“六大要點”與“五大趨勢”詳解《網絡安全審查辦法》

7月10日，國家互聯網信息辦公室發布了《網絡安全審查辦法（修訂草案征求意見稿）》（以下簡稱為《修訂草案》），《修訂草案》新增《中華人民共和國數據安全法》為法律依據，健全國家數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查，新增“中國證券監督管理委員會”為審查機構，加強證券數據跨境監管，強化證券數據安全、跨境數據流動、涉密信息管理能力等，《修訂草案》共計新增條款2條，補充完善條款6條，修訂條款4條，通過對《修訂草案》內容仔細研究分析，本文詳細解讀其“六大要點”創新和未來“五大趨勢”發展。

解讀六大創新要點內容

NO.1 新增《中華人民共和國數據安全法》為審查依據，核心/重要數據已成為審查的重點要素

《修訂草案》的法律依據，由《中華人民共和國國家安全法》和《中華人民共和國網絡安全法》兩大法律，擴展至三大法律《中華人民共和國國家安全法》、《中華人民共和國網絡安全法》和《中華人民共和國數據安全法》，為監管數據處理活動提供了直接的法律依據。運營者違反《修訂草案》規定的，由《中華人民共和國網絡安全法》第六十五條的規定處理，擴展至《中華人民共和國網絡安全法》和《中華人民共和國數據安全法》的相關規定進行處理。意味著一旦運營者違反規定，將承擔更加嚴重的后果。

NO.2 擴展審查對象和活動行為，健全完善安全審查的內容范圍和活動場景

《修訂草案》的審查對象，由“關鍵信息基礎設施運營者”，擴展至“關鍵信息基礎設施運營者”和“數據處理者”。將數據處理者納入網絡安全審查，擴展了網絡安全審查的被審查主體范圍，意味著一般數據處理者的數據處理活動也將被納入網絡安全審查范圍，適用的范圍更加廣泛。《修訂草案》將企業國外上市活動納入了網絡安全審查范圍。其中新增規定，“掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查，且在申報材料中應提供擬提交的IPO材料”。將掌握超過100萬用戶個人信息的運營者赴國外上市的網絡安全審查義務予以明確。

NO.3 新增證監會為審查工作機制成員單位，加強境內企業國外上市前/后審查監管力度

《修訂草案》中網絡安全審查工作機制成員單位增加了“中國證券監督管理委員會”。證監會負責監管境內企業直接或間接到境外發行股票、上市以及在境外上市的公司到境外發行可轉換債券。

《修訂草案》規定按照特別審查程序處理的審查結論建議，應征求相關部門的意見。由“網絡安全審查工作機制成員單位和相關關鍵信息基礎設施保護工作部門”，擴展至“網絡安全審查工作機制成員單位和相關部門”的意見。

NO.4 新增審查評估的重點因素，健全完善國家安全風險防范化解能力

《修訂草案》中審查評估要素，由“采購網絡產品和服務”，擴展至“采購活動、數據處理活動和國外上市”。將數據處理活動和國外上市納入網絡安全審查，擴展了網絡安全審查所針對行為的范疇，這一修訂的法律依據同樣主要是《數據安全法》，作為“數據安全審查制度”和“數據分類分級保護制度”的落地措施之一。審查評估主要考慮的風險因素新增了“核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險”和“國外上市后關鍵信息基礎設施，核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險”。

NO.5 延長特別審查程序周期，增強應對復雜場景的審查力度

網絡安全審查工作機制成員單位、相關關鍵信息基礎設施保護工作部門意見不一致的時候，按照特別審查程序處理。按照特別審查程序處理的，網絡安全審查辦公室應當聽取相關部門和單位意見，進行深入分析評估，再次形成審查結論建議，并征求網絡安全審查工作機制成員單位和相關部門意見，按程序報中央網絡安全和信息化委員會批準后，形成審查結論并書面通知運營者。《修訂草案》中特別審查程序由45個工作日延長為3個月內，且情況復雜的可以繼續延長。

NO.6 擴展重要通信產品為審查對象，進一步拓展網絡產品和服務的審查范圍

《修訂草案》中網絡產品和服務的審查范圍，在原有的“核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務”基礎上，新增加了“重要通信產品”，進一步拓展了網絡產品和服務的審查范圍。

從五個角度看五大趨勢

路云天網絡安全研究院結合多年在網絡安全領域的實踐探索與戰略研究經驗，通過對《修訂草案》的研究與分析，從監管執行、機制協同、行政執法、產業發展和企業合規五個角度提出了網絡安全審查工作未來發展趨勢。

NO.1 從監管執行角度看，網絡安全實戰化風險管控能力將強化提升

國家對網絡安全的高度重視，將網絡安全視為和國防安全、金融安全同等重要的領域，為維護國家安全，建設網絡強國夯實根基、不斷深化。網絡安全審查是網絡安全的重要保障，明確安全審查工作機制單位在網絡安全審查體系中的監督地位，明確立法依據、審查對象、審查評估范圍以及審查程序周期等內容。本次網絡安全審查辦法征求意見稿的出臺速度非常快，體現出國家網絡安全審查工作機制單位的高效協調組織能力，國家將繼續強化實戰化風險管控能力，提升面對突發事件的應急響應能力。

NO.2 從機制協同角度看，網絡安全審查體系機制將進一步健全完善

《修訂草案》的發布是一次重大制度設計。首先，《修訂草案》中相關上市要求條款是在落實最近中辦、國辦印發的《關于依法從嚴打擊證券違法活動的意見》精神。該意見要求“加強跨境監管合作。完善數據安全、跨境數據流動、涉密信息管理等相關法律法規”。其次，更重要和更實質性的，《修訂草案》是為了落實《數據安全法》第二十四條的要求“國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查”。企業赴國外上市只是可能出現數據安全風險的一種具體情形，所以從整體上說，《修訂草案》完善了數據安全審查制度，為數據安全審查提供了依據，網絡安全審查體系機制將進一步健全完善。

NO.3 從行政執法角度看，國家將加強數據安全的執法力度

數據安全成為國家安全的重點，不僅僅是因為數據主權問題，還因為大數據時代海量的數據高度集中，加大了數據泄露的風險。而數據一旦泄露，將對經濟社會、國家安全產生重要的影響。為此，保障數據安全成為維護國家安全的重要內容,未來，網絡安全、數據安全審查態勢將更加嚴格化。從2015年《國家安全法》頒布施行到2017年《網絡安全法》生效，再到2021年《數據安全法》公布，我國正在形成一個全面規范網絡安全保護、數據安全保護、個人信息安全保護的基礎法律體系。同時，網絡安全、數據安全、個人信息安全規范、標準不斷發布，保護體系持續完善細化。

NO.4 從產業發展角度看，關基和數字產業的供應鏈安全成為核心要點

網絡審查里面除了強調對產品、系統的安全以及服務的安全，也對它的供應鏈安全，包括它的網絡安全服務的提供者，服務的運營者，是有嚴格要求的。各個關鍵基礎設施和數字產業的運營者也必然加強對供應鏈安全的防護和應急能力建設，持續性監督、持續性管理、持續性檢查。

從某種意義上講，“供應渠道的可靠性”并不是傳統意義上的網絡安全技術審核標準，而是一個供應鏈安全的標準，不僅有利于國際間網絡信息技術的均衡分布與合理流動，也有利于國內相關網絡產品及服務提供者的長期發展。遵守中國法律法規、行政規章的情況，應主要從對于供應鏈的非商業性損害予以考慮，不宜擴大適用。如果是與供應鏈安全或網絡安全無關的違法違規事項，則不宜作為認定供應商不可靠的依據。

NO.5 從企業合規角度看，加強網絡和數據合規管理是未來發展的必然趨勢

近年來，國家有關部門持續開展APP專項治理行動，執法力度不斷增強。國家對企業的監管重心正在向企業數據合規、個人信息數據保護等方面轉移。并且監管趨勢正在向著監管執法主動化、監管主體措施多樣化、整改手段嚴格化的方向發展。在如此嚴格的監管態勢下，數據合規成為企業合規發展的首要問題，加強網絡和數據合規管理是企業未來發展的必然趨勢。因此，企業應加強內外部管理，健全相關制度，在保證企業合規的前提下實現效能最大化。

再看網絡安全審查

此次滴滴事件促發了國家一系列的動作，《網絡安全審查辦法》的修訂可以稱為是其中最重要的事件。我國的“網絡安全審查”機制早在十三五規劃中就明確提到要“建立網絡安全審查制度和標準體系”，發展到十四五規劃中明確“加強網絡安全風險評估和審查”。

• 我國網絡安全審查管理組織機制又包括哪些？
• 國家網絡安全審查技術與認證中心發揮什么作用？
• 我國網絡安全審查的立法又經過了怎樣的發展過程？
• 世界上其他國家網絡安全審查發展又是何情況？