近日,国家互联网信息办公室、国家发展和改革委员会等十三部门联合发布了修订后的《网络安全审查办法》(以下简称《办法》)。作为2020年6月实施之后的重要修订,《办法》既是落实《数据安全法》《关键信息基础设施安全保护条例》等一系列新出台法律法规的明确要求,也是不断完善国家网络安全审查制度、适应国际国内网络安全新形势的重要举措,更是保障人民群众切身利益、促进经济社会发展和维护国家安全的现实需要。
一、网络平台运营者影响或者可能影响国家安全的数据处理活动被纳入网络安全审查
在《数据安全法》颁布施行的大背景下,《办法》扩大了网络安全审查的覆盖范围。网络安全审查的申报,在此之前仅限定在关键信息基础设施运营者影响或者可能影响国家安全的网络产品和服务采购活动,此次修订后,新纳入了网络平台运营者影响或者可能影响国家安全的数据处理活动,目前明确必须申报的就是掌握超过100万用户个人信息的网络平台运营者赴国外上市活动。法律定义的数据处理活动,包括数据的收集、存储、使用、加工、传输、提供、公开等。网络安全审查之所以关注网络平台运营者赴国外上市,是因为国内拟上市的企业往往会应国外证券监管机构、证券交易所等要求,在上市过程中提供或披露涉及国内平台运营的数据,这一过程将包括数据传输、提供、公开等行为,一旦这些数据发生泄露或被非法利用,将可能影响国家安全。2021年7月,网络安全审查办公室发起了针对滴滴出行、BOSS直聘等的审查,即是因为这些掌握大量数据的平台在国外上市,可能带来相关网络安全和数据安全风险,危害国家安全。
二、《办法》修订体现出网络安全审查制度的与时俱进
随着近年来经济全球化步伐的加快,我国企业选择到国外证券市场上市融资的情况逐渐增多。以美国为例,2018年以来每年都有超过30家“中概股”企业在美挂牌上市,约占每年美国新上市公司的20%。2021年这一趋势达到高峰,仅2021上半年就有38家“中概股”企业在美上市,而其中具有网络平台属性的互联网企业超过了一半。此次《办法》修订的最大亮点,是把网络平台运营者赴国外上市纳入网络安全审查。这一制度设计主要考虑:一方面,赴国外上市的企业主要来自于电商、出行、招聘、教育、物流等重数据资产的领域,往往掌握大量国内用户数据,伴随网络平台业务的快速发展和资本的注入,其自身面临的网络安全风险正逐步增大;另一方面,国外证券监管等法律政策及政治环境近年发生了巨大变化,美国2020年通过的《外国公司问责法》明确提出了针对我国企业的信息披露要求,越来越详尽的数据披露进一步扩大了企业的数据安全风险,并严重威胁我国家安全。为应对日趋严峻的网络安全形势,网络安全审查制度必须与时俱进。
三、网络安全审查制度在实践中不断完善
自《办法》2020年6月发布实施以来,网络安全审查以确保关键信息基础设施供应链安全为原则,历经一年半的实践,为关键信息基础设施的持续稳定运行筑起了一道安全防线,也积累了宝贵的审查实施经验。此次《办法》的修订在扩大审查范围的同时,也对审查的工作机制、工作流程等方面进行了适当的调整。调整的主要内容包括:增加证监会作为网络安全审查工作机制成员单位,明确网络安全审查办公室收到合格申报材料的时间为审查开始时间,增加上市申请文件作为上市审查申报材料的一部分,增加上市活动带来的数据安全风险作为国家安全风险考虑的因素之一,延长特别审查的工作时限至90个工作日等。总体上看,审查机制和流程延用了原有审查制度框架,针对新纳入赴国外上市审查这一变化,进行了有针对性的优化,审查制度在实践中正不断得到完善。
网络安全审查是国家安全审查的重要组成部分,出于适应国际国内网络安全新形势、促进平台经济稳定健康发展的需要,适时地进行制度修订和调整,体现了制度不断向前发展的趋势。持续完善的网络安全审查制度,将为维护国家安全作出更大的贡献。(作者:齐越,中国网络安全审查技术与认证中心工程师)