1、學習解讀2022年新修訂的網絡安全審查辦法（講義）為了確保關鍵信息基礎設施供應鏈安全，保障網絡安全和數據安全，維護國家安全，近日，國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部等十三部門聯合修訂了網絡安全審查辦法（以下簡稱辦法），將于2022年2月15日起施行。辦法指出，網絡安全審查堅持防范網絡安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合，從產品和服務以及數據處理活動安全性、可能帶來的國家安全風險等方面進行審查。第一部分：辦法修訂背景網絡安全審查是網絡安全領域的重要法律制度。原辦法自202

2、0年6月1日施行以來，通過對關鍵信息基礎設施運營者采購活動進行審查和對部分重要產品等發起審查，對于保障關鍵信息基礎設施供應鏈安全，維護國家安全發揮了重要作用。2021年9月1日，數據安全法正式施行，明確規定國家建立數據安全審查制度。我們據此對網絡安全審查辦法進行了修訂，將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查范圍，并明確要求掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查，主要目的是為了進一步保障網絡安全和數據安全，維護國家安全。第二部分：辦法修訂要點1、網絡平臺運營者赴國外上市申報網絡安全審查，可能的結果有幾類？答：對外開放是我

3、國的基本國策，我們始終支持境內企業依法依規合理利用境外資本市場融資發展。辦法明確“掌握100萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查”，申報網絡安全審查可能有以下三種情況：一是無需審查；二是啟動審查后，經研判不影響國家安全的，可繼續赴國外上市程序；三是啟動審查后，經研判影響國家安全的，不允許赴國外上市。2、如何理解網絡安全審查中涉及的數據處理活動？答：根據數據安全法，數據處理活動包括數據的收集、存儲、使用、加工、傳輸、提供、公開等活動。辦法重點聚焦的是網絡平臺運營者開展上述數據處理活動，影響或者可能影響國家安全的情形。3、網絡平臺運營者何時申報赴國外上市網絡安全審查？答：網

4、絡平臺運營者應當在向國外證券監管機構提出上市申請之前，申報網絡安全審查。4、赴國外上市網絡安全審查如何提交申報材料？答：網絡安全審查辦公室設在國家互聯網信息辦公室，具體工作委托中國網絡安全審查技術與認證中心承擔。中國網絡安全審查技術與認證中心在網絡安全審查辦公室的指導下，承擔接收申報材料、對申報材料進行形式審查等任務。中國網絡安全審查技術與認證中心設立網絡安全審查咨詢窗口。 第三部分：辦法亮點解讀1、聚焦新風險形勢，與時俱進修訂細則國家互聯網應急中心最新報告指出，近年來，網絡產品和服務供應鏈安全形勢愈加嚴峻，針對關鍵信息基礎設施的信息竊取、攻擊破壞等惡意活動持續增加，針對數據的網絡攻

5、擊以及數據濫用問題日趨嚴重，數據安全風險將更加突出。“出于適應國際國內網絡安全新形勢、促進平臺經濟穩定健康發展的需要，適時地進行制度修訂和調整，體現了制度不斷向前發展的趨勢，持續完善的網絡安全審查制度，將為維護國家安全作出更大貢獻。”中國網絡安全審查技術與認證中心工程師齊越說。記者注意到，此次辦法修訂在擴大審查范圍的同時，也對審查的工作機制、工作流程等進行了適當調整。調整內容包括：增加證監會作為網絡安全審查工作機制成員單位，明確網絡安全審查辦公室收到合格申報材料的時間為審查開始時間，增加上市申請文件作為上市審查申報材料的一部分，增加上市活動帶來的數據安全風險作為國家安全風險考慮的因素之一，延長

6、特別審查的工作時限至90個工作日等。齊越認為，從總體上看，審查機制和流程沿用了原有審查制度框架，針對新納入赴國外上市審查這一變化進行了有針對性的優化，審查制度在實踐中不斷得到完善。2、將重要數據處理活動納入審查范圍作為互聯網應用大國，我國各類互聯網平臺眾多，既有為社會提供金融支付、通信交流等基礎性服務的互聯網平臺，也有專注于視聽、求職、打車、貨運、購物等的領域性互聯網平臺。中國網絡安全審查技術與認證中心高級工程師唐旺表示，這些平臺或掌握了海量公民個人數據，或在一個領域內掌握具有壟斷性的用戶信息。互聯網平臺掌握的數據一旦發生泄露，將會嚴重危害公民個人信息安全，給不法分子實施詐騙、非法營銷等活動提

7、供便利。甚至對一些特定領域的個人信息進行有針對性的分析，能夠得出我國社會經濟運行的敏感信息，一旦泄露將會影響國家安全。據中國網絡安全審查技術與認證中心工程師劉金芳介紹，網絡安全審查重點評估的國家安全風險因素增加了兩方面內容：一是重點評估核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險；二是重點評估上市存在關鍵信息基礎設施、核心數據、重要數據或大量個人信息被外國政府影響、控制、惡意利用的風險。3、更加規范網絡平臺赴國外上市審查上市，對互聯網平臺而言具有特殊意義。隨著經濟全球化步伐加快，我國企業選擇到國外上市融資的情況逐漸增多。“赴國外上市的企業主要來自電商、出行、招

8、聘、教育、物流等重數據資產的領域，往往掌握大量國內用戶數據。”齊越認為，辦法修訂的一大亮點，就是把網絡平臺運營者赴國外上市納入網絡安全審查。此次網絡安全審查辦法的修訂，重點提出了“掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查”的要求。唐旺認為，這一點對計劃赴國外上市的互聯網平臺進行了充分的國家安全層面風險評估，一旦發現平臺有違反國家網絡安全、數據安全要求，存在國家安全層面上的風險時，將禁止赴國外上市，這也將有效化解互聯網平臺因赴國外上市帶來的國家安全風險，提高全社會對網絡安全、數據安全的重視程度。第四部分：辦法全文解讀網絡安全審查辦法第一條

9、為了確保關鍵信息基礎設施供應鏈安全，保障網絡安全和數據安全，維護國家安全，根據中華人民共和國國家安全法、中華人民共和國網絡安全法、中華人民共和國數據安全法、關鍵信息基礎設施安全保護條例，制定本辦法。第二條 關鍵信息基礎設施運營者采購網絡產品和服務，網絡平臺運營者開展數據處理活動，影響或者可能影響國家安全的，應當按照本辦法進行網絡安全審查。前款規定的關鍵信息基礎設施運營者、網絡平臺運營者統稱為當事人。第三條 網絡安全審查堅持防范網絡安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合，從產品和服務以及數據處理活動安全性、可能帶來的

10、國家安全風險等方面進行審查。第四條 在中央網絡安全和信息化委員會領導下，國家互聯網信息辦公室會同中華人民共和國國家發展和改革委員會、中華人民共和國工業和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局建立國家網絡安全審查工作機制。網絡安全審查辦公室設在國家互聯網信息辦公室，負責制定網絡安全審查相關制度規范，組織網絡安全審查。第五條 關鍵信息基礎設施運營者采購網絡產品和服務的，應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可

11、能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查。關鍵信息基礎設施安全保護工作部門可以制定本行業、本領域預判指南。第六條 對于申報網絡安全審查的采購活動，關鍵信息基礎設施運營者應當通過采購文件、協議等要求產品和服務提供者配合網絡安全審查，包括承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備，無正當理由不中斷產品供應或者必要的技術支持服務等。第七條 掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。第八條 當事人申報網絡安全審查，應當提交以下材料：（一）申報書；（二）關于影響或者可能影響國家安全的分析報告；（三）

12、采購文件、協議、擬簽訂的合同或者擬提交的首次公開募股（IPO）等上市申請文件；（四）網絡安全審查工作需要的其他材料。第九條 網絡安全審查辦公室應當自收到符合本辦法第八條規定的審查申報材料起10個工作日內，確定是否需要審查并書面通知當事人。第十條 網絡安全審查重點評估相關對象或者情形的以下國家安全風險因素：（一）產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或者破壞的風險；（二）產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；（三）產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；（四）產品和服務提供者遵守中國法

13、律、行政法規、部門規章情況；（五）核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險；（六）上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險，以及網絡信息安全風險；（七）其他可能危害關鍵信息基礎設施安全、網絡安全和數據安全的因素。第十一條 網絡安全審查辦公室認為需要開展網絡安全審查的，應當自向當事人發出書面通知之日起30個工作日內完成初步審查，包括形成審查結論建議和將審查結論建議發送網絡安全審查工作機制成員單位、相關部門征求意見；情況復雜的，可以延長15個工作日。第十二條 網絡安全審查工作機制成員單位和相關部門應當自

14、收到審查結論建議之日起15個工作日內書面回復意見。網絡安全審查工作機制成員單位、相關部門意見一致的，網絡安全審查辦公室以書面形式將審查結論通知當事人；意見不一致的，按照特別審查程序處理，并通知當事人。第十三條 按照特別審查程序處理的，網絡安全審查辦公室應當聽取相關單位和部門意見，進行深入分析評估，再次形成審查結論建議，并征求網絡安全審查工作機制成員單位和相關部門意見，按程序報中央網絡安全和信息化委員會批準后，形成審查結論并書面通知當事人。第十四條 特別審查程序一般應當在90個工作日內完成，情況復雜的可以延長。第十五條 網絡安全審查辦公室要求提供補充材料的，當事人、產品和服務提供者應當予以配合。

15、提交補充材料的時間不計入審查時間。第十六條 網絡安全審查工作機制成員單位認為影響或者可能影響國家安全的網絡產品和服務以及數據處理活動，由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后，依照本辦法的規定進行審查。為了防范風險，當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施。第十七條 參與網絡安全審查的相關機構和人員應當嚴格保護知識產權，對在審查工作中知悉的商業秘密、個人信息，當事人、產品和服務提供者提交的未公開材料，以及其他未公開信息承擔保密義務；未經信息提供方同意，不得向無關方披露或者用于審查以外的目的。第十八條 當事人或者網絡產品和服務提供者認為審查人員有失客觀公正，或者未能對審查工作中知悉的信息承擔保密義務的，可以向網絡安全審查辦公室或者有關部門舉報。第十九條 當事人應當督促產品和服務提供者履行網絡安全審查中作出的承諾。網絡安全審查辦公室通過接受舉報等形式加強事前事中事后監督。第二十條 當事人違反本辦法規定的，依照中華人民共和國網絡安全法、中華人民共和國數據安全法的規定處理。第二十一條 本辦法所稱網絡產品和服務主要指核心網絡設備、重要通信產品、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務