《网络安全审查办法》征求意见稿变更与简析

2021年7月10日，国家互联网信息办公室发起了《网络安全审查办法（修订草案征求意见稿）》征求意见，据2020年4月13日12部委联合发布《网络安全审查办法》仅过去15个月，这也是对7月2日开始对以滴滴为首的6月份美国上市企业集中发起网络安全审查的后续立法方面的动作和策略，核心仍在于原来的《网络安全审查办法》对此系列事件管辖覆盖的部分欠缺。我们从本次修改的内容做下分析和简述：

新征求意见稿：第一条 为了确保关键信息基础设施供应链安全，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》，制定本办法。

变更：征求意见稿相对于原办法增加了“《中华人民共和国数据安全法》”

新征求意见稿：第二条 关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，数据处理者（以下称运营者）开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。

变更：相对于原办法增加了“数据处理者（以下称运营者）开展数据处理活动”

简析：这两条变更是对2021年6月10日通过，2021年9月1日生效的《数据安全法》“第二十四条　国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。”形式呼应。

新征求意见稿：第六条 掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

变更：新增

简析：规定了具体的数据安全审查的依据，100万条个人信息运营者赴海外上市，个人认为该条过于具体到数量和数据种类的细节，不利于数据安全涉及到国家安全的审查，国家安全不仅涉及到个人信息，尚包括涉及到国计民生的相关数据，例如地理测绘信息，经济运行数据等统计性数据，包括网上传闻滴滴涉及到部委加班的统计数据，以及《汽车数据安全管理若干规定（征求意见稿）》2021年5月12日涉及到的相关数据，虽然部分数据可以参照保密法相关规定予以规制，但从数据安全法的角度，此条文仍有待进一步丰富。

新征求意见稿：第八条 运营者申报网络安全审查，应当提交以下材料：

（一）申报书；

（二）关于影响或可能影响国家安全的分析报告；

（三）采购文件、协议、拟签订的合同或拟提交的IPO材料等；

（四）网络安全审查工作需要的其他材料。

变更：新增“拟提交的IPO材料”

简析：这是对中办、国办2021年7月6日《关于依法从严打击证券违法活动的意见》第十九条“

加强跨境监管合作。完善数据安全、跨境数据流动、涉密信息管理等相关法律法规。抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定，压实境外上市公司信息安全主体责任。加强跨境信息提供机制与流程的规范管理。坚持依法和对等原则，进一步深化跨境审计监管合作。探索加强国际证券执法协作的有效路径和方式，积极参与国际金融治理，推动建立打击跨境证券违法犯罪行为的执法联盟。”的回应，但仍然只是形式上的呼应，仅增加对IPO材料的要求，但对已经海外上市企业的审查，包括网上猜疑与美国证券交易委员会SEC审计底稿要求相关的冲突，均未涉及，是否需要对海外证监提交审计文件进行提交审核，未做明确规定，对存量上市企业的监管存在空白空间。

新征求意见稿：第十条 网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险，主要考虑以下因素：

（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险；

（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（五）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；

（六）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险；

（七）其他可能危害关键信息基础设施安全和国家数据安全的因素。

变更：新增“（五）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；

（六）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险；”“和国家数据安全的”

简析：是对审查的范围和潜在风险增加对数据安全领域的覆盖，主要涉及数据安全和出境风险，国外政府影响、控制、恶意利用风险的反制，这是对美国为首的西方围堵中国联盟的长臂管辖法案做出反应和反制，具体的风险评估和风险处置策略，预计需要在细则中持续优化。

在原文中“（五）其他可能危害关键信息基础设施安全和国家安全的因素”“国家安全”被修订为“国家数据安全”缩小了安全范围，窃以为“数据安全等国家安全”更为恰当合适，避免管辖范围狭窄，不能覆盖其他国家安全的情景。

新征求意见稿：第十六条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

变更：新增“数据处理活动以及国外上市行为，”

简析：这是对本办法覆盖范围调整的补充说明，重点依据数据安全法和《关于依法从严打击证券违法活动的意见》补充相关安全审查范围。

新征求意见稿：第二十条 运营者违反本办法规定的，依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。

变更：修改了第19条“运营者违反本办法规定的，依照《中华人民共和国网络安全法》第六十五条的规定处理。

简析：原文对处理规定仅限于网络安全法第65条，“关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”惩戒范围和力度均不足，甚至未能涵盖《网络安全法》关于数据安全方面的处罚规定，例如第64、66、68条关于个人信息和数据安全相关的处罚，例如第64条“情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”可以对违法行为处以极刑。当然，这也和本次《网络安全审查》范围的扩大有关，另外也为9月1日生效的数据安全法相关处罚的落地出台了行政法规。

本篇文章来源于微信公众号:                 IT的阿土