专家解读网络安全审查办法 有力夯实国家数据安全保障基石

当前，数据是国家新的生产要素和基础战略资源的代表，数据安全已成为确保网络强国建设、为数字经济发展保驾护航的安全基石。自2022年2月15日起，由国家互联网信息办公室等十三部

当前，数据是国家新的生产要素和基础战略资源的代表，数据安全已成为确保网络强国建设、为数字经济发展保驾护航的安全基石。自2022年2月15日起，由国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》(以下简称新版审查办法)正式生效。新修订的内容聚焦数据处理活动，聚焦国家数据安全风险，明确了运营商出国上市的网络安全审查要求，为构建和完善国家网络安全审查机制、有效维护国家安全提供了有力抓手。

一、审核对象新增数据处理活动，突出境外上市申请和审核

(一)影响或者可能影响国家安全的数据处理活动属于审查范围与上一版《审查办法》相比，新版《审查办法》要求网络平台经营者开展数据处理活动，影响或者可能影响国家安全的，应当按照新版《审查办法》进行网络安全审查。这意味着，除了关键信息基础设施运营企业采购网络产品和服务外，网络运营企业开展的影响或可能影响国家安全的数据处理活动也将在网络安全审查范围之内。

影响或者可能影响国家安全的数据处理活动，可以从数据处理活动是否存在或者涉嫌危害国家安全，或者是否存在国家安全风险等方面进行判断。比如拥有100万用户个人信息的运营商出国上市，拥有核心数据或重要数据的运营商出国上市，拥有中国禁止或限制出口技术的运营商出国上市。互联网平台运营者聚集大量关系国家安全、经济发展、公共利益的数据资源，一旦实施合并、重组、分立等可能影响或可能影响国家安全的数据处理活动，可能成为网络安全审查的对象。

(二)用户个人信息百万以上的经营者出国上市应申报审查新版审查办法明确规定，用户个人信息百万以上的网络平台经营者出国上市必须申报网络安全审查。根据国务院《境内企业境外发行上市管理条例(征求意见稿)》和中国证监会公布的《境内企业境外发行上市管理办法(征求意见稿)》，境外上市的主体涉及境内企业境外直接上市和境内企业境外间接上市。其中，直接发行上市是指在中国境内注册的股份有限公司在境外发行证券或者其证券在境外上市交易；间接上市是指主要经营活动在中国境内的企业，以境内企业的股权、资产、收益或其他类似权益为基础，在境外发行证券或以境外企业的名义在境外上市交易证券。

境外上市的方式或途径，

包括但不限于首次公开发行股票并上市(IPO)、特殊目的公司收购(特殊目的收购公司)上市、借壳上市、境内企业资产通过一项或多项收购、换股、转让等交易安排在境外直接或间接上市。境内上市公司拆分境内企业到境外上市，境内上市公司以境内上市股份作为其在境外的证券。此外，新版《审查办法》虽未提及赴港上市，但用户个人信息超过100万条的运营商仍应按照数据出境安全评估相关规定进行评估。

二。审查评估重点关注国家数据安全风险因素

运营商影响或可能影响国家安全的数据处理活动，可能带来多种国家数据安全风险。新版《审查办法》在供应链安全风险评估的基础上，增加了国家数据安全风险因素评估。

(一)数据被窃取、泄露、损坏、非法使用、非法出境的风险

经营者对核心数据、重要数据、大量个人信息进行数据处理活动时，一旦数据被窃取、泄露、损坏、非法使用、非法出境，可能对国家安全或者公共利益造成直接风险:

第一，数据窃取或泄露

。

由于黑客攻击、员工盗窃、数据安全能力不足、内部非法操作、非法共享等原因，处理后的核心数据、重要数据或大量个人信息可能被窃取、未经授权或非法泄露。

第二，数据损坏

。

处理过的核心数据、重要数据或大量个人信息被违规篡改、销毁或丢失，危及数据的完整性和可用性。

第三，非法使用数据。

例如，大型网络平台运营者可能会收集大量与国家安全、公共利益或个人权益相关的数据。一旦大数据技术被滥用，对他们掌握的大量敏感数据进行分析和挖掘，并任意分享或发布，就可能对国家安全或公共利益造成威胁。

第四，数据非法出境。

根据我国数据安全法律法规的要求，关键信息基础设施运营者、重要数据处理者、100万以上用户个人信息运营者等的个人信息和重要数据，应通过国家网信部门组织的数据出境安全评估。

(二)外国政府的影响、控制、恶意使用与网络信息安全风险

随着《美国外国公司责任法案》的实施，美国证券交易委员会(SEC)要求在美国上市的外国公司披露是否由政府实体所有或控制，是否存在监管环境风险。同时，审计公司需要接受美国上市公司会计监督委员会(PCAOB)的检查，并对上市公司进行披露。在此背景下，海外上市的运营商将面临更多的国家数据安全风险，如关键信息基础设施被外国政府影响、控制和恶意利用的风险；境外监管机构转移上市公司敏感数据，导致核心数据、重要数据或大量个人信息被境外政府影响、控制或恶意利用的风险；网络舆情被境外机构操纵的风险；上市公司控制权发生重大变化等。

三。总结新版考试办法的发布，将国家数据安全治理推向了一个新阶段。网络运营者在开展核心数据、重要数据和大量个人信息的数据处理活动时，应当强化国家安全意识，预测数据处理活动可能带来的国家安全风险，对影响或者可能影响国家安全的，应当及时向网络安全审查办公室报告甚至申请网络安全审查，积极防范可能出现的国家安全风险。我国网络安全审查制度的不断完善，将为我国数据安全和网络安全保障体系建设奠定坚实基础。