申请实习证 两公律师考核申请 网上投稿 《上海律师》
当前位置: 首页 >> 业务研究 >> 专业论文

关于《网络安全审查办法(2021)》——国有企业应当重点关注的合规问题

    日期:2022-05-19     作者:沈彦炜(国资国企业务研究委员会、北京盈科(上海)律师事务所)关加贝(北京盈科(上海)律师事务所)

       《网络安全审查办法》已经于2021年11月16日经国家互联网信息办公室2021年第20次室务会议审议通过,并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意,予以公布并自2022年2月15日起施行。关于该办法的主要内容以及对企业的影响等等,笔者将通过本文略作探讨。 

       一、关于审查主体的范围

       《网络安全审查办法》生效后,关键信息基础设施运营者和网络平台运营者是审查主体,为便于本文叙述,下文统称为“审查主体”。《关键信息基础设施安全保护条例》第二条规定,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。《网络安全法》第七十六条规定,网络运营者是指网络的所有者、管理者和网络服务提供者。

       审查主体一般是涉及金融、交通等关键信息基础设施的运营者,如网站经营管理者,或者通过移动APP提供服务的运营者,也包括因业务特征掌握大量个人信息或者数据的科技、医疗健康领域经营者等等。审查主体所运营的基础设施一旦遭到攻击,将严重危害国家安全、个人信息安全,因此被纳入《网络安全审查办法》审查对象范围。 

       二、需要网络安全审查的主要情形

       《网络安全审查办法》第二条对网络安全审查的情形进行了比较宏观的规定,审查主体发生特定行为可能影响国家安全的,一律应当进行网络安全审查,如关键信息基础设施运营者采购网络产品和服务,或网络平台运营者开展数据处理活动等等。同时该办法明确,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查,待《网络安全审查办法》今年2月正式生效后,因“滴滴赴美上市”风波直接引发的监管金靴将正式落地。 

       三、审查主体对审查申报与否的预判义务

       审查主体采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。相关行业和领域的主管部门、监督管理部门可以制定本行业、本领域预判指南,《网络安全审查办法》第五条   关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。《关键信息基础设施安全保护条例》第八条规定  重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称“保护工作部门”) 

       四、审查工作的主管机关及审查申报相关要求

       根据《网络安全审查办法》规定,国家互联网信息办公室下设网络安全审查办公室负责制定网络安全审查相关制度规范,组织网络安全审查。同时,在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

       审查主体申报网络安全审查,应当提交申报书、关于影响或者可能影响国家安全的分析报告、采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件以及网络安全审查工作需要的其他材料。网络安全审查办公室应当自收到审查申报材料起10个工作日内确定是否需要审查并书面通知当事人。 

       五、审查与否的重点评估标准

       《网络安全审查办法》对网络安全审查重点评估相关对象或者情形的国家安全风险因素进行了较为详细的列举,包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险等可能危害关键信息基础设施安全、网络安全和数据安全的因素。 

       六、关于审查程序的相关规定

       《网络安全审查办法》分别对审查一般程序和特别程序进行规定,具体如下:

       (一)一般程序

       网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,情况复杂的可以延长15个工作日。 网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。网络安全审查工作机制[1]成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。

       (二)特别程序

       按照特别审查程序处理的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知当事人。

       网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照该办法的规定进行审查。

       综上所述,网络安全关乎国家安全和公民权益,国家监管势在必行。相关领域或者行业的企业应当如何准备呢?笔者认为,一方面,企业应结合本文提及的重点内容做好内部网络安全合规审查工作,结合已发布实施的《国家安全法》《网络安全法》、《关键信息基础设施安全保护条例》以及国家标准文件,及时开展企业专项合规整治工作和人员培训;另一方面,应及时与所属领域的监管部门充分沟通,从监管层面获悉合规整治的重点方向,为《网络安全审查办法》于今年2月正式生效做足功课。



[版权声明] 沪ICP备17030485号-1 

沪公网安备 31010402007129号

技术服务:上海同道信息技术有限公司   

     技术电话:400-052-9602(9:00-11:30,13:30-17:30)

 邮箱 :support@homolo.com

上海市律师协会版权所有 ©2000-2017