摘要:近年來,海外NFT藏品和國內NFT、數字藏品共同蓬勃發展,國內數字藏品平台們也逐漸在摸著石頭過河的道路上發展出具有自身特色的產品,最近不少夥伴們都在考慮如何將自己的數字藏品平台做大做強並向海外更廣闊的市場發展。另外,區塊鏈已經成為我國的重要國家戰略之一,其衍生產品及實際應用已經對社會經濟產生了越來越…
近年來,海外NFT藏品和國內NFT、數字藏品共同蓬勃發展,國內數字藏品平台們也逐漸在摸著石頭過河的道路上發展出具有自身特色的產品,最近不少夥伴們都在考慮如何將自己的數字藏品平台做大做強並向海外更廣闊的市場發展。另外,區塊鏈已經成為我國的重要國家戰略之一,其衍生產品及實際應用已經對社會經濟產生了越來越大的影響,作為下一代互聯網的表現形式的元宇宙更是有潛力成為未來的關鍵信息基礎設施。
2月15日,國家互聯網信息辦公室、國家發展和改革委員會等十三部門聯合發布的《網絡安全審查辦法》(以下簡稱《辦法》)正式實施,針對我國關鍵信息基礎設施運營者、企業數據跨境傳輸、掌握個人信息企業赴境外上市等方面有了更加細緻和嚴格的規定。今天颯姐團隊就與大家聊一聊企業如何進行網絡安全審查。
網絡安全審查辦法概述
雖然《辦法》於近日才開始正式實施,但其徵求意見稿在2021年初就已經向社會公開。在信息網絡時代,對於元宇宙、數字藏品平台等數據驅動型企業和關鍵信息基礎設施運營者如何在日常經營中合規採購互聯網產品和服務、實現境外上市等,該《辦法》是繞不開的關鍵。
分析一部規範性文件首先要看其效力層級,《辦法》是由國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部等十三個國家部委出台的部門規章,其效力等級較高,僅在全國人大及其常委會制定的法律和國務院發布的行政法規之下。
該《辦法》屬於《國家安全法》《網絡安全法》《數據安全法》三部法律及《關鍵信息基礎設施安全保護條例》的下位法,制定《辦法》的目的是為了確保關鍵信息基礎設施供應鏈安全,保障網絡安全和數據安全、維護國家安全,與之前的徵求意見稿相比增加了“網絡安全和數據安全”,並將“關鍵新型基礎設施供應鏈”的表述修改為“關鍵信息基礎設施供應鏈”。雖然未提及個人信息保護,但《辦法》同樣在涉及個人信息出境和掌握個人信息企業赴境外上市等方面規定了嚴格的審查程序。
-
網絡安全審查主體
根據《辦法》第四條,網絡安全審查由網絡安全審查辦公室負責。該辦公室設在國家互聯網信息辦公室,主要負責制定網絡安全審查相關製度規範,組織網絡安全審查。
同時《辦法》明確,網絡安全審查辦公室和網絡安全審查制度是由中央網絡安全和信息化委員會領導,由十三部委聯合製定。
-
網絡安全審查範圍
當前,網絡安全審查的對象主要有兩類:(1) 關鍵信息基礎設施運營者;(2)網絡平台運營者。
根據《關鍵信息基礎設施安全保護條例》第二條之規定,關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據洩露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。依據《關鍵信息基礎設施安全保護條例》和當前實施的《辦法》以上關鍵信息基礎設施運營者主要在採購網絡產品和服務等活動中負有預判國家安全風險,並在需要的時候進行網絡安全審查的義務。
而對於網絡平台運營者來說,需要達到特定條件才需進行網絡安全審查。根據《辦法》第七條:掌握超過100萬用戶個人信息的網絡平台運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。
關鍵信息基礎設施運營者網絡安全審查
《辦法》對於關鍵信息基礎設施運營者的審查主要集中在其採購網絡產品和服務等方面。根據《辦法》第五條之規定:關鍵信息基礎設施運營者採購網絡產品和服務的,應當預判該產品和服務投入使用後可能帶來的國家安全風險。 《辦法》所稱的“網絡產品”和“服務”主要指核心網絡設備、重要通信產品、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、雲計算服務,以及其他對關鍵信息基礎設施安全、網絡安全和數據安全有重要影響的網絡產品和服務。
也就是說,《辦法》對於基礎設施運營者在採購各類網絡產品和服務提出了較高的要求,對此,關鍵信息基礎設施運營者應當盡快建立一套完善的評估系統,對即將採購的產品是否可能對國家安全造成影響進行充分的評估。
而對於經評估發現影響或者可能影響國家安全的,應當向網絡安全審查辦公室申報網絡安全審查。關鍵信息基礎設施運營者應當通過採購文件、協議等要求產品和服務提供者配合網絡安全審查,包括承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備,無正當理由不中斷產品供應或者必要的技術支持服務等。
目前對於具體的評估系統建設和評估方法可依據和參考《關鍵信息基礎設施安全保護條例》、《信息安全技術關鍵信息基礎設施安全檢查評估指南》以及中國網絡安全審查技術與認證中心發布的《信息安全服務規範》(CCRC-ISV-R01:2021)等規範性文件、各類國家標准進行製定,必要時可委託有資質的第三方評估機構對所採購的網絡產品及服務進行針對性評估。
網絡平台運營者境外上市安全審查
《辦法》第七條明確要求,掌握超過100萬用戶個人信息的網絡平台運營者赴國外上市必須申報審查。各大元宇宙平台和NFT、數字藏品運營者皆在此範圍內。目前,中國網絡安全審查技術與認證中心已經設立網絡安全審查諮詢窗口,開始接受網絡平台運營者赴國外上市的審查申報。
-
如何進行上市前審查
與2021年的徵求意見稿相比,《辦法》擴大了網絡安全審查的覆蓋範圍。當前,掌握超過100萬用戶個人信息的網絡平台運營者在赴國外上市前必須申報審查。網絡平台運營者應該申報審查而未申報,依照《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》的規定承擔相應法律責任。具體來說,申報網絡安全審查應當提交以下材料:
-
申報書;
-
關於影響或者可能影響國家安全的分析報告;
-
採購文件、協議、擬簽訂的合同或者擬提交的首次公開募股(IPO)等上市申請文件;
-
網絡安全審查工作需要的其他材料。
夥伴們需要注意的是,《辦法》規定的審查申報條件為“赴國外上市”並不意味著運營者赴香港上市就可以不進行網絡安全審查。根據《辦法》第十六條之規定:網絡安全審查工作機製成員單位(即制定《辦法》的十三個部委)認為影響或者可能影響國家安全的網絡產品和服務以及數據處理活動可由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批准後,依照本辦法的規定進行審查。
-
何時進行審查申報
同時,對於具體的申報時機,根據國家互聯網信息辦公室負責人介紹,企業應當在向國外證券監管機構提出上市申請之前申報審查。
對於《辦法》實施前,已經向外國證券監管機構提交過上市申請文件但尚未完成上市的運營者,如掌握超過100萬用戶個人信息,也應在上市前主動申報審查。而對於《辦法》實施前已經在國外上市的運營者,則不需要申報審查。但對於已上市企業赴國外進行二次上市、雙重主要上市等情況,屬於新發起的“國外上市”活動,符合申報要求的應主動申報審查。
另外,《辦法》規定的運營者赴國外上市方式不限於首次公開募股(IPO)一種,其他各類上市方法均在審查範圍內,包括但不限於造殼上市(SPAC)、反向收購、直接上市等方法。
寫在最後
當前,保障國家安全是最緊要最關鍵的任務,任何個人和企業都必須堅守國家安全的紅線,任何利益的獲取都必須建立在維護和保障國家安全的基礎上。可以說,國家安全就是目前最大的紅線之一,而對關鍵進出設施運營者及網絡平台運營者赴境外上市進行網絡安全審查就是維護國家安全、網絡安全乃至經濟安全和社會穩定的關鍵一步。
元宇宙企業和各類NFT、數字藏品平台作為新興互聯網企業,必須謹守紅線,合法合規經營,將自身發展與國家安全並重,才能走得更好更穩。
