适用场景
计划或正在开展海外业务,特别是涉及数据处理、平台运营、采购关键网络产品或服务,以及计划赴国外上市的中国企业。
核心要点
1. 网络安全审查的触发情形
主要存在四种触发情形:一是关键信息基础设施运营者采购可能影响国家安全的网络产品和服务;二是网络平台运营者开展可能影响国家安全的数据处理活动;三是掌握超百万用户个人信息的平台运营者赴国外上市;四是主管部门依职权主动发起审查。企业需对照自身业务进行判断。
2. 审查主体与核心评估要素
审查由国家互联网信息办公室下设的网络安全审查办公室主导。审查重点评估七大国家安全风险因素,包括产品服务安全风险、供应链中断风险、数据泄露与非法出境风险、上市带来的外国政府影响风险,以及相关方遵守中国法律法规的情况。
3. 申报流程与时间框架
企业需主动提交申报书、风险分析报告及相关合同或上市文件。审查流程分为“一般审查”和“特别审查”。一般审查通常在55个工作日内完成(含征求意见期),特别审查可延长至90个工作日或更久,补充材料时间不计入。
4. 未合规的法律后果与风险
未依法申报可能面临高额罚款(最高可达采购金额10倍)、业务暂停甚至吊销执照。审查中若发现违法行为(如违规收集个人信息),将另行处罚。审查期间,主管部门可能采取停止新用户注册等临时措施。
实务建议
- 开展合规自评:判断自身是否属于关键信息基础设施运营者或网络平台运营者,评估业务活动是否触及审查门槛。
- 建立风险预警机制:对采购的核心网络产品、服务及数据处理活动进行国家安全影响预评估。
- 提前规划上市路径:若掌握大量用户个人信息并计划赴国外上市,必须将网络安全审查纳入上市时间表,预留充足审查周期。
- 准备申报材料模板:提前熟悉并准备申报书、国家安全风险分析报告等核心文件的框架与内容要点。
- 配合审查与整改:在审查期间积极配合提供材料,并按照要求预先采取风险预防和消减措施。
风险提示
- 误区:认为只有被明确认定为“关键信息基础设施运营者”才需关注。实际上,网络平台运营者及数据处理者同样可能触发审查。
- 误区:将“赴国外上市”简单理解为“赴境外上市”,需注意赴香港上市在特定条件下也可能需要申报。
- 注意:“掌握”百万用户信息的概念比“处理”更宽泛,企业需从实质控制角度谨慎评估用户规模。
- 注意:审查关注供应链安全与政治风险,企业需评估供应商背景及产品服务的“可替代性”。
- 注意:即使最终审查通过,审查过程中发现的独立违法行为(如数据违规)仍会面临处罚。