中国政策档案 Governance Archive HOLDINGS 191,422 · FONDS 70
Record · 国家互联网信息办公室 ACC. 12694389

Expert Interpretation: Insights from Procurement Review of Critical Information Infrastructure for Online Platform Operators

专家解读|关键信息基础设施采购审查给网络平台运营者带来的启示

Issuer
国家互联网信息办公室
Date
2022-01-07
Instrument
explainer
Cited by
0
This expert interpretation analyzes the revised Cybersecurity Review Measures, which now require online platform operators with over 1 million users' personal data to undergo cybersecurity review before listing abroad. It draws parallels with existing review requirements for critical information infrastructure operators to guide platform operators on compliance.
Full text · 原文 1,405 字
《网络安全审查办法》自2020年6月1日正式实施以来,已近20个月。本次《网络安全审查办法》做出了重大修订,将网络平台运营者赴国外上市纳入了审查范围,并将于2022年2月15日起施行。回顾对关键信息基础设施运营者采购活动进行审查的一些具体要求和规定,可以给网络平台运营者实施和开展网络安全审查工作带来一些启示。<br> 一、关于网络安全审查申报<br> 对于拟赴国外上市的网络平台运营者,申报网络安全审查是满足合规要求的重要工作。满足什么条件需要申报审查、什么时候申报审查、如何申报审查等是网络平台运营者首先需要了解的问题,对比《网络安全审查办法》修订前后的具体条款,可以对这些问题做出解答。<br> 《网络安全审查办法》修订后新增了第七条要求,“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。对比办法第五条,赴国外上市审查的申报条件并未与是否影响国家安全直接进行挂钩,而是对网络平台运营者掌握的个人信息提出了定量指标,其目的是避免因对国家安全影响的分析不充分导致存在应申报未申报的情况,防止对是否应申报审查产生争议。<br> 网络平台运营者符合网络安全审查条件,应在何时提交审查申报,在办法中未进行明确规定。参考关键信息基础设施运营者采购活动的审查要求,网络安全审查是一种事前审查。《网络安全审查办法》第八条中要求,网络平台运营者申报审查提交的材料中包括“拟提交的首次公开募股(IPO)等上市申请文件”,表明网络平台运营者应在完成上市申请文件后,且向国外证券监管机构提交上市申请前,申报网络安全审查。<br> 此外,《网络安全审查办法》并未涉及审查申报材料的提交渠道等内容,根据关键信息基础设施运营者提交审查的要求,仍由中国网络安全审查技术与认证中心承担接收申报材料、对申报材料进行形式审查等工作。<br> 二、关于网络安全审查流程<br> 本次《网络安全审查办法》修订并未对网络安全审查流程做过多调整,因此现有对关键信息基础设施运营者采购活动的审查流程,对网络平台运营者也有重要的参考意义。<br> 《网络安全审查办法》将网络平台运营者赴国外上市和关键信息基础设施运营者采购活动审查纳入相同的审查流程,修订后的仅将特别审查由45个工作日增加到90个工作日,其余流程未做调整。网络平台运营者提交符合要求的申报材料后,一般可在55个工作日内得到审查结论(包括确定是否需要审查10个工作日,初步审查30个工作日,征求意见15个工作日),情况复杂的会延长15个工作日。对于征求意见不一致,进入特别审查程序的审查项目,可能还需要90个工作日或者更长。<br> 在审查实施过程中,根据已有经验,可能会要求网络平台运营者配合审查工作,包括提供补充材料、做出缓解风险的相关承诺、配合现场审查等。如网络平台运营者不能按要求配合审查,将按照审查不通过处理。<br> 除前面两方面比较重要的问题外,在对关键信息基础设施运营者采购活动审查工作中,也有一些其他方面的情况可供网络平台运营者参考:一是,由于网络安全审查涉及到国家安全,目前没有公开的实施细则和技术标准;二是,网络安全审查工作不向提交申报的关键信息基础设施运营者收取费用;三是,网络安全审查是一次性工作,不会针对同一采购活动重复审查,且不对审查结论设置上诉机制;四是,审查完成后,会持续监督关键信息基础设施运营者履行承诺情况和执行审查结论情况。(作者:郭臣,中国网络安全审查技术与认证中心工程师)