网络/数据安全审查不限于《网络安全审查办法》 建议五类主体主动申报

新修订的《网络安全审查办法》将于今年2月15日生效，关于“掌握百万用户的网络平台赴国外上市必须申报网络安全审查”的靴子落地，而引发的另一个问题是“赴港上市”是否需要申报，乃至出现不同观点。我们认为，要得到准确答案就必须追根溯源，厘清网络和数据安全相关法律法规。

一、法律框架

《网络安全审查办法》（以下简称《办法》）全文23条，开篇明确了适用条件之一为“影响或者可能影响国家安全的”，即“国家安全”是网络安全审查的大前提。

同时，横向和纵向立法构建出关于安全审查的全图景。《国家安全法》提出“建立国家安全审查”制度，第59条规定：“国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。”

《网络安全法》提出建立“网络安全等级保护制度”和“关键信息基础设施“保护，第35条规定：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”

《数据安全法》第24条：“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”

由此可以认为，“国家安全审查”为最上位概念，数据安全审查与网络安全审查为具体领域的具体表现，二者存在交叉重合，当然数据安全审查更着重数据本身，网络安全审查除了网络数据，还包括网络、系统和供应链等方面。但是不应忽略的两个问题，一是在互联网已经高度渗透各个领域的今天，很少有一个行业、一个场景在处理大量数据的时候，与网络毫无关系，涉及数据处理的场景往往也涉及网络安全，反之亦然；二是在监管部门上，除了国家网信和公安部门，还有工信、电信、金融等多个行业部门也在制定本部门规章，我们认为这是为了针对不同行业而加快立法进程，而后续的执法活动会归于集中，避免多头监管的局面，所以网络、数据安全审查有可能归于统一实施。

正是基于该判断，在“网络安全审查”实务中，不能仅着眼于《办法》里明确提到的情形，而是要基于整个网络和数据安全立法框架，作体系解释。

二、申报审查主体

网络安全审查不仅是“赴国外上市”情形，至少以下五类主体均有主动申报义务。

（一）关键信息基础设施运营者和网络平台运营者

《办法》第二条、第七条规定，关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，掌握超过100万用户个人信息的网络平台运营者赴国外上市，需要进行网络安全审查。

这里已经包括了两类主体、三种情形，其中“关键信息基础设施运营者”范围十分广泛也是安全审查的重点，《关键信息基础设施安全保护条例》第二条规定：关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

从上述定义可以看出，提供公共服务的政务系统属于关键信息基础设施，像市级、省级政务系统推出的“新冠”健康码，覆盖人口数量大，其设计、运维、保障涉及面广，应当主动申报网络安全审查。

（二）赴境外上市企业

“境外上市”概念应该采用证监会的监管口径，而在《办法》落地后，有不少观点认为，《办法》只规定了赴国外上市，而“赴港”不等同于“赴国外”，所以赴港上市是否需要审查尚不明确。对这个问题的解释，在另一部法律中能找到答案。

《网络数据安全管理条例（征求意见稿）》第十三条规定：

数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：

（一）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；

（二）处理一百万人以上个人信息的数据处理者赴国外上市的；

（三）数据处理者赴香港上市，影响或者可能影响国家安全的；

（四）其他影响或者可能影响国家安全的数据处理活动。

大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。

在该规定中，“数据处理者”的范围就比《办法》中“平台”范围要广，触发审查的情形也比《办法》要详细，像大型互联网平台运营者的合并、重组、分立，设立境外总部、运营中心、研发中心。对于赴港上市的要求，甚至都没有“一百万用户”的要求。由此可见对“赴港上市”企业的审查更为严格。

值得注意的是，该草案在2021年11月公开征求意见，目前尚未正式施行，但可以肯定的是，在正式施行之后，要接受网络安全审查的主体和情形远比一般解读要多，在国内凡是涉及数据处理的主体，不管是不是以数据为主业，均有可能申报网络安全审查。

（三）数据跨境流动企业

《网络安全法》第三十七条和《个人信息保护法》第三十八条、四十条规定关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估。

“关键信息基础设施运营者”不再赘述，“个人信息处理者”是指是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。上述定义并不要求个人信息处理者以数据、信息处理为经营主业，只要掌握的个人信息量达到规定数量，即满足要求。

而因业务需求数据要在境内外双向流动的行业并不少见，比如民航、远洋船运货运、港口、跨境电商等等，跨国企业集团内部关于中方员工信息需要传输至国外总部的情形，亦包括在内。

（四）关键信息基础设施供应商

网络安全审查的主要目标之一，是为了保障关键信息基础设施供应链安全，《办法》规定审查的主要内容则包括了：……（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险……

供应商的范围则非常广泛，包括了核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。

由此可见，“供应商”的范围非常广泛，围绕网络、数据产业的上下游均已囊括在内。

虽然从目前法律规定来看，没有明确要求供应商申报安全审查，而是归入产品服务采购合并审查，即“具体产品服务+具体使用场景”的思路，但规定也要求了供应商要配合审查、提供相关承诺，合理的推论便是如果拒绝上述义务将会被排除在供应商范围内。所以，关键信息基础设施的供应商在有条件的情况下，主动申报安全审查，会更具备市场竞争力。

（五）已上市企业

除了拟赴境外上市企业，已在境外上市企业是否需要申报审查，该问题也被认为此是网络安全审查是否有“溯及力”。而我们认为，这不仅要从溯及力，更要从宏观视野去理解，安全审查是上市前置审批，还是强调全程保护。其实，仅从法律规定出发亦能得出安全审查是贯穿企业全生命周期的结论。《网络数据安全管理条例》第十三条（四）规定：其他影响或者可能影响国家安全的数据处理活动。作为兜底条款，可以理解为不仅拟上市企业，还应包括已上市和不上市企业，都可能触发安全审查。

进一步，我们要理解网络安全审查的核心主旨是为了保障国家安全，而社会的政治经济文化处于动态变化之中，所以国家安全的保障也应该处于动态之中。对于已上市企业而言不存在一劳永逸，企业有责任主动申报申查，按照法律规定进行梳理、排查风险。

三、敬畏监管也要拥抱监管

《国家安全法》第二条规定：“国家安全是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态，以及保障持续安全状态的能力。”

“国家安全”是启动安全审查的最大前提，还有如何维护经济长期发展、人民福祉、保障公民个人信息、尊重商业秘密、不侵害他人合法权益，是每个主体都应优先考虑的因素，也是网络时代合规的应有之义。在过去野蛮生长让很多企业获得更高效率，但也衍生了不少问题。在强监管的主基调之下，任何一个主体包括组织和个人，尤其是处于经营业务第一线的企业，对于市场和监管最为敏感，都要对监管保有敬畏。但同时也要拥抱监管，主动把合规融入业务，才能行稳致远。