海外及赴港上市企业影响：《网络安全审查办法》解读

《网络安全审查办法》（以下简称《办法》）在2020年4月发布版本的基础上修订，并于2022年1月4日发布。修订后的《办法》将于2022年2月15日起生效实施。

划重点：

1、不论网络平台运营者或关键信息基础设施运营者是否赴国外或香港上市，但凡其涉及影响或者可能影响国家安全，均需要进行网络安全审查。

2、掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须申报网络安全审查。

3、重点1涵盖范围以外的企业，赴香港上市不需要进行网络安全审查。

《网络安全审查办法》关注重点解读

本次《办法》主要针对两大类主体进行要求，一类是网络平台运营者，另一类是关键信息基础设施运营者。

依据2021年11月国家互联网信息办公室（以下简称“网信办”）起草的《网络数据安全管理条例（征求意见稿）》，网络平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。

依据2021年7月发布的《关键信息基础设施安全保护条例》，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。关键信息基础设施运营者，则是指这些重要网络设施和信息系统的所有者、管理者和服务提供者。

本次《办法》不仅关注数据处理活动的安全性，同时也重视关键信息基础设施的供应链安全，即，其所采购的网络产品和服务的安全性。

早在2016年11月发布的《中华人民共和国网络安全法》（以下简称《网安法》）第三十五条中已规定，关键信息基础设施运营者所采购的可能影响国家安全的网络产品和服务，需通过国家安全审查。而本次《办法》也对该要求进行了进一步细化。

对于作为关键信息基础设施运营者的企业来说，企业向网络产品和服务提供者（以下简称“供应商”）采购产品和服务前，需预判所采购的网络产品和服务可能带来的国家安全风险。涉及影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

采购网络产品和服务时，企业需通过采购文件、协议等，要求供应商配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。

网络安全审查过程中，企业和供应商需予以配合。企业也需督促供应商履行网络安全审查中作出的承诺。

根据《网安法》与《关键信息基础设施安全保护条例》规定，关键信息基础设施运营者采购可能影响国家安全的网络产品和服务，未按照国家网络安全规定进行安全审查的，由有关主管部门依据职责责令改正，处采购金额1倍以上10倍以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。

综上，属于关键信息基础设施运营者范畴内的企业，不论是否赴国外上市，都应尽早梳理其所采购的网络产品和服务，预判相关产品与服务的安全性，视情况按要求及时申报网络安全审查。

网络安全审查的申报与审查流程

国家网信办下设网络安全审查办公室。网络安全审查办公室负责制定网络安全审查相关制度规范，组织网络安全审查。企业可主动申报进行网络安全审查，或是经由网络安全审查工作机制成员单位认定涉及影响国家安全，履行程序接受网络安全审查。

企业申报网络安全审查，需向网络安全审查办公室提交以下材料。

网络安全审查流程主要分为一般审查程序和特别审查程序。申报当事人提交审查申报材料后，网络安全审查办公室视情形履行审查程序，最终将网络安全审查结论书面通知当事人。

网络安全审查的重点评估因素主要包括如下七个方面：

赴香港上市企业注意事项

虽然本次《办法》中仅着重提到了“赴国外上市”企业需申报网络安全审查，而未对“赴香港上市”企业的网络安全审查作单独要求。但结合之前《网安法》《数据出境安全评估办法（征求意见稿）》《网络数据安全管理条例（征求意见稿）》等法规提及内容以及《中华人民共和国出境入境管理法》中对于“国外”与“境外”的定义，需提请赴港上市企业注意，即使无需进行网络安全审查，当自身存在数据跨境传输行为时，也需要开展数据出境安全评估。以《网络数据安全管理条例（征求意见稿）》为例，其中对于数据出境安全报告的要求如下：

对于数据出境安全评估的解读暂时依据《网络数据安全管理条例（征求意见稿）》，相关政策法规需以正式发文内容为准。

给拟境外上市企业的建议

近半年来，国家针对网络安全、数据安全方面的法规不断更新，同时呈现愈发严格的趋势。

对于预计赴境外上市的企业来说，建议尽早评估自身是否属于关键信息基础设施运营者、处理超过100万用户个人信息的网络平台运营者及是否涉及影响国家安全，尽快开展网络安全自查，并按要求及时申报网络安全审查。出于谨慎考虑，对于计划赴港上市的企业，即使不涉及国家安全问题，仍建议尽快开展数据安全及数据出境安全评估，未雨绸缪，为上市计划做好充分准备。

从帮助企业打好网络安全与数据安全基础，做好风险控制及自评估工作的角度，建议企业：

安永持续关注和解读政策要求，结合实际案例经验，为赴国外及香港上市企业提供年度网络数据安全合规审计、数据出境风险自评、安全审查及备案协助方面的服务。

声明：本文来自安永EY，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。