适用场景
所有涉及数据处理、网络产品采购或计划境外上市的中国出海企业,尤其是在重要行业领域运营或处理大量用户数据的企业,需在业务规划和日常运营中高度关注。
核心要点
1. 中国网络安全审查制度概览
该制度旨在维护国家网络空间和数据安全,由国家互联网信息办公室(CAC)下属的网络安全审查办公室(CRO)负责协调实施。它对特定主体在采购网络产品服务、数据处理活动及境外上市等环节进行安全评估。
2. 核心审查对象识别
主要包括关键信息基础设施运营者(CIIO)和影响或可能影响国家安全的数据处理者(NS Data Processor)。CIIO涵盖能源、交通、金融等重要行业,其系统一旦受损将造成严重后果;NS Data Processor则泛指处理数据且其活动可能触及国家安全的网络运营者,尤其指拥有百万用户个人信息的企业。
3. 审查触发情境
审查可能因CIIO采购影响国家安全的网络产品服务、数据处理者(含CIIO)持有百万用户个人信息并计划境外上市,或任何被审查机制认定可能影响国家安全的活动而被启动。
4. 合规义务与审查流程
被审查对象需主动预判风险并向CRO申请审查,提交包括国家安全影响分析报告在内的必要材料。审查也可由CRO主动发起,对被认为可能影响国家安全的活动进行评估。
5. 违规的法律后果
未按要求履行网络安全审查义务或使用被禁产品服务,可能面临高额罚款(最高可达采购金额10倍或千万级人民币)、业务叫停、应用下架、暂停新用户注册以及对责任人的行政处罚。
实务建议
- 定期评估企业自身是否属于关键信息基础设施运营者(CIIO)或影响国家安全的数据处理者,明确合规边界。
- 在采购可能影响国家安全的网络产品或服务前,提前启动网络安全审查程序,或在合同中明确审查通过作为生效条件,并要求供应商配合审查。
- 严格落实网络安全等级保护制度(MLPS 2.0)要求,对网络和信息系统进行定级备案、安全建设和测评,确保基础安全合规。
- 建立健全数据分类分级管理体系,识别并重点保护“重要数据”,指定数据安全负责人,并定期开展数据处理活动风险评估。
- 规划涉及中国境内个人信息和重要数据出境时,务必提前进行安全评估并履行相关审批程序,确保跨境数据传输合规。
- 对于有境外上市计划的企业,特别是拥有百万级用户个人信息的,应将网络安全审查作为上市前的重要合规环节,提前规划并启动审查。
风险提示
- 忽视对自身CIIO或NS Data Processor身份的识别,可能导致未能及时履行审查义务,面临行政处罚和业务中断风险。
- 在采购或境外上市等关键环节未通过网络安全审查,可能导致项目受阻、业务暂停甚至被强制下架应用。
- 数据安全违规,特别是涉及重要数据泄露或非法跨境传输,可能面临《数据安全法》下高达千万元的巨额罚款。
- 未能有效管理供应商在网络安全审查中的配合义务,可能导致供应链合规风险。
- 对中国网络安全法律法规(如《网络安全法》、《数据安全法》、《个人信息保护法》)的理解不足,可能造成合规盲区。