專家解讀｜新版《網絡安全審查辦法》筑牢網絡安全和數據安全防線

《網絡安全審查辦法》自實施以來，在確保關鍵信息基礎設施供應鏈安全、維護國家安全方面起到了重要的保障作用。此次《網絡安全審查辦法》修訂，依據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《關鍵信息基礎設施保護條例》，旨在確保關鍵信息基礎設施供應鏈安全，保障網絡安全和數據安全，維護國家安全。

一、《網絡安全審查辦法》修訂的亮點

此次《網絡安全審查辦法》修訂，增加了中國證券監督管理委員會作為國家網絡安全審查工作機制成員。

同時，增加了審查申報對象：掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。這部分申報對象須提交材料包括：申報書、關于影響或者可能影響國家安全的分析報告，擬提交的首次公開募股（IPO）等上市申請文件，網絡安全審查工作需要的其他材料。

網絡安全審查重點評估的國家安全風險因素增加了兩點內容：一是重點評估核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險；二是重點評估上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險，以及網絡信息安全風險。

針對網絡平臺運營者赴國外上市申報網絡安全審查的結論，從《網絡安全審查辦法》答記者問看審查結論共分三種情況：一是無需審查；二是啟動審查后，經研判不影響國家安全的，可繼續赴國外上市程序；三是啟動審查后，經研判影響國家安全的，不允許赴國外上市。

二、各國為確保平臺和數據安全紛紛出臺監管措施

國際重點國家和地區為防范網絡安全、數據安全等安全風險，紛紛出臺網絡平臺的監管措施，如《美國選擇與創新在線法案》《終止平臺壟斷法案》《平臺競爭和機會法案》《并購申報費現代化法案》《在線隱私法（草案）》等，《歐盟數字市場法（草案）》《數字服務法（草案）》《通用數據保護條例》，《俄羅斯聯邦大眾傳媒法》《信息、信息技術和信息保護法》等等。

其中，美國為保障國家安全出臺了《確保信息通信技術及服務供應鏈安全行政命令》及配套規則，明確提出其審查涉及的敏感數據包括企業數據和個人數據兩類，具體包括：一是企業在12月內任何時間點保存、收集、維護超過100萬個人數據的情況，以及為美國行政部門和軍事部門的人員和承包商提供特定或專用產品服務的企業收集的信息情況；二是個人征信數據、消費數據、保險數據、健康狀況數據、非公開電子通信數據、地理位置數據、生物識別數據、身份識別數據等，以及個人基因檢測信息、疾病信息等遺傳信息。

三、我國網絡平臺運營者赴國外上市風險加大

隨著美國《外國公司問責法案》和最終配套規則的發布，美國公眾公司會計監督委員會（PCAOB）6100審計相關規則的發布，這些監管條款明顯針對我國企業。如，要求在美上市企業提交關聯公司的董事會成員中的中國共產黨官員的姓名，明確發行人公司制度文件中是否包含中國共產黨章程等。SEC還專門針對我國赴國外上市企業發布了《致中國公司的信函范本》的聲明，要求美國指定注冊會計師事務所為發行人編制的審計報告，明確提出合同協議不等同于VIE業務的股權所有權。

如果我國企業連續三年被SEC認定為“發行人”，SEC將會立即對其實施交易禁令。如果“發行人”希望終止交易禁令，必須證明PCAOB能夠檢查或調查的其使用的注冊會計師事務所。但近日，PCAOB又發布《〈外國公司問責法〉認定報告》，認定60余家在美注冊中國會計師事務所“無法完成檢查或調查”，國外的審計更加嚴格。

目前情況下，掌握關鍵信息基礎設施、核心數據、重要數據或者大量個人信息的網絡平臺運營者赴國外上市存在著較大的安全風險。

四、企業應提高安全意識，積極主動申報審查

根據《中華人民共和國國家安全法》第十一條，中華人民共和國公民、一切國家機關和武裝力量、各政黨和各人民團體、企業事業組織和其他社會組織，都有維護國家安全的責任和義務。

我國網絡平臺運營者作為我國國家安全的責任主體的一部分，一是需加強國家安全的主體責任意識，防范上市給我國國家安全帶來的風險；二是掌握關鍵信息基礎設施、核心數據、重要數據或者大量個人信息的我國企業赴國外上市，存在被外國政府影響、控制、惡意利用的風險，以及網絡信息安全風險時，應積極主動申報網絡安全審查，防范企業上市給國家安全帶來風險。