引言
2022年的首个工作日,中央网络安全和信息化委员会办公室(“中央网信办”或者“网信办”)在其官网全文公布了《网络安全审查办法》( “《办法》”)。在《网络安全审查办法(修订草案征求意见稿)》(“《修订草案》”)面向社会各界公开征求意见六个多月后,备受市场关注的《办法》正式出台,帮助正在筹划或进行资本商业化运作的各家企业和中介机构进一步廓清了“网络安全审查”的法律依据、适用主体、主管部门、审查内容以及周期流程等基本内容。
总体来看,此次出台的《办法》释放出了主管部门对赴外上市企业坚持贯彻国家、网络和数据安全为本,同时兼顾社会经济发展整体利益的“利好信号”。本文在《办法》正式出台的背景下,对其中重点关切问题进行梳理、分析和归纳,以期更好地理解和适用《办法》。
01《办法》的制定依据和审查体系
《办法》第一条清晰列明了其制定的上位法依据为《中华人民共和国国家安全法》(“《国家安全法》”)、《中华人民共和国网络安全法》(“《网络安全法》”)、《中华人民共和国数据安全法》(“《数据安全法》”)、《关键信息基础设施安全保护条例》(“《关保条例》”),同时表明,《办法》的立规宗旨目标为“确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全”。相比于《修订草案》,“网络安全和数据安全”成为新增内容,也表明《办法》将审查相关适用主体的特定活动下对于影响或者可能影响网络、数据和国家安全的多种因素。
考虑到《关保条例》已经于2021年9月1日起正式施行,因此,相比于《修订草案》,此次正式出台的《办法》中,将《关保条例》作为列明的上位法依据之一。此外,已经于2021年11月1日实施的《中华人民共和国个人信息保护法》(“《个人信息保护法》”)并未被列在《办法》的上位法依据中。不过,从立法立规的定位角度出发其实不难理解,《个人信息保护法》旨在保护个人信息主体基于个人信息所享有的相关人格权益,并以多种制度约束和规范个人信息处理活动,以实现促进个人信息合理利用为目标,而《办法》则主要侧重于网络、数据和国家安全利益保障。但这并不意味着网络安全审查与个人信息保护完全不存在内在的关联,例如当《个人信息保护法》下为个人信息处理者创设的诸多安全保障义务未得到履行和落实,从实质角度理解,相关企业仍然可能因大量的用户个人信息未得到合法合规处理而被判定为存在影响数据安全的客观风险,继而可能也无法通过审查。
在上位法依据中,《国家安全法》中规定了“国家安全审查”制度和机制,即“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险(第五十九条)。”而《网络安全法》《数据安全法》分别从网络安全和数据安全两个维度,在各自运行的领域内细化规定了适用于关键信息基础设施运营者采购网络产品和服务的网络安全审查、适用于数据处理活动的数据安全审查制度。从相关法律的体系解释角度来看,网络安全审查、数据安全审查并不完全等同,两者对于审查的内容、对象或许各有侧重,但究其实质,前两者的内核与最终目标可能均为提前预判和审查影响或者可能影响国家安全的客观情形或者因素,因而共同构成“国家安全审查”体系下的两个关键面向和制度构成。
02《办法》的审查主体和主管机构
《办法》第四条未对《修订草案》进行调整,在中央网信办的领导下,包括国家网信办、国家发展和改革委员会、国家工信部等在内的十三个主管部门或者机构共同建立国家网络安全审查工作机制,并且由网络安全审查办公室具体负责制定网络安全审查相关制度规范,组织网络安全审查。根据官方答记者问的情况说明[1],网络安全审查的具体工作将由网络安全审查办公室委托中国网络安全审查技术与认证中心承担。
值得注意的是,中国证券监督管理委员会(“证监会”)作为网络安全审查的主管部门之一,将参与到制度运行和审查工作中来,并可能将对企业赴外上市活动中影响或者可能影响国家安全的因素进行重点审查。结合前不久发布的《国务院关于境内企业境外发行证券和上市备案管理办法(征求意见稿)》和证监会《境内企业境外发行证券和上市备案管理办法(征求意见稿)》,发行人在境外首次提交首次公开发行(IPO)上市申请文件后的三个工作日内,应当向证监会提交包括有关部门出具的安全评估审查意见在内的备案材料。又根据《网络安全审查办法》答记者问,网络平台运营者应当在向国外证券监管机构提出上市申请之前,申报网络安全审查。由此我们理解,证监会将在网络安全审查和备案管理两个工作机制上,形成新的监管连接点。
03《办法》的适用对象
最终通过的《办法》将申报或者接受国家网络安全审查的适用对象限定为“关键信息基础设施运营者”和“网络平台运营者”。与《修订草案》略有不同,《办法》将适用对象的合称调整为“当事人”而非“运营者”,这对于从概念上准确把握和厘清与《网络安全法》下业已存在的“网络运营者”和“关键信息基础设施的运营者”有所帮助。
与《修订草案》中采用“数据处理者”的描述方式不同,《办法》中将掌握一百万以上用户个人信息赴国外上市必须申报网络安全审查的对象范围,限缩为“网络平台运营者”。对于何为“网络平台运营者”,我们在此前的团队文章《<网络数据安全管理条例(征求意见稿)>系列解读之网络安全审查篇》中进行了相对详细的解释,而对于此次调整中所涉及两个主体之间的关系,网络平台运营者基于其提供互联网信息或者其他服务的基本属性,其首先必定属于数据处理者;而对于掌握超过一百万以上用户个人信息的“非网络平台运营者”的国外上市活动,理论上而言的确不属于需要主动申报网络安全审查的范围。不过,一方面,从实践中看,结合《网络数据安全管理条例(征求意见稿)》以及相关规范,网络数据的定义和涵盖范围非常广泛,纯粹的、不通过网络提供产品和服务的数据处理者实则较为少见;另一方面,如果依据《办法》第七条便得出“非网络平台运营者在任何情况下都无需进行网络安全审查”的结论,也有失偏颇,这是因为根据《办法》,需要进行网络安全审查的适用情形也并非仅有“主动申报”一种;而只要在上市活动中存在影响或者可能影响国家安全的情形,网络安全审查制度也可能因有关部门的主动提请而触发。
总而言之,我们判断是否适用主动申报或者接受有关部门网络安全审查的基本标准,仍是企业的经营活动(包括上市)以及相应的数据处理活动是否影响或者可能影响国家安全,而仅从审查对象的边界或者范围进行判断可能仍然是不够充分的。
04《办法》的适用情形与特定条件
1.主动申报网络安全审查的法定义务
作为一种法定义务,当符合《办法》规定的条件时,企业应当主动申报网络安全审查。根据《办法》第五条至第七条,目前在:1)关键信息基础设施运营者采购网络产品和服务,经预判该产品和服务投入使用后可能带来的国家安全风险,对于影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查;2)掌握超过一百万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查,前述两种情形下企业负有向有关部门主动申报网络安全审查的法定义务。对于违反前述要求的,有关部门可以依据《网络安全法》和《数据安全法》的规定予以处罚。
对于国外上市活动中涉及触发“主动申报”情形的规定,主要有以下几个值得关注的地方。首先,较为一目了然的是,香港特别行政区(下称“香港”)作为直辖于中央人民政府的地方行政区域,并非《办法》中规定的“国外”,因此并不属于《办法》第七条规定的需要企业主动申报网络安全审查的情形;其次,依然延续《修订草案》的用法,《办法》将“掌握”(而非“处理”)超过一百万用户个人信息的企业作为主动申报网络安全审查的义务主体。初步理解,由于“掌握”并非属于固定的法律概念,因此其更倾向于采取“实质认定”的方法,以对用户个人信息实际的控制力或者影响力为衡量,对于超过一百万用户的个人信息有实质的控制力,或者较大的影响力的企业应当符合该条规定的条件,但仍然不能完全排除接受委托处理大量个人信息的企业仍需主动申报的可能性。
此外,我们注意到部分企业在境外上市准备阶段,可能将某些涉及大量用户个人信息的业务从上市体系内剥离至上市体系外的独立数据公司,进而主张不构成掌握一百万用户个人信息的网络平台运营者,进而无需主动申报网络安全审查。对此,完成剥离与否并不必然意味着是否“掌握”了用户个人信息,是否需要主动申报网络安全审查,还需基于数据公司与上市实体间的独立性、上市实体在剥离后对于数据的权限等多个维度进行判断。但前述剥离措施依然具有较为积极的作用。一方面,参照《国务院关于境内企业境外发行证券和上市的管理规定 (草案征求意见稿)》第八条第二款规定,国务院有关主管部门可以要求剥离境内企业业务、资产或采取其他有效措施,消除或避免境外发行上市对国家安全的影响,因此,企业在国外上市前主动采取剥离措施并非是对于网络安全审查制度或者规则的规避,而是对于监管重点关注的因上市引发国家安全风险的提前响应与预防,是一种积极的降低乃至消除潜在影响的举措,同时也有可能被认定为企业采取了《办法》第十六条中规定的“预防和消减风险的措施”;另一方面,在完成剥离后,公司如未来国外上市后面临境外政府调取数据要求,能够具备对于相关数据不具备控制权从而无法提供的主张,从而避免企业上市后所掌握用户信息遭到境外政府影响、控制或调用而违背境内法律的客观困境。基于上述主张,公司亦可在申报材料中就所采取的剥离方案及未来应对国外监管调取数据要求的答复口径进行说明,从而能够一定程度加大公司通过网络安全审查的可能。
如上所述,网络安全审查制度是基于网络、数据和国家安全风险的实质判断所创立的,未来有关部门也将遵循实质风险审查和预防原则贯彻执行制度,因而企业应当摒弃任何企图通过改变上市结构等形式上规避网络安全审查的方法,而回归实质性地梳理、预判和解决相关安全风险因素的本质矛盾中来。
2.接受有关部门网络安全审查的情形
从《办法》中可以很明确地发现,触发《办法》进行网络安全审查的情形、条件并非仅限于关键信息基础设施运营者采购网络产品和服务,以及掌握超过一百万用户个人信息赴国外上市这两种属于需要企业“主动申报”的情形。根据《办法》第十六条和第十九条,网络安全审查工作机制成员单位认为存在影响或者可能影响国家安全的网络产品和服务以及数据处理活动(包含上市活动),经提请审批后可以开展网络安全审查。此外,网络安全审查办公室通过接受举报等形式发现前述情形的,也可以依法和依照相关程序,对相关主体和数据处理活动进行审查。
承前讨论,虽然企业赴港上市很可能不属于《办法》中规定的需要向有关主管部门“主动申报”网络安全审查的法定情形,但是我们仍然建议,企业在赴港上市应当履行《网络安全法》《数据安全法》等基本的网络安全、数据安全要求,并且注重识别和防范自身经营实践或者上市前后可能存在网络和数据安全风险。根据《办法》相关条文的解释,赴港上市活动其本身作为数据处理活动的具体形式之一,如果网络安全审查机制成员单位认为企业赴港上市过程中存在影响或者可能影响国家安全的因素的,可以依据《办法》第十六条提请审查。此时,企业需要积极配合相关审查流程。与此同时,该情形下接受审查的对象可能也不限于《办法》第七条规定的“网络平台运营者”。我们初步理解,在通常情况下,对于拟赴港上市的企业在进行国家安全分析时,需综合考虑所掌握的数据量级、数据敏感程度(是否涉及国家核心数据、重要数据)、企业自身所在的经营范围或者行业领域的特殊性,以及是否在日常经营或者上市前后涉及向境外提供数据等具体因素。
值得注意的是,《办法》第十六条中新增了“为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施”的相关要求。从条文解释来看,该条事实上规定有关主管部门可以依照相关要求,在进行网络安全审查期间要求企业采取的特定类型的预防和消减风险措施,以避免审查程序延误风险防范的根本目标的实现,便于提前确保国家安全。从相关实践角度,前述可以选择的措施可能包括但不限于暂时停止提供网络产品和服务、暂时移除下载链接或者停止新账号注册等。
05《办法》的审查内容与重点事项
相较于《修订草案》,《办法》第十条对于关键信息基础设施运营者网络产品和服务采购的重点评估因素并无实质修订,但对于数据处理活动及企业国外上市的评估要素做了进一步明确与扩充,具体而言:
- 明确核心数据、重要数据或大量个人信息是否“非法”出境为评估因素:相较于《修订草案》将核心数据、重要数据或大量个人信息是否出境作为评估因素,《办法》进一步明确网络安全审查重点关注的是企业非法出境行为所造成的潜在安全风险,而如企业能够按照《网络安全法》、《数据安全法》、《个人信息保护法》以及其他出境数据监管或行业监管要求,落实包括安全评估、获取用户同意在内的合规要求,对该等企业的数据出境行为将很可能不落入网络安全审查的评估范畴;
- 增加“网络信息安全风险”作为企业上市评估因素:就如何理解网络信息安全风险,我们理解《网络安全法》作为《办法》的上位法,其第四章“网络信息安全”中所规定的内容应当是评估网络信息安全风险的重要参考因素,即主要包括企业个人信息的处理及保护措施的合规情况,以及上市阶段及上市后网络信息内容传播的安全风险。
06《办法》规定的审查周期和流程
根据修订后的《办法》,网络安全审查办公室应当自收到符合《办法》第八条规定的审查申报材料起10个工作日内,确定是否需要审查并书面通知当事人。认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门自收到审查结论建议之日起15个工作日内向运营者书面回复意见。网络安全审查工作机制成员单位意见不一致的,按照特别审查程序处理,特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。
可以看出与《修订草案》相比,《办法》对于网络安全审查程序的流程及时间并未进行明显调整,仅将特别审查程序的一般审查时间由3个月修订为90个工作日,一方面从时间计算方式上与前文保持统一,另一方面进一步延长了特别审查程序的时间周期。因此我们初步计算:
- 一般程序所需时间自申报开始,最长需要10+30+15+15=70个工作日;
- 而对于特别审查程序,最长需要 70个工作日+90个工作日+n=160+n个工作日,即实际所需时间很可能达到8个月以上。
对于拟国外上市企业而言,有必要结合企业业务实践情况在上市准备阶段评估是否适用网络安全审查、审查可能适用程序及预计所需时间,并结合上述网络安全审查程序安排上市计划及时间表。
07《办法》与其他安全审查制度的衔接协调
相较于《修订草案》,《办法》第二十二条进一步规定,国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。我们理解,上述新增规定进一步明确了尽管同属于国家安全审查的范畴,但网络安全审查、数据安全审查及外商投资安全审查从监管对象、适用标准上可能仍存在一定差别。
而对于拟国外上市企业而言,我们理解上述三类审查存在同时适用的可能。这一观点也在近期公开的《国务院关于境内企业境外发行证券和上市的管理规定 (草案征求意见稿)》中得到反映,其中第八条规定:境内企业境外发行上市的,应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定,切实履行国家安全保护义务。涉及安全审查的,应当依法履行相关安全审查程序。具体而言:
- 网络安全审查:如前所述,《办法》第七条规定,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
- 数据安全审查:根据2021年9月1日实施的《数据安全法》在第二十四条规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。我们理解,如企业国外上市准备过程中同时存在影响或可能影响国家安全的数据处理活动,则有可能受到相关监管部门开展的数据安全审查。当然由于《办法》第二条同样将“影响或者可能影响国家安全的网络平台运营者所开展的数据处理活动”列入网络安全审查范围,因此数据安全审查与网络安全审查间的关系与衔接可能仍有待相关立法进一步明确。
- 外商投资安全审查:根据2021年12月27日发改委商务部联合发布的最新2021年负面清单, 禁止投资领域业务的境内企业到境外发行股份并上市交易的应当经国家有关主管部门审核同意。因此,如本身涉及从事外商投资准入限制行业的企业(例如测绘、义务教育等)计划赴国外上市,还应同时通过有关主管部门的审核同意。
总结
自《网络安全法》时代以来,我们渐渐地认识到,与网络文明进步相伴的往往也是新型安全风险与隐患,而原来仅聚焦于关键信息基础设施运营者采购网络产品和服务中安全防范的网络安全审查制度,也需要随之更新,并不断丰富风险应对的工具箱。在落实总体国家安全观下的指引下,此次修订调整后的《办法》的正式颁布和出台,无疑将在网络安全、数据安全等非传统安全问题的治理领域,为保护国家安全筑起一道更为坚实的防护墙。
而此次网络安全审查制度的调整和落地,对于企业而言也意味着新的机遇。深入认识和提前预防在网络运营、数据处理乃至上市活动中的相关国家安全风险,在满足条件或者符合要求时积极履行申报或者接受网络安全审查义务,秉持安全为本的理念下不断促成和实现自身发展与社会总体福利增长,将成为一个负责任的社会参与者、建设者和贡献者应当肩负起的法律职责。
*本文对任何提及“香港”的表述应解释为“中华人民共和国香港特别行政区”。