2022年2月15日起，国家发改委等十三个部门联合修订发布《网络安全审查办法》（以下简称“《办法》”）正式施行。新修订内容扩展了审查范围，加强了对数据处理活动的规范，旨在进一步保障网络安全和数据安全，维护国家安全。梆梆安全专家对《办法》的修订背景、修订重点及意义等进行了解读，并针对影响给出了应对建议。

《办法》修订背景  

2020年6月1日，十二部门联合发布的《网络安全审查办法》正式施行，《办法》将立法目的明确在确保关键信息基础设施供应链安全，旨在从采购环节就开始防范和控制对关键信息基础设施的风险和危害，最终目的在于维护国家安全。

随着数字经济的发展，我国数据安全治理面临的形势更加严峻，尤其是数据跨境流动带来的安全风险，数据安全对国家安全的影响正不断上升。2021年9月1日施行的《数据安全法》（以下简称“《数安法》”）明确了数据活动红线，健全了数据安全审查制度及机制，更加直面境外在数据领域的长臂管辖问题。为了适应国际国内网络数据安全新形势，同时与《数安法》有效衔接，国家发改委等十三个部门联合修订发布《网络安全审查办法》，并自2022年2月15日起施行。新修订内容扩展了审查范围，加强了对数据处理活动的规范，旨在进一步保障网络安全和数据安全，维护国家安全。

《办法》修订要点解析

一、适用范围扩大

新版《办法》在《国家安全法》和《网络安全法》基础上，增加了《数安法》和《关键信息基础设施安全保护条例》（以下简称“《关保条例》”）作为其上位法依据，进一步将申报主体与责任主体细分为“关键信息基础设施运营者“与”网络平台运营者“两大类（统称为当事人）。

对于“关键信息基础设施运营者“的范围，可依据《关保条例》及中央网信办下发的《关键信息基础设施确定指南（试行）》之规定，即：面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统等关键信息基础设施，包括：

网站类

如县级（含）以上党政机关网站，重点新闻网站或者日均访问超过100万人次的网站等；

平台类

如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；注册用户数超过1000万，或活跃用户（每日至少登陆一次）数超过100万，或日均成交订单额或交易额超过1000万元；

生产业务类

如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。

新版《办法》将网络平台运营者开展数据处理活动，影响或者可能影响国家安全的行为，纳入网络安全审查。对于”网络平台运营者“的范围，《办法》中没有做出具体规定，但从第二条、第七条等内容看，应当包括但不限于“掌握超过100万用户个人信息的网络平台运营者”，这只是网络平台运营者中的一类具体代表，除此之外，我们建议相关企业可参考上述“平台类”关键信息基础设施的确定依据进行自评估。

二、审查重点细化

《办法》第十条规定了7类重点评估的安全风险因素，包括：设施被控制破坏、业务连续性中断、供应中断、违法违规、重要核心数据信息非法利用与出境、重要核心数据信息被外方控制利用、其他危害因素。相比前版，增加了对重要核心数据以及个人信息的国家安全风险因素的评估，以应对当前突出的数据安全问题，特别是国内外大型互联网平台大规模收集、存储、使用公民个人信息的潜在风险，以及个别国家在数据领域行使长臂管辖权，将提供数据作为市场准入和资本上市的前提条件，以此影响、控制、恶意利用我国敏感数据。

对于关基运营者，《办法》侧重于审查“采购网络产品和服务”的行为，并在第二十一条的“网络产品和服务”界定范围中新增了一项“重要通信产品“。此前针对“网络产品和服务”的范围主要界定在服务端，而通信产品，一般指通信企业为用户提供的有效的通信服务，包含了具备通信能力的客户端，如智能家居网关、CPE、智能网联汽车中的T-BOX、RSU等都可能会被列入审查范围。

对于平台运营者，则侧重于审查“开展数据处理活动”。其中，《办法》第七条重点提出了“掌握超过100万用户个人信息的网络平台运营者赴国外上市”必须申报审查。第四条在原有十二部门的基础上，增加中国证券监督管理委员会（以下简称“证监会”）成为国家网络安全审查工作机制成员单位，进一步加强对数据跨境流动的管理，对于出海企业而言，应当预判数据处理活动的安全性，并主动申报网络安全审查。

三、审查周期调整

从当事人提交审查申报材料起，如需网络安全审查且无需进入特别审查程序的，一般拿到审查结论的时间为10（确定是否需要审查）+30（完成初步审查）+15（回复审查意见）=55个工作日；情况复杂的，需要10+30+15（延长审查）+15=70个工作日。

审查意见不一致进入特别审查程序的，审查周期由原来的45个工作日延长至90个工作日，拿到审查结论的时间可能为10+30+15+90=145个工作日甚至更长。

此外，《办法》第十六条增加一项规定：为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。其前置条件不是因主动申报而起，而是被审查工作机制成员单位发现存在或可能存在威胁风险后，采取的应对措施。可以预见，被认定存在风险并接受审查的企业，其业务将面临被要求停止注册新用户、下架App、终止或延期上市等处置措施。

综上来看，当事人需进一步强化网络安全、数据安全以及供应链安全意识，涉及产品和服务采购行为和（/或）数据处理活动的，应将安全保障工作前移，依据相关行业或领域的预判指南，采用安全检测、威胁风险感知、数据安全风险评估、数据安全审计等手段，尽早启动预判；同时，在选择产品和服务提供者时，应充分评估供应商的数据安全治理技术和能力，以及公司价值观，降低供应链因素及审查周期对企业生产活动的影响。

《办法》的影响与应对 

我国“十四五”规划、“新基建”等政策将持续深入推进数据要素安全管控和市场化，提升社会数据资源价值。相信随着《数据安全法》的施行及《网络安全审查办法》的修订，将有助于在保证数据安全的前提下,进一步促进数据的开发利用，促进数据要素在市场的自由流动，带动数字经济不断向前发展。新版《办法》对数据全生命周期内处理活动的认定和对网络平台运营者尤其是赴国外上市的规定，直接作用于数据的采集汇聚、交易流通、分析利用等处理过程，保护了数据产业参与方的利益，对数字社会下的制造业、服务业、数字技术应用业、数字要素驱动业的健康发展具有重要意义。

《办法》的修订，对企业的数据安全建设提出了更具体的要求，将成为企业合规运行的新门槛。尤其是数据的安全防护涉及到多个环节，包括人的管理、行为的控制、代码的健壮性等一系列问题。站在最终实现数据安全的角度，尽早建立新型的、全生命周期的防护手段，将是企业持续升级数据安全建设，满足数据安全合规要求的必然路径。

梆梆安全作为由中国信息通信研究院牵头发起的“数据安全共同体计划”的首批成员单位，长期致力于协助企业开展数据安全治理工作。通过安全架构方法论，辅助平台企业从软件设计源头构建自身安全能力，使软件天然具备免疫力；同时，我们认为业务与安全应当同步规划、同步建设、同步运营，我们打造了一个数据安全运营中心，涵盖安全合规检测系统、隐私合规服务、风险评估服务、监测预警系统、数据加密系统、密钥防护系统等八大类十多项产品服务体系，针对性的在数据生命周期的每个阶段提供保护，协助企业建立和完善数据安全技术体系、管理制度，实现数据安全、隐私保护与业务的双赢。