新版《網絡安全審查辦法》有力夯實國家數據安全保障基石
編輯:王軍 信息來源: 中國網信網發布時間:2022-2-17
當前,數據作為國家新型生產要素和基礎戰略資源的代表,數據安全已成為保障網絡強國建設、護航數字經濟發展的安全基石。2022年2月15日起,國家互聯網信息辦公室等十三部門聯合修訂發布的《網絡安全審查辦法》(以下簡稱新版《審查辦法》)開始施行,新修訂內容針對數據處理活動,聚焦國家數據安全風險,明確運營者赴國外上市的網絡安全審查要求,為構建完善國家網絡安全審查機制,切實保障國家安全提供了有力抓手。
一、審查對象新增數據處理活動,突出赴國外上市申報審查
(一)影響或者可能影響國家安全的數據處理活動在審查范圍內
與上版《審查辦法》相比,新版《審查辦法》要求網絡平臺運營者開展數據處理活動,影響或者可能影響國家安全的應按照新版《審查辦法》進行網絡安全審查。這意味著除了關鍵信息基礎設施運營者采購網絡產品和服務外,網絡運營者開展影響或者可能影響國家安全的數據處理活動,也將在網絡安全審查范圍內。
判斷影響或者可能影響國家安全的數據處理活動,可從數據處理活動是否存在或疑似存在危害國家安全行為,或者是否存在國家安全風險等方面進行判斷,例如掌握100萬用戶個人信息的運營者赴國外上市,掌握核心數據或重要數據的運營者赴國外上市,掌握我國禁止或限制出口技術的運營者赴國外上市,匯聚掌握大量關系國家安全、經濟發展、公共利益的數據資源的互聯網平臺運營者實施合并、重組、分立等數據處理活動,一旦影響或者可能影響國家安全的,都可能成為網絡安全審查的對象。
(二)超過100萬用戶個人信息的運營者赴國外上市應申報審查
新版《審查辦法》明確規定掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查。按照中國證監會公布的《國務院關于境內企業境外發行證券和上市的管理規定(草案征求意見稿)》和《境內企業境外發行證券和上市備案管理辦法(征求意見稿)》,赴國外上市的主體涉及境內企業國外直接發行上市、境內企業國外間接發行上市。其中,直接發行上市是指注冊在境內的股份有限公司在國外發行證券或者將其證券在國外上市交易;間接發行上市是指主要業務經營活動在境內的企業,以境外企業的名義,基于境內企業的股權、資產、收益或其他類似權益在國外發行證券或者將證券在國外上市交易。
赴國外上市的方式或途徑,包括但不限于首次公開發行并上市(IPO)、特殊目的公司收購(SPAC)上市、借殼上市,通過一次或多次收購、換股、劃轉以及其他交易安排實現境內企業資產境外直接或間接上市,境內上市公司分拆所屬境內企業到國外發行上市,境內上市公司以境內上市股份為基礎證券在國外發行可轉換為基礎證券的存托憑證等。此外,雖然新版《審查辦法》沒有提及赴香港上市,但是掌握超過100萬用戶個人信息的運營者赴香港上市,仍應按照數據出境安全評估的有關規定進行評估。
二、審查評估聚焦國家數據安全風險因素
運營者開展影響或可能影響國家安全的數據處理活動,可能帶來多種國家數據安全風險,新版《審查辦法》在供應鏈安全風險評價的基礎上,新增了國家數據安全風險因素評價。
(一)數據被竊取、泄露、毀損、非法利用、非法出境風險
運營者對核心數據、重要數據、大量個人信息開展數據處理活動時,一旦數據被竊取、泄露、毀損、非法利用或非法出境,可能直接存在國家安全或公共利益風險:一是數據竊取或泄露。由于黑客攻擊、員工竊取、數據安全能力不足、內部違規操作、違規共享等原因,處理的核心數據、重要數據或大量個人信息可能被竊取、未授權或違規泄露。二是數據毀損。處理的核心數據、重要數據或大量個人信息被違規篡改、破壞、丟失,危害數據的完整性和可用性。三是數據非法利用。例如大型網絡平臺運營者,可能匯聚了大量涉及國家安全、公共利益或個人權益的數據,一旦濫用大數據技術對掌握的大量敏感數據進行分析挖掘并任意共享或發布,可能對國家安全或公共利益造成威脅。四是數據非法出境。按照我國數據安全法律法規要求,關鍵信息基礎設施運營者、重要數據處理者、超過100萬用戶個人信息的運營者等的個人信息和重要數據出境,應通過國家網信部門組織的數據出境安全評估。
(二)外國政府影響、控制、惡意利用和網絡信息安全風險
隨著美國《外國公司問責法案》落地執行,美國證券交易委員會(SEC)要求在美國上市的外國企業披露是否由政府實體擁有或控制、存在的監管環境風險,同時要求審計公司接受美國公共公司會計監督委員會(PCAOB)檢查,披露上市公司的審計細節、工作底稿等信息。在這一背景下,赴國外上市的運營者將面臨更多的國家數據安全風險,例如關鍵信息基礎設施被外國政府影響、控制、惡意利用的風險;國外監管機構調取上市公司的敏感數據,導致核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險;網絡信息輿論被境外機構操縱風險;上市公司控制權發生重大變更等。
三、小結
新版《審查辦法》的發布,推動國家數據安全治理進入新階段。網絡運營者開展核心數據、重要數據和大量個人信息的數據處理活動時,應加強國家安全意識,預判數據處理活動可能帶來的國家安全風險,影響或者可能影響國家安全的及時向網絡安全審查辦公室報告甚至申報網絡安全審查,主動防范可能造成的國家安全風險。我國網絡安全審查制度的不斷完善,將為我國數據安全和網絡安全保障體系建設打下堅實基礎。(作者:胡影,中國電子技術標準化研究院)
