng)域安全生產(chǎn)���、運(yùn)行的數(shù)據(jù)���,關(guān)鍵系統(tǒng)組件、設(shè)備供應(yīng)鏈數(shù)據(jù)���;五是達(dá)到國(guó)家有關(guān)部門(mén)規(guī)定的規(guī)模或者精度的基因、地理���、礦產(chǎn)、氣象等人口與健康���、自然資源與環(huán)境國(guó)家基礎(chǔ)數(shù)據(jù);六是國(guó)家基礎(chǔ)設(shè)施���、關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)運(yùn)行及其安全數(shù)據(jù),國(guó)防設(shè)施、軍事管理區(qū)���、國(guó)防科研生產(chǎn)單位等重要敏感區(qū)域的地理位置、安保情況等數(shù)據(jù);七是其他可能影響國(guó)家政治���、國(guó)土、軍事、經(jīng)濟(jì)���、文化���、社會(huì)���、科技���、生態(tài)、資源、核設(shè)施、海外利益���、生物���、太空���、極地、深海等安全的數(shù)據(jù)���。上述七類(lèi)重要數(shù)據(jù)不包括國(guó)家秘密和個(gè)人信息���,但基于海量個(gè)人信息形成的統(tǒng)計(jì)數(shù)據(jù)、衍生數(shù)據(jù)有可能屬于重要數(shù)據(jù)���。
如何識(shí)別重要數(shù)據(jù)���?國(guó)家市場(chǎng)監(jiān)督管理總局和國(guó)家標(biāo)準(zhǔn)化委員會(huì)發(fā)布的《重要數(shù)據(jù)識(shí)別指南》(征求意見(jiàn)稿)確立了六項(xiàng)應(yīng)遵循的基本原則:
一是聚焦安全影響:從國(guó)家安全、經(jīng)濟(jì)運(yùn)行���、社會(huì)穩(wěn)定���、公共健康和安全等角度識(shí)別重要數(shù)據(jù)���,只對(duì)組織自身而言重要或敏感的數(shù)據(jù)不屬于重要數(shù)據(jù),如企業(yè)的內(nèi)部管理相關(guān)數(shù)據(jù)���;
二是突出保護(hù)重點(diǎn):通過(guò)對(duì)數(shù)據(jù)分級(jí)���,明確安全保護(hù)重點(diǎn),使一般數(shù)據(jù)充分流動(dòng)���,重要數(shù)據(jù)在滿足安全保護(hù)要求前提下有序流動(dòng)���,釋放數(shù)據(jù)價(jià)值;
三是銜接既有規(guī)定:充分考慮地方已有管理要求和行業(yè)特色���,與地方、部門(mén)已經(jīng)制定實(shí)施的有關(guān)數(shù)據(jù)管理政策和標(biāo)準(zhǔn)規(guī)范緊密銜接���;
四是綜合考慮風(fēng)險(xiǎn):根據(jù)數(shù)據(jù)用途���、面臨威脅等不同因素���,綜合考慮數(shù)據(jù)遭到篡改、破壞���、泄露或者非法獲取���、非法利用等風(fēng)險(xiǎn),從保密性���、完整性���、可用性、真實(shí)性���、準(zhǔn)確性等多個(gè)角度識(shí)別數(shù)據(jù)的重要性���;
五是定量定性結(jié)合:以定量與定性相結(jié)合的方式識(shí)別重要數(shù)據(jù),并根據(jù)具體數(shù)據(jù)類(lèi)型���、特性不同采取定量或定性方法���;
六是動(dòng)態(tài)識(shí)別復(fù)評(píng):隨著數(shù)據(jù)用途���、共享方式、重要性等發(fā)生變化���,動(dòng)態(tài)識(shí)別重要數(shù)據(jù)���,并定期復(fù)查重要數(shù)據(jù)識(shí)別結(jié)果。
四���、網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市須申報(bào)網(wǎng)絡(luò)安全審查
網(wǎng)絡(luò)平臺(tái)���,特別是大型網(wǎng)絡(luò)平臺(tái)的運(yùn)營(yíng)者擁有和處理著大量的重要數(shù)據(jù)、核心數(shù)據(jù)和海量的個(gè)人信息���,其赴國(guó)外上市對(duì)國(guó)家安全具有重大影響和風(fēng)險(xiǎn)���。為此,《網(wǎng)絡(luò)安全審查辦法》強(qiáng)化了對(duì)網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市可能帶來(lái)國(guó)家安全風(fēng)險(xiǎn)���,對(duì)掌握超過(guò)100萬(wàn)用戶(hù)個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市���,施行強(qiáng)制性網(wǎng)絡(luò)安全審查。
《網(wǎng)絡(luò)安全審查辦法》第十條在原《審查辦法》第九條網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估的五大國(guó)家安全風(fēng)險(xiǎn)因素的基礎(chǔ)上新增了兩項(xiàng)重要因素:一是核心數(shù)據(jù)���、重要數(shù)據(jù)或者大量個(gè)人信息被竊取���、泄露、毀損以及非法利用���、非法出境的風(fēng)險(xiǎn)���;二是上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)���、重要數(shù)據(jù)或者大量個(gè)人信息被外國(guó)政府影響���、控制、惡意利用的風(fēng)險(xiǎn)���,以及網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)���。同時(shí)���,新增加一條并列為《網(wǎng)絡(luò)安全審查辦法》第七條,即“掌握超過(guò)100萬(wàn)用戶(hù)個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市���,必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查���。“這是一條強(qiáng)制性規(guī)定���,也是一條不可逾越的紅線,任何網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者都必須嚴(yán)格遵守���。
被列入《2021年中國(guó)網(wǎng)絡(luò)與數(shù)字法治領(lǐng)域十大事件》之一的“網(wǎng)絡(luò)安全審查辦公室對(duì)‘滴滴出行’啟動(dòng)網(wǎng)絡(luò)安全審查”���,就是一起典型的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市啟動(dòng)國(guó)家網(wǎng)絡(luò)安全審查的事件。2021年6月30日���,“滴滴出行”采用VIE架構(gòu)(Variable Interest Entity)���,即“可變利益實(shí)體”在美上市。這是境內(nèi)主體為實(shí)現(xiàn)在境外上市采取的一種特別方式,其本質(zhì)是境外上市實(shí)體與境內(nèi)運(yùn)營(yíng)實(shí)體相分離���,境外上市實(shí)體在境內(nèi)設(shè)立全資子公司,該全資子公司并不實(shí)際開(kāi)展主營(yíng)業(yè)務(wù)���,而是通過(guò)協(xié)議的方式控制境內(nèi)運(yùn)營(yíng)實(shí)體的業(yè)務(wù)和財(cái)務(wù)���,使該運(yùn)營(yíng)實(shí)體成為上市實(shí)體的可變利益實(shí)體,VIE架構(gòu)最關(guān)鍵的問(wèn)題是“控制”境內(nèi)運(yùn)營(yíng)實(shí)體的業(yè)務(wù)���。從“滴滴出行”于2021年6月11日向美國(guó)證券交易委員會(huì)遞交的IPO招股書(shū)可以看到:“滴滴出行”的業(yè)務(wù)涵蓋15個(gè)國(guó)家���、4000個(gè)城市,年活躍用戶(hù)在4.93億���,司機(jī)則有一千五百萬(wàn)���,4.9億年活躍用戶(hù)。
2021年7月2日���,網(wǎng)絡(luò)安全審查辦公室發(fā)出公告���,宣布對(duì)滴滴出行啟動(dòng)網(wǎng)絡(luò)安全審查���。公告稱(chēng),為防范國(guó)家數(shù)據(jù)安全風(fēng)險(xiǎn)���,維護(hù)國(guó)家安全���,保障公共利益,依據(jù)《中華人民共和國(guó)國(guó)家安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》���,網(wǎng)絡(luò)安全審查辦公室按照《網(wǎng)絡(luò)安全審查辦法》���,對(duì)“滴滴出行”實(shí)施網(wǎng)絡(luò)安全審查。為配合網(wǎng)絡(luò)安全審查工作���,防范風(fēng)險(xiǎn)擴(kuò)大���,審查期間“滴滴出行”停止新用戶(hù)注冊(cè)。這是自《網(wǎng)絡(luò)安全審查辦法》2020年6月1日出臺(tái)以來(lái)���,我國(guó)公開(kāi)實(shí)施網(wǎng)絡(luò)安全審查的第一案���。
2021年7月9日���,國(guó)家網(wǎng)信辦發(fā)布通告稱(chēng):根據(jù)舉報(bào),經(jīng)檢測(cè)核實(shí)���,“滴滴企業(yè)版”等25款A(yù)pp存在嚴(yán)重違法違規(guī)收集使用個(gè)人信息問(wèn)題。國(guó)家網(wǎng)信辦依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》相關(guān)規(guī)定���,通知應(yīng)用商店下架上述25款A(yù)pp���,要求相關(guān)運(yùn)營(yíng)者嚴(yán)格按照法律要求,參照國(guó)家有關(guān)標(biāo)準(zhǔn)���,認(rèn)真整改存在的問(wèn)題���,切實(shí)保障廣大用戶(hù)個(gè)人信息安全。各網(wǎng)站���、平臺(tái)不得為“滴滴出行”和“滴滴企業(yè)版”等上述25款已在應(yīng)用商店下架的App提供訪問(wèn)和下載服務(wù)���。從以上公告看���,“滴滴企業(yè)版”等25款A(yù)pp下架的直接原因,是因?yàn)榈蔚纹脚_(tái)嚴(yán)重違法違規(guī)收集使用個(gè)人信息���。7月16日���,國(guó)家網(wǎng)信辦會(huì)同公安部、國(guó)家安全部���、自然資源部���、交通運(yùn)輸部、稅務(wù)總局���、市場(chǎng)監(jiān)管總局等部門(mén)聯(lián)合進(jìn)駐滴滴出行科技有限公司���,開(kāi)展網(wǎng)絡(luò)安全審查。
根據(jù)國(guó)家網(wǎng)信辦等五部委發(fā)布的《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定(試行)》的規(guī)定���,涉及汽車(chē)的重要數(shù)據(jù)是指一旦遭到篡改���、破壞���、泄露或者非法獲取、非法利用���,可能危害國(guó)家安全���、公共利益或者個(gè)人、組織合法權(quán)益的數(shù)據(jù)���,重要以下五類(lèi)數(shù)據(jù):一是軍事管理區(qū)、國(guó)防科工單位以及縣級(jí)以上黨政機(jī)關(guān)等重要敏感區(qū)域的地理信息���、人員流量���、車(chē)輛流量等數(shù)據(jù);二是車(chē)輛流量���、物流等反映經(jīng)濟(jì)運(yùn)行情況的數(shù)據(jù)���;三是汽車(chē)充電網(wǎng)的運(yùn)行數(shù)據(jù);四是包含人臉信息���、車(chē)牌信息等的車(chē)外視頻���、圖像數(shù)據(jù)���;五是涉及個(gè)人信息主體超過(guò)10萬(wàn)人的個(gè)人信息;六是國(guó)家網(wǎng)信部門(mén)和國(guó)務(wù)院發(fā)展改革���、工業(yè)和信息化���、公安、交通運(yùn)輸?shù)扔嘘P(guān)部門(mén)確定的其他可能危害國(guó)家安全���、公共利益或者個(gè)人���、組織合法權(quán)益的數(shù)據(jù)。
通過(guò)對(duì)被下架的滴滴25款A(yù)pp分析不難看出���,滴滴出行的業(yè)務(wù)在交通領(lǐng)域幾乎是無(wú)所不包���,這25款A(yù)pp包括:滴滴企業(yè)版、滴滴打車(chē)���、滴滴車(chē)主���、滴滴順風(fēng)車(chē)���、滴滴代駕、滴滴司機(jī)���、滴滴貨運(yùn)���、滴滴配送、滴滴護(hù)航���、滴滴商戶(hù)、滴滴助手���、滴滴小巴���、滴滴公交、加油收銀臺(tái)商戶(hù)���、滴滴金融���,還有記錄儀等等���。以上App不僅采集和處理了大量的地理數(shù)據(jù)、人員流量���、車(chē)輛流量等���,同時(shí)平臺(tái)控制了海量的個(gè)人信息,尤其是涉及大量汽車(chē)的重要數(shù)據(jù)���,包括車(chē)外數(shù)據(jù)���、坐艙數(shù)據(jù)、位置軌跡數(shù)據(jù)���、運(yùn)行數(shù)據(jù)等���,車(chē)外數(shù)據(jù)主要是通過(guò)攝像頭、雷達(dá)等傳感器從汽車(chē)外部環(huán)境采集的道路���、建筑���、地形���、交通參與者等數(shù)據(jù),以及對(duì)其進(jìn)行加工后產(chǎn)生的數(shù)據(jù)���,而且車(chē)外數(shù)據(jù)可能還包含人臉���、車(chē)牌等個(gè)人信息以及車(chē)輛流量、物流等法律法規(guī)標(biāo)準(zhǔn)所規(guī)定的重要數(shù)據(jù)���;座艙數(shù)據(jù)涉及到通過(guò)攝像頭���、紅外傳感器、指紋傳感器���、麥克風(fēng)等傳感器從汽車(chē)座艙采集的數(shù)據(jù),以及對(duì)其進(jìn)行加工后產(chǎn)生的數(shù)據(jù)���,特別是座艙數(shù)據(jù)可能包含駕駛員和乘員的人臉���、聲紋���、指紋等敏感個(gè)人信息;位置軌跡數(shù)據(jù)涉及到基于衛(wèi)星定位���、通信網(wǎng)絡(luò)等各種方式獲取的汽車(chē)定位和途經(jīng)路徑相關(guān)的數(shù)據(jù)等���。
2021年3月,美國(guó)美國(guó)證券交易委員會(huì)(SEC)通過(guò)了實(shí)施《控股外國(guó)公司問(wèn)責(zé)法》(Holding ForeignCompanies Accountable Act���,簡(jiǎn)稱(chēng)HFCAA)的臨時(shí)最終規(guī)則���。12月,SEC發(fā)布修正案���,最終確定了《外國(guó)公司問(wèn)責(zé)法案》的實(shí)施規(guī)則���,為HFCAA的實(shí)施建立了框架。根據(jù)HFCAA的規(guī)定���,在美上市的外國(guó)公司向SEC提交文件���,證明該公司不受外國(guó)政府擁有或掌控���,并要求這些企業(yè)遵守美國(guó)上市公司會(huì)計(jì)師監(jiān)督委員會(huì)(PCAOB)的審計(jì)標(biāo)準(zhǔn),修正案還要求外國(guó)發(fā)行人在其年度報(bào)告中為自己及其任何合并的外國(guó)經(jīng)營(yíng)實(shí)體提供某些額外的披露���。[顯然���,滴滴在美上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)���、重要數(shù)據(jù)或者大量個(gè)人信息被外國(guó)政府影響���、控制、惡意利用的風(fēng)險(xiǎn)���。
依據(jù)HFCAA規(guī)定���,如果外國(guó)上市公司連續(xù)三年未能提交美國(guó)上市公司會(huì)計(jì)監(jiān)督委員會(huì)所要求的報(bào)告,允許SEC將其從交易所摘牌���。事實(shí)上,滴滴在此前披露的招股書(shū)中已經(jīng)提到了退市的風(fēng)險(xiǎn)。招股書(shū)稱(chēng)���,根據(jù)美國(guó)證券交易委員會(huì)(SEC)的《外國(guó)公司問(wèn)責(zé)法》(HFCAA)���,滴滴可能因?yàn)闊o(wú)法通過(guò)美國(guó)上市公司會(huì)計(jì)師監(jiān)督委員會(huì)(PCAOB)的審計(jì)標(biāo)準(zhǔn),而導(dǎo)致退市���。[6] 2021年12月3日���,滴滴全球有限公司(NYSE:DIDI.N)發(fā)布公告稱(chēng):“經(jīng)認(rèn)真研究,公司即日起啟動(dòng)在紐交所退市的工作���,并啟動(dòng)在香港上市的準(zhǔn)備工作���。”[8]
五���、赴港上市是否需要申報(bào)網(wǎng)絡(luò)安全審查
《網(wǎng)絡(luò)安全審查辦法》(以下稱(chēng)《審查辦法》)第七條規(guī)定:“掌握超過(guò)100萬(wàn)用戶(hù)個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市���,必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查?��!?該條的申報(bào)主體主要是針對(duì)“網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者”赴國(guó)外上市���,至于赴香港上市的“網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者”是否需要申報(bào)網(wǎng)絡(luò)安全審查���,《審查辦法》沒(méi)有作出規(guī)定。顯然���,《審查辦法》第七條的適用范圍不包括赴香港上市���,但是這并不意味著網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者或數(shù)據(jù)處理者赴香港上市不需要申報(bào)網(wǎng)絡(luò)安全審查。
2021年11月14日���,國(guó)家網(wǎng)信辦公布《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》(以下稱(chēng)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》)���,依據(jù)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第十三條規(guī)定,數(shù)據(jù)處理者開(kāi)展以下活動(dòng)���,應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定���,申報(bào)網(wǎng)絡(luò)安全審查:(一)匯聚掌握大量關(guān)系國(guó)家安全、經(jīng)濟(jì)發(fā)展���、公共利益的數(shù)據(jù)資源的互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者實(shí)施合并���、重組、分立���,影響或者可能影響國(guó)家安全的���;(二)處理一百萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者赴國(guó)外上市的;(三)數(shù)據(jù)處理者赴香港上市���,影響或者可能影響國(guó)家安全的���;(四)其他影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)。
《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》屬于國(guó)務(wù)院條例���,其實(shí)施后的法律階位高于《審查辦法》���;如果正式實(shí)施后的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第十三條(二)和(三)將數(shù)據(jù)處理者赴國(guó)外上市和赴香港上市分開(kāi)表述,其內(nèi)涵在于香港是中華人民共和國(guó)香港特別行政區(qū)���,屬于中國(guó)主權(quán)范圍���,基本不存在《網(wǎng)絡(luò)安全審查辦法》第十條(六)關(guān)于“上市存在關(guān)鍵信息基礎(chǔ)設(shè)施���、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息被外國(guó)政府影響���、控制���、惡意利用的風(fēng)險(xiǎn)”等因素。因此���,《網(wǎng)絡(luò)安全審查辦法》對(duì)國(guó)內(nèi)網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者或數(shù)據(jù)處理者赴香港上市是否需要申報(bào)網(wǎng)絡(luò)安全審查沒(méi)有作出要求���。
2021年12月,中國(guó)證監(jiān)會(huì)發(fā)布《國(guó)務(wù)院關(guān)于境內(nèi)企業(yè)境外發(fā)行證券和上市的管理規(guī)定(草案征求意見(jiàn)稿)》(以下稱(chēng)《境外上市管理規(guī)定》)���,《境外上市管理規(guī)定》總體上支持依法合規(guī)的境內(nèi)企業(yè)利用境外資本市場(chǎng)融資發(fā)展���,不額外設(shè)置門(mén)檻和條件,但明確對(duì)四類(lèi)情形實(shí)施嚴(yán)格的監(jiān)管紅線���,不得赴境外上市:一是法律法規(guī)明確禁止上市融資���;二是危害國(guó)家安全���;三是存在重大權(quán)屬糾紛;四是存在違法犯罪行為���。
在以上的規(guī)定中分別出現(xiàn)了“國(guó)外”和“境外”的表述,《網(wǎng)絡(luò)安全審查辦法》明確提出是“國(guó)外”上市���;《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》將“國(guó)外”和“香港”上市分開(kāi)表述���;《境外上市管理規(guī)定》則規(guī)定了“境內(nèi)企業(yè)境外發(fā)行上市”。這里需要明確���,《網(wǎng)絡(luò)安全審查辦法》和《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》中的“國(guó)外”與《境外上市管理規(guī)定》中“境外”有何區(qū)別���;“國(guó)外”比較好理解,指中國(guó)以外的其他國(guó)家���,但是“國(guó)外”與“境外”的法律語(yǔ)境相同嗎���?根據(jù)2013年7月1日起施行的《中華人民共和國(guó)出境入境管理法》(以下簡(jiǎn)稱(chēng)《出境入境管理法》)第八十九條第一款的規(guī)定:“出境���,是指由中國(guó)內(nèi)地前往其他國(guó)家或者地區(qū),由中國(guó)內(nèi)地前往香港特別行政區(qū)���、澳門(mén)特別行政區(qū)���,由中國(guó)大陸前往臺(tái)灣地區(qū)?��!笨梢?jiàn)���,《出境入境管理法》對(duì)“出境”(境外)的定義有三層含義,一是指由中國(guó)內(nèi)地前往其他國(guó)家或者地區(qū)���;二是由中國(guó)內(nèi)地前往香港特別行政區(qū)���、澳門(mén)特別行政區(qū),這里的香港和澳門(mén)屬于中國(guó)的特別行政區(qū)���,特別行政區(qū)內(nèi)實(shí)行“一國(guó)兩制”���,相對(duì)于“香港和澳門(mén)”���,中國(guó)稱(chēng)之為“中國(guó)內(nèi)地”;三是中國(guó)大陸前往臺(tái)灣地區(qū)���,臺(tái)灣地區(qū)屬于中國(guó)領(lǐng)土的區(qū)域���,但中國(guó)尚未對(duì)其實(shí)施行政管轄,相對(duì)于“臺(tái)灣”地區(qū)���,中國(guó)稱(chēng)之為“中國(guó)大陸”。由此���,《境外上市管理規(guī)定》中的“境外”應(yīng)當(dāng)包括國(guó)外和我國(guó)香港地區(qū)���。
《境外上市管理規(guī)定》第八條規(guī)定:“境內(nèi)企業(yè)境外發(fā)行上市的,應(yīng)當(dāng)嚴(yán)格遵守外商投資���、網(wǎng)絡(luò)安全���、數(shù)據(jù)安全等國(guó)家安全法律法規(guī)和有關(guān)規(guī)定,切實(shí)履行國(guó)家安全保護(hù)義務(wù)。涉及安全審查的���,應(yīng)當(dāng)依法履行相關(guān)安全審查程序���。“《境外上市管理規(guī)定》第十六條對(duì)境內(nèi)企業(yè)境外上市涉及損害國(guó)家安全以及向境外提供個(gè)人信息和重要數(shù)據(jù)的���,提出了嚴(yán)格的監(jiān)管要求���,即“境內(nèi)企業(yè)境外發(fā)行上市的,應(yīng)當(dāng)嚴(yán)格遵守國(guó)家法律法規(guī)和有關(guān)規(guī)定���,建立健全保密制度���,采取必要措施落實(shí)保密責(zé)任,不得泄露國(guó)家秘密���,不得損害國(guó)家安全和公共利益���。境內(nèi)企業(yè)境外發(fā)行上市涉及向境外提供個(gè)人信息和重要數(shù)據(jù)的,應(yīng)當(dāng)符合國(guó)家法律法規(guī)和有關(guān)規(guī)定���?��!?/span>
由此可以看出���,國(guó)內(nèi)網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者或數(shù)據(jù)處理者無(wú)論是赴國(guó)外上市還是赴香港上市,只要其開(kāi)展數(shù)據(jù)處理活動(dòng)���,就應(yīng)當(dāng)嚴(yán)格遵守外商投資���、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等國(guó)家安全法律法規(guī)和有關(guān)規(guī)定���。但是從《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第十三條(二)和(三)的表述上可以看出���,數(shù)據(jù)處理者赴國(guó)外上市和赴香港上市���,實(shí)施網(wǎng)絡(luò)安全審查的條件有所不同���,前者(二)數(shù)據(jù)處理者赴國(guó)外上市,只要處理一百萬(wàn)人以上個(gè)人信息���,必須申報(bào)網(wǎng)絡(luò)安全審查���;后者(三)則要求���,數(shù)據(jù)處理者赴香港上市,影響或者可能影響國(guó)家安全的���,應(yīng)當(dāng)申報(bào)網(wǎng)絡(luò)安全審查���。換言之,數(shù)據(jù)處理者赴香港上市是否需要申報(bào)網(wǎng)絡(luò)安全審查���,關(guān)鍵要看是否會(huì)影響或者可能影響國(guó)家安全���,如果存在影響或者可能影響國(guó)家安全的情形,就應(yīng)當(dāng)申報(bào)網(wǎng)絡(luò)安全審查���,否則���,就無(wú)需申報(bào)網(wǎng)絡(luò)安全審查。然而���,根據(jù)《境外上市管理規(guī)定》的要求���,涉及安全審查的���,應(yīng)當(dāng)依法履行相關(guān)安全審查程序。筆者認(rèn)為���,網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者或數(shù)據(jù)處理者���,只要涉及數(shù)據(jù)處理,尤其是處理個(gè)人信息超過(guò)一百萬(wàn)人以上���,赴香港上市最好主動(dòng)申報(bào)網(wǎng)絡(luò)安全審查���,是否影響或可能影響國(guó)家安全,由網(wǎng)絡(luò)安全審查辦公室研判���。
六���、申報(bào)網(wǎng)絡(luò)安全審查的材料與流程
當(dāng)事人申報(bào)網(wǎng)絡(luò)安全審查���,應(yīng)當(dāng)提交以下三類(lèi)材料���,一是申報(bào)書(shū)���,申報(bào)的主體包括關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者和網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者,前者主要申報(bào)采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)���,后者主要是開(kāi)展數(shù)據(jù)處理活動(dòng)���,大多情況下的當(dāng)事人既是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者,也是網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者���;二是關(guān)于影響或者可能影響國(guó)家安全的分析報(bào)告���,應(yīng)重點(diǎn)圍繞《網(wǎng)絡(luò)安全審查辦法》第十條的重點(diǎn)評(píng)估對(duì)象或者情形對(duì)影響或可能影響的國(guó)家安全風(fēng)險(xiǎn)因素進(jìn)行分析;三是提交采購(gòu)文件���、協(xié)議���、擬簽訂的合同或者擬提交的首次公開(kāi)募股(IPO)等上市申請(qǐng)文件,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者除了應(yīng)當(dāng)提交采購(gòu)文件���、協(xié)議以及擬簽訂的合同���,還應(yīng)當(dāng)要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查���,包括承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶(hù)數(shù)據(jù)、非法控制和操縱用戶(hù)設(shè)備���,無(wú)正當(dāng)理由不中斷產(chǎn)品供應(yīng)或者必要的技術(shù)支持服務(wù)等���;首次公開(kāi)募股(IPO)的當(dāng)事人應(yīng)當(dāng)提交上市申請(qǐng)文件,包括公司章程���、發(fā)起人協(xié)議���、發(fā)起人姓名或者名稱(chēng),發(fā)起人認(rèn)購(gòu)的股份數(shù)���、出資種類(lèi)及驗(yàn)資證明���、招股說(shuō)明書(shū)、代收股款銀行的名稱(chēng)及地址���、承銷(xiāo)機(jī)構(gòu)名稱(chēng)及有關(guān)的協(xié)議���。除上述材料,網(wǎng)絡(luò)安全審查辦公室在網(wǎng)絡(luò)安全審查過(guò)程中需要其他材料的���,當(dāng)事人也應(yīng)當(dāng)及時(shí)提交���。
《網(wǎng)絡(luò)安全審查辦法》規(guī)定了嚴(yán)格的網(wǎng)絡(luò)安全審查程序和審查期限,申報(bào)網(wǎng)絡(luò)安全審查���,網(wǎng)絡(luò)安全審查辦公室應(yīng)當(dāng)履行以下審核程序:
(一)網(wǎng)絡(luò)安全審查辦公室收到數(shù)據(jù)處理者的申報(bào)網(wǎng)絡(luò)安全審查材料���,在10個(gè)工作日內(nèi),確定是否需要審查���,并書(shū)面通知當(dāng)事人���。處理的結(jié)果有兩個(gè),一是啟動(dòng)審查���;二是無(wú)需審查���;
(二)網(wǎng)絡(luò)安全審查辦公室認(rèn)為需要啟動(dòng)網(wǎng)絡(luò)安全審查的���,應(yīng)當(dāng)向當(dāng)事人發(fā)出書(shū)面通知,自通知發(fā)出之日起30個(gè)工作日內(nèi)完成初步審查���,包括形成審查結(jié)論建議和將審查結(jié)論建議發(fā)送網(wǎng)絡(luò)安全審查工作機(jī)制成員單位���、相關(guān)部門(mén)征求意見(jiàn),如果情況復(fù)雜的���,可以延長(zhǎng)15個(gè)工作日���;
(三)網(wǎng)絡(luò)安全審查工作機(jī)制成員單位和相關(guān)部門(mén)應(yīng)當(dāng)自收到審查結(jié)論建議之日起15個(gè)工作日內(nèi)書(shū)面回復(fù)意見(jiàn),如果網(wǎng)絡(luò)安全審查工作機(jī)制成員單位���、相關(guān)部門(mén)意見(jiàn)一致的���,網(wǎng)絡(luò)安全審查辦公室以書(shū)面形式將審查結(jié)論通知當(dāng)事人,如果審查結(jié)論不影響國(guó)家安全的���,赴國(guó)外上市的可以繼續(xù)上市程序���,如果審查結(jié)論認(rèn)為影響國(guó)家安全的���,則不允許赴國(guó)外(境外)上市���;
(四)如果網(wǎng)絡(luò)安全審查工作機(jī)制成員單位���、相關(guān)部門(mén)意見(jiàn)不一致,將按照特別審查程序處理���,并通知當(dāng)事人���;按照特別審查程序處理的,網(wǎng)絡(luò)安全審查辦公室應(yīng)當(dāng)聽(tīng)取相關(guān)單位和部門(mén)意見(jiàn)���,進(jìn)行深入分析評(píng)估���,再次形成審查結(jié)論建議,并征求網(wǎng)絡(luò)安全審查工作機(jī)制成員單位和相關(guān)部門(mén)意見(jiàn)���,按程序報(bào)中央網(wǎng)絡(luò)安全和信息化委員會(huì)批準(zhǔn)后���,形成審查結(jié)論并書(shū)面通知當(dāng)事人���。啟動(dòng)特別審查程序的,一般應(yīng)當(dāng)在90個(gè)工作日內(nèi)完成���,情況復(fù)雜的可以適當(dāng)延長(zhǎng)���。
《網(wǎng)絡(luò)安全審查辦法》要求,凡參與網(wǎng)絡(luò)安全審查的相關(guān)機(jī)構(gòu)和人員應(yīng)當(dāng)嚴(yán)格保護(hù)知識(shí)產(chǎn)權(quán)���,對(duì)在審查工作中知悉的商業(yè)秘密���、個(gè)人信息,當(dāng)事人���、產(chǎn)品和服務(wù)提供者提交的未公開(kāi)材料���,以及其他未公開(kāi)信息承擔(dān)保密義務(wù);未經(jīng)信息提供方同意���,不得向無(wú)關(guān)方披露或者用于審查以外的目的���。如果當(dāng)事人或者網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者認(rèn)為審查人員有失客觀公正���,或者未能對(duì)審查工作中知悉的信息承擔(dān)保密義務(wù)的,可以向網(wǎng)絡(luò)安全審查辦公室或者有關(guān)部門(mén)舉報(bào)���。
公安備案號(hào):44030502000376