.png)
.png)
.png)
.png)
作者:王华
2022年6月23日,网络安全审查办公室约谈同方知网(北京)技术有限公司负责人,宣布对知网启动网络安全审查。自2021年7月网络安全审查办公室对滴滴开展网络安全审查以来,时隔一年,这又是一次重量级的审查,针对的是我国著名的知识基础设施平台。同时,我们从公开的信息中注意到,知网被调查的原因为“知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我国重大项目、重要科技成果及关键技术动态等敏感信息“。可见,知网被网络安全审查可能涉及到重要数据和敏感数据的处理活动。
在网络安全、数据安全日益重要的今天,企业有必要了解什么是网络安全审查,明晰网络安全审查的对象和范围、触发条件和程序,以便自身合规经营。本文对此进行一一解读。
网络安全审查的对象
《网络安全审查办法》自2022年2月15日起施行,该办法开宗明义首条明确规定,“确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全制定本办法”。该办法的上位法为《国家安全法》、《网络安全法》和《数据安全法》,宗旨是为了维护在网络安全、数据安全领域的国家安全。
网络安全审查的对象为,关键信息基础设施运营者和网络平台运营者,当二者采购网络产品和服务或者开展数据处理活动出现影响或者可能影响国家安全的情形时,应当进行网络安全审查。对于关键信息基础设施运营者,主要考察其购买网络产品和服务是否影响国家安全;对于网络平台运营者,则主要考察其数据处理活动是否影响国家安全。
关键信息基础设施运营者,《网络安全法》和《关键信息基础设施保护条例》已给出了明确的定义,是指重要行业和领域的经营者,包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等,以及其他影响国家安全、国计民生、公共利益的重要网络设施、信息系统等的经营者。
而对于网络平台运营者的具体含义未有准确的定义,结合目前已出台的法律包括法律征求意见稿,与之比较接近的概念为《网络数据安全管理条例(征求意见稿)》中的”互联网平台运营者“,即为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。[1]《国务院反垄断委员会关于平台经济领域的反垄断指南》中规定,平台经营者是指向自然人、法人及其他市场主体提供经营场所、交易撮合、信息交流等互联网平台服务的经营者。[2]因此,不难看出,网络平台运营者的服务面向广大公众用户, 例如大型购物平台、支付平台、出行服务平台等。由于网络平台运营者的服务群体广泛,运营过程中产生海量数据,可能影响到国家安全和社会公共利益,也属于网络安全审查的对象。
网络安全审查的重点内容
网络安全审查重点评估的风险因素包括以下方面:
A 关键信息基础设施的使用风险、断供风险
(1)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
(2)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(3)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
B 关键信息基础设施的供应商合规风险
产品和服务提供者遵守中国法律、行政法规、部门规章情况;
C 核心数据、重要数据、大量个人信息被非法获取、出境的风险
核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
D 上市风险
上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
E 其他风险
其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
网络安全审查的触发条件
关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险,如果预判影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
其中,掌握超过100万用户个人信息中的“100万用户个人信息”,其计算方式当以个人信息的主体数量进行计算,而不是指个人信息条数。再者,从文义上看,“赴国外上市”应当不包括赴港上市。因此,根据目前的规定,赴香港上市并不必然触发网络安全审查。但是,我们也注意到,《网络数据安全管理条例(征求意见稿)》要求赴港上市的数据处理者,如果影响或者可能影响国家安全的,则需要申报网络安全审查。[3]此外,如果赴港上市确有影响到国家安全,监管机构可以依职权进行网络安全审查,因此,赴港上市仍不能排除要进行网络安全审查的可能性。
根据《网络安全审查办法》,网络安全审查工作机制成员单位认为有影响或者可能影响国家安全的情形,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照办法规定进行审查。另外,网络安全审查办公室还可以通过接受举报等形式进行监督。
网络安全审查的流程
《网络安全审查办法》规定了审查流程,如下:
第一步:当事人向网络安全审查办公室递交网络安全审查材料,包括申报书;关于影响或者可能影响国家安全的分析报告;采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;其他材料。
第二步:网络安全审查办公室自收到符合规定的审查申报材料起10个工作日内,确定是否需要审查,并书面通知当事人。
第三步:网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。
第四步:网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。
第五步:网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。
第六步:按照特别审查程序处理的,特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。
按照以上流程,对于一般审查程序,需要的时间为自提交申报材料70个工作日,特殊审查程序需要另增90个工作日,另外考虑复杂情形需增加的时间以及当事人补充提交资料所需的时间,企业在进行重要交易之前及有境外上市计划之时应充分考虑以上网络安全审查时间对商业安排的影响。
结论和建议
从去年滴滴经历网络安全审查这一事件,折射出大型互联网平台大规模收集、存储并违规出境我国公民个人信息风险,以及其他国家将提供数据作为市场准入和资本上市的前提条件,以此获取我国敏感数据,可能影响到我国网络安全和国家安全。现在,知网被网络安全审查似乎也是牵涉到重要数据和敏感数据的处理活动。
当前,《网络安全法》《数据安全法》《个人信息信息保护法》三驾马车奠定了我国网络安全、数据安全、个人信息保护的基石,近年来国家相继出台大量配套法律、法规和规章,在维护我国网络空间安全、数据主权、个人信息主体权益方面提供强有力的监管支持。对于企业来说,数据合规已逐渐成为必选项。对于大型的网络平台企业和涉及国计民生行业的大型国企央企,应高度重视《网络安全审查办法》,不仅应了解自身是否属于适用对象,对日常经营中的数据处理活动、采购网络产品和服务是否会涉及到国家安全影响风险要及时掌握、化解,并及时主动申报网络安全审查,以避免被动审查对重大交易的商业安排产生不利影响。
注释
[1]《网络数据安全管理条例(征求意见稿)》第七十三条
[2]《国务院反垄断委员会关于平台经济领域的反垄断指南》第二条
[3]《网络数据安全管理条例(征求意见稿)》第十三条
