适用场景
适用于计划境外上市、或从事数据处理活动可能影响国家安全的中国出海企业,特别是关键信息基础设施运营者(CIIO)和网络平台运营者。
核心要点
1. 网络安全审查制度的演进与深化
中国已形成以《网络安全法》、《数据安全法》和《个人信息保护法》为核心的数据立法体系,并持续完善配套法规。网络安全审查的范围已从最初的关键信息基础设施运营者(CIIO)扩展至所有可能影响国家安全的数据处理活动,并对境外上市行为提出明确合规要求。
2. 审查触发机制与适用主体
网络安全审查的触发条件包括:CIIO采购可能影响国家安全的网络产品和服务;网络平台运营者开展可能影响国家安全的数据处理活动;以及持有超过100万用户个人信息的网络平台运营者寻求境外上市。这些规定旨在全面覆盖数据处理和境外资本运作中的国家安全风险。
3. 审查启动方式与关注重点
审查可由企业主动申请,也可由国家网信部门依职权启动。审查核心关注数据被窃取、泄露、毁损、非法利用或境外传输的风险,以及关键信息、核心数据、重要数据或大量个人信息在境外上市后被外国政府操纵、控制或恶意利用的风险。
4. “网络平台运营者”的初步界定
尽管官方对“网络平台运营者”的明确定义仍在完善中,但企业可参考《网络数据安全管理条例(征求意见稿)》中关于提供信息发布、社交、交易、支付或音视频等网络平台服务的定义,进行初步的自我评估和风险判断。
实务建议
- 密切关注并及时学习中国网络安全、数据安全及个人信息保护领域的最新法律法规、部门规章和国家标准,确保合规知识体系的实时更新。
- 对自身业务进行全面梳理,评估是否属于关键信息基础设施运营者(CIIO)或网络平台运营者,并识别数据处理活动中可能存在的国家安全风险。
- 对于计划境外上市,特别是涉及处理超过100万用户个人信息的企业,应提前将网络安全审查纳入上市规划,并预留充足的合规准备时间,必要时寻求专业法律意见。
- 建立健全内部数据安全管理制度和技术保障措施,包括数据分类分级、数据出境安全评估、网络安全风险评估等,并定期进行自查和演练。
- 在采购网络产品和服务时,CIIO应进行事前风险预判,评估其对国家安全可能造成的影响,如认为可能影响国家安全,应主动申请网络安全审查。
风险提示
- 网络安全审查的适用范围已大幅拓宽,不再仅限于CIIO,所有从事数据处理活动的企业都可能成为审查对象,需提高警惕。
- 境外上市,尤其是涉及大量用户个人信息的上市行为,已成为网络安全审查的明确触发条件和重点关注领域,合规风险显著。
- 监管机构有权依职权启动审查,企业即使未主动申请,也可能因被认为存在国家安全风险而被审查,导致被动应对。
- 合规不力可能导致强制整改、暂停新用户注册、罚款甚至业务中断等严重后果,对企业运营和声誉造成重大打击。
- “网络平台运营者”等关键概念的定义仍在演进中,企业需持续关注官方解释,避免因误判而产生合规漏洞。