《网络安全审查办法》是国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、国家安全部等十三部门联合发布的部门规章(十三部门令第8号),2021年12月28日公布、自2022年2月15日起施行,现行有效,共23条。它划定了两条触发网络安全审查的红线:关键信息基础设施运营者采购网络产品和服务、网络平台运营者开展数据处理活动,只要影响或者可能影响国家安全,就应当申报审查;掌握超过100万用户个人信息的网络平台运营者赴国外上市则必须申报。采购核心网络设备、高性能计算机和服务器、大型数据库、云计算服务等算力与云基础设施的企业,以及跑数据处理平台、准备境外上市的平台方,都要以这部办法为国家安全合规的起点坐标。
- 发布机关:国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局(十三部门)
- 文号:国家互联网信息办公室等十三部门令 第8号
- 公布日期:2021年12月28日
- 施行日期:2022年2月15日
- 官方原文:中国网信网
解读要点
- 两类主体、两种情形触发审查(第二条):一是关键信息基础设施运营者采购网络产品和服务,二是网络平台运营者开展数据处理活动,二者只要“影响或者可能影响国家安全”即应申报,两类主体统称“当事人”。判断的不是行为本身,而是它对国家安全的影响。
- 采购申报是运营者的主动预判义务(第五条、第六条):关键信息基础设施运营者采购前应预判产品和服务投入使用后的国家安全风险,可能影响国家安全的主动申报,并要在采购文件、协议中要求供应商配合审查、作出不非法获取用户数据等承诺。
- 超100万用户信息赴国外上市是唯一的强制申报情形(第七条):掌握超过100万用户个人信息的网络平台运营者赴国外上市,“必须”申报网络安全审查——这是全篇措辞最硬的一条,也是2021年这部办法修订新增的核心制度。
- 审查围绕七类国家安全风险因素展开(第十条):从产品和服务被非法控制/中断的风险、供应链可靠性、供应商守法情况,到核心数据/重要数据/大量个人信息被窃取泄露、非法出境,以及上市导致数据被外国政府控制利用的风险,逐项评估。
- 审查分普通程序与特别程序,时限层层递进(第九条至第十四条):受理起10个工作日决定是否审查,初步审查30个工作日(复杂可延15个),成员单位回复意见15个工作日;意见不一致转特别审查程序,一般90个工作日内完成,情况复杂可再延长。
- 罚则采转致模式(第二十条):本办法自身不设罚款,违反规定的依照《网络安全法》《数据安全法》处理——真实执法中,网络安全审查发现的问题可直接转为立案调查,2022年滴滴案即据此被处80.26亿元罚款。
法规全文
第一条 为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》,制定本办法。
条款解读:本条列明的四部上位法,把这部办法的定位说清了——它是国家安全法、《网络安全法》、《数据安全法》和《关键信息基础设施安全保护条例》在“供应链安全审查”这一环上的具体落地规则,本身不创设新的实体处罚,罚则回到上位法(见第二十条)。
对企业来说,读这部办法要连着上位法一起读:审查的实体标准散在网络安全法、数据安全法里,本办法给的是“什么情形要申报、走什么程序、多长时间”这套操作规则。
第二条 关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。
前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。
条款解读:本条圈定了全篇的适用主体和触发条件,是判断“我要不要走这套程序”的第一道关。它是两组“主体+行为”的组合:关键信息基础设施运营者“采购网络产品和服务”,网络平台运营者“开展数据处理活动”——注意第二类主体是2021年修订新纳入的,把审查从供应链采购扩展到了平台数据处理。
两组情形都带同一个限定语“影响或者可能影响国家安全”。这不是行为本身违法的判断,而是国家安全影响的判断:同样是采购云服务,普通企业采购与关键信息基础设施运营者采购,落入审查的门槛完全不同。什么是“关键信息基础设施”,认定标准在《关键信息基础设施安全保护条例》,通常由行业主管部门认定并通知到运营者。
实务上,把自己往里对号入座分三步:
- 先定身份:本单位是否被主管部门认定为关键信息基础设施运营者,或者是否属于掌握大量用户数据的网络平台运营者。
- 再看行为:是采购网络产品和服务(第五条、第二十一条列了范围),还是开展数据的收集、存储、加工、传输、提供、公开等处理活动。
- 后判影响:该行为是否“影响或者可能影响国家安全”——拿不准时按第五条的“预判”义务从严评估,可能影响就主动申报。
第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。
第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。
网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。
条款解读:本条搭起了审查的组织架构:中央网信委领导,网信办牵头会同其余十二部门组成工作机制,日常口子是设在网信办的“网络安全审查办公室”。按官方答记者问,办公室的具体接收申报、形式审查等工作委托中国网络安全审查认证和市场监管大数据中心承担,并设有咨询窗口——企业申报时对接的就是这个中心。
第五条 关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。
条款解读:本条把“要不要申报”的第一判断权交给了运营者自己,落成一项主动的“预判”义务——采购前要评估产品和服务投入使用后可能带来的国家安全风险,判断为可能影响国家安全的,主动向审查办公室申报,而不是等监管找上门。
对采购算力、服务器、大型数据库、云计算服务的关键信息基础设施运营者,这条是实操起点:预判做不做、留没留台账,直接决定后面是主动申报还是被动整改。行业主管部门若已发布预判指南,对照指南评估;没有指南的,按第十条列的七类风险因素逐项自查。
第六条 对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。
条款解读:本条把审查义务向供应链上游传导——运营者要通过采购合同条款把供应商“绑”进审查,让供应商书面承诺不非法获取用户数据、不非法控制操纵用户设备、无正当理由不断供不断技术支持。
这意味着采购算力和云服务时,合同不是签完就完事:配合审查条款、数据安全与断供承诺应当写进采购文件和协议,成为供应商的合同义务。第十九条还要求运营者督促供应商履行这些承诺,是一条贯穿采购全周期的责任。
第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
条款解读:这是全篇措辞最硬的一条——用的是“必须”申报,而非其他条文的“应当”,也是2021年这次修订的标志性新增制度。触发要件只有两个且须同时满足:掌握超过100万用户个人信息、赴“国外”上市。
按官方答记者问,申报的时点是“向国外证券监管机构提出上市申请之前”;申报后有三种结果:无需审查、审查后不影响国家安全可继续上市、审查后影响国家安全不允许赴国外上市。要注意“国外”上市与“香港”上市的处置口径不同,赴港上市的具体要求以证券监管与网信部门当时的规则为准,本条直指的是赴“国外”上市。
对准备境外上市融资的数据型平台,这条是上市时间表里绕不开的前置节点:数据资产规模一旦越过100万用户线,网络安全审查就成了IPO的先决程序,不申报或申报不实的法律风险,正是2021年滴滴案的核心教训。
第八条 当事人申报网络安全审查,应当提交以下材料:
(一)申报书;
(二)关于影响或者可能影响国家安全的分析报告;
(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;
(四)网络安全审查工作需要的其他材料。
第九条 网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内,确定是否需要审查并书面通知当事人。
第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
条款解读:本条是审查的“评分表”,把抽象的“国家安全风险”拆成七类可评估的因素,也是企业写第八条那份“国家安全影响分析报告”的对照清单。
七类因素可归为三条主线:一是供应链安全(第一、二、三项)——产品会不会被非法控制、断供会不会瘫痪业务、供应渠道可不可靠、会不会因政治外交贸易因素断供;二是供应商合规(第四项)——供应商守不守中国法律;三是数据安全(第五、六项)——核心数据、重要数据、大量个人信息会不会被窃取泄露、非法出境,上市后会不会被外国政府控制利用。第六项专门对着赴国外上市场景,与第七条呼应。
对采购方而言,这七项就是自查方向:写分析报告时逐项论证本次采购或数据处理为什么不落入这些风险,比空泛地说“不影响国家安全”有说服力得多。
第十一条 网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。
第十二条 网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。
网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。
第十三条 按照特别审查程序处理的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知当事人。
第十四条 特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。
条款解读:第九条至第十四条串起来是一张完整的时间表,做上市和采购计划时要把这段时限算进项目排期。
时限拆开看:受理后10个工作日决定是否审查(第九条)→ 初步审查30个工作日,情况复杂可延长15个工作日(第十一条)→ 成员单位和相关部门15个工作日内回复意见(第十二条)。走到这里意见一致就出结论;意见不一致进入特别审查程序,一般90个工作日内完成,情况复杂可以延长(第十三条、第十四条)。加上第十五条“补充材料时间不计入审查时间”,实际耗时往往还要更长。
结论就是:网络安全审查不是几天能过的手续,走到特别程序动辄数月。数据型平台的境外上市窗口、关键基础设施的采购落地时点,都要为这段审查预留充分提前量。
第十五条 网络安全审查办公室要求提供补充材料的,当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。
第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。
为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。
条款解读:本条是“主动发起审查”条款——即便企业没有申报,工作机制成员单位认为某项网络产品和服务或数据处理活动可能影响国家安全的,也可以报批后主动启动审查。加上第二款要求当事人在审查期间采取预防和消减风险的措施,说明审查不完全依赖企业自觉申报,监管有权自行发起。2021年对“滴滴出行”的网络安全审查,就是监管主动发起的典型。
第十七条 参与网络安全审查的相关机构和人员应当严格保护知识产权,对在审查工作中知悉的商业秘密、个人信息,当事人、产品和服务提供者提交的未公开材料,以及其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或者用于审查以外的目的。
第十八条 当事人或者网络产品和服务提供者认为审查人员有失客观公正,或者未能对审查工作中知悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。
第十九条 当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。
网络安全审查办公室通过接受举报等形式加强事前事中事后监督。
第二十条 当事人违反本办法规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。
条款解读:本条是罚则条款,但本办法自身不设罚款——违反规定的,转致到《网络安全法》、《数据安全法》处理。这不等于违法成本低:转致的上位法罚则很重,数据安全法对拒不配合国家安全数据审查的可处最高一千万元罚款。
更关键的是执法机理:网络安全审查不只是一道程序,审查中发现的问题可以直接转化为立案调查的线索。2022年7月,国家互联网信息办公室根据对滴滴全球股份有限公司的网络安全审查结论及发现的问题线索立案调查,查实其违反《网络安全法》《数据安全法》《个人信息保护法》,依法处以人民币80.26亿元罚款,对其董事长兼CEO程维、总裁柳青各处100万元罚款。
这起案件是理解本办法威慑力的最好注脚:网络安全审查本身没有独立罚款,但它是撬动上位法巨额处罚的支点——绕过审查违规赴国外上市,真正的代价落在网络安全法、数据安全法、个人信息保护法的罚则上。
第二十一条 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。
条款解读:本条给“网络产品和服务”下了范围定义,是判断采购是否落入第二条、第五条的直接依据。列举的核心网络设备、高性能计算机和服务器、大型数据库、云计算服务,正是当前算力和云基础设施采购的主要标的——这也是本办法对采购算力、上云的企业最有现实意义的一条。
兜底项“其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务”留了扩张空间:判断是否需要申报,落脚点始终是“对国家安全的重要影响”,而非某个封闭的产品清单。
第二十二条 涉及国家秘密信息的,依照国家有关保密规定执行。
国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。
条款解读:本条处理本办法与其他审查制度的衔接。第二款很重要:网络安全审查之外,还有独立的数据安全审查和外商投资安全审查制度,三者可能同时适用、须叠加满足——外资背景的平台、涉及数据出境的采购,要一并排查外商投资安全审查和数据出境相关规则,不能只过网络安全审查这一关。
第二十三条 本办法自2022年2月15日起施行。2020年4月13日公布的《网络安全审查办法》(国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局令第6号)同时废止。
参考来源
- 《网络安全审查办法》官方全文,中国网信网
- 《网络安全审查办法》答记者问,中国网信网
- 网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告,中国网信网
- 国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定,中国网信网
- 国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定答记者问,中国网信网
- 案例检索:网络安全审查系行政程序,其典型事件(如滴滴出行审查)以行政监管与处罚形式呈现,经中国裁判文书网检索,未见以本办法为裁判依据的贴切诉讼案例,故本页不设案例注,改以经官方来源核实的监管事件解读监管动向。