十三部門釋出網安審查辦法，企業赴港上市無需主動申報審查

1月4日，國家網際網路資訊辦公室（以下簡稱“國家網信辦”）等十三部門聯合釋出了《網絡安全審查辦法》（修訂版）（以下簡稱“《辦法》”），自2022年2月15日起施行。

十三部門聯合釋出《網絡安全審查辦法》。

《辦法》共二十三條，将網絡平台營運者開展資料處理活動影響或可能影響國家安全等情形納入網絡安全審查範圍，要求掌握超過100萬使用者個人資訊的網絡平台營運者赴國外上市必須申報網絡安全審查。

那麼，企業赴港上市是否意味着無須接受網絡安全審查？有專家告訴南都記者，掌握超100萬使用者個人資訊的企業赴港上市不代表不會受到網絡安全審查，隻是不需要主動申報，如網絡安全審查工作機制成員機關認為有風險或者被舉報，依然可能受到審查。而申報審查的條件、流程以及所需時間都成為了企業赴美或赴港上市的重要因素。

赴港上市無需主動申報，但依然可能受到網安審查

自滴滴出行去年赴美上市“被叫停”開始，網絡安全審查受到業界廣泛關注。

去年7月2日，國家網信辦表示，對滴滴出行實施網絡安全審查；16日，國家網信辦會同公安部、國家安全部等六部門聯合進駐滴滴出行開展網絡安全審查。一個月前，滴滴出行宣布啟動紐交所退市工作，并啟動在香港上市的準備。

國家網信辦相關負責人就《辦法》答記者問時表示，修訂《辦法》主要目的是為進一步保障網絡安全和資料安全，維護國家安全。網絡平台營運者赴國外上市申報網絡安全審查，可能出現三種情況：一是無需審查；二是啟動審查後，經研判不影響國家安全的，可繼續赴國外上市程式；三是啟動審查後，經研判影響國家安全的，不允許赴國外上市。

《辦法》明确，掌握超過100萬使用者個人資訊的網絡平台營運者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。而對比征求意見稿，《辦法》在第十條第六款，将“國外上市”改為“上市”，是否意味着企業赴港上市無須接受網絡安全審查？

熟悉網絡安全立法工作的中國資訊安全研究院副院長左曉棟分析認為，赴港上市的企業無須主動申報網絡安全審查，但這并不意味着不會受到網絡安全審查。

他介紹，網絡安全審查有三種啟動條件：一種是主動申報；第二種是網絡安全審查工作機制成員機關認為有風險的提請審查；第三種是社會舉報。網絡安全審查工作機制成員機關系十三家發文機關，包括國家網信辦、國家發改委、工信部、公安部、央行等。

“赴港上市隻是在程式上不要求主動申報，但是根據第二、第三種條件，無論是否上市、在哪裡上市，一旦資料處理行為、網絡産品和服務有風險的，都可以提請審查。”左曉棟說道。

一位不願具名的資料合規律師也表示，如果網絡安全審查機制成員機關認為企業赴港上市過程中存在影響或者可能影響國家安全的因素的，可以提請審查，赴港上市的企業需要配合相關的網絡安全審查流程，但企業赴港上市并不屬于主動申報網絡安全審查的情形。

清律律師事務所首席合夥人熊定中表示，企業選擇在香港還是國外上市本質上是一種商業決策，此前很多企業選擇在香港上市的一個重要原因是網絡安全審查的主體、具體内容以及流程機制都不夠明确，是以在國外上市會有很多不确定的風險。“相較而言，他們（企業）更願意選擇香港這樣一個有确定性結論的地方。”

他認為，《辦法》明确赴國外上市的企業需接受網絡安全審查後，企業對自身申報安全審查的條件、流程以及所需時間等合規成本都有了明确了解，而這些因素也都成為決定其赴美或赴港的重要因素。如果企業判斷出其在國外上市與在香港上市間的收益之差能夠高于合規成本，那麼企業可能依然會選擇赴國外上市。

上述國家網信辦相關負責人表示，網絡平台營運者應當在向國外證券監管機構提出上市申請之前，申報網絡安全審查。網絡安全審查辦公室設在國家網際網路資訊辦公室，具體工作委托中國網絡安全審查技術與認證中心承擔。

資訊内容或為審查評估的風險因素之一

南都記者對比修訂前的《辦法》以及去年公布的征求意見稿發現，正式版在去年7月征求意見稿的基礎上，增加了《關鍵資訊基礎設施安全保護條例》作為法律依據。另外，在網絡安全審查對象上，《辦法》将資料處理者明确為“網絡平台營運者”。

左曉棟認為，修訂版《辦法》使用“網絡平台營運者”的表述并不是區分某企業是否應該受到網絡安全審查的依據，重點在于是否掌握了超過100萬使用者個人資訊，“當企業掌握了100萬以上使用者個人資訊時，如果不涉及通過網絡提供服務，這幾乎是不可想象的。”

《辦法》第十條第六款規定，網絡審查重點評估的國家安全風險因素包括上市存在關鍵資訊基礎設施、核心資料、重要資料或者大量個人資訊被外國政府影響、控制、惡意利用的風險，以及網絡資訊安全風險。

南都記者對比發現，正式版除将征求意見稿中“國外上市”改成“上市”之外，亦新增了“網絡資訊安全風險”。左曉棟認為，“網絡資訊安全風險”指向的是資訊内容安全風險，即違法有害資訊大規模擴散的情況。

“目前，利用人工智能、區塊鍊、深度僞造、定向推送等技術傳播違法有害資訊、破壞網絡安全設施的事例越來越多，技術風險已經與意識形态風險交織在一起，而赴國外上市活動将直接與外國機構打交道，這方面的風險不得不防。”他撰文道。

另外，《辦法》第十六條新增規定，為了防範風險，當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施。左曉棟表示，這條一般不适用于主動申報網絡審查的情況，适用于審查機制成員機關認為影響或可能影響國家安全以及社會舉報，這種特定情況下提出的措施，帶有懲罰意味。

熊定中認為，由于開展網絡安全審查需要一定時間，該規定的目的是讓企業在被調查時期及業務範圍之内盡量規避可能導緻風險放大的行為。這意味着，當相關部門開展網絡安全審查時，企業應以較為保守、謹慎的方式處理資料，并在得到審查結果之前避免将其外傳。

他進一步闡釋，假設一個企業計劃在美國上市，其申報安全審查的同時很可能也在同步準備上市工作。如果該企業的上市流程正好在安全審查期間進入到一個關鍵節點，如需企業提供一些基礎資料或審計底稿，根據《辦法》規定，此時企業就不應提供前述材料，而需等到審查結果出來後才能決定。

采寫：南都記者 孫朝 見習記者 樊文揚