2022年2月15日，国家互联网信息办公室（以下简称“网信办”）等十三部门联合修订发布的《网络安全审查办法》（以下简称“《办法》”）正式实施。自此，“网络平台运营者开展影响或可能影响国家安全的数据处理活动”及“掌握超过100万用户个人信息的网络平台运营者赴国外上市”均需进行网络安全审查，标志着我国网络安全审查进入新阶段。

网络安全审查制度在我国首次引起广泛关注是2021年7月2日和5日，网信办分别对滴滴出行、运满满、货运帮、BOSS直聘等4个当年6月赴美上市公司旗下的APP启动网络安全审查，审查期间停止新用户注册。紧随其后，7月10日，网信办发布《网络安全审查办法（修订草案征求意见稿）》（下称“《修订草案》”），公开征求意见，并于6个月后，即2022年1月4日发布修订后的正式稿，在“确保关键信息基础设施供应链安全”之外，新增“保障网络安全和数据安全”作为审查目的，并大幅扩大网络安全审查范围，间接回应了关于对滴滴出行等启动网络安全审查的依据的疑问。

企业无论经营领域或是规模大小，均离不开数据处理与网络运营，网络安全审查则是关键性的监管新规。鉴于相关修改与企业赴国外上市以及数据处理活动密切相关，本文将立足实务，结合企业的关注重点，对《办法》进行解读，以期为企业提供清晰的合规指引。

旧《办法》中的网络安全审查范围仅包括“影响或可能影响国家安全的、关键信息基础设施运营者实施的网络产品和服务采购活动”以及“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务”。而新《办法》则将审查范围从两类扩至了四类，并将适用主体在关键信息基础设施运营者（下称“CIIO”）之外，增加了“网络平台运营者”，但是，依职权审查的情况下可能不限于这两类主体。

根据《网络安全法》的规定，关键信息基础设施（下称“CII”）是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施”。实践中，CII由主管部门主动认定，并通知相关运营者。

根据《办法》第一条，之所以要对CIIO影响或可能影响国家安全的网络产品和服务采购活动进行审查，是为了保障CII的供应链安全。

为此《办法》专门规定的重点审查因素包括：“产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险”“产品和服务供应中断对关键信息基础设施业务连续性的危害”“产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”“产品和服务提供者遵守中国法律、行政法规、部门规章情况”等。

根据网信办发布的《<办法>答记者问》，《办法》将“网络平台运营者开展的、影响或者可能影响国家安全的数据处理活动”新纳入网络安全审查范围的依据是2021年9月1日正式施行的《数据安全法》建立的数据安全审查制度。该法第二十四条规定；“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”需要注意的是，网络安全审查与数据安全审查并不等同。根据《办法》：“国家对数据安全审查、外商投资安全审查另有规定的，应当同时符合其规定。”

关于“网络平台运营者”“数据处理活动”的定义。首先，与《修订草案》中采用“数据处理者”的描述方式不同，《办法》将掌握100万以上用户个人信息赴国外上市必须申报网络安全审查的对象范围，限缩为“网络平台运营者”。对于何为“网络平台运营者”，《办法》并未给出明确的定义，其他法律法规中也未有提及，与之最为相近的是2021年11月14日网信办发布的《网络数据安全管理条例（征求意见稿）》中第七十三条的规定：“互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。”网络平台运营者是否等同于互联网平台运营者，有待相关部门发布权威解释或在实践中予以明确。其次，“数据处理活动”包括数据的收集、存储、使用、加工、传输、提供、公开等活动。

与该审查事项相对应的重点审查因素是《办法》新增的：“核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险”。核心数据、重要数据的概念源自《数据安全法》和《网络安全法》。核心数据是指“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”，目前认定细则尚未出台；各地区、部门以及相关行业、领域的重要数据具体目录，由各地区、各部门应当按照数据分类分级保护制度确定。根据《个人信息保护法》，个人信息是指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。

“掌握超过100万用户个人信息的数据处理者赴国外上市，必须向网络安全审查办公室申报网络安全审查”是本次修订最受关注的条款之一，也是继滴滴事件之后，我国通过立法形式明确表达的，对境内企业赴国外上市可能引发的数据及国家安全问题的担忧。申报时间方面，根据《<办法>答记者问》[1]，网络平台运营者应当在向国外证券监管机构提出上市申请之前，申报网络安全审查。

这一规定或可视为对美国2020年底通过的《外国公司问责法案》（Holding Foreign Companies Accountable Act，下称“HFCAA”）的回应。HFCAA要求在美国上市的外国企业，主要是中国企业，提供审计工作底稿，以供美国公众公司会计监督委员会（PCAOB）审计。如果连续三年未能通过审计，则必须退市。由于中国出于国家机密、信息安全和国家主权的考虑，明令禁止审计底稿出境，因此中美监管政策存在直接冲突。在此背景下，我国设置此项赴国外上市的前置性审批条件，侧面反映了我国在数据、国家安全问题上的强硬立场。由于《办法》使用的措辞是国外，而非境外，赴港上市并不包含在内，实践中，许多中概股企业已启动回香港二次上市流程。

值得注意的是，尽管赴港上市并不会因符合“掌握超过100万用户个人信息的数据处理者赴国外上市”触发网络安全审查，但是如果平台企业赴港上市，经分析认为因数据披露等原因，影响或者可能影响国家安全，仍可能因满足“网络平台运营者开展数据处理活动，影响或者可能影响国家安全”触发申报义务。这一点也明文规定在了《网络数据安全管理条例（征求意见稿）》中。

与该新增审查事项相配套，《办法》在网络安全审查申报材料中新增了“拟提交的首次公开募股（IPO）等上市申请文件”，在审查因素中新增了“上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险”，并在审查机关中新增了“中国证券监督管理委员会”。

除前述三项明确纳入网络安全审查范围的事项外，《办法》第十六条还规定，监管机构对于其认为“影响或者可能影响国家安全的网络产品和服务以及数据处理活动”，可以依职权启动审查。由于该条款并未限定被审查的主体，因此不排除监管机构可能依职权对非CIIO及非网络平台运营者进行网络安全审查。

另外，第十九条规定：“网络安全审查办公室通过接受举报等形式加强事前事中事后监督”。实践中，举报可能会导致依职权启动的审查。

如前所述，网络安全审查的启动方式包括两种：（1）主动申报；（2）依职权启动。

关于主动申报，掌握超过100万用户个人信息的数据处理者赴国外上市，必须申报；CIIO采购网络产品和服务或网络平台运营者开展数据处理活动，只有经自主预判、分析认为影响或可能影响国家安全，才需要申报。

关于依职权启动，《办法》第十六条规定：“网络安全审查工作机制成员单位认为网络产品和服务以及数据处理活动影响或者可能影响国家安全，且经中央网络安全和信息化委员会批准，依照本办法的规定进行审查。”

根据《办法》，在中央网络安全和信息化委员会的领导下，国家网信办会同发改委、工信部、公安部、国安部、财政部、商务部、央行、国家市场监管总局、广电总局、证监会、国家保密局、国家密码管理局等13部门共同建立国家网络安全审查工作机制。网络安全审查办公室具体负责制定网络安全审查相关制度规范，组织网络安全审查。

根据《<办法>答记者问》：“网络安全审查办公室设在国家互联网信息办公室，具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下，承担接收申报材料、对申报材料进行形式审查等任务。中国网络安全审查技术与认证中心设立网络安全审查咨询窗口。”

下图表展示了企业主动申报情况下的审查流程，依职权启动审查参照适用。

值得注意的是，《办法》将特别审查程序（即在出现网络安全审查工作机制成员单位、相关部门意见不一致情况时，需征求有关部门意见并报中央网络安全和信息化委员会批准的情况）的期限从45个工作日延长至了90个工作日。

在《办法》的规定下，一般情形的网络安全审查将在启动后60个工作日（45+15）内完成，进入特别审查程序的周期则可能长达7个月（45+15+90工作日内），甚至更久。考虑到网络安全审查办公室要求提交补充材料的时间不计入审查时间，实践中企业应对网络安全审查的实际期限将更加漫长，建议有关企业将可能触发的网络安全审查期限充分考虑在商业计划的时间表内。

从对滴滴出行等启动网络安全审查，到颁布《修订草案》，再到颁布生效稿，其间仅历时6个月。这既有《数据安全法》等新颁布的上位法自上而下的推动，也有网络安全审查主体基于对滴滴出行、BOSS直聘等企业的具体审查总结经验自下而上完善，使得网络安全审查制度在实践探索中升级。[2]

随着网络安全审查范围的扩大，以及证监会被新增为网络安全审查工作机制成员单位之一，平台企业，尤其是赴国外上市的平台企业，应高度重视网络安全审查问题，尽早评估是否触发相关申报义务，并将审查时间充分考虑在商业计划的时间表内。如“掌握超过100万用户个人信息”且“赴国外上市”，则必须主动申报；如“开展数据处理活动”，且经评估认为“影响或可能影响国家安全的数据处理活动”，也应主动申报，以避免可能的被依职权启动审查，延误交易进度。

[1]《网络安全审查办法》答记者问，http://www.gov.cn/zhengce/2020-05/07/content_5509544.htm。

[2]专家解读｜用全面发展辩证的眼光看待《网络安全审查办法》，http://www.cac.gov.cn/2022-02/17/c_1646738974547304.htm。