中国国家互联网信息办公室(网信办)联合12个部委于2022年1月4日正式颁布了《网络安全审查办法》(下称《审查办法》),为网络平台运营企业带来新的合规挑战。
申报主体范围
网络安全审查的重点对象是关键信息基础设施运营者(CIIO)采购的网络产品和服务。此外,运营者开展数据处理活动,影响或可能影响国家安全的,也被纳入了网络安全审查范围。针对拟赴国外上市的运营者,《审查办法》明确规定“掌握超过100万用户个人
信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”
合伙人
汉坤律师事务所
《审查办法》中使用了“国外上市”的概念,但并未对其进一步界定。结合《网络数据安全管理条例》(征求意见稿)中的表述以及监管机构的实践,《审查办法》应旨在免除拟赴香港上市的运营者主动申报网络安全审查的义务。值得注意的是,《审查办法》同时赋予了监管机构主动依职权开展审查的权力,因此不排除在实践中部分赴香港上市企业涉及大量敏感数据处理活动时,出于谨慎考虑主动申报网络安全审查。
《审查办法》在申报材料要求中将需提供的材料界定为“首次公开募股(IPO)等上市申请文件”,结合目前的申报实践,除IPO外,运营者在国外上市可能采取的SPAC(特殊目的收购公司)并购、RTO(反向兼并/借壳上市)、DPO(互联网直接公开上市)等方式均应主动申请申报网络安全审查。《审查办法》并未明确将已在国外上市的中概股公司纳入主动申报范围,但监管机构可以对已上市的中概股公司的日常数据处理活动依职权开展安全审查,并在审查中考虑其国外上市的状态。
审查要点
网络安全审查中监管机构将重点评估运营者网络产品和服务的安全性,以及供应渠道的可靠性。具体而言,运营者应关注其提供具有舆论属性或社会动员能力的互联网信息服务情况,利用个人信息进行算法推荐情况,收集敏感个人信息情况、网络安全和数据安全防护情况。此外,“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”也是监管机构关注的重点。为此,运营者应关注其与政府机构、事业单位、研究机构开展合作的情况和数据出境情况。
申报流程
合伙人
汉坤律师事务所
运营者应在向国外证券监管机构提出上市申请之前,申报网络安全审查。申报的结果可能包括,(1)无需审查;(2)启动审查后,经研判不影响国家安全的,可继续赴国外上市程序;(3)启动审查后,经研判影响国家安全的,不允许赴国外上市。前两种情况下,运营者可以继续向国外证券监管机构提出上市申请。
网信办委托中国网络安全审查技术与认证中心(下称“中心”)接受材料、对申报材料进行形式审核、具体组织审查工作。运营者向中心提交申报材料且通过形式审核后,申报材料将被移交网信办,《审查办法》规定的审限即开始计算。网信办将在10个工作日内确定是否需要审查并出具书面通知,网络安全审查程序正式启动后运营者最快将于45个工作日内收到审查结论通知,若情况复杂,网络安全审查程序最长可持续150个工作日。
合规建议
为提高顺利通过网络安全审查的成功率,我们建议企业:
- 紧跟监管机构对个人信息保护的动态,避免收集与服务无关的个人信息,特别是敏感个人信息,不断完善用户信息保护工作。
- 密切关注监管机构后续出台的重要数据认定标准,全面贯彻落实重要数据保护、安全风险评估、数据本地化等系列要求。系统建立数据安全影响评估制度、内部合规治理制度,对高风险数据处理活动开展事先评估,并持续开展数据合规审计工作。
- 进一步完善网络产品和服务的供应链安全审查,事先对供应商合进行规评估、协议约束、事中事后开展相关审计。
- 在向境外交易所和监管机构提供数据前,按照法律法规的规定事先征求网信办、证监会等主管部门意见,并制定内部制度明确前述要求。
- 密切关注后续配套审查标准的出台和落地。
段志超是汉坤律师事务所合伙人。他的联系方式是电话
+86 10 8516 4123以及电邮kevin.duan@hankunlaw.com
蔡克蒙是汉坤律师事务所合伙人。他的联系方式是电话
+86 10 8516 4289以及电邮kemeng.cai@hankunlaw.com
