1月4日，国家互联网信息办公室（以下简称“国家网信办”）等十三部门联合发布了《网络安全审查办法》（修订版）（以下简称“《办法》”），自2022年2月15日起施行。

十三部门联合发布《网络安全审查办法》。

《办法》共二十三条，将网络平台运营者开展数据处理活动影响或可能影响国家安全等情形纳入网络安全审查范围，要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。

那么，企业赴港上市是否意味着无须接受网络安全审查？有专家告诉南都记者，掌握超100万用户个人信息的企业赴港上市不代表不会受到网络安全审查，只是不需要主动申报，如网络安全审查工作机制成员单位认为有风险或者被举报，依然可能受到审查。而申报审查的条件、流程以及所需时间都成为了企业赴美或赴港上市的重要因素。

自滴滴出行去年赴美上市“被叫停”开始，网络安全审查受到业界广泛关注。

去年7月2日，国家网信办表示，对滴滴出行实施网络安全审查；16日，国家网信办会同公安部、国家安全部等六部门联合进驻滴滴出行开展网络安全审查。一个月前，滴滴出行宣布启动纽交所退市工作，并启动在香港上市的准备。

国家网信办相关负责人就《办法》答记者问时表示，修订《办法》主要目的是为进一步保障网络安全和数据安全，维护国家安全。网络平台运营者赴国外上市申报网络安全审查，可能出现三种情况：一是无需审查；二是启动审查后，经研判不影响国家安全的，可继续赴国外上市程序；三是启动审查后，经研判影响国家安全的，不允许赴国外上市。

《办法》明确，掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。而对比征求意见稿，《办法》在第十条第六款，将“国外上市”改为“上市”，是否意味着企业赴港上市无须接受网络安全审查？

熟悉网络安全立法工作的中国信息安全研究院副院长左晓栋分析认为，赴港上市的企业无须主动申报网络安全审查，但这并不意味着不会受到网络安全审查。

他介绍，网络安全审查有三种启动条件：一种是主动申报；第二种是网络安全审查工作机制成员单位认为有风险的提请审查；第三种是社会举报。网络安全审查工作机制成员单位系十三家发文单位，包括国家网信办、国家发改委、工信部、公安部、央行等。

“赴港上市只是在程序上不要求主动申报，但是根据第二、第三种条件，无论是否上市、在哪里上市，一旦数据处理行为、网络产品和服务有风险的，都可以提请审查。”左晓栋说道。

一位不愿具名的数据合规律师也表示，如果网络安全审查机制成员单位认为企业赴港上市过程中存在影响或者可能影响国家安全的因素的，可以提请审查，赴港上市的企业需要配合相关的网络安全审查流程，但企业赴港上市并不属于主动申报网络安全审查的情形。

清律律师事务所首席合伙人熊定中表示，企业选择在香港还是国外上市本质上是一种商业决策，此前很多企业选择在香港上市的一个重要原因是网络安全审查的主体、具体内容以及流程机制都不够明确，因此在国外上市会有很多不确定的风险。“相较而言，他们（企业）更愿意选择香港这样一个有确定性结论的地方。”

他认为，《办法》明确赴国外上市的企业需接受网络安全审查后，企业对自身申报安全审查的条件、流程以及所需时间等合规成本都有了明确了解，而这些因素也都成为决定其赴美或赴港的重要因素。如果企业判断出其在国外上市与在香港上市间的收益之差能够高于合规成本，那么企业可能依然会选择赴国外上市。

上述国家网信办相关负责人表示，网络平台运营者应当在向国外证券监管机构提出上市申请之前，申报网络安全审查。网络安全审查办公室设在国家互联网信息办公室，具体工作委托中国网络安全审查技术与认证中心承担。

南都记者对比修订前的《办法》以及去年公布的征求意见稿发现，正式版在去年7月征求意见稿的基础上，增加了《关键信息基础设施安全保护条例》作为法律依据。另外，在网络安全审查对象上，《办法》将数据处理者明确为“网络平台运营者”。

左晓栋认为，修订版《办法》使用“网络平台运营者”的表述并不是区分某企业是否应该受到网络安全审查的依据，重点在于是否掌握了超过100万用户个人信息，“当企业掌握了100万以上用户个人信息时，如果不涉及通过网络提供服务，这几乎是不可想象的。”

《办法》第十条第六款规定，网络审查重点评估的国家安全风险因素包括上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险。

南都记者对比发现，正式版除将征求意见稿中“国外上市”改成“上市”之外，亦新增了“网络信息安全风险”。左晓栋认为，“网络信息安全风险”指向的是信息内容安全风险，即违法有害信息大规模扩散的情况。

“目前，利用人工智能、区块链、深度伪造、定向推送等技术传播违法有害信息、破坏网络安全设施的事例越来越多，技术风险已经与意识形态风险交织在一起，而赴国外上市活动将直接与外国机构打交道，这方面的风险不得不防。”他撰文道。

另外，《办法》第十六条新增规定，为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。左晓栋表示，这条一般不适用于主动申报网络审查的情况，适用于审查机制成员单位认为影响或可能影响国家安全以及社会举报，这种特定情况下提出的措施，带有惩罚意味。

熊定中认为，由于开展网络安全审查需要一定时间，该规定的目的是让企业在被调查时期及业务范围之内尽量规避可能导致风险放大的行为。这意味着，当相关部门开展网络安全审查时，企业应以较为保守、谨慎的方式处理数据，并在得到审查结果之前避免将其外传。

他进一步阐释，假设一个企业计划在美国上市，其申报安全审查的同时很可能也在同步准备上市工作。如果该企业的上市流程正好在安全审查期间进入到一个关键节点，如需企业提供一些基础数据或审计底稿，根据《办法》规定，此时企业就不应提供前述材料，而需等到审查结果出来后才能决定。

采写：南都记者 孙朝 见习记者 樊文扬

编辑：蒋琳

本文作者

樊文扬

3637W

南方都市报记者