作者：金茂律师事务所  万波 律师  王书玥 律师助理

一、“滴滴事件”概况

7月2日，网络安全审查办公室发布《关于对“滴滴出行”启动网络安全审查的公告》：为防范国家数据安全风险，维护国家安全，保障公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对“滴滴出行”实施网络安全审查。为配合网络安全审查工作，防范风险扩大，审查期间“滴滴出行”停止新用户注册。这是我国的监管部门第一次依职权主动启动网络安全审查，紧随其后的是，国家互联网信息办公室于7月4日发布《关于下架“滴滴出行”App的通报》，指出“滴滴出行”App存在严重违法违规收集使用个人信息问题，国家网信办依据《网络安全法》相关规定，通知应用商店下架“滴滴出行”App，并要求滴滴出行科技有限公司严格整改，保障用户个人信息安全。从滴滴被启动网络安全审查到App下架，前后仅相隔了两天，一时间引起了各界的高度关注。

紧接着，就在7月10日，国家网信办对《网络安全审查办法》进行了修订，并将修订草案公布，向社会公众公开征求意见。新修订的草案中第六条专门指出，掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。结合滴滴出行于6月30日在美国纽约证券交易所挂牌上市的新闻，网信办这一修订举措看似正是针对滴滴这一类远赴境外上市的互联网公司，大大加强了对其的监管力度。

随着针对滴滴出行科技有限公司的网络安全审查工作逐步推进，在7月16日，据网络安全审查办公室有关负责同志表示，国家互联网信息办公室会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局，共同进驻滴滴出行科技有限公司开展网络安全审查。

二、《网络安全审查办法》修订前后对比

三、《网络安全审查办法》的修订要点

（一）在立法依据中增加《数据安全法》

6月10日，《数据安全法》正式公布，并将于今年的9月1日起正式生效。作为我国第一部有关数据安全的专门立法，其在已经生效实施的《网络安全法》的基础上，更加强调数据本身及宏观层面上的安全与保护。《网络安全审查办法（修订草案征求意见稿）》（以下简称“《审查办法（修订草案）》”）将即将生效的《数据安全法》增加为立法依据，即是为监管者提供了新法作为依据，也是对《数据安全法》第二十四条[1]的具体落实。

（二）在审查义务主体中增加数据处理者

《审查办法（修订草案）》在第二条中，将开展数据处理活动的数据处理者追加为进行网络安全审查的义务主体。中国信息安全研究院副院长左晓栋在接受媒体专访时表示，应当从数据安全法的实施范围出发去理解“数据处理者”。《数据安全法》规定，数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。这意味着，所有涉及上述数据处理活动的主体，只要其活动影响或可能影响国家安全，都应当接受网络安全审查。从这个角度而言，修订后的网络安全审查办法的规范对象较广。

这意味着，网络安全审查的义务主体大大扩大，但除了《审查办法（修订草案）》第六条中规定的“掌握超过100万用户个人信息的运营者赴国外上市”这一必然触发网络安全审查的条件，其他数据处理者（运营者）启动网络安全审查的条件仍需进一步明确。

（三）在审查工作组中增加证监会

从7月16日七部门联合进驻滴滴开展网络安全审查的新闻中，我们没有发现证监会的身影。但结合《审查办法（修订草案）》在第八条中将IPO材料纳入申报网络安全审查时应当提供的材料清单，我们不难推测证监会的加入是主要负责审查IPO及相关信息的合法合规性。

（四）重点规范数据处理活动以及国外上市行为

《审查办法（修订草案）》新增了第六条，规定掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。同时，在第十六条中增加了“数据处理活动以及国外上市行为”。此条为网络安全审查范围的规定，这一修订举措让人很容易联想到滴滴赴美上市的行为。

左晓栋在接受媒体专访时表示：“《网络安全审查办法》的修订，发生在对滴滴等赴美上市企业审查期间，且其条款针对企业赴国外上市作了明确规定，所以大家很容易将这两件事关联起来，公众的关注点也很容易停留在这上面。”左晓栋随后强调，企业赴国外上市只是可能出现数据安全风险的一种具体情形，所以从整体上说，《审查办法（修订草案）》是为了建立数据安全审查制度。

实际上，除了“网络产品和服务可能影响国家安全”这一启动网络安全审查的法律依据外，滴滴赴美上市并引发了数据安全风险，这一行为及其产生的负面影响也让立法者意识到了我国数据安全审查制度的不足。因此，几乎是在针对滴滴启动网络安全审查的同时，立法者就着手对《网络安全审查办法》启动修订，针对特定行为作出针对性规范，具体体现为《审查办法（修订草案）》的第十条。

在将数据处理活动以及国外上市行为纳入审查范围的同时，《审查办法（修订草案）》的第十条将这两类行为的审查重点进一步明确：核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险（数据处理活动）；关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险（国外上市行为）。

（五）将特别审查时间从45个工作日延长至3个月

按照修订前的网络安全审查流程，网络安全审查办公室将在30至45个工作日内形成初步建议，向网络安全审查工作机制成员单位征求意见，成员单位将在15个工作日内向审查办公室书面回复意见，而在二者意见不一致时，即有可能进入为期45个工作日的特别审查程序。《审查办法（修订草案）》第十四条将特别审查的时间从45个工作日延长至3个月，既是充分给予网络安全审查办公室及相关单位以全面、详尽地完成网络安全审查工作的时间，也意味着网络安全审查工作将会较以前更加严格、注重细节，在具体的审查标准、技术手段、工作流程等方面增加新的工作要求与准备，被审查者需要做好“打持久战”的准备。

四、小结

此次的修订工作，是对滴滴等互联网大数据企业远赴海外上市的及时响应，更是在美国意图建立全球数据霸权的背景下，以防范国家数据安全风险为目的，进一步完善我国的网络安全审查制度的体现。相信随着《数据安全法》及相关法律法规的生效与更新，我国的信息及数据安全领域的法律框架将会日趋完善。

[1]《数据安全法》第二十四条：国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。