(网经社讯)2022年1月4日，十三部门联合修订并发布了《网络安全审查办法》（以下简称《办法》），自2022年2月15日起施行。原《办法》自2020年6月1日施行以来，通过对关键信息基础设施运营者采购活动进行审查和对部分重要产品等发起审查，对于保障关键信息基础设施供应链安全，维护国家安全发挥了重要作用。2021年9月1日，《数据安全法》正式施行，明确规定国家建立数据安全审查制度。基于上述情形，国家有关部门对《网络安全审查办法》进行了修订，将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围，并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查，主要目的是为了进一步保障网络安全和数据安全，维护国家安全。

以下是本团队对于此次新《办法》条文的理解，为个人见解，仅供探讨交流。

壹：修订要点及初步解读

第一条 为了确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全，根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》，制定本办法。

【理解】此次修订，一方面是因实施一年多的原《办法》在面临新的网络数据安全挑战情况下需做调整；另一方面也是为了与在2021年9月1日施行的《中华人民共和国数据安全法》衔接，增加后者作为制定依据。表明本次修订的重要目的，是通过完善网络安全审查制度及机制，加强对数据安全相关行为的规范。另外，《办法》还在征求意见稿的基础上，增加了《关键信息基础设施安全保护条例》作为依据。此次修订，不仅仅是法律法规之间的衔接要求，更是切实强化网络与数据安全，维护国家安全的重要举措。

第二条 关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。

前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。　

【理解】该条明确界定了《办法》的针对主体是关键信息基础设施运营者和网络平台运营者。原《办法》规定开展网络安全审查，针对的是关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的行为。而《办法》增加了网络平台运营者开展数据处理活动，影响或者可能影响国家安全的行为，同样需进行网络安全审查。本次修订，对管理范围将有极大拓展，无论在规范主体、规范行为两大方面都有所扩大。结合2021年国家行政主管部门先后宣布对多家互联网公司进行网络安全审查的现状，《办法》施行后，除关键信息基础设施运营者之外的其他网络平台运营主体，若涉及到数据处理活动，行政主管部门都可在数据安全执法过程中将其列入网络安全审查的范围。

第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。

【理解】该条文涉及网络安全审查的具体原则，包括了既要防范网络安全风险，也要促进先进技术的应用，两者相辅相成；既要保证审查过程中的公正和透明，也要保护企业的知识产权，防止在此过程中导致内部商业模式及商业秘密被泄漏；既要注重事前审查，及时发现问题并纠正，同时也要在事后做持续的有效监管；既要保证企业在审查过程中予以承诺，同时也需要保障社会的监督。基于上述原则，网络安全审查的具体内容包括：1、产品和服务的安全性；2、数据处理活动的安全性；3、可能带来的国家安全风险。

第四条 在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。　　

网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。

【理解】此次修订，在原《办法》的基础上，将中国证券监督管理委员会（以下简称“证监会”）纳入国家网络安全审查工作机制成员单位。在原12个部门基础上增加了证监会，反映出国家对企业在国外上市所带来的数据安全问题的高度关注。2021年7月6日，中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》（“《意见》”）。《意见》明确要进一步加强跨境监管执法司法协作，对跨境监管合作、中概股监管、法律域外适用制度提出一系列指导意见，体现了国家日益重视境外上市公司的相关风险，严加管理跨境数据流通安全。另外，证监会会同国务院有关部门对《国务院关于股份有限公司境外募集股份及上市的特别规定》（国务院令第160号）提出了修订建议，并于2021年12月24日起草发布了《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》（以下简称《管理规定》），同步起草了《境内企业境外发行证券和上市备案管理办法（征求意见稿）》。其中，《管理规定》第五条规定：发行人应当在境外提交首次公开发行上市申请文件后3个工作日内，向中国证监会提交备案材料。因此，本条这也是此次修订的一个重要内容。

第五条 关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。

【理解】对于关键信息基础设施的运营者，在采购网络产品和服务过程中，应当以国家安全为中心，对于该产品和服务投入运营之后可能产生的风险进行提前预判。如果将实际影响或者可能影响国家安全的，应当向国家安全审查办公室主动申报请求进行网络安全审查。这是关键信息基础设施运营者主动发起网络安全审查的条款依据，与第七条掌握超过100万用户个人信息的运营者赴国外上市主动申报，以及第十六条规定的被动审查制度，形成了一个完整的国家安全审查制度。另外，13个部门中与关键信息基础设施保护直接相关的工作部门，可以制定本行业、本领域预判指南，便于不同行业、领域的关键信息基础设施的运营者提前进行预判。

第六条 对于申报网络安全审查的采购活动，关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。

【理解】本条主要涉及到针对关键信息基础设施运营者申报网络安全审查的采购活动的要求，具体涉及：1、关键信息基础设施运营者应通过采购文件、协议等，要求产品和服务提供者配合。产品和服务提供者虽然并非是网络安全审查的对象，但也是属于审查活动的配合主体；2、承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备；3、无正当理由不中断产品供应或必要的技术支持服务等，这是为了有效保障关键信息基础设施运营者的商业行为，以促进先进技术应用，防止因为国家安全审查而导致正常的商业活动受影响。

第七条 掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。　

【理解】该条款是本次修订的重要条款之一，与第五条结合成为主动申报网络安全审查的情形。涉及到如下三方面要素：其一，关于“掌握”，该表述不同于《信息安全技术 个人信息安全规范》（GB/T 35273-2020）的“控制”，也不同于《数据安全法》的“处理”。对于“掌握”的具体含义，目前尚无进一步解释，鉴于监管日渐严格的趋势，在尚未界定明晰的情况下，合理扩大其理解范围更加有利于企业规避各类风险。可以综合考量前述概念，将“掌握”从广义上进行理解，既包括物理意义上的控制状态，也包括法律意义上的收集、存储、使用、加工、传输、提供、公开、删除等数据/个人信息处理行为。其二，“100万用户个人信息”，此处并未表述为100万条信息，而是加了“用户个人信息”为其主语，因此表述应指向“100万名用户的个人信息”。实务中，能赴国外上市的企业一般都具有可观的用户数量，极易触发该标准而被纳入审查范围。另外，《数据安全法》中涉及的重要数据和核心数据，底层数据不少是个人信息，也就是个人信息在归集、清洗、分析的基础上，很有可能形成重要、核心数据，并对国家安全产生影响；其三，“赴国外上市”，此处表述为“国外”而非“境外”，一般从文义理解，“国内”通常而言应当包含港澳台地区，而“国外”指“中华人民共和国以外的国家和地区”。因此，审查范围排除了港澳台地区的上市行为，对于港交所无疑是利好消息。其四，本条规定的申报网络安全审查是“必须”，与第五条中涉及关键信息基础设施运营者主动申报网络安全审查的“应当”，虽然都是属于强制性规定，但是语气更重，更加表现出国家对网络平台运营者国外上市实施网络安全审查制度的强制态势。

第八条 当事人申报网络安全审查，应当提交以下材料：

（一）申报书；

（二）关于影响或者可能影响国家安全的分析报告；

（三）采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请文件；

（四）网络安全审查工作需要的其他材料。

【理解】本条涉及网络安全审查所需要提交的材料，在原《办法》基础上增加了第（三）项的后面半句。具体内容已做列举，不再赘述。

第九条 网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内，确定是否需要审查并书面通知当事人

【理解】基于第五条、第七条的规定，当事人提出网络安全审查并提交审查申报材料，网络安全审查办公室10个工作日内确定是否需要审查并书面通知该当事人。

第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：

（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；

（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；

（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；

（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

【理解】本条主要是整合和增加了第（五）、（六）项，包括：核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；国外上市中关键信息基础设施、核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险，以及网络信息安全风险。这也是为了与本次修订的主要目的相对应，既增加了核心数据以及个人信息的保护，也涉及到出境及国外上市的风险，其中尤其强调了国外政府影响、控制、恶意利用的风险，以及除了网络技术安全风险之外的“网络信息安全风险”。

第十一条 网络安全审查办公室认为需要开展网络安全审查的，应当自向当事人发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见；情况复杂的，可以延长15个工作日。

【理解】主要涉及到网络安全审查办公室初步审查的流程。　

第十二条 网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

网络安全审查工作机制成员单位、相关部门意见一致的，网络安全审查办公室以书面形式将审查结论通知当事人；意见不一致的，按照特别审查程序处理，并通知当事人。　

【理解】主要涉及到网络安全审查办公室初步审查的流程。　

第十三条 按照特别审查程序处理的，网络安全审查办公室应当听取相关单位和部门意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关部门意见，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知当事人。

【理解】主要涉及到网络安全审查办公室特别审查程序的流程。

第十四条 特别审查程序一般应当在90个工作日内完成，情况复杂的可以延长。

【理解】特别审查程序的时间由45个工作日延长至90个工作日。因此，一般情形下的网络安全审查在60个工作日（45日+15日）内完成（包括了延长的15个工作日和第十二条的15个工作日书面回复意见）。而如果进入特别审查程序，则审查周期可能为105个工作日（90日+15日），甚至更长（未规定具体时间）。

第十五条 网络安全审查办公室要求提供补充材料的，运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

【未修订】补交材料时间不包含在审查时间内。

第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。　

【理解】该条除了增加“数据处理活动”的规定外，值得关注的是，本条也是网络安全审查办公室主动启动网络安全审查程序的依据，启动前提是“按程序报中央网络安全和信息化委员会批准后”进行。此前部分平台等被启动网络安全审查，让不少人认为平台将被认定为关键信息基础设施运营者，事实上除了关键信息基础设施运营者外，还涉及范围更广的网络平台运营者。若后者开展数据处理活动，影响或可能影响国家安全的，都将可能会被列入申报网络安全审查或被启动网络安全审查的范围。

另外，该条还在征求意见稿的基础上增加了第二款，为了防范风险，当事人应当在审查期间按照网络安全审查要求，主动采取预防和消减风险的措施。即当事人在等候审查期间，也需要采取有效措施预防和消减风险。

第十七条 参与网络安全审查的相关机构和人员应当严格保护知识产权，对在审查工作中知悉的商业秘密、个人信息，当事人、产品和服务提供者提交的未公开材料，以及其他未公开信息承担保密义务；未经信息提供方同意，不得向无关方披露或者用于审查以外的目的。

【理解】该条文主要涉及保密制度，重点涉及商业秘密和个人信息，进一步落实第三条的“过程公正透明与知识产权保护相结合”原则。

第十八条 当事人或者网络产品和服务提供者认为审查人员有失客观公正，或者未能对审查工作中知悉的信息承担保密义务的，可以向网络安全审查办公室或者有关部门举报。　

【未修订】规定了举报制度。

第十九条 当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。

网络安全审查办公室通过接受举报等形式加强事前事中事后监督。　

【未修订】规定了运营者的督促义务及网络安全审查办公室的事前事中事后监督制度。

第二十条 运营者违反本办法规定的，依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。

【理解】该条增加了《中华人民共和国数据安全法》作为处理的依据。《网络安全法》第六十五条规定，应当申报网络安全审查而没有申报的，或者使用网络安全审查未通过的产品和服务，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。《数据安全法》第四十六条规定，违反本法第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

第二十一条 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。

【理解】2021年8月17日，国务院发布《关键信息基础设施安全保护条例》，故《办法》在征求意见稿中删除了第一款“关键信息基础设施运营者”的定义，“网络产品和服务”的概念中新增了一项“重要通信产品”，此前的关键信息基础设置的范围主要界定在服务端，而通信产品，一般是指通信企业为用户提供的有效的通信服务，包含了客户端。

第二十二条 涉及国家秘密信息的，依照国家有关保密规定执行。

国家对数据安全审查、外商投资安全审查另有规定的，应当同时符合其规定。

【理解】第一款未做修订，增加了第二款。关于数据安全审查及投资安全审查，属于不断发展的制度，因此本条第二款做了开放式的规定，如有其它规定的，还需要同时符合。另外，也可以说明《办法》主要涉及网络安全审查，其范围更广，而数据安全审查是属于其项下的一个组成部分，两者也不能等同。

第二十三条 本办法自2022年2月15日起施行。2020年4月13日公布的《网络安全审查办法》（国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局令第6号）同时废止。

【理解】施行时间是2022年2月15日，原办法同时作废。

贰：新旧版本变化对比表