7月10日，国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意见稿)》（下称《办法》）公开征求意见的通知。

征求意见稿包括了“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”等内容。

关键词：百万用户与运营者

《办法》第六条：掌握超过100万用户个人信息的关键信息基础设施运营者（以下简称运营者）赴国外上市，必须向网络安全审查办公室申报网络安全审查。

其中有两个关键词：100万用户个人信息和运营者。前一个限定了规模，后一个限定了身份。

百万级用户在中国意味着什么呢？根据《第47次中国互联网络发展状况统计报告》，截至2020年12月，我国网络规模达9.89亿，手机网民规模达9.86亿。

近10亿的网民规模注定了几乎任何一个全国性的网络平台用户规模都达到了亿级，百万级用户规模对于一个成熟的互联网应用来说，只能算是一个“小目标”，虽然达到颇有些难度，但是满足条件的应用绝对不在少数，在业内也一直有“三个月用户破百万不是梦”的口号。

“运营者”则是另外一个需要关注的关键词。

根据《办法》第二条，“运营者”有两个，一个是关键信息基础设施运营者（简称运营者）和数据处理者（称运营者）。

这样的定义将审查范围从关键信息基础设施运营者扩大到了全部数据处理者。

关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业控制系统。

有些运营者虽然其拥有的用户个人信息超过100万，但是其业务或服务并不属于重要行业。

比如喜茶，根据官方数据显示，截止到2021年第一季度，小程序喜茶go的会员已经超过3500万，其具有的用户个人信息数据肯定超过百万。但是估计不会有人将其系统列入关键信息基础设施当中。因为就算喜茶的系统被中断或破坏，也很难影响我国重要行业正常运行。

不过根据《数据安全法》第三条，数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。

因此喜茶虽然不属于关键信息基础设施运营者，但是属于数据处理者。如果喜茶选择赴国外上市，理论上要申请网络安全审查。

其他非关键信息基础设施运营者同理可推，作为数据处理者赴国外上市，只要拥有的用户个人信息超过100万，都需申请网络安全审查。

采购网络产品和服务也需申报审查

在《办法》当中，赴国外上市需申报网络安全审查得到了大部分人的关注，但事实上，对于运营者来说，《办法》第五条及相关内容其实更应注意。

《办法》第五条：运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

对于大部分运营者来说，赴国外上市并不是一定要做事情，但是采购网络产品和服务却几乎是所有运营者都会做的事情。

《办法》所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

这里的范围是十分宽广的，基本上涉及到IT系统的采购都在其所指范围之内，而且第五条并不像第六条那样规定了用户数量。

也就是说，不管用户规模有多大，只要是“运营者”，其IT系统采购可能存在的风险会影响或者可能影响国家安全，都需要申报网络安全审查。

哪个运营者能说不采购网络产品和服务呢？因此，第五条的应比第六条更值得注意。

目前金融行业正在进行IT架构国产化替代，相关的采购几乎都需要申报网络安全审查。即使不进行国产化替代，继续采购原来的产品，很大概率也需申报网络安全审查。

数据处理活动被纳入网络安全审查

《办法》第二条除了规定了“运营者”的身份之外，还有一句重要的内容：“数据处理者开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。”

前文提到过，《数据安全法》第三条明确表示，数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。

也就是说，涉及到其中一个或多个环节都企业属于数据处理者，其进行影响或可能影响国家安全的数据处理活动时，需要进行网络安全审查。

这就意味着，不仅仅采购方需要进行网络安全审查，提供服务的被采购方或也要进行网络安全审查。

《数据安全法》第二十四条也明确规定，国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

总得来说，《办法》的涉及到的企业将会比想象的还要多，不仅仅包括应用运营者，还包括其背后的服务商、供应商等等。

关键信息基础设施运营者和数据处理者以及相关企业应当及时调整完善自身合规风控体系，包括立即展开全面的数据分级、业务梳理和风险评估等。

以下为原文：

网络安全审查办法(修订草案征求意见稿)

第一条：为了确保关键信息基础设施供应链安全，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》，制定本办法。

第二条：关键信息基础设施运营者(以下简称运营者)采购网络产品和服务，数据处理者(以下称运营者)开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。

第三条：网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

第四条：在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。

第五条：运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。

第六条：掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

第七条：对于申报网络安全审查的采购活动，运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。

第八条：运营者申报网络安全审查，应当提交以下材料：

(一)申报书；

(二)关于影响或可能影响国家安全的分析报告；

(三)采购文件、协议、拟签订的合同或拟提交的IPO材料等；

(四)网络安全审查工作需要的其他材料。

第九条：网络安全审查办公室应当自收到审查申报材料起，10个工作日内确定是否需要审查并书面通知运营者。

第十条：网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险，主要考虑以下因素：

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险；

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害；

(三)产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况；

(五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；

(六)国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险；

(七)其他可能危害关键信息基础设施安全和国家数据安全的因素。

第十一条：网络安全审查办公室认为需要开展网络安全审查的，应当自向运营者发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见；情况复杂的，可以延长15个工作日。

第十二条：网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的，网络安全审查办公室以书面形式将审查结论通知运营者；意见不一致的，按照特别审查程序处理，并通知运营者。

第十三条：按照特别审查程序处理的，网络安全审查办公室应当听取相关部门和单位意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关部门意见，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知运营者。

第十四条：特别审查程序一般应当在3个月内完成，情况复杂的可以延长。

第十五条：网络安全审查办公室要求提供补充材料的，运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

第十六条：网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

第十七条：参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权，对运营者、产品和服务提供者提交的未公开材料，以及审查工作中获悉的其他未公开信息承担保密义务；未经信息提供方同意，不得向无关方披露或用于审查以外的目的。

第十八条：运营者或网络产品和服务提供者认为审查人员有失客观公正，或未能对审查工作中获悉的信息承担保密义务的，可以向网络安全审查办公室或者有关部门举报。

第十九条：运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。

网络安全审查办公室通过接受举报等形式加强事前事中事后监督。

第二十条：运营者违反本办法规定的，依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。

第二十一条：本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

第二十二条：涉及国家秘密信息的，依照国家有关保密规定执行。

第二十三条：本办法自2021年 月 日起实施，《网络产品和服务安全审查办法(试行)》同时废止。