来源:上海证券报
新年第一个工作日,《网络安全审查办法》修订版正式发布。
《办法》将网络平台运营者数据处理活动影响或者可能影响国家安全的情形纳入网络安全审查。明确用户个人信息超过100万条的网络平台经营者,出国上市必须向网络安全审查办公室申报。《办法》根据审查的实际需要,还增加了证监会作为网络安全审查机制成员,同时完善了国家安全风险评估的因素。
百万用户网络平台运营商
境外上市必须申报。
《办法》第七条提出,用户个人信息超过100万条的网络平台运营者,在境外上市时,必须向网络安全审查办公室申报网络安全审查。
对此,清华大学五道口金融研究院副院长田璇在接受上证报记者采访时表示,这是基于审慎监管的原则,最大限度地保证我们国家的数据安全。尤其是在当今高度信息化的时代,数据安全已经上升到国家安全的层面。
田璇介绍,“网络安全审查始于20世纪80年代的美国。进入21世纪后,美国逐步加强和完善国家安全审查工作,主导国际标准。此后,许多国家建立了技术和行政手段相结合的国家安全审查机制,这些机制既灵活又严格,以保护国家利益。”
泰和律师事务所律师郭松告诉记者,“此次《网络安全审查办法》的修订与时俱进,充分考虑了实际监管的紧迫性和必要性,符合现行网络安全法律法规。”
2017年6月1日起施行的《网络安全法》要求,“关键信息基础设施的运营者采购网络产品和服务可能影响国家安全的”,应当通过国家网信部会同国务院有关部门组织的国家安全审查。
2021年9月1日起施行的《数据安全法》提出,“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查”,自此,“网络安全审查制度”正式确立。
2021年10月29日,公开征求意见的《数据出境安全评估办法》提出,处理过一百万条个人信息的个人信息处理者,在境外提供个人信息时,应当申请数据出境安全评估。
“因此,我们可以理解为,控制或处理多达百万人个人信息的网络运营商,可以被视为‘关键信息基础设施运营商’。所以上市等重要节点要通过网络安全审查。”郭松说。
一些传统企业
还有申报和审查的义务。
《办法》第七条还提出了另一个问题:有些企业虽然掌握了百万以上的用户个人信息,但他们是传统企业,显然不是互联网企业,那么他们是不是被审查的对象?
对此,专家认为,当一个企业掌握了超过100万用户的个人信息,如果不涉及通过网络提供服务,几乎是不可想象的。从某种意义上说,这些企业也属于“数据处理器”。所以企业所处的行业并不是判断是否应该申请网络安全审查的理由。
郭松补充道,“一些大型连锁牙科诊所、连锁眼科诊所、连锁医疗美容诊所、基因检测机构等。也拥有大量的用户信息。如果达到一百万的标准,也要及时报审。”
国家互联网信息办公室相关负责人解释,“对外开放是我国的基本国策,我们始终支持国内企业依法合规合理利用境外资本市场进行融资和发展。申请网络安全审查可能有以下三种情况:一是不需要审查;二是启动审查后,如果不影响国家安全,可以继续出国上市;第三,审查开始后,被判定影响国家安全的,不允许出国上市。”
这意味着,一些从事实体业务的企业,申报后很可能得到“无需审核”或“审核通过”。《办法》重点针对网络平台运营者开展影响或者可能影响国家安全的数据处理活动的情形。
加入证监会网络安全审查机制
《办法》的另一大亮点是,根据审查的实际需要,将增加证监会作为网络安全审查机制的成员单位。
田璇认为,“通过增加证监会作为网络安全审查机制的成员单位,建立了严格的协调机制,不可能试图通过改变形式来规避网络安全审查渠道。中国网络安全的执法和保障水平将得到有效提高。”
郭松说,“证监会之前进行的部门改革有助于履行审核职能。2020年6月,中国证监会更新内设职能部门,增设科技监管局。科技监督局的机构职能包括‘负责建设集中统一的管理数据系统,开展数据标准化治理,推进大数据平台建设和监管数据共享’。”
