Expert Interpretation: New Version of the Cybersecurity Review Measures Strengthens Cybersecurity and Data Security Defenses

《网络安全审查办法》自实施以来，在确保关键信息基础设施供应链安全、维护国家安全方面起到了重要的保障作用。此次《网络安全审查办法》修订，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施保护条例》，旨在确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全。<br> 一、《网络安全审查办法》修订的亮点<br> 此次《网络安全审查办法》修订，增加了中国证券监督管理委员会作为国家网络安全审查工作机制成员。<br> 同时，增加了审查申报对象：掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。这部分申报对象须提交材料包括：申报书、关于影响或者可能影响国家安全的分析报告，拟提交的首次公开募股（IPO）等上市申请文件，网络安全审查工作需要的其他材料。<br> 网络安全审查重点评估的国家安全风险因素增加了两点内容：一是重点评估核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；二是重点评估上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险。<br> 针对网络平台运营者赴国外上市申报网络安全审查的结论，从《网络安全审查办法》答记者问看审查结论共分三种情况：一是无需审查；二是启动审查后，经研判不影响国家安全的，可继续赴国外上市程序；三是启动审查后，经研判影响国家安全的，不允许赴国外上市。<br> 二、各国为确保平台和数据安全纷纷出台监管措施<br> 国际重点国家和地区为防范网络安全、数据安全等安全风险，纷纷出台网络平台的监管措施，如《美国选择与创新在线法案》《终止平台垄断法案》《平台竞争和机会法案》《并购申报费现代化法案》《在线隐私法（草案）》等，《欧盟数字市场法（草案）》《数字服务法（草案）》《通用数据保护条例》，《俄罗斯联邦大众传媒法》《信息、信息技术和信息保护法》等等。<br> 其中，美国为保障国家安全出台了《确保信息通信技术及服务供应链安全行政命令》及配套规则，明确提出其审查涉及的敏感数据包括企业数据和个人数据两类，具体包括：一是企业在12月内任何时间点保存、收集、维护超过100万个人数据的情况，以及为美国行政部门和军事部门的人员和承包商提供特定或专用产品服务的企业收集的信息情况；二是个人征信数据、消费数据、保险数据、健康状况数据、非公开电子通信数据、地理位置数据、生物识别数据、身份识别数据等，以及个人基因检测信息、疾病信息等遗传信息。<br> 三、我国网络平台运营者赴国外上市风险加大<br> 随着美国《外国公司问责法案》和最终配套规则的发布，美国公众公司会计监督委员会（PCAOB）6100审计相关规则的发布，这些监管条款明显针对我国企业。如，要求在美上市企业提交关联公司的董事会成员中的中国共产党官员的姓名，明确发行人公司制度文件中是否包含中国共产党章程等。SEC还专门针对我国赴国外上市企业发布了《致中国公司的信函范本》的声明，要求美国指定注册会计师事务所为发行人编制的审计报告，明确提出合同协议不等同于VIE业务的股权所有权。<br> 如果我国企业连续三年被SEC认定为“发行人”，SEC将会立即对其实施交易禁令。如果“发行人”希望终止交易禁令，必须证明PCAOB能够检查或调查的其使用的注册会计师事务所。但近日，PCAOB又发布《〈外国公司问责法〉认定报告》，认定60余家在美注册中国会计师事务所“无法完成检查或调查”，国外的审计更加严格。<br> 目前情况下，掌握关键信息基础设施、核心数据、重要数据或者大量个人信息的网络平台运营者赴国外上市存在着较大的安全风险。<br> 四、企业应提高安全意识，积极主动申报审查<br> 根据《中华人民共和国国家安全法》第十一条，中华人民共和国公民、一切国家机关和武装力量、各政党和各人民团体、企业事业组织和其他社会组织，都有维护国家安全的责任和义务。<br> 我国网络平台运营者作为我国国家安全的责任主体的一部分，一是需加强国家安全的主体责任意识，防范上市给我国国家安全带来的风险；二是掌握关键信息基础设施、核心数据、重要数据或者大量个人信息的我国企业赴国外上市，存在被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险时，应积极主动申报网络安全审查，防范企业上市给国家安全带来风险。（作者：刘金芳，中国网络安全审查认证中心工程师）