为落实《数据安全法》等司法律规的要求��,国度互联网信息办公室、国度发展和鼎新委员会、工业和信息化部、公安部、国度安全数、财政部、商务部、中国人民银杏注国度市场监督治理总局、国度广播电视总局、中国证券监督治理委员会、国度保密局、国度密码治理局等十三部门结合订正颁布了《网络安全审查法子》��,今日起执行��������。
01《法子》订正的重要内容
| 《网络安全审查法子》2020版 | 《网络安全审查法子》2022版 |
立法凭据 | 《中华人民共和国国度安全法》《中华人民共和国网络安全法》 | 《中华人民共和国国度安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全������;ぬ趵 |
立法主张 | 确保关键信息基础设施供给链安全��,守护国度安全 | 确保关键信息基础设施供给链安全��,保险网络安全和数据安全��,守护国度安全 |
网络安全审查工作机造组成 | 网信办、发改委、工信部、公安部、国度安全数、财政部、商务部、央杏注市监总局、广电总局、国密局、国密治理局 | 网信办、发改委、工信部、公安部、国度安全数、财政部、商务部、央杏注市监总局、广电总局、证监会、国密局、国密治理局 |
网络安全审查触发前提 | 1. 关键信息基础设施运营者采购网络产品和服务��,影响或可能影响国度安全的 2. 网络安全审查工作机造成员单元以为影响或可能影响国度安全的网络产品和服务 3.社会举报 | 1. 关键信息基础设施运营者采购网络产品和服务��,影响或可能影响国度安全的 2. 网络平台运营者发展数据处置活动��,影响或者可能影响国度安全的 3.把握超过100万用户幼我信息的网络平台运营者赴国表上市 4. 网络安全审查工作机造成员单元以为影响或者可能影响国度安全的网络产品和服务以及数据处置活动 5.社会举报 |
需提交的申报资料 | 1.申报书������; 2.关于影响或可能影响国度安全的分析汇报������; 3.采购文件、和谈、拟签定的合一致������; 4.网络安全审查工作必要的其他资料 | 1.申报书������; 2.关于影响或者可能影响国度安全的分析汇报������; 3.采购文件、和谈、拟签定的合同或者拟提交的初次公开募股(IPO)等上市申请文件������; 4.网络安全审查工作必要的其他资料 |
沉点评估的国度安全风险成分 | 1.产品和服务使用后带来的关键信息基础设施被犯法节造、遭逢滋扰或粉碎��,以及沉要数据被窃取、泄露、毁损的风险������; 2.产品和服务供给中断对关键信息基础设施业务陆续性的风险������; 3.产品和服务的安全性、盛开性、通明性、起源的多样性��,供给渠路的靠得住性以及由于政治、表交、业务等成分导致供给中断的风险������; 4.产品和服务提供者遵守中国司法、行政律例、部门规章情况������; 5.其他可能风险恶害信息基础设施安全和国度安全的成分��������。 | 1.产品和服务使用后带来的关键信息基础设施被犯法节造、遭逢滋扰或粉碎的风险������; 2.产品和服务供给中断对关键信息基础设施业务陆续性的风险������; 3.产品和服务的安全性、盛开性、通明性、起源的多样性��,供给渠路的靠得住性以及由于政治、表交、业务等成分导致供给中断的风险������; 4.产品和服务提供者遵守中国司法、行政律例、部门规章情况������; 5.主题数据、沉要数据或大量幼我信息被窃取、泄露、毁损以及犯法利用或者犯法出境的风险������; 6.上市存在关键信息基础设施、主题数据、沉要数据或者大量幼我信息被表国当局影响、节造、恶意利用的风险��,以及网络信息安全风险������; 7.其他可能风险恶害信息基础设施安全、网络安全和数据安全的成分��������。 |
出格审查时限 | 出格审查法式通常该当在45个工作日内实现��,情况复杂的能够适当耽搁��������。 | 出格审查法式通常该当在90个工作日内实现��,情况复杂的能够耽搁��������。 |
新增使命 |
| 为了防备风险��,当事人该当在审查期间依照网络安全审查要求采取预防和消减风险的措施��������。 |
网络产品和服务领域 | 主题网络设备、高机能推算机和服务器、大容量存储设备、大型数据库和利用软件、网络安全设备、云推算服务��,以及其他对关键信息基础设施安全有沉要影响的网络产品和服务 | 主题网络设备、沉要通讯产品、高机能推算机和服务器、大容量存储设备、大型数据库和利用软件、网络安全设备、云推算服务��,以及其他对关键信息基础设施安全、网络安全和数据安全有沉要影响的网络产品和服务��������。
|
第一条 为了确保关键信息基础设施供给链安全��,保险网络安全和数据安全��,守护国度安全��,凭据《中华人民共和国国度安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全������;ぬ趵��,造订本法子��������。
第二条 关键信息基础设施运营者采购网络产品和服务��,网络平台运营者发展数据处置活动��,影响或者可能影响国度安全的��,该当依照本法子进行网络安全审查��������。
前款划定的关键信息基础设施运营者、网络平台运营者统称为当事人��������。
第三条 网络安全审查对峙防备网络安全风险与推进先进技术利用相结合、过程公正通明与知识产权������;は嘟岷稀⑹虑吧蟛橛氤中喙芟嘟岷稀⑵笠党信涤肷缁峒喽较嘟岷��,从产品和服务以及数据处置活动安全性、可能带来的国度安全风险等方面进行审查��������。
第四条 在中央网络安全和信息化委员会辅导下��,国度互联网信息办公室会同中华人民共和国国度发展和鼎新委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国度安全数、中华人民共和国财政部、中华人民共和国商务部、中国人民银杏注国度市场监督治理总局、国度广播电视总局、中国证券监督治理委员会、国度保密局、国度密码治理局成立国度网络安全审查工作机造��������。
网络安全审查办公室设在国度互联网信息办公室��,掌管造订网络安全审查有关造度规范��,组织网络安全审查��������。
第五条 关键信息基础设施运营者采购网络产品和服务的��,该当预判该产品和服务投入使用后可能带来的国度安全风险��������。影响或者可能影响国度安全的��,该当向网络安全审查办公室申报网络安全审查��������。
关键信息基础设施安全������;すぷ鞑棵拍芄辉於┍拘幸怠⒛芰τ蛟づ兄改��������。
第六条 对于申报网络安全审查的采购活动��,关键信息基础设施运营者该当通过采购文件、和谈等要求产品和服务提供者共同网络安全审查��,蕴含承诺不利用提供产品和服务的方便前提犯法获取用户数据、犯法节造和把持用户设备��,无正当理由不中断产品供给或者必要的技术支持服务等��������。
第七条 把握超过100万用户幼我信息的网络平台运营者赴国表上市��,必须向网络安全审查办公室申报网络安全审查��������。
第八条 当事人申报网络安全审查��,该当提交以下资料:
��������。ㄒ唬┥瓯ㄊ������;
��������。ǘ)关于影响或者可能影响国度安全的分析汇报������;
��������。ㄈ┎晒何募、和谈、拟签定的合同或者拟提交的初次公开募股(IPO)等上市申请文件������;
��������。ㄋ模┩绨踩蟛楣ぷ鞅匾钠渌柿��������。
第九条 网络安全审查办公室该当自收到切合本法子第八条划定的审查申报资料起10个工作日内��,确定是否必要审查并书面通知当事人��������。
第十条 网络安全审查沉点评估有关对象或者情景的以下国度安全风险成分:
��������。ㄒ唬┎泛头务使用后带来的关键信息基础设施被犯法节造、遭逢滋扰或者粉碎的风险������;
��������。ǘ)产品和服务供给中断对关键信息基础设施业务陆续性的风险������;
��������。ㄈ┎泛头务的安全性、盛开性、通明性、起源的多样性��,供给渠路的靠得住性以及由于政治、表交、业务等成分导致供给中断的风险������;
��������。ㄋ模┎泛头务提供者遵守中国司法、行政律例、部门规章情况������;
��������。ㄎ澹┲魈馐荨⒊烈莼蛘叽罅坑孜倚畔⒈磺匀 ⑿孤丁⒒偎鹨约胺阜ɡ谩⒎阜ǔ鼍车姆缦������;
��������。┥鲜写嬖诠丶畔⒒∩枋⒅魈馐荨⒊烈莼蛘叽罅坑孜倚畔⒈槐砉本钟跋臁⒔谠臁⒍褚饫玫姆缦��,以及网络信息安全风险������;
��������。ㄆ撸┢渌赡芊缦斩窈π畔⒒∩枋┌踩⑼绨踩褪莅踩某煞��������。
第十一条 网络安全审查办公室以为必要发展网络安全审查的��,该当自向当事人发出版面通知之日起30个工作日内实现初步审查��,蕴含形成审查结论建议和将审查结论建议发送网络安全审查工作机造成员单元、有关部门征求定见������;情况复杂的��,能够耽搁15个工作日��������。
第十二条 网络安全审查工作机造成员单元和有关部门该当自收到审查结论建议之日起15个工作日内书面回复定见��������。
网络安全审查工作机造成员单元、有关部门定见一致的��,网络安全审查办公室以书面大局将审查结论通知当事人������;定见不一致的��,依照出格审查法式处置��,并通知当事人��������。
第十三条 依照出格审查法式处置的��,网络安全审查办公室该当听取有关单元和部门定见��,进行深刻分析评估��,再次形成审查结论建议��,并征求网络安全审查工作机造成员单元和有关部门定见��,按法式报中央网络安全和信息化委员会核准后��,形成审查结论并书面通知当事人��������。
第十四条 出格审查法式通常该当在90个工作日内实现��,情况复杂的能够耽搁��������。
第十五条 网络安全审查办公室要求提供补充资料的��,当事人、产品和服务提供者该当予以共同��������。提交补充资料的功夫不计入审查功夫��������。
第十六条 网络安全审查工作机造成员单元以为影响或者可能影响国度安全的网络产品和服务以及数据处置活动��,由网络安全审查办公室按法式报中央网络安全和信息化委员会核准后��,遵循本法子的划定进行审查��������。
为了防备风险��,当事人该当在审查期间依照网络安全审查要求采取预防和消减风险的措施��������。
第十七条 参加网络安全审查的有关机构和人员该当严格������;ぶ恫��,对在审查工作中知悉的贸易奥秘、幼我信息��,当事人、产品和服务提供者提交的未公开资料��,以及其他未公开信息承担保密使命������;未经信息提供方赞成��,不得向无关方披露或者用于审查以表的主张��������。
第十八条 当事人或者网络产品和服务提供者以为审查人员有失客观公正��,或者未能对审查工作中知悉的信息承担保密使命的��,能够向网络安全审查办公室或者有关部门举报��������。
第十九条 当事人该当督促产品和服务提供者推广网络安全审查中作出的承诺��������。
网络安全审查办公室通过接受举报等大局加强事前事中过后监督��������。
第二十条 当事人违反本法子划定的��,遵循《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的划定处置��������。
第二十一条 本法子所称网络产品和服务重要指主题网络设备、沉要通讯产品、高机能推算机和服务器、大容量存储设备、大型数据库和利用软件、网络安全设备、云推算服务��,以及其他对关键信息基础设施安全、网络安全和数据安全有沉要影响的网络产品和服务��������。
第二十二条 涉及国度奥秘信息的��,遵循国度有关保密划定执行��������。
国度对数据安全审查、表商投资安全审查还有划定的��,该当同时切合其划定��������。
第二十三条 本法子自2022年2月15日起执行��������。2020年4月13日颁布的《网络安全审查法子》(国度互联网信息办公室、国度发展和鼎新委员会、工业和信息化部、公安部、国度安全数、财政部、商务部、中国人民银杏注国度市场监督治理总局、国度广播电视总局、国度保密局、国度密码治理局令第6号)同时废止��������。
一、《网络安全审查法子》订正的布景及司法凭据
网络安全审查造杜纂数据安全审查造度是《网络安全法》、《数据安全法》和《关键信息基础设施安全������;ぬ趵啡妨⒌牧较畛烈劝踩蟛樵於��������。《网络安全法》第三十五条划定:“关键信息基础设施的运营者采购网络产品和服务��,可能影响国度安全的��,该当通过国度网信部门会同国务院有关部门组织的国度安全审查��������。”������;《数据安全法》第二十四条划定:“国度成立数据安全审查造度��,对影响或者可能影响国度安全的数据处置活动进行国度安全审查��������。”������;《关键信息基础设施安全������;ぬ趵返谑盘趸ǎ涸擞吒玫庇畔炔晒喊踩尚诺耐绮泛头务������;采购网络产品和服务可能影响国度安全的��,该当依照国度网络安全划定通过安全审查��������。《关键信息基础设施安全������;ぬ趵返谑盘踉凇锻绨踩ā返谌逄醯幕∩��,增长了“运营者该当优先采购安全可信的网络产品和服务”��,强调了网络产品和服务的供给链安全��������。
凭据上述划定��,《数据安全法》中的数据安全审查造杜纂《网络安全法》中的网络安全审查造杜仔所分歧��,前者的审查重要针对影响或者可能影响国度安全的数据处置活动��,重要蕴含:数据的网络、存储、使用、加工、传输、提供、公开等������;后者的审查重要针对关键信息基础设施运营者采购网络产品和服务��,影响或可能影响国度安全的情景��������。
2020年6月1日执行的《网络安全审查法子》(以下简称:原《审查法子》)第二条提出:“关键信息基础设施运营者(以下简称运营者)采购网络产品和服务��,影响或可能影响国度安全的��,该当依照本法子进行网络安全审查��������。” 可见��,原《审查法子》中的网络安全审查��,重要是凭据《网络安全法》针对关键信息基础设施运营者采购网络产品和服务��,影响或可能影响国度安全情景的安全审查造度��������。
随着《数据安全法》于2021年9月1日正式执行��,影响或者可能影响国度安全的数据处置活动也将面对国度安全审查��������。由于原《审查法子》只涉及了《网络安全法》中的“网络安全审查”造度��,没有涉及《数据安全法》中的“数据安全审查”内容��������。因而��,有必要在原《审查法子》的基础上增长数据安全审查的内容��������。
新订正的《网络安全审查法子》第一条划定:“为了确保关键信息基础设施供给链安全��,保险网络安全和数据安全��,守护国度安全��,凭据《中华人民共和国国度安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全������;ぬ趵��,造订本法子��������。”
从上述立法主张看��,《网络安全审查法子》的上位法涉及三部司法和一部国务院条例��,订正后的《网络安全审查法子》在《国度安全法》和《网络安全法》的基础上��,增长了《数据安全法》和《关键信息基础设施安全������;ぬ趵��,其钟锥数据安全法》明确提出“国度成立数据安全审查造度”������;《关键信息基础设施安全������;ぬ趵芬蟆肮丶畔⒒∩枋┑脑擞卟晒和绮泛头务可能影响国度安全的��,该当依照国度网络安全划定通过安全审查”��������。
这里必要注明��,《网络安全法》和《关键信息基础设施安全������;ぬ趵肪蠊丶畔⒒∩枋┑脑擞卟晒和绮泛头务可能影响国度安全的��,该当通过国度安全审查��������。但是《网络安全法》于2017年6月1日起头执行��,其时尚没有出台《网络安全审查法子》��,《网络安全法》第三十五条要求:“关键信息基础设施的运营者采购网络产品和服务��,可能影响国度安全的��,该当通过国度网信部门会同国务院有关部门组织的国度安全审查”��������。《网络安全法》执行后的三年��,《网络安全审查法子》于2020年6月1日执行��,正式确立了网络安全审查的规定和合用��������。因而��,2021年9月1日起头执行的《关键信息基础设施安全������;ぬ趵返谑盘踉蚧ǎ骸安晒和绮泛头务可能影响国度安全的��,该当依照国度网络安全划定通过安全审查��������。“《网络安全法》仅划定“该当通过国度网信部门会同国务院有关部门组织的国度安全审查”������;《关键信息基础设安全������;ぬ趵吩蛞蟆案玫币勒展韧绨踩ㄍü踩蟛椤��,更强调了依网络安全审查规定通过安全审查��������。
二、网络安全审查的客体和准则
《网络安全审查法子》第二条划定��,关键信息基础设施运营者(以下简称运营者)采购网络产品和服务��,数据处置者(以下称运营者)发展数据处置活动��,影响或可能影响国度安全的��,该当依照本法子进行网络安全审查��������。
凭据上述划定��,《网络安全审查法子》审查的客体有两大类��,一是关键信息基础设施运营者采购网络产品和服务������;二是数据处置者发展数据处置活动��,这两类客体是网络安全审查司法关系主体的权势和使命指向的对象��,只有这两类客体的行为或了局影响或可能影响国度安全的��,必须依法进行国度网络安全审查��������。
《网络安全审查法子》从关键信息基础设施的运营者采购网络产品和服务��,以及数据处置者发展数据处置活动的安全性和可能带来的国度安全风险两大视角��,确立了网络与数据安全审查的准则��������。《网络安全审查法子》第三条明确了网络安全审的“四个相结合”准则��,一是对峙防备网络安全风险与推进先进技术利用相结合������;二是对峙过程公正通明与知识产权������;は嘟岷������;三是事前审查与持续监管相结合������;四是企业承诺与社会监督相结合��������。
(一)对峙防备网络安全风险与推进先进技术利用相结
网络产品和服务的安全审查以及数据处置活动的安全审查��,必须在贯彻总体国度安全观的基础上��,对峙防备网络安全风险与推进先进技术利用相结��������。在推进先进技术的利用和产业发展的基础上防备网络与数据安全风险��,以防备网络与数据安全风险保险先进技术的利用和产业发展��������。
(二)对峙过程公正通明与知识产权������;は嘟岷
执行网络产品、服务与数据处置活动的安全审查必须保障公正通明��,其钟装公正”的前提是审查过程中的“通明”��,只有保障审查过程中的“通明”规定和流程��,能力保险公正审查造度的落实��������。
同时��,在执行公正通明审查的过程中��,该当采取严格的措施������;ぶ恫��������。《网络安全审查法子》第十七条明确要求��,参加网络安全审查的有关机构和人员该当严格������;ぶ恫��,对在审查工作中知悉的贸易奥秘、幼我信息��,当事人、产品和服务提供者提交的未公开资料��,以及其他未公开信息承担保密使命������;未经信息提供方赞成��,不得向无关方披露或者用于审查以表的主张��������。
(三)对峙事前审查与持续监管相结合
网络与数据安全审查的主题是有效预防和化解国度安全风险��,因而必须对峙事前审查为基础��������。同时��,要持续推动事中过后监管的法治化、造度化、规范化��������。《网络安全审查法子》强化了网络与数据安全的事前审查机造��,沉点事前评估有关对象��,尤其是采购产品和服务可能风险恶害信息基础设施安全、网络安全和数据安全的风险成分��������。
(四)坚吃祗业承诺与社会监督相结合
保险网络安全和数据安全��,守护国度安全和发展利益是关键信息基础设施运营者和数据处置者的法定主体责任��������。因而��,网络与数据安全审查该当以企业自查把关为前提��,并对其网络产品和服务的采购活动以及数据处置活动的安全性、合法性、风险性作出承诺��,有效预防和化解国度安全风险��,同时要接受社会的监督��������。
《网络安全审查法子》要求��,关键信息基础设施运营者申报网络安全审查的采购活动时��,该当通过采购文件、和谈等要求产品和服务提供者共同网络安全审查��,并承诺不利用提供产品和服务的方便前提犯法获取用户数据、犯法节造和把持用户设备��,无正当理由不中断产品供给或者必要的技术支持服务等��������。与此同时��,关键信息基础设施运营者还该当督促产品和服务提供者推广在网络安全审查中作出的上述承诺��������。
三、网络安全审查的沉点对象
国度网络安全审查��,重要针对关键信息基础设施运营者采购网络产品和服务��,以及网络平台运营者发展数据处置活动��,影响或者可能影响国度安全的风险成分��������。凭据《网络安全审查法子》第十条的划定��,网络安全审查沉点评估有关对象或者情景的以下国度安全风险成分:(一)产品和服务使用后带来的关键信息基础设施被犯法节造、遭逢滋扰或者粉碎的风险������;(二)产品和服务供给中断对关键信息基础设施业务陆续性的风险������;(三)产品和服务的安全性、盛开性、通明性、起源的多样性��,供给渠路的靠得住性以及由于政治、表交、业务等成分导致供给中断的风险������;(四)产品和服务提供者遵守中国司法、行政律例、部门规章情况������;(五)主题数据、沉要数据或者大量幼我信息被窃取、泄露、毁损以及犯法利用、犯法出境的风险������;(六)上市存在关键信息基础设施、主题数据、沉要数据或者大量幼我信息被表国当局影响、节造、恶意利用的风险��,以及网络信息安全风险������;(七)其他可能风险恶害信息基础设施安全、网络安全和数据安全的成分��������。
从上述影响或者可能影响国度安全风险成分和审查权沉上看��,《网络安全审查法子》第十条(一)至(四)重要强调与关键信息基础设施有关网络产品和服务引发的国度安全风险成分��������。必要指出的是��,并不是关键信息基础设施运营者采购的所有网络产品和服务均必要进行国度网络安全审查��,《网络安全审查法子》所指的“网络产品和服务”重要指主题网络设备、沉要通讯产品、高机能推算机和服务器、大容量存储设备、大型数据库和利用软件、网络安全设备、云推算服务��,以及其他对关键信息基础设施安全、网络安全和数据安全有沉要影响的网络产品和服务��������。
《网络安全审查法子》第十条(五)(六)重要是针对主题数据、沉要数据或大量幼我信息被窃取、泄露、毁损以及犯法利用、犯法出境的风险��,以及上市存在关键信息基础设施、主题数据、沉要数据或者大量幼我信息被表国当局影响、节造、恶意利用的风险等��������。目前��,我国数据立法将数据分为通常数据、沉要数据、主题数据��,这个数据分类的步骤重要是基于数据对国度安全、公共利益或者幼我、组织合法权利的影响和沉要水平��������。
2021年11月��,国度网信办颁布的《网络数据安全治理条例(征求定见稿)》明确提出��,国度对幼我信息和沉要数据进行沉点������;��,对主题数据尝试严格������;��������。“主题数据“��,重要指关系国度安全、国民经济命脉、沉要民生和沉大公共利益等的数据������;”沉要数据“��,是指一旦遭到篡改、粉碎、泄露或者犯法获取、犯法利用��,可能风险国度安全、公共利益的数据��������。
“沉要数据”重要蕴含以下七类数据:一是未公开的政务数据、工作奥秘、谍报数据和法律司法数据������;二是出口管造数据��,出口管造物项涉及的主题技术、设计规划、出产工艺等有关的数据��,密码、生物、电子信息、人为智能等领域对国度安全、经济竞争实力有直接影响的科学技术成就数据������;三是国度司法、行政律例、部门规章明确划定必要������;せ蛘呓谠齑嫉墓染迷诵惺荨⒊烈幸狄滴袷荨⑼臣剖莸������;四是工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等沉点行业和领域安全出产、运行的数据��,关键系统组件、设备供给链数据������;五是达到国度有关部门划定的规������;蛘呔鹊幕颉⒌乩怼⒖蟛⑿蜗蟮热硕∮虢】怠⑻烊蛔试从牖肪彻然∈������;六是国度基础设施、关键信息基础设施建设运行及其安全数据��,国防设施、军事治理区、国防科研出产单元等沉要敏感区域的地理地位、安保情况等数据������;七是其他可能影响国度政治、河山、军事、经济、文化、社会、科技、生态、资源、核设施、海表利益、生物、太空、极地、深海等安全的数据��������。上述七类沉要数据不蕴含国度奥秘和幼我信息��,但基于海量幼我信息形成的统计数据、衍生数据有可能属于沉要数据��������。
若何鉴别沉要数据������?国度市场监督治理总局和国度尺度化委员会颁布的《沉要数据鉴别指南》(征求定见稿)确立了六项应遵循的根基准则:
一是聚焦安全影响:从国度安全、经济运杏注社会不变、公共健康和安全等角度鉴别沉要数据��,只对组织自身而言沉要或敏感的数据不属于沉要数据��,如企业的内部治理有关数据������;
二是凸起������;こ恋悖和ü允莘旨��,明确安全������;こ恋��,使通常数据充分流动��,沉要数据在满足安全������;ひ笄疤嵯掠行蛄鞫��,开释数据价值������;
三是衔接寂仔划定:充分思考处所已有治理要求和行业特色��,与处所、部门已经造订执行的有关数据治理政策和尺度规范缜密衔接������;
四是综合思考风险:凭据数据用处、面对威胁等分歧成分��,综合思考数据遭到篡改、粉碎、泄露或者犯法获取、犯法利用等风险��,从保密性、齐全性、可用性、真实性、正确性等多个角度鉴别数据的沉要性������;
五是定量定性结合:以定量与定性相结合的方式鉴别沉要数据��,并凭据具体数据类型、个性分歧采取定量或定性步骤������;
六是动态鉴别复评:随着数据用处、共享方式、沉要性等产生变动��,动态鉴别沉要数据��,并定期复查沉要数据鉴别了局��������。
四、网络平台运营者赴国表上市须申报网络安全审查
网络平台��,出格是大型网络平台的运营者占有和处置着大量的沉要数据、主题数据和海量的幼我信息��,其赴国表上市对国度安全拥有沉大影响微风险��������。为此��,《网络安全审查法子》强化了对网络平台运营者赴国表上市可能带来国度安全风险��,对把握超过100万用户幼我信息的网络平台运营者赴国表上市��,执行强造性网络安全审查��������。
《网络安全审查法子》第十条在原《审查法子》第九条网络安全审查沉点评估的五大国度安全风险成分的基础上新增了两项沉要成分:一是主题数据、沉要数据或者大量幼我信息被窃取、泄露、毁损以及犯法利用、犯法出境的风险������;二是上市存在关键信息基础设施、主题数据、沉要数据或者大量幼我信息被表国当局影响、节造、恶意利用的风险��,以及网络信息安全风险��������。同时��,新增长一条并列为《网络安全审查法子》第七条��,即“把握超过100万用户幼我信息的网络平台运营者赴国表上市��,必须向网络安全审查办公室申报网络安全审查��������。“这是一条强造性划定��,也是一条不成逾越的红线��,任何网络平台运营者都必须严格遵守��������。
被列入《2021年中国网络与数字法治领域十大事务》之一的“网络安全审查办公室对‘滴滴出杏庄启动网络安全审查”��,就是一路典型的网络平台运营者赴国表上市启动国度网络安全审查的事务��������。2021年6月30日��,“滴滴出杏妆选取VIE架构(Variable Interest Entity)��,即“可变利益实体”在美上市��������。这是境内主体为实此刻境表上市采取的一种出格方式��,其性质是境表上市实体与境内运营实体相分离��,境表上市实体在境内设立全资子公司��,该全资子公司并不现实发展主交易务��,而是通过和谈的方式节造境内运营实体的业务和财政��,使该运营实体成为上市实体的可变利益实体��,VIE架构最关键的问题是“节造”境内运营实体的业务��������。从“滴滴出杏妆于2021年6月11日向美国证券买卖委员会递交的IPO招股书能够看到:“滴滴出杏妆的业务涵盖15个国度、4000个城市��,年活跃用户在4.93亿��,司机则有一千五百万��,4.9亿年活跃用户��������。
2021年7月2日��,网络安全审查办公室发出布告��,颁发对滴滴出行启动网络安全审查��������。布告称��,为防备国度数据安全风险��,守护国度安全��,保险公共利益��,凭据《中华人民共和国国度安全法》《中华人民共和国网络安全法》��,网络安全审查办公室依照《网络安全审查法子》��,对“滴滴出杏妆执行网络安全审查��������。为共同网络安全审查工作��,防备风险扩大��,审查期间“滴滴出杏妆终场新用户注册��������。这是自《网络安全审查法子》2020年6月1日出台以来��,我国公开执行网络安全审查的第一案��������。
2021年7月9日��,国度网信办颁布公告称:凭据举报��,经检测核实��,“滴滴企业版”等25款App存在严沉违法违规网络使用幼我信息问题��������。国度网信办凭据《中华人民共和国网络安全法》有关划定��,通知利用商店下架上述25款App��,要求有关运营者严格依照司法要求��,参照国度有关尺度��,当真整改存在的问题��,切实保险宽大用户幼我信息安全��������。各网站、平台不得为“滴滴出杏妆和“滴滴企业版”等上述25款已在利用商店下架的App提供接见和下载服务��������。从以上布告看��,“滴滴企业版”等25款App下架的直接原因��,是由于滴滴平台严沉违法违规网络使用幼我信息��������。7月16日��,国度网信办会同公安部、国度安全数、天然资源部、交通运输部、税务总局、市场监管总局等部门结合进驻滴滴出行科技有限公司��,发展网络安全审查��������。
凭据国度网信办等五部委颁布的《汽车数据安全治理若干划定(试行)》的划定��,涉及汽车的沉要数据是指一旦遭到篡改、粉碎、泄露或者犯法获取、犯法利用��,可能风险国度安全、公共利益或者幼我、组织合法权利的数据��,沉要以下五类数据:一是军事治理区、国防科工单元以及县级以上党政机关等沉要敏感区域的地理信息、人员流量、车辆流量等数据������;二是车辆流量、物流等反映经济运行情况的数据������;三是汽车充电网的运行数据������;四是蕴含人脸信息、车牌信息等的车表视频、图像数据������;五是涉及幼我信息主体超过10万人的幼我信息������;六是国度网信部门和国务院发展鼎新、工业和信息化、公安、交通运输蹬仔关部门确定的其他可能风险国度安全、公共利益或者幼我、组织合法权利的数据��������。
通过对被下架的滴滴25款App分析不难看出��,滴滴出行的业务在交通领域险些是无所不包��,这25款App蕴含:滴滴企业版、滴滴打车、滴滴车主、滴滴顺风车、滴滴代驾、滴滴司机、滴滴货运、滴滴配送、滴滴护航、滴滴商户、滴滴副手、滴滴幼巴、滴滴公交、加油收银台商户、滴滴金融��,还有纪录仪等等��������。以上App不仅采集和处置了大量的地理数据、人员流量、车辆流量等��,同时平台节造了海量的幼我信息��,尤其是涉及大量汽车的沉要数据��,蕴含车表数据、坐舱数据、地位轨迹数据、运行数据等��,车表数据重要是通过摄像头、雷达等传感器从汽车表部环境采集的路路、构筑、地形、交通参加者等数据��,以及对其进行加工后产生的数据��,并且车表数据可能还蕴含人脸、车牌等幼我信息以及车辆流量、物流等司法律规尺度所划定的沉要数据������;座舱数据涉及到通过摄像头、红表传感器、指纹传感器、麦克风等传感器从汽车座舱采集的数据��,以及对其进行加工后产生的数据��,出格是座舱数据可能蕴含驾驶员和乘员的人脸、声纹、指纹等敏感幼我信息������;地位轨迹数据涉及到基于卫星定位、通讯网络等各类方式获取的汽车定位和路过蹊径有关的数据等��������。
2021年3月��,美国美国证券买卖委员会(SEC)通过了施杏锥控股表国公司问责法》(Holding ForeignCompanies Accountable Act��,简称HFCAA)的一时最终规定��������。12月��,SEC颁布建改案��,最终确定了《表国公司问责法案》的执行规定��,为HFCAA的执行成立了框架��������。凭据HFCAA的划定��,在美上市的表国公司向SEC提交文件��,证明该公司不受表国当局占有或掌控��,并要求这些企业遵守美国上市公司管帐师监督委员会(PCAOB)的审计尺度��,建改案还要求表国刊行人在其年度汇报中为自己及其任何归并的表国经营实体提供某些额表的披露��������。[显然��,滴滴在美上市存在关键信息基础设施、主题数据、沉要数据或者大量幼我信息被表国当局影响、节造、恶意利用的风险��������。
凭据HFCAA划定��,若是表国上市公司陆续三年未能提交美国上市公司管帐监督委员会所要求的汇报��,允许SEC将其从买卖所摘牌��������。事实上��,滴滴在此前披露的招股书中已经提到了退市的风险��������。招股书称��,凭据美国证券买卖委员会(SEC)的《表国公司问责法》(HFCAA)��,滴滴可能由于无法通过美国上市公司管帐师监督委员会(PCAOB)的审计尺度��,而导致退市��������。[6] 2021年12月3日��,滴滴全球有限公司(NYSE:DIDI.N)颁布布告称:“经当真钻研��,公司克日起启动在纽交所退市的工作��,并启动在香港上市的筹备工作��������。”[8]
五、赴港上市是否必要申报网络安全审查
《网络安全审查法子》(以下称《审查法子》)第七条划定:“把握超过100万用户幼我信息的网络平台运营者赴国表上市��,必须向网络安全审查办公室申报网络安全审查��������。” 该条的申报主体重要是针对“网络平台运营者”赴国表上市��,至于赴香港上市的“网络平台运营者”是否必要申报网络安全审查��,《审查法子》没有作出划定��������。显然��,《审查法子》第七条的合用领域不蕴含赴香港上市��,但是这并不料味着网络平台运营者或数据处置者赴香港上市不必要申报网络安全审查��������。
2021年11月14日��,国度网信办颁布《网络数据安全治理条例(征求定见稿)》(以下称《网络数据安全治理条例》)��,凭据《网络数据安全治理条例》第十三条划定��,数据处置者发展以下活动��,该当依照国度有关划定��,申报网络安全审查:(一)汇聚把握大量关系国度安全、经济发展、公共利益的数据资源的互联网平台运营者执行归并、沉组、分立��,影响或者可能影响国度安全的������;(二)处置一百万人以上幼我信息的数据处置者赴国表上市的������;(三)数据处置者赴香港上市��,影响或者可能影响国度安全的������;(四)其他影响或者可能影响国度安全的数据处置活动��������。
《网络数据安全治理条例》属于国务院条例��,其执行后的司法阶位高于《审查法子》������;若是正式执行后的《网络数据安全治理条例》第十三条(二)和(三)将数据处置者赴国表上市和赴香港上市分隔表述��,其内涵在于香港是中华人民共和国香港出格行政区��,属于中国主权领域��,根基不存在《网络安全审查法子》第十条(六)关于“上市存在关键信息基础设施、主题数据、沉要数据或者大量幼我信息被表国当局影响、节造、恶意利用的风险”等成分��������。因而��,《网络安全审查法子》对国内网络平台运营者或数据处置者赴香港上市是否必要申报网络安全审查没有作出要求��������。
2021年12月��,中国证监会颁布《国务院关于境内企业境表刊行证券和上市的治理划定(草案征求定见稿)》(以下称《境表上市治理划定》)��,《境表上市治理划定》总体上支持依法合规的境内企衣符用境表本钱市场融资发展��,不额表设置门槛和前提��,但明确对四类情景执行严格的监管红线��,不得赴境表上市:一是司法律规明确不容上市融资������;二是风险国度安全������;三是存在沉大权属纠纷������;四是存在违法犯罪状为��������。
在以上的划定平别离出现了“国表”和“境表”的表述��,《网络安全审查法子》明确提出是“国表”上市������;《网络数据安全治理条例》将“国表”和“香港”上市分隔表述������;《境表上市治理划定》则划定了“境内企业境表刊行上视妆��������。这里必要明确��,《网络安全审查法子》和《网络数据安全治理条例》中的“国表”与《境表上市治理划定》钟装境表”有何区别������;“国表”比力好理解��,指中国以表的其他国度��,但是“国表”与“境表”的司法语境一样吗������?凭据2013年7月1日起执行的《中华人民共和国出境入境治理法》(以下简称《出境入境治理法》)第八十九条第一款的划定:“出境��,是指由中国内地前往其他国度或者地域��,由中国内地前往香港出格行政区、澳门出格行政区��,由中国大陆前往台湾地域��������。”可见��,《出境入境治理法》对“出境”(境表)的界说有三层寓意��,一是指由中国内地前往其他国度或者地域������;二是由中国内地前往香港出格行政区、澳门出格行政区��,这里的香港和澳门属于中国的出格行政区��,出格行政区内实杏装一国两造”��,相对于“香港和澳门”��,中国称之为“中国内地”������;三是中国大陆前往台湾地域��,台湾地域属于中国领土的区域��,但中国尚未对其执行行政管辖��,相对于“台湾”地域��,中国称之为“中国大陆”��������。由此��,《境表上市治理划定》中的“境表”该当蕴含国表和我国香港地域��������。
《境表上市治理划定》第八条划定:“境内企业境表刊行上市的��,该当严格遵守表商投资、网络安全、数据安全等国度安全司法律规和有关划定��,切实推广国度安全������;な姑��������。涉及安全审查的��,该当依法推广有关安全审查法式��������。“《境表上市治理划定》第十六条对境内企业境表上市涉及侵害国度安全以及向境表提供幼我信息和沉要数据的��,提出了严格的监管要求��,即“境内企业境表刊行上市的��,该当严格遵守国度司法律规和有关划定��,成立健全保密造度��,采取必要措施落实保密责任��,不得泄露国度奥秘��,不得侵害国度安全和公共利益��������。境内企业境表刊行上市涉及向境表提供幼我信息和沉要数据的��,该当切合国度司法律规和有关划定��������。”
由此能够看出��,国内网络平台运营者或数据处置者无论是赴国表上市还是赴香港上市��,只有其发展数据处置活动��,就该当严格遵守表商投资、网络安全、数据安全等国度安全司法律规和有关划定��������。但是从《网络数据安全治理条例》第十三条(二)和(三)的表述上能够看出��,数据处置者赴国表上市和赴香港上市��,执行网络安全审查的前提有所分歧��,前者(二)数据处置者赴国表上市��,只有处置一百万人以上幼我信息��,必须申报网络安全审查������;后者(三)则要求��,数据处置者赴香港上市��,影响或者可能影响国度安全的��,该当申报网络安全审查��������������;谎灾��,数据处置者赴香港上市是否必要申报网络安全审查��,关键要看是否会影响或者可能影响国度安全��,若是存在影响或者可能影响国度安全的情景��,就该当申报网络安全审查��,不然��,就无需申报网络安全审查��������。然而��,凭据《境表上市治理划定》的要求��,涉及安全审查的��,该当依法推广有关安全审查法式��������。笔者以为��,网络平台运营者或数据处置者��,只有涉及数据处置��,尤其是处置幼我信息超过一百万人以上��,赴香港上市最好自动申报网络安全审查��,是否影响或可能影响国度安全��,由网络安全审查办公室研判��������。
六、申报网络安全审查的资料与流程
当事人申报网络安全审查��,该当提交以下三类资料��,一是申报书��,申报的主体蕴含关键信息基础设施的运营者和网络平台运营者��,前者重要申报采购网络产品和服务��,后者重要是发展数据处置活动��,大多情况下确当事人既是关键信息基础设施的运营者��,也是网络平台运营者������;二是关于影响或者可能影响国度安全的分析汇报��,应沉点萦绕《网络安全审查法子》第十条的沉点评估对象或者情景对影响或可能影响的国度安全风险成分进行分析������;三是提交采购文件、和谈、拟签定的合同或者拟提交的初次公开募股(IPO)等上市申请文件��,关键信息基础设施运营者除了该当提交采购文件、和谈以及拟签定的合同��,还该当要求产品和服务提供者共同网络安全审查��,蕴含承诺不利用提供产品和服务的方便前提犯法获取用户数据、犯法节造和把持用户设备��,无正当理由不中断产品供给或者必要的技术支持服务等������;初次公开募股(IPO)确当事人该当提交上市申请文件��,蕴含公司章程、提议人和谈、提议人姓名或者名称��,提议人认购的股份数、出资种类及验资证明、招股说明书、代收股款银行的名称及地址、承销机构名称及有关的和谈��������。除上述资料��,网络安全审查办公室在网络安全审查过程中必要其他资料的��,当事人也该当实时提交��������。
《网络安全审查法子》划定了严格的网络安全审查法式和审查期限��,申报网络安全审查��,网络安全审查办公室该当推广以下审核法式:
(一)网络安全审查办公室收到数据处置者的申报网络安全审查资料��,在10个工作日内��,确定是否必要审查��,并书面通知当事人��������。处置的了局有两个��,一是启动审查������;二是无需审查������;
(二)网络安全审查办公室以为必要启动网络安全审查的��,该当向当事人发出版面通知��,自通知发出之日起30个工作日内实现初步审查��,蕴含形成审查结论建议和将审查结论建议发送网络安全审查工作机造成员单元、有关部门征求定见��,若是情况复杂的��,能够耽搁15个工作日������;
(三)网络安全审查工作机造成员单元和有关部门该当自收到审查结论建议之日起15个工作日内书面回复定见��,若是网络安全审查工作机造成员单元、有关部门定见一致的��,网络安全审查办公室以书面大局将审查结论通知当事人��,若是审查结论不影响国度安全的��,赴国表上市的能够持续上市法式��,若是审查结论以为影响国度安全的��,则不允许赴国表(境表)上市������;
(四)若是网络安全审查工作机造成员单元、有关部门定见不一致��,将依照出格审查法式处置��,并通知当事人������;依照出格审查法式处置的��,网络安全审查办公室该当听取有关单元和部门定见��,进行深刻分析评估��,再次形成审查结论建议��,并征求网络安全审查工作机造成员单元和有关部门定见��,按法式报中央网络安全和信息化委员会核准后��,形成审查结论并书面通知当事人��������。启动出格审查法式的��,通常该当在90个工作日内实现��,情况复杂的能够适当耽搁��������。
《网络安全审查法子》要求��,凡参加网络安全审查的有关机构和人员该当严格������;ぶ恫��,对在审查工作中知悉的贸易奥秘、幼我信息��,当事人、产品和服务提供者提交的未公开资料��,以及其他未公开信息承担保密使命������;未经信息提供方赞成��,不得向无关方披露或者用于审查以表的主张��������。若是当事人或者网络产品和服务提供者以为审查人员有失客观公正��,或者未能对审查工作中知悉的信息承担保密使命的��,能够向网络安全审查办公室或者有关部门举报��������。
公安登记号:44030502000376