（小尘4x/图）

2021年7月10日，国家网信办对外公布了《网络安全审查办法（修订草案征求意见稿）》（以下简称修订案），公开向社会征集意见。

南方周末记者关注到，对比现有的《网络安全审查办法》，修订案在申报范围、机制成员单位、特别审查时间等方面都进行了重要调整。

首先，申报范围扩大了，对比过去仅要求“关键基础设施运营者”申报，修订案增加了“数据处理者”。且工作机制成员单位，增加了中国证监会。

更重要的是，对赴境外上市公司的审查提出了新要求。

修订案新增了第六条，要求掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。在申报材料中，新增要求提供拟提交的IPO材料等。

在审查内容上，针对国外上市公司新增两条：一是核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；二是国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。

预备在海外上市的公司申报审查材料后，网络安全审查办公室在10个工作日内确定是否需要审查并书面通知运营者。此次修订案对特别审查程序的审查时间进行了修改，由过去的“45个工作日”改为“三个月内完成”。

这次修订案制定思路如何？释放了哪些信号？境外上市企业会受到何种程度的影响？

南方周末记者就此专访了中国信息安全研究院副院长左晓栋，他曾参与过多部网络安全重大政策法规的研究起草工作。

建立国家数据安全审查制度

南方周末：7月10日，《网络安全审查办法》修订案开始征求意见。结合网信办刚刚公布了滴滴等企业接受网络安全审查的消息，该如何理解该办法修订的背景？

左晓栋：《网络安全审查办法》的修订，发生在对滴滴等赴美上市企业审查期间，且其条款针对国外上市作了明确规定，所以大家很容易将这两件事关联起来。

但从更深层次上理解，这些相关上市要求条款是在落实最近中办、国办印发的《关于依法从严打击证券违法活动的意见》，文件要求“加强跨境监管合作。完善数据安全、跨境数据流动、涉密信息管理等相关法律法规”。

从根本上来看，这次修订是为了落实《中华人民共和国数据安全法》第二十四条的要求，该条提出国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

《中华人民共和国数据安全法》将在2021年9月1日实施，此次审查办法的修订，表明数据安全法进入实施前紧锣密鼓的准备阶段，法律中设立的重大制度将逐步通过法规和细则予以落实。

南方周末：这次审查办法的修订是否意味着，网络安全审查制度和数据安全审查制度合并实施了？

左晓栋：网络安全审查制度和数据安全审查制度的关系，这需要权威部门给出解读。但至少有以下几点是明确的：

（1）网络安全审查办法的修订，主要针对的是数据处理活动带来的国家安全风险，这是数据安全法中数据安全审查制度的立法宗旨。

（2）网络安全和数据安全不可能绝对剥离，且很多网络安全风险来自数据处理活动，网络安全审查制度天然应当包括对数据处理活动的审查。

（3）在国家已经建立了整套网络安全审查制度的前提下，不太可能也没有必要另起炉灶重新建立一个数据安全审查办公室、重新指定技术支撑机构。

当然，数据安全审查制度的建立是一个需要不断探索的过程，这次修订审查办法只是一个开头，相信这个制度会不断健全完善。

“100万主要考虑的是社会影响”

南方周末：对滴滴等企业审查在前，审查办法修订在后，且数据安全法还没有生效，社会上为此对审查的法律依据有些疑问。您对此如何评价？

左晓栋：滴滴被审查之初，的确很多人猜测是因为滴滴被列为了关键信息基础设施。因为网络安全审查的启动条件是关键信息基础设施运营者采购产品和服务时可能影响国家安全。甚至为此还引发了很多“阴谋论”。

事实上，这与滴滴是否被列为关基没有必然关系，因为网络安全审查的启动还有第二种条件，即网络安全审查机制成员单位认为网络产品和服务可能影响国家安全。

因此，对滴滴等企业启动安全审查，法律依据是充分的。

不同的是，滴滴等这些企业存在的网络安全风险，主要是数据安全风险，且因企业赴美上市而引发。因此举一反三，尽快建立我国数据安全审查制度，针对企业海外上市等特殊场景明确制度细则，就成了当务之急。

数据安全法的确还没有生效，但审查办法的修订也有一个过程，修订完成开始实施一定会和数据安全法的生效日期保持协调，也就是2021年9月1日。

南方周末：什么样的企业是“数据处理者”？修订案通过后，对目前已经在境外上市的互联网企业是否会产生影响？它们是否会纳入网络安全审查范围？

左晓栋：应当从数据安全法的实施范围出发去理解“数据处理者”。

数据安全法规定，数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。

所有涉及数据处理活动的主体，只要影响或可能影响国家安全，都应当接受数据安全审查。从这个角度而言，修订后的网络安全审查办法的规范对象较广。

审查办法的修订稿实施后，哪些企业需要补充申报网络安全审查，或者主动提起网站安全审查，需要等待政策进一步的规定。

我认为，从现在起所有的数据处理者，特别是掌握了大量个人信息数据的基础互联网服务企业，要自行组织或者委托专业机构对本企业数据处理的合规性，特别是数据处理是否可能影响国家安全，抓紧开展自评估。

南方周末：新增的第六条“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”，这里面100万用户的门槛并不高，是否意味着所有赴国外上市的企业都需要接受网络安全审查？

左晓栋：100万的确不是一个高门槛，但是从企业经营角度来讲，可能规模很大了才能上市，所以用户不会只是100万。

但是，从个人信息保护的角度而言，如果处理不当，100万用户也是很大一个群体。所以说这个门槛是相对合适的。

这是综合考虑了我国互联网产业发展的实际情况、批量个人信息泄露后对国家安全、公共利益带来的影响而确定的标准，主要考虑的是社会影响。

南方周末：特别审查程序从之前的45个工作日改为了3个月内完成，相当于在过去的基础上增加了半个月时间。这是否意味着审查程序会比过去更为复杂？

左晓栋：审查办法修订后，需要审查的情形增多，有的比较复杂，例如在国外上市这种情况。这次审查机制成员单位增加了证监会，针对的也是这类情况。

因此，特别审查程序的时间需要适当延长。当然，出于效率的考虑，常规审查程序的时长没有变化。

南方周末记者 罗欢欢