(网经社讯)7月10日，国家互联网信息办公室发布关于《网络安全审查办法（修订草案征求意见稿）》公开征求意见的通知。其中明确提出，掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。对此，网经社电子商务研究中心为您带来律师解读。

网经社电子商务研究中心特约研究员、大成律师事务所合伙人孙鹏程律师观点：

《网络安全审查办法》征求意见稿的核心是把数安法的数据安全审查制度进行落地。此前网络安全审查主要关注的是供应链安全，这次增加了数据处理活动，也就是数据安全法中提到的数据安全审查制度，明确了网络安全审查包含了数据安全审查的内容。

个人信息保护法二次审议稿中规定，“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。”如今征求意见稿“100万用户个人信息”这个标准综合考虑了中国互联网产业发展的实际情况、批量个人信息泄露后对国家安全、公共利益带来的影响而确定的。这一标准也是第一次在部门规章层面明文出现。

在网络安全审查重点评估主要考虑的因素方面，增加了数据处理活动以及国外上市可能带来的国家安全⻛险，包括“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的⻛险；国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的⻛险。”企业在国外上市必然带来数据跨境的问题。当然，并不是说只要有数据跨境流动就会带来安全风险，但如果企业在经营过程中会收集产生大量国家核心数据、重要数据和批量个人信息，然后在国外上市，同时可能受到国外法律的监管时，那么数据的出境安全风险就必须慎重对待。

网经社电子商务研究中心特约研究员、上海正策律师事务所董毅智律师观点：

加强对境外上市公司的监管，网信办将在起草相关规定方面发挥积极作用，这些规定涉及哪些信息对国家安全至关重要，企业不应向外国监管机构披露。这可能使中国的规则与美国监管机构制定的规则更加不一致，从而令中国公司更加难以同时满足两边的要求。

美国证券交易委员会已采取措施，试图获得更多的机会来审计中国公司，一些中国公司进行了抵制，称中国的法律禁止其向美国监管机构提交审计底稿。分析师们指出，许多中国公司可能因此从美国股市退市。

可以预见，后续网信办还将与证券监管机构和其他部委合作，修订长久以来实施的针对可变利益实体(VIE)的规则。这种称为VIE的公司架构使外国投资者能在不直接拥有公司投票权股份的情况下，入股中国科技业和其他敏感行业的公司。

网经社电子商务研究中心特约研究员、垦丁律师事务所联合创始人麻策律师观点：

《网络安全审查办法》自2017年首次颁发以来，短短四年间就实施了两次大的修订，足以说明网络安全审查制度面临诸多争议和难度，也说明了国家对于该法的重视。建议应当将《网络安全审查办法》标题进行修订，例如调整为《安全审查办法》，否则审查的对象到底是网络安全、国家安全还是数据安全，这是不相归属于不同部门，其上位法发生了混乱，内容仍然有必要进行清楚的界定和划分。

网经社电子商务研究中心特约研究员、北京市奕明律师事务所李广兴律师观点：

这个办法总体指导思想是严管，网络安全核心要素是数据安全，是网络安全法以及数据安全法操作层面的细化。随着办法的出台和执法的开展不仅对互联网行业、企业有重大影响，对股权投资市场也会有重大影响，尤其外资。

网经社电子商务研究中心特约研究员、泽大律师事务所马恺浓律师观点：

大数据时代，数据安全对国家安全及社会公众利益至关重要，一旦数据被他国控制，后果不堪设想。从七月初，国家对几个赴美上市的平台型企业启动网络安全审查，到今日重新修订《网络安全审查办法》，可见，之前官宣的网络安全审查与APP下架均与数据出境等数据安全问题相关。

值得注意的是，这些平台型企业均掌握了大量的个人信息等大数据，一旦泄露，结果不堪设想。且这些企业集中在已经公布的《数据安全法》正式施行前赴美上市，可能有规避法律、规避网络安全审查的嫌疑。

网经社电子商务研究中心特约研究员、浙江泰杭律师事务所主任汪政律师观点：

国家网信办继通知下架“滴滴出行”app并发出整改通知一周内又发布关于《网络安全审查办法（修订草案征求意见稿）》（以下简称《意见》）公开征求意见的通知。明确提出，掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。该《意见》出台的法律基础在于《网络安全法》《个人信息保护法（草案）》及《数据安全法》，保护的领域包括国家安全和公民个人信息安全。根据国外上市规则及监管要求，一旦国内的互联网公司在海外上市必须服从包括美国证监会在内的境外机构审查要求，这样就不可规避的产生信息泄露风险（尤其包括公务人员、安全人员等特殊人群及其家属）。

为此，国家出台该《意见》新增条款无论从立法、执法、司法及运营者守法角度均是完全有必要的。作为平台运营者未来资本市场路径设计应将目标市场转回国内科创及中小板等融资路径，以免造成因法律政策调整造成的战略决策失误和投资损失。

网经社电子商务研究中心特约研究员、广州金鹏律师事务所詹朝霞律师观点：

从2021年起，通过安全审查将是大型互联网企业发展的第一要务。总书记说过“没有网络安全就没有国家安全”。 通过对国家互联网信息办公室2021年7月10日发布的《网络安全审查办法》（征求意见稿，以下简称“《办法》”）的解读，詹律师认为将有以下几大变化，值得所有互联网平台和数据运营企业关注：

1）制定的背景和上位法中增加了《中华人民共和国数据安全法》。一者是因为网络安全从最初的信息安全、设备安全到最终归于数据安全，随着网络大数据时代的来临，数据安全才是网络安全最重要的抓手和核心，引入数据安全法，为网络安全审查提供更确切的法律依据，也是为大面积开展网络安全审查做好相应的准备；二者，《办法》极有可能与《数据安全法》于9月1日一并生效实施，届时，《国家安全法》《网络安全法》《数据安全法》将强有力地保障我国网络空间的安全，并通过《办法》等一系列制度落地执行。

2）《办法》第二条除规定安全审查的对象除了“关键信息基础设施运营者”外，增加了“数据处理者”，只要认为影响或可能影响国家安全的，都应当进行网络安全审查，这就扩大了安全审查的范围，即不仅仅是设施的运营者还有数据的处理者，当然这两者究竟包括哪些单位，到底自己的企业该不该申请审查，目前尚未有详细的范围，但可以肯定的是，数据安全和网络安全已经是互联网企业必须严格遵守执行的，就好比生产企业理应遵守的安全生产法规一样，这是互联网企业经营基本的法律责任，不能忽视更容不得半点马虎敷衍。

3）《办法》第六条规定，“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”，由此可见，将来互联网公司去海外上市，必须经网络安全审查，通过后才能出海。这将重新构造互联网企业上市的路径，对互联网企业的发展尤其是希望通过各种VIE进行融资或去海外上市的互联网企业将产生重大甚至是根本性影响。

4）在数字经济时代，互联网平台数据不再处于无人监管的境地，无论是经营数据消费数据还是用户个人隐私的数据亦或是涉各级政务数据或其他涉国家安全数据，都属于监管之列。

5） 《数据安全法》仅将网络数据安全划归国家网信部门监管，因此该《办法》仅限于对网络数据进行安全审查。

6）《办法》的修订意味着大型互联网企业要发展壮大，首先应该进行网络安全建设和数据安全建设，建立强有力的安全保障体系，并自主申报，通过安全审查，否则，有可能依照《网络安全法》和《数据安全法》受到相应的处罚；《数据安全法》第二十四条规定“依法作出的安全审查决定为最终决定”，这意味着对企业进行的数据安全审查不得提起行政复议、行政诉讼，毕竟任何时候，国家安全、民生安全至高无上。