《网络安全审查办法》修订版出炉:数据安全成为重要考虑因素

合规科技郭美婷,李润泽子 2022-01-04 22:08

境外上市并非禁区,明晰的规定或将促进企业做出更加合理的决策。

解读丨网络安全审查修订升级:加码数据出境监管,影响有多大?

21世纪经济报道记者 郭美婷、李润泽子 广州报道

1月4日,国家网信办等十三部门联合修订发布《网络安全审查办法》(下称《办法》),并自2022年2月15日起施行。

《办法》缩小了网络安全审查的规制范围,由原来的“数据处理者”变更为“网络平台运营者”,监管对象更加聚焦。同时,《办法》新增规定,要求当事人在审查期间采取预防和消减风险的措施,如暂缓或停止危险性的数据处理活动等。

多位专家向21世纪经济报道记者表示,未来企业赴国外上市合规成本将提升,数据安全成为重要考虑因素。然而,境外上市并非禁区,明晰的规定或将促进企业做出更加合理的决策。

从“数据处理者”到网络平台运营者

此次《办法》由国家网信办、工信部及证监会等十三部门联合修订发布。其中,根据审查实际需要,证监会被增加作为网络安全审查工作机制成员单位。

相比于此前的修订草案征求意见稿,《办法》新增了去年8月出台的《关键信息基础设施安全保护条例》作为上位法依据。

北京德恒律师事务所合伙人王一楠告诉21世纪经济报道记者,关键信息基础设施是《办法》中规定的一个重要审查申报主体,在上位法《关键信息基础设施安全保护条例》出台后,理应作为《办法》的法规依据。

“围绕网络与数据安全,我国已形成了《网络安全法》《数据安全法》《个人信息保护法》及《关键信息基础设施安全保护条例》三法一条例。在后续制定细则性规定中,及时将上位法作为依据写入文本具有规范性意义。” 中国互联网协会研究中心副主任、北京师范大学网络法治国际中心执行主任吴沈括表示。

此外,《办法》第二条将原来的“数据处理者”变更为“网络平台运营者”,连同关键信息基础设施运营者作为网络安全审查的规制对象。

王一楠分析,从概念上来看,从“数据处理者”到“网络平台运营者”理论上缩小了审查申报主体的适用主体范围,但在实践中适用要看监管部门的具体操作。

北京清律律师事务所首席合伙人熊定中观点相似。“因为《办法》指向网络安全,如工业基础设施的数据处理者等与网络运营无关的,就不适用于此了。”

审查期采取预防和消减风险措施

21世纪经济报道记者梳理发现,相较于此前发布的征求意见稿,《办法》在多处新增“数据安全”“数据处理活动安全性”等表述。

例如,《办法》第三条原来规定,网络安全审查可从产品和服务安全性、可能带来的国家安全风险等方面进行,后新增了“数据处理活动安全性”这一方面。

需要注意的是,网络安全审查与数据安全审查并非同等概念。王一楠表示,这两项审查并不可替代。从《办法》第二十二条新增的“国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定”,亦可看出端倪。

“但网络安全审查的上位法也包括《数据安全法》,其中加入了数据处理的内容。然而,目前网络安全审查制度刚刚建立,但数据安全审查制度暂未明确。”王一楠说。

针对企业审查期间的安全措施亦有了新规定,《办法》第十六条明确,“为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施”。

吴沈括表示,该规定突出了全流程安全管理的要求,即网络安全审查期间,当事人应同样遵守内部业务、外部合作等流程的安全基本要求,配备基本安全措施。

“这是在审查结果出来之前,以较谨慎、保守的办法处理数据运营活动,例如暂缓或者停止一些可能行为有危险性的数据处理活动。”熊定中分析。

王一楠以滴滴事件为例,在去年滴滴被实施网络安全审查期间,“滴滴出行”不仅停止新用户注册,App也被全面下架整改。

(作者:郭美婷,李润泽子 编辑:包芳鸣)