华顺信安
《网络安全审查办法》解读:不止“国外上市”需要审查

2022/01/04 20:29:01

《网络安全审查办法》(后文简称《办法》)正式发布,并将自2022年2月15日起正式开始施行。《办法》发布后,“掌握100万用户信息的赴外上市企业将被审查”引起热议,但在此之外《办法》中仍有很多内容值得我们重点关注。

“赴国外上市”并非触发审查的唯一条件

《网络安全审查办法》第二条 关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。

《办法》明确了两类主体的不同行为需要进行审查,即“影响或可能影响国家安全”的“采购网络产品和服务”(针对关键信息基础设施运营者)与“开展数据处理活动”(针对网络平台运营者)。而“掌握百万用户信息,并且赴外上市”是《办法》规定中“开展数据处理活动”的其中一种特殊形式。

如何审查:“百万用户信息+赴外上市”企业

在《办法》第七、八、十条规定中,对“掌握超过100万用户个人信息的网络平台运营者赴国外上市”做了相关规定。

企业必须主动申报:根据《办法》第七条规定,符合上述条件的网络平台运营者必须向网络安全审查办公室申报网络安全审查。

重点评估风险因素:在《办法》第十条下的五、六、七部分做了详细规定。包括“核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险”、“上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险”、“其他可能危害关键信息基础设施安全、网络安全和数据安全的因素”。

审查结果:在经过网络安全审查后,企业将得到“无需审查”、“不影响国家安全,可继续上市”、“经研判影响国家安全,不允许赴国外上市”,三种可能的审查结果。

“关基”运营者:需预判资产风险

作为《办法》的另一大审查对象——关键信息基础设施运营者,审查触发则是在“采购网络产品和服务”方面,在《办法》第五条中规定了“运营者”应当预判采购的产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。

《网络安全审查办法》第二十一条 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。

这一定义基本囊括了审查对象的主要网络资产,这意味着《办法》实施后,“关键信息基础设施运营者”在进行信息化建设时,必须要考虑所采购产品和服务的安全性、合规性,以及供应商自身是否存在外部风险。

 同时根据《办法》第十条的规定,数据泄露、业务中断、供应中断、非法控制等风险因素,都是审查的重点。同时《办法》的第六条中也明确了“运营者”应要求“产品服务的提供者”配合审查。

“网络安全审查”不等于“数据安全审查”

《网络安全审查办法》第二十二条 涉及国家秘密信息的,依照国家有关保密规定执行。国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。

从《办法》的第二十二条中可以看到,“网络安全审查”不等于“数据安全审查”,前者囊括的范围更广,并且是以资产安全视角展开,确保关键信息基础设施整体安全,而不局限于数据层面的窃取、泄露、损坏等安全威胁。

《网络安全审查办法》是一部不断发展的法规,并且能够反应目前我国信息化发展的主要特征,在引导规范国内信息化有序、安全、合规发展方面具有重大意义。同时,《办法》也在制度层面进一步强调了网络安全的重要性。对于“关键信息基础设施运营者”与“网络平台运营者”,《办法》的印发也意味着新规范、新要求的遵从,能够清晰洞察全量资产、采购的产品服务合规可靠、从资产视角展开网络安全管理等,都将成为《办法》实施后的必要能力。