《网络安全审查办法》将于2022年2月15日起实施

随着《数据安全法》、《关键信息基础设施安全保护条例》的陆续出台,原《网络安全审查办法》(2020年6月1日施行,下称“《2020办法》”)在“安全审查”方面的规定与前述法律法规的衔接配套问题需要解决。为此,国家互联网信息办公室等13个部门于2021年12月28日发布了新修订的《网络安全审查办法》(下称“《2021办法》”),并将于2022年2月15日起施行。

以下就《2021办法》主要修订内容作一介绍。

1、扩大安全审查对象的范围

《2020办法》规定审查对象为关键信息基础设施运营者,2021年版在此基础上增加了“网络平台运营者”。不过,对于前者,安全审查针对的是“采购网络产品和服务”行为,而对于后者,安全审查针对的是“数据处理活动”。

2、强化对境外上市的安全审查管理

《2021办法》第7条明确规定:“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。

事实上,对于境外上市的安全审查监管应该还会趋严。最近发布的《网络数据安全管理条例(征求意见稿)》第13条将以下情形也纳入主动申报范围:(1)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;(2)数据处理者赴香港上市,影响或者可能影响国家安全的。当然,这一点有待最终出台的正式版明确。

3、增加风险审查评估的对象/情形

关于风险审查考虑的对象/情形,《2020办法》主要规定四项,而《2021办法》新增了两项,具体如下:

《2020办法》 产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险
产品和服务供应中断对关键信息基础设施业务连续性的危害
产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险
产品和服务提供者遵守中国法律、行政法规、部门规章情况
《2021办法》

新增

核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险
上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险