根据新的网络安全审查程序申请

n2022 年 1 月 4 日，中国国家互联网信息办公室（CAC）和其他 12 个部级部门联合发布的《网络安全审查办法》对网络平台运营商提出了合规挑战。

主题范围

网络安全审计的主要目标是关键信息基础设施运营商 (CIIO) 购买的网络产品和服务。 此外，开展影响或可能影响国家安全的数据处理活动的运营商也包括在其范围内。

对于拟境外上市的经营者，上述办法明确规定，“控制超过100万用户个人信息的境外上市经营者，须向国家网信办提出网络安全审计申请”。

措施中使用了“境外上市”的概念，但并未明确界定。 但是，考虑到《网络数据安全管理条例》（征求意见稿）中的这一表述以及监管机构的做法，这些措施很可能旨在免除拟在香港上市的经营者主动向互联网备案的义务。
安全审查。

应该指出的是，这些措施还赋予监管机构主动进行依职权审查的权力。 因此，不排除在实务中，部分拟在香港上市，业务涉及处理大量敏感数据的公司，出于审慎考虑，会主动提出网络安全审查请求。

《办法》将提交所需材料定义为“首次公开发行（IPO）等申请文件清单”。 然而，考虑到目前的备案做法，除了首次公开募股外，运营商还建议通过收购特殊目的收购公司（SPAC）、反向收购/壳牌上市（RTO）等方式进行离岸上市，或互联网上的直接公开募股 (DPO) 必须提交主动档案以进行网络安全审查。

这些行动并未明确将已在境外上市的中国概念股公司纳入主动备案范围，但监管机构可能对其日常数据处理活动进行依职权安全审查，并重新考虑是否在境外上市。

审查重点

在网络安全审计中，监管机构将优先评估运营商网络产品或服务的安全性，以及其供应渠道的可靠性。

具体而言，运营商将考虑其提供的具有舆论属性或社会动员能力的互联网相关信息服务，以及将个人信息用于算法推荐、个人敏感信息收集、网络安全和数据安全保护等方面。

监管机构还将重点关注的重点包括：“基础数据、主数据或大量个人信息被盗、泄露、破坏、非法使用或跨境转移的风险；关键信息基础设施、基础数据、主数据或大量个人信息。”列入外国名单后受到外国政府的影响、控制或恶意使用。

因此，运营商需要注意与政府部门、机构和研究机构的合作，以及数据的跨境传输。

存款程序

运营商必须在向外国证券监管机构提交上市申请之前提交网络安全审查申请。 备案结果可以是： (i) 无需修改； （二）审查结果表明不会对国家安全产生影响，可能继续涉外； （三）审查结果表明对国家安全有影响，不允许涉外纳入的。 在前两种情况下，经营者可以继续向境外证券监管机构申请上市。

网信办委托中国网络安全审查认证认证中心受理材料，对注册材料进行初步审查，安排审查细节。 经营者向中心提交注册材料并通过初审后，注册材料即转交CAC，即表示办法规定的审核期开始。

CAC 将在 10 个工作日内确定是否需要审查，并发出书面通知。 网络安全审查程序启动后，运营商将在45个工作日内尽快收到审查结论通知。 在复杂的情况下，程序可以延长至最多150个工作日。

合规建议

为了获得成功通过网络安全审计的最佳几率，作者建议公司：

• 紧跟个人信息保护监管趋势，避免收集与其服务无关的个人信息，特别是敏感信息，不断完善用户信息保护政策；
• 密切关注监管部门后期发布的主数据识别标准，遵守主数据保护、安全风险评估、数据本地化等相关要求； 建立系统的数据安全影响评估体系和内部合规管理体系； 对高风险数据处理活动进行前期评估，并持续进行数据合规性审计；
• 进一步完善网络产品和服务供应链安全审查，对供应商进行事前合规评估，履行合同义务，开展相关事中事后审核；
• 在向交易所和离岸监管机构提交数据前，依法依规征求中国证监会、证监会等主管部门的意见，并针对上述要求制定内部规章制度； 和
• 密切关注后续补充审查标准的问题和落实情况。

段凯文是汉坤律师事务所的合伙人。 他可以联系到 +86 10 8516 4123 或发送电子邮件至 [email protected]

蔡克萌是汉坤律师事务所的合伙人。 可以通过 +86 10 8516 4289 或发送电子邮件至 [email protected] 与他联系