ARTICLES
专业文章
网络安全审查的具体操作和对境内企业赴港上市之适用与分析(上)
网络安全审查的具体操作和对境内企业赴港上市之适用与分析(上)
一
网络安全审查之适用主体
《网络安全审查办法》[1]将网络安全审查的适用主体界定为两类:“关键信息基础设施企业(CIIO)”和“网络平台运营者”。关键信息基础设施企业已经由《关键信息基础设施安全保护条例》做出明确的识别和认定[2],而“网络平台运营者”尚且缺乏明确定义。根据我们在公开渠道的检索,“网络平台运营者”目前存在以下相近定义:《中华人民共和国网络安全法》确立的“网络运营者”概念,《网络数据安全管理条例(征求意见稿)》和《互联网平台落实主体责任指南(征求意见稿)》确立的“互联网平台运营者/经营者”概念,以及《中华人民共和国电子商务法》确立的“电子商务平台经营者”概念。具体如下:
①《中华人民共和国网络安全法》第76条
网络运营者,是指网络的所有者、管理者和网络服务提供者。
②《网络数据安全管理条例(征求意见稿)》第73条
互联网平台运营者,是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。
大型互联网平台运营者,是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
③《互联网平台落实主体责任指南(征求意见稿)》附则
互联网平台,是指通过网络信息技术,使相互依赖的双边或者多边主体在特定载体提供的规则下交互,以此共同创造价值的商业组织形态。
平台经营者,是指向自然人、法人及其他市场主体提供经营场所、交易撮合、信息发布等互联网平台服务的法人及非法人组织。通过互联网等信息网络从事销售商品或者提供服务的自建网站经营者,可参照平台经营者适用本指南。
④《中华人民共和国电子商务法》第9条
电子商务平台经营者,是指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务,供交易双方或者多方独立开展交易活动的法人或者非法人组织。
除了CIIO作为明确的适用主体外,目前来看“网络平台运营者”并非一个具有普遍通识的法律概念。从对“平台”的朴素理解,其功能必须具备撮合和连接的特性。因此,行业内谨慎认为“网络平台运营者”应该是针对此类具备多方交易功能、提供综合服务的平台运营者,并非单纯的通过网络仅提供自身服务的运营者,或仅提供平台搭建等技术服务的运营者。[3]
二
网络安全审查之适用情形
《网络安全审查办法》规定:“关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。”“对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。”“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”
根据不同的适用主体及适用情形,上述条款可简单区分如下:
类别 | 适用主体 | 适用情形 |
强制申报 | 关键信息基础设施企业 | 采购网络产品和服务,并预判影响或者可能影响国家安全 |
强制申报 | 网络运营者 | 掌握超过100万用户个人信息的网络运营者赴国外上市 |
自发申报 | 网络运营者 | 经分析认为自身活动影响或者可能影响国家安全的[4] |
虽然“预判义务”在《网络安全审查办法》中被确立为关键信息基础设施企业的特定义务,但其也并非排斥其他当事人(网络运营者)对自身数据处理活动进行预先分析,概因《网络安全审查办法》第三条已明确指出其审查范围囊括了“产品和服务以及数据处理活动”。再结合《网络安全审查办法》第八条的规定可以合理推测,一旦当事人在数据处理活动中“经分析认为自身活动影响或者可能影响国家安全的”,均应申报网络安全审查。
这一规定的实质亦与《网络数据安全管理条例(征求意见稿)》确立的网络安全审查制度相衔接。《网络数据安全管理条例(征求意见稿)》第十三条规定[5]“处理一百万人以上个人信息的数据处理者赴国外上市的”,或“数据处理者赴香港上市,影响或者可能影响国家安全的”,应当申报网络安全审查。由此可见,《网络数据安全管理条例(征求意见稿)》确立的网络安全审查原则同样区别了“赴国外上市”和“赴香港上市” 情形,我们理解,赴国外上市企业只要处理个人信息过百万,则必须申报网络安全审查;赴港上市企业若自行分析认为影响或者可能影响国家安全的,也应申报网络安全审查。
同时,为具体落实赴国外上市企业的网络安全审查工作,《网络安全审查办法》答记者问中专门公布了接受审查资料的窗口单位,即网络安全审查办公室设在国家互联网信息办公室(“网信办”),具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查等任务;中国网络安全审查技术与认证中心设立网络安全审查咨询窗口。
三
网络安全审查之流程和时限
根据《网络安全审查办法》,在关键信息基础设施运营者、网络平台运营者向网络安全审查办公室提交材料[6]申报网络安全审查后,需经过四步审查流程,即:确定是否需要审查、初步审查、复审及批准。
网络安全审查的一般流程和时限要求如下:
(1)确定是否需要审查(10个工作日):网络安全审查办公室自收到符合规定的审查申报材料起10个工作日内确定是否需要审查并书面通知当事人。
(2)初步审查(30+15个工作日):网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。
(3)机制单位回复意见(15个工作日):网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见;意见不一致的,则进入特别审查程序;如意见一致的,经研判不影响国家安全的,则通知企业,程序完结。
(4)特别审查程序(90个工作日):特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。
为方便理解,我们总结具体流程图示如下:
点击可查看大图
基于以上流程,若企业确定需要进行网络安全审查,一般情况下可在提交网络安全审查申报材料之日起3个月左右完成;若进入特别审查程序,则可能额外增加90个工作日以完成全部审查工作。需要特别注意的是,该等审查时限不包含企业按照网络安全审查办公室要求补充材料的时间。
近期已发生第一宗境内企业境外上市因违反网络安全审查相关规定而被予以行政处罚的案例,罚款金额逾80亿元。由此可见,网络安全审查今后将是境内企业赴境外上市需要履行的重要程序。
需注意的是,中国证监会于2021年12月24日发布的《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》以及《境内企业境外发行证券和上市备案管理办法(征求意见稿)》规定,在适用网络安全审查的情形下,发行人应当在向境外提交首次公开发行上市申请文件后3个工作日内,向中国证监会提交网络安全审查部门出具的相关评估审查意见。但是,上述征求意见迄今尚未生效,目前拟上市企业的通行做法仍是在递交境外上市申请文件前完成网络安全审查程序。
四
信息系统等级保护备案
《网络安全法》规定,国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。《信息系统安全等级保护定级指南》(2007年6月27日颁布及生效)将信息系统的安全保护等级分为五级[7]。
1、定级范围
根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(2007年7月16日颁布及生效),定级范围包括:“(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统;(三)市(地)级以上党政机关的重要网站和办公信息系统;(四)涉及国家秘密的信息系统。”
2、确定信息系统安全保护等级的一般流程如下[8]:
点击可查看大图
(1)侵害国家安全的事项包括以下方面:
影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利益;影响国家重要的安全保卫工作;影响国家经济竞争力和科技实力;其他影响国家安全的事项。
(2)侵害社会秩序的事项包括以下方面:
影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序;影响各行业的科研、生产秩序; 影响公众在法律约束和道德规范下的正常生活秩序等; 其他影响社会秩序的事项。
(3)影响公共利益的事项包括以下方面:
影响社会成员使用公共设施;影响社会成员获取公开信息资源;影响社会成员接受公共服务等方面; 其他影响公共利益的事项。
(4)影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
3、信息系统安全等级保护备案办理流程
根据《信息安全等级保护备案实施细则》,定级流程为:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。
企业应当在信息系统安全保护等级确定后30日内,到公安机关公共信息网络安全监察部门办理备案手续。办理备案手续时,应当首先到公安机关指定的网址下载并填写备案表,准备好备案文件,然后到指定的地点备案。
办理信息系统安全等级保护备案时应当提交《信息系统安全等级保护备案表》及其电子文档。第二级以上信息系统备案时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》中的表四及其有关材料。经相关部门审核,对符合等级保护要求的,公安机关公共信息网络安全监察部门应当自收到备案材料之日起的10个工作日内,将加盖本级公安机关印章(或等级保护专用章)的《备案表》一份反馈备案单位,一份存档;对不符合等级保护要求的,公安机关公共信息网络安全监察部门应当在10个工作日内通知备案单位进行整改,并出具《信息系统安全等级保护备案审核结果通知》。
须提请留意,不同级别的信息系统需要的备案材料有所差异。《网络安全法》第五十九条[9]规定,网络运营者未办理信息系统安全等级保护备案,将由相关主管部门责令改正,给予警告、处一万元以上十万元以下罚款等行政处罚。
[注]
