7月10日,国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》(下称《修订草案》)并向社会公开征求意见。与现有的《网络安全审查办法》相比,《修订草案》监管对象覆盖范围明显扩大。针对企业赴国外上市新增了多项规定,将填补监管漏洞。日后,网络安全合规与否,将直接关系到企业的各个重大经营活动,并深入到企业经营的所有层面和全周期。
本次修订的主要内容如下:
1、监管对象覆盖范围扩大,将普通运营者的数据处理活动纳入网络安全审查范围
原办法第二条规定的网络安全审查的适用范围为“关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的”,征求意见稿新增“数据处理者开展数据处理活动”,这意味着非关键信息基础设施运营者开展数据处理活动,在(可能)影响国家安全的情形下,也将面临网络安全审查。
2、企业要把国家安全公共安全放在首位,企业上市行为特别是国外上市行为将面临网络安全审查
征求意见稿第四条将中国证券监督管理委员会纳入网络安全审查工作机制成员单位,第八条“申报网络安全审查需提交材料”中新增“拟提交的IPO材料等”,这表明企业上市行为也将面临国家网络安全审查。同时,征求意见稿第六条特别规定,“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。掌握大量个人信息企业赴国外上市也将受到网络安全特别监管。这是给上市企业定的一个“基础性的标准”。它意味着,如果到国外上市的企业掌握超100万用户,那么,进行网络安全审查,就成为这些企业的法定义务或者上市之前的前置性的要求。“超过100万用户个人信息”非常具体,能够精确锁定被监管企业,最大限度填补监管漏洞。
3、网络安全审查将考察重要数据安全及出境风险
征求意见稿第十条网络安全审查考虑因素中,新增“(五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;(六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”,这意味网络安全审查将重点考察核心数据、重要数据及大量个人信息安全及出境的风险。
4、特别审查程序时间延长至3个月
根据办法的规定,网络安全审查中,网络安全审查办公室将进行初步审查,并形成初步的审查结论建议发送至网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见,如上述部门意见不一致的,将按照特别审查程序进行深入分析评估。此次征求见稿将特别审查程序时间从原来的45个工作日延长至3个月。
5、《数据安全法》将作为办法的制定及适用依据
《数据安全法》自2021年6月10日正式发布,并将于2021年9月1日正式实施,此次征求意见稿将《数据安全法》列为办法的制定及适用依据,运营者违反办法规定的,将依照《数据安全法》的规定处理。
未来,网络安全合规与否将直接关系到企业的融资、业务模式以及能否上市等重大经营活动,会对企业产生根本性的影响。合规将不再只是几份用户协议、隐私政策就能解决的问题,而是将会深入到企业经营的所有层面和全周期。真正要做好网络安全合规,互联网企业可能首先要根据网络安全监管的要求和标准重新审视、再造核心业务流程。除了业务合规外,企业也应主动与监管机构建立常态化的沟通机制,避免合规整改对正常经营的冲击。如果企业犯了致命性的错误,他们不仅不能通过上市来迅速汇集资金、用于后续的发展,甚至可能因为给国家安全公共安全带来致命的损害。