作者｜周晨黠、宋海新、彭凯、郑文洁、陈婷婷、许中华

编辑｜李意安

（本文作者均供职于金诚同达律师事务所，主要业务包含网络信息与数据安全）

2021年7月10日，国家互联网信息办公室下发关于《网络安全审查办法（修订草案征求意见稿）》（以下简称“《办法（修订草案）》”）公开征求意见的通知，而就在前日晚间，国家互联网信息办公室发布《关于下架“滴滴企业版”等25款App的通报》，再往前回溯至7月6日，中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》。接连三波刷屏之作，不断将“滴滴出行”“运满满”、“货车帮”、“BOSS直聘”引发的“网络安全审查”讨论“快速迭代”式地推向新的高潮。

此前，我们已就“网络安全是什么”和“App个保合规”两个角度对此次系列热点事件进行探讨。今天我们将进一步以《办法（修订草案）》为核心，围绕其最新修订的八个要点推出“8问8答”。

Q1：为什么新增《数据安全法》作为上位法依据？

1、《数据安全法》是什么？

《数据安全法》已于2021年6月10日通过，将于2021年9月1日起施行。作为我国数据领域的基础性立法，完善了数据安全的顶层设计，其规定了数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全、法律责任等内容，对于规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益具有划时代的意义。

2、为什么适用《数据安全法》？

纵观《办法（修订草案）》的修订内容，其最核心的变化体现在新增对数据处理者开展数据处理活动的规范。《国家安全法》《网络安全法》固然能够适用，但涉及数据安全的、直接的规定确实相对有限。在《国家安全法》《网络安全法》之外，适逢《数据安全法》已经出台并且即将生效，《办法（修订草案）》第一条新增《数据安全法》作为其上位法依据，恰逢其时、恰如其分。

有人可能会说，不对呀，《数据安全法》到2021年9月1日才生效，现在还未生效，怎么就恰逢其时、恰当其分了呢？卖个关子，文末Q8，给你答案。

3、网络安全审查和数据安全审查的关系？

除适用《数据安全法》的原则性规定之外，《办法（修订草案）》主要指向的应为《数据安全法》第二十四条的规定，即：

国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

依法作出的安全审查决定为最终决定。

为什么指向该条规定？探讨完Q2，疑惑将会自然消解。我们继续探讨网络安全审查和数据安全审查的关系。

我们先把思绪回到《办法（修订草案）》发布之前。彼时，《数据安全法》规定的数据安全审查和《网络安全法》规定的网络安全审查之前的关系如何，是并行、合并适用亦或是其他关系，众说纷纭，但似乎占据主流的猜测为二者并行，且后续会像《网络安全法》配套出台《网络安全审查办法》一样出台《数据安全法》配套的数据安全审查相关管理办法。

而《办法（修订草案）》发布之后。此时，似乎拨云见日：网络安全审查和数据安全审查一并由《办法（修订草案）》加以规定，二项审查可能同时触发，亦可能单独触发。而后续再出台单独的数据安全审查相关办法的可能性，也就比较低了。

Q2：网安审查还是只适用于关键信息基础设施运营者吗？

答案是：网安审查不再限于关键信息基础设施运营者，还包括数据处理者。换言之，所有开展数据处理活动的主体，均可能被实施网安审查。

依据有二：

其一、《办法（修订草案）》第二条对其适用范围进行了扩张

先上条文对比表格。

如上，不难看出，基于影响或者可能影响国家安全的前提，在原有适用范围限于“关键信息基础设施运营者采购网络产品和服务”的基础上，《办法（修订草案）》第二条新增“数据处理者开展数据处理活动”作为新的、单独的网安审查情形。

新惑再起，如何理解“数据处理者开展数据处理活动”？《办法（修订草案）》未对此作出明确界定，我们尝试从上位法中找寻答案。

《数据安全法》第三条第二款将“数据处理”界定为“包括数据的收集、存储、使用、加工、传输、提供、公开等”，可以说，将数据全生命周期的各项活动均纳入到“数据处理”的范围。而在数字化时代，开展数据处理活动的主体的广泛性无需多言。

言已至此，“所有开展数据处理活动的主体，均可能被实施网安审查”也就不言而喻了。

其二、掌握超过100万用户个人信息的运营者赴国外上市应申报网安审查

《办法（修订草案）》新增第六条规定“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”。

本条规定一出，足够吸引眼球。其与此前滴滴等三家被实施网络安全审查后，我们的观察“结合以上赴美上市信息梳理，比较有意思的直观结论似乎是：新近成功赴美IPO的三家企业均被实施网络安全审查，似有深意”似乎“不谋而合”。“掌握超过100万用户个人信息的运营者赴国外上市”，并未强调必须是关键信息基础设施运营者，而主要是从掌握数据达到特定数量的角度来说的。

而本条规定的具体影响，我们留待Q5细谈。

Q3：网安审查还是以事前报请审查为主吗？

答案是肯定的。

《办法（修订草案）》并未改变《网络安全审查办法》的主要审查模式，即网络安全审查还是以事前报请审查为主。《办法（修订草案）》对第五条未进行变更，新增第六条强调赴国外上市必须报请网安审查，第八条对报请审查的材料中仅新增“拟提交的IPO审查材料”，而“拟签订的合同”“拟提交的IPO材料”，这里的两个“拟”亦足以看出事前审查的意味。

当然，《办法（修订草案）》第十六条亦保留了依职权启动审查的规定，并顺应整体修改思路，将“数据处理活动以及国外上市行为”新增纳入到依职权启动审查的情形。多说一句，依职权启动审查，不区分事前、事中还是事后审查，只要“认为影响或可能影响国家安全”，在报批后均可进行审查。

Q4：如何理解网安审查主要考虑要素的变化？

同样先上条文对比图：

对于网络安全审查主要考虑要素的变化，我们总结了以下五大要点理解：

1.修订后的第十条删除“网络产品和服务”，我们认为这并非改变法条的原意，而是用“采购活动”取代了“采购网络产品和服务”。“采购活动”也并非此次修订所使用的新词，如现行生效版《网络安全审查办法》第六条也适用了“采购活动”表述。

2.修订后的条文将“数据处理活动”和“国外上市”两类情形加入，该等修订系源于此次第二条的修订（“数据处理者”纳入“运营者”范畴）和第六条的新增（满足特定条件的运营者赴国外上市情形）。

3.修订后的第（一）款删除了“以及重要数据被窃取、泄露、毁损”表述，进而将被删内容单独列为第（五）款“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”，该第（五）款的内容更为具象化，新增了“非法利用”“出境”两项，更具周延性，同时呼应《数据安全法》和个人信息保护的内容，核心数据、重要数据、个人信息被同时列明。通过第（五）款，网络安全审查将可以全面引致到数据安全法、个人信息保护法领域，相应地，因数据安全和个人信息保护问题引发的风险，均称为网络安全审查中的评估内容，这对于审查者和被审查者，都绝非易事。

4.修订后的条文新增第（六）款，系针对国外上市情况而设定，且是针对“国外上市后”的情形，意味着既已国外上市的“中概股”们，均有被“秋后算账”的可能，如果我们对该款的理解正确，则将对中概股企业影响极为重大，从业机构需要评估自身被发起网络安全审查的可能性而积极筹备，以及被发起网络安全审查后的积极应对。

5.修订后的第（七）款增加“数据安全”表述，系源于《数据安全法》列为《网络安全审查办法》的制定依据缘由。

Q5：《办法（修订草案）》对赴国外上市的影响如何？

终于来到了这个最受关注的问题。毫无疑问，《办法（修订草案）》对于赴国外上市将会产生直接影响。可以说，国家安全、网络安全和数据安全问题之下，赴境外上市迎来“拐点”。

其实，在滴滴等三家互联网企业被实施网络安全审查后，根据媒体报道，已经向美国证券监督管理委员会（SEC）递交招股说明书的在线音频内容平台喜马拉雅、本地出行平台哈啰出行等公司均已暂缓其境外上市计划。《办法（修订草案）》第六条的规定，清楚、明晰、直观地表达了国家对持有大量个人信息企业赴境外上市的态度，亦宣誓了国家在复杂的国际环境下，对于维护国家利益、数据安全和个人信息保护的信心和决心。

该条款系此次修订最受关注条款（没有之一）。直抒胸臆式的条文表达，与近期事件强呼应，亦可视作国家在“赴国外上市”问题上的表态。“必须”等严肃措辞亦可视作国家态度的体现。“超100万用户”的准入标准，基本能够把国内全部的互联网企业揽入怀中。该条影响重大，“泛”而“严”地在一众互联网公司的国外上市之路上架起了网络安全审查的卡口。与7月6日的《关于依法从严打击证券违法活动的意见》形成强呼应。

如若“掌握超过100万用户个人信息”的审查条件在后续的正式稿中未予调整，那么大多数拟赴国外上市的企业均会触发该条件，而需要报请网安审查，特别是以C端业务为主的企业，持有用户个人信息达到上亿级别的比比皆是。自此，对于有上市计划的企业而言，除了考虑能否符合当地上市规则、融资预期等上市传统考虑因素之外，国家安全、网络安全和数据安全，将成为选择上市地点考虑因素中的“重头戏”（如首选“香港”而非“国外”）。

上市获益固然重要，安全底线不可挑战。

Q6：前期已经在国外上市的企业可能被启动网安审查吗？

我们的判断是，前期已经在国外上市的企业，也难以隔岸观火。

首先，滴滴等三家互联网企业虽然是新近赴国外上市，但也已然完成上市。如Q3所述，依职权调查，不区分事前、事中还是事后审查。前期上市，如果被网络安全审查工作机制成员单位认为影响或可能影响国家安全，依然可能被依职权启动调查。

国家安全、网络安全和数据安全面前，国外上市早不是“救命稻草”。

建议已经在国外上市的企业，立刻开展自查，开展数据合规安排，需要报请审查的及时报请审查，需要采取其他措施的及时采取其他措施，哪怕是“断臂自救”。

Q7：滴滴等三家互联网企业会适用《办法（修订草案）》吗？

《办法（修订草案）》一出，当然的疑问就是，滴滴等三家互联网企业会适用《办法（修订草案）》吗？

我们的理解是，不太可能会。简言之，从法理的角度，“法不溯及既往”，且《办法（修订草案）》并未设置规定溯及力的条款。滴滴等三家互联网企业被决定实施网安审查之时，乃至现在，生效、适用的均为《网络安全审查办法》，《办法（修订草案）》未正式出台、未正式生效。

当然，滴滴等三家互联网企业被实施网安审查的后果，我们一同观望。

Q8：《办法（修订草案）》预计何时正式出台？

先来给大家罗列三个信息点，大家顺着来自行回答一下《办法（修订草案）》预计何时正式出台这个问题。

显然，准确的回答是，不出意外的话，预计2021年年内正式出台，但应该不会早于2021年9月1日。

在八问答之外，我们亦对《网络安全审查办法》和《办法（修订草案）》进行了逐条比对分析，具体如下，拿走不谢。