因近期数家赴美上市的企业被网络安全审查，网络安全审查制度受到了高度重视。在网络安全审查办公室启动第一起网络安全审查后的一周后，国家互联网信息办公室随即发布了《网络安全审查办法（修订草案征求意见稿）》（“《修订草案》”），结合最近颁布的《数据安全法》对纳入审查的情形、审查考虑的因素等内容进行了相应调整。

《修订草案》实质性地扩大了网络安全审查的适用范围，其多处修改均体现着国家对数据安全问题的高度重视：

• 增加《数据安全法》作为立法依据（第一条）和处罚依据（第二十条）；
• 明确要求“数据处理者开展数据处理活动，影响或可能影响国家安全的”应进行网络安全审查，使网络安全审查制度成为《数据安全法》第二十四条“数据安全审查制度”的现实体现；
• 在网络安全审查中增加对“核心数据、重要数据或大量个人信息”以及“关键信息基础设施”可能遭遇的数据安全风险因素的考量。

下文将对《修订草案》的重点内容进行简要评述。

哪些主体可能会面临网络安全审查

《修订草案》第二条规定实质性地扩大了适用网络安全审查的范围，其中包括了：

此外，《修订草案》第六条还规定：“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”。这意味着，非关键信息基础设施运营者的企业如果处理个人信息达到规定的数量要求，在赴国外上市时也会适用该规定。

针对这个新增的适用网络安全审查的情形，《数据安全法》和《个人信息保护法（草案二次审议稿）》（“个保法二读草案”）中均采用“处理”而非“掌握”的概念。此处的“掌握”100万用户个人信息的“运营者”是否对应着《数据安全法》和个保法二读草案中的数据处理者加上受托方目前尚未明确。考虑到《个人信息保护法（草案二次审议稿）》还区分了“个人信息处理者”与“受托方”的概念及二者的权利义务关系，如果受托方本身也需要进行审查，是否需要与委托其的处理者一起对数据处理行为进行安全审查，这些问题均期待监管部门考虑，并且与相应的法律进行概念上的衔接。

根据第六条的规定，仅“赴国外上市”的行为触发强制的网络安全审查。从文义解释的角度看，由于香港和澳门特别行政区不属于“国外”的范围，拟赴香港上市的企业应不会受到本条的限制。但是上市行为在本规定的覆盖范围有待进一步明确，比如已经外国上市的公司的增发是否会导致网络安全审查等。

增加证监会作为网络安全审查工作机制的成员单位

《修订草案》在原有基础上增加“中国证券监督管理委员会”作为第13个网络安全审查工作机制成员单位。

就在数日前，中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》（“《意见》”），明确提出“完善数据安全、跨境数据流动、涉密信息管理等相关法律法规”，“压实境外上市公司信息安全主体责任”，“加强跨境信息提供机制与流程的规范管理”的工作要求。

《修订草案》将证监会纳为工作机制成员单位，有助于证监会在贯彻落实《意见》的过程中发现影响或可能影响国家安全的国外上市行为，并根据《修订草案》第十六条的规定，依职权主动申请发起网络安全审查。

新增审查要点

《修订草案》第十条进一步增加了网络安全审查中考虑的国家安全风险因素，即“（五）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”，以及“（六）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。

《修订草案》第十条规定了网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险，主要考虑以下因素（注：新增的考虑因素已经突出提示）：

产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险；

特别审查程序期限延长

《修订草案》进一步延长特别审查程序的期限，由原来的45个工作日增加至3个月。因此无论是主动申报的审查还是面临网络安全审查办公室依职权发起的审查，有关企业均应将3个月的期限考虑在内，以免实质性地影响商业计划的进程。

明确“重要通信产品”属于《修订草案》所指的“网络产品和服务”

《修订草案》在“网络产品和服务”中新增了“重要通信产品”，但仍然没有对网络产品和服务的具体范围给出进一步的说明。目前，网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

由于网络安全审查工作办公室有权根据《修订草案》第十六条直接对“影响或可能影响国家安全的”网络产品和服务，以及数据处理活动和国外上市行为启动审查，如某项网络产品和服务在行业属性上具备敏感性且已经或可能进入关键信息基础设施运营者的供应链体系，或者其数据处理规模较大、处理的数据性质较为敏感，将有可能被认为“影响或可能影响国家安全”而面临审查，同样值得企业关注。