作者：京师上海律所数字经济中心副主任 杨振律师

2022年6月23日，网络安全审查办公室约谈同方知网（北京）技术有限公司负责人，宣布对知网启动网络安全审查。

2022年6月29日，满帮集团（“运满满”、“货车帮”）、BOSS直聘先后发布公告称，经过一年来认真配合国家网络安全审查并进行全面整改后，经报网络安全审查办公室同意，即日起恢复新用户注册。

2021年7月2日，被公告启动网络安全审查的“滴滴”，至今还未恢复新用户注册。

随着2022年2月15日，国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》正式施行，作为国家安全审查重要组成部分的网络安全审查，将成为《国家安全法》、《网络安全法》等一系列法律法规贯彻落实的有效实践。

知网不会是最后一个接受网络安全审查的企业。其他未被点名的企业，更需要提高合规意识、安全观念、法治思维，其中非常重要的一步，便是清晰准确地理解《网络安全审查办法》。

关于《网络安全审查办法》（以下简称“办法”）的核心内容以及企业应如何应对监管，笔者将通过本文做简要探讨。

一、办法适用场景及主体

《办法》第二条：“关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。”“前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人”。

结合该条款我们可以发现，在前述接受审查的企业中，“知网”更接近“关键信息基础设施运营者”，根据官方公告中表述“知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据，以及我重大项目、重要科技成果及关键技术动态等敏感信息”。这也符合《关键信息基础设施安全保护条例》第二条中对于关键信息基础设施的概念定义。

而“滴滴”、“运满满”、“货车帮”、“BOSS直聘”等企业则更接近开展数据处理活动的“网络平台运营者”之定位。当然，滴滴、运满满、货车帮在运营过程中也会收集和处理大量交通运输重点领域的重要数据，也会有“关键信息基础设施运营者”部分属性。

二、办法适用的启动方式

1.当事人主动申请审查

《办法》第五条：“关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。”

《办法》第七条：“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”

针对“关键信息基础设施运营者”和“网络平台运营者”，办法规定了各自应主动申报网络安全审查的条件。但其中，网络平台运营者的主动申报条件，明显更为清晰易执行；关键信息基础设施运营者的申报，需要依靠主观性更强的“预判”，因此后续也更需要关键信息基础设施安全保护工作部门制定行业、领域的预判指南。

2.审查机关主动发起审查

《办法》第十六条：“网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。”

三、企业应对的合规措施

1.预判风险、积极合作

根据《办法》第五条和第七条，不管是关键信息基础设施运营者还是网络平台运营者，都应当对自己的用户规模、采购行为、上市规划进行充分的风险预判。其中对于风险预判的重点也应当以《办法》第十条中网络安全审查重点评估的因素为参照：

（1）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；

（2）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（3）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（4）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（5）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；

（6）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；

（7）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

当然，单纯依靠企业自身可能很难对网络安全风险进行全面准确的预判，更需要与主管部门、安全厂家、专业法律机构等积极合作，共同完成相应风险的预判、识别和化解工作。

2. 协议约束、把关内容

关键信息基础设施运营者和网络平台运营者作为承担网络安全审查主体义务的核心角色和链接多方的桥梁，要充分利用法律文件，对义务相关方进行有效约束。

《办法》第六条：“对于申报网络安全审查的采购活动，关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查。”

《办法》第二十一条：“本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。”

因此，对涉及《办法》所称的网络产品和服务的相关合同内容，企业内部需要严格把关，相关条款中至少应包括要求对方承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。

3. 主动申报、积极配合

当出现符合《办法》第五条、第七条规定之情形时，企业应当主动进行申报，并积极配合审查部门进行相关审查工作。

《办法》第十五条：“网络安全审查办公室要求提供补充材料的，当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。”

《办法》第十六条：“为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。”

《办法》第十九条：“当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。”

4. 自我保护、审查监督

《办法》开篇即提到，网络安全审查坚持过程公正透明与知识产权保护相结合的原则。对于企业来说，配合网络安全审查的同时，亦要注意自身知识产权、商业秘密等保护。

《办法》第十七条：“参与网络安全审查的相关机构和人员应当严格保护知识产权，对在审查工作中知悉的商业秘密、个人信息，当事人、产品和服务提供者提交的未公开材料，以及其他未公开信息承担保密义务；未经信息提供方同意，不得向无关方披露或者用于审查以外的目的。”

《办法》第十八条：“当事人或者网络产品和服务提供者认为审查人员有失客观公正，或者未能对审查工作中知悉的信息承担保密义务的，可以向网络安全审查办公室或者有关部门举报。”

四、结语

《网络安全审查办法》的实施，总体上来说会有利于关键信息基础设施运营者和网络平台运营者们进一步强化网络安全和数据安全意识，引导关键信息基础设施运营者和网络平台运营者将风险保障工作关口前移，从源头消解安全风险。

企业必须有大局思维、安全思维、合规思维，才能够动态地匹配目前快速变化的国际形势和政策走向，也才能够清晰准确地应对合规监管。

律师介绍

京师上海律所数字经济中心副主任，澳门大学国际商法研究生，拥有丰富的涉外企业、互联网行业从业及法律服务经验，曾服务于多家互联网广告企业、社交/直播电商企业、新能源工程车企业、外商投资企业。专注于数字经济领域及外商投资法律服务领域，擅长互联网广告、社交电商行业的业务合规及违规处置；平台经济合规风险审查及合规体系搭建；数据合规及个人信息保护；外商投资合规法律服务；刑事风险防控及经济犯罪辩护。