作者：金茂律师事务所  万波 律师  王书玥 律师助理

一、问题的引出

据“网信中国”微信公众号6月24日消息，网络安全审查办公室有关负责人表示，为防范国家数据安全风险，维护国家安全，保障公共利益，依据《国家安全法》《网络安全法》《数据安全法》，按照《网络安全审查办法》，2022年6月23日，网络安全审查办公室约谈同方知网（北京）技术有限公司负责人，宣布对知网启动网络安全审查。

这是自2021年新修订的《网络安全审查办法》于今年2月15日正式生效以来，官方首次从公开层面对一家企业进行网络安全审查。

据“网信中国”通报，知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据，以及我国重大项目、重要科技成果及关键技术动态等敏感信息。

在我国高度重视网络安全的大背景之下，网络安全审查已逐渐成为常态化的工作，网络安全与数据保护也已经成为企业必须正视的重大合规问题。那么网络安全审查的适用对象具体包括哪些？哪些企业又有可能成为网络安全审查的对象呢？

二、相关规定的变迁

根据《网络安全审查办法》第二条的规定，网络安全审查的对象包括两类：关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的。

在2020年4月13日，国家网信办等12部委公布了《网络安全审查办法》（简称“《2020审查办法》”），该办法是顺应最新网络空间安全形势而制定的网络安全审查制度。步入2021年，《网络安全审查办法》迎来再一轮修订并于2022年2月15日正式施行（以下简称“《2021年审查办法》”），其突出的修订集中在审查工作主体的扩容和审查对象的扩大两个方面。

下面看一个简单对比：

我们不难看出，《2021年审查办法》的审查对象，将新增情形的主体范围从“数据处理者”限缩为“网络平台运营者”，即除关键信息基础设施运营者采购网络产品和服务外，新增了网络平台运营者开展数据处理活动、掌握超过100万用户个人信息的网络平台运营者赴国外上市2类情形。

关于网络安全审查对象的问题，目前依旧需要持续关注最新的立法进展。国家网信办于2021年11月14日发布的《网络数据安全管理条例（征求意见稿）》仍有进一步扩大审查对象范围的趋势，如该征求意见稿第十三条规定：“数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：（一）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；（二）处理一百万人以上个人信息的数据处理者赴国外上市的；（三）数据处理者赴香港上市，影响或者可能影响国家安全的；（四）其他影响或者可能影响国家安全的数据处理活动”、“大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告”。

三、案例分析

被网络安全审查的案例，最耳熟能详的当属“滴滴出行”：

2021年6月11日，滴滴出行递交招股书；6月25日确定募资额、发行规模、定价；6月27日提前结束招股；6月30日，滴滴出行在纽交所上市。

2021年7月2日，网络安全审查办公室发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》。公告称，为防范国家数据安全风险，维护国家安全，保障公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对“滴滴出行”实施网络安全审查。为配合网络安全审查工作，防范风险扩大，审查期间“滴滴出行”停止新用户注册。

2021年7月4日，国家互联网信息办公室发布公告。公告称，根据举报，经检测核实，“滴滴出行”APP存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定，通知应用商店下架“滴滴出行”APP，要求滴滴出行科技有限公司严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。

2021年7月9日，国家互联网信息办公室发布公告。公告称，根据举报，经检测核实，“滴滴企业版”等25款APP存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定，通知应用商店下架上述25款APP，要求相关运营者严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。各网站、平台不得为“滴滴出行”和“滴滴企业版”等上述25款已在应用商店下架的APP提供访问和下载服务。

2021年7月16日，国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局联合进驻滴滴出行科技有限公司，开展网络安全审查。

2021年12月3日，“滴滴出行”宣布，将从纽交所退市，并启动研究香港上市的准备工作。

值得引发关注的是，对“滴滴出行”、“运满满”、“货车帮”和“BOSS直聘”等启动网络安全审查时，《2021年审查办法》并未出台，甚至《网络安全审查办法（修订草案征求意见稿）》也尚未发布，那本次网络安全审查的法律依据是什么，“滴滴出行”是否属于关键信息基础设施运营者？

显然，“滴滴出行”等只能是基于《2020年审查办法》而被发起网络安全审查的，从现行生效法律法规的条文进行法律分析，“滴滴出行”的关键信息基础设施运营者身份是肯定的，否则已经发起的网络安全审查将无法满足主体适格的启动条件要求。同时，虽然《2021年审查办法》已经出台，但该办法属于法规修订，本身不具有溯及力，办法中亦没有溯及力条款的规定，故无法以《2021年审查办法》中存在“掌握超过100万用户个人信息的网络平台运营者赴国外上市”或“网络平台运营者开展数据处理活动”为由将“滴滴出行”的网络安全审查的合法性基础予以追溯调整。

至于“滴滴出行”、“运满满”、“货车帮”和“BOSS直聘”网络安全审查的后续结果，有待该等案例信息的进一步澄清和公开。

四、小结

简单来说，网络安全审查的适用对象只有关键信息基础设施运营者与网络平台运营者。而在《2021年审查办法》的修订重点正是增加了“网络平台运营者”这一审查对象，具体包括在第二条中增加“网络平台运营者开展数据处理活动”，以及第七条“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”这两类情形。

实际上，除了特殊行业的部分“关键信息基础设施运营者”，大部分企业若被启动网络安全审查，大概率是作为“网络平台运营者”。而所谓的“网络平台运营者”，从广义上理解，应从是否具有连接属性作为最重要的判断根据。所谓连接属性是指通过网络技术把人和商品、服务、信息、娱乐、资金以及算力等连接起来，由此使得平台具有交易、社交、娱乐、资讯、融资、计算等各种功能。

回到开头知网被启动网络安全审查的问题，从目前公开的资讯来看，知网更倾向于作为网络平台运营者被审查。在此前一个月，在5月13日，市场监管总局发布消息称，根据前期核查，依法对知网涉嫌实施垄断行为立案调查。不难看出，我国网络安全与数据保护方面的执法态势愈发严格，各类经营者落实网络与数据安全方面的义务更是刻不容缓。

我们会对如何认定“网络平台运营者”的标准进一步撰文予以详细阐释。