×

We use cookies to help make LingQ better. By visiting the site, you agree to our cookie policy.


image

Chinese Tech News 中国技术 黑科技 新闻, 掌握超100万用户个人信息的运营者赴国外上市,必须申报网络安全审查

掌握 超 100万 用户 个人信息 的 运营者 赴 国外 上市 ,必须 申报 网络安全 审查

国家互联网信息办公室 发布 关于 《 网络安全 审查 办法 ( 修订 草案 征求意见 稿 )》 公开 征求意见 的 通知 。 《 办法 》 提出 , 掌握 超过 100 万 用户 个人信息 的 运营者 赴 国外 上市 , 必须 向 网络安全 审查 办公室 申报 网络安全 审查 。 承诺 不 利用 提供 产品 和 服务 的 便利 条件 非法 获取 用户 数据 、 非法 控制 和 操纵 用户 设备 , 无 正当理由 不 中断 产品 供应 或 必要 的 技术支持 服务 等 。

网络安全 审查 重点 评估 采购 活动 、 数据处理 活动 以及 国外 上市 可能 带来 的 国家 安全 风险 。

附 : 网络安全 审查 办法 ( 修订 草案 征求意见 稿 )

国家 互联网 信息 办公室

2021 年 7 月 10 日

网络安全 审查 办法 .( 修订 草案 征求意见 稿 )

第一条 为了 确保 关键 信息 基础设施 供应链 安全 , 维护 国家 安全 , 依据 《 中华人民共和国 国家 安全法 》《 中华人民共和国 网络安全 法 》《 中华人民共和国 数据 安全法 》, 制定 本 办法 。

第二条 关键 信息 基础设施 运营者 ( 以下 简称 运营者 ) 采购 网络产品 和 服务 , 数据处理 者 ( 以下 称 运营者 ) 开展 数据处理 活动 , 影响 或 可能 影响 国家 安全 的 , 应当 按照 本 办法 进行 网络安全 审查 。

第三条 网络安全 审查 坚持 防范 网络安全 风险 与 促进 先进 技术 应用 相结合 、 过程 公正 透明 与 知识产权 保护 相结合 、 事前 审查 与 持续 监管 相结合 、 企业 承诺 与 社会 监督 相结合 , 从 产品 和 服务 安全性 、 可能 带来 的 国家 安全 风险 等 方面 进行 审查 。

第四条 在 中央 网络安全 和 信息化 委员会 领导 下 , 国家 互联网 信息 办公室 会同 中华人民共和国 国家 发展 和 改革 委员会 、 中华人民共和国 工业 和 信息化 部 、 中华人民共和国 公安部 、 中华人民共和国 国家安全部 、 中华人民共和国财政部 、 中华人民共和国 商务部 、 中国人民银行 、 国家 市场 监督管理 总局 、 国家 广播电视 总局 、 中国证券监督管理委员会 、 国家 保密局 、 国家 密码 管理局 建立 国家 网络安全 审查 工作 机制 。

网络安全 审查 办公室 设在 国家 互联网 信息 办公室 , 负责 制定 网络安全 审查 相关 制度 规范 , 组织 网络安全 审查 。

第五条 运营者 采购 网络产品 和 服务 的 , 应当 预判 该 产品 和 服务 投入使用 后 可能 带来 的 国家 安全 风险 。 影响 或者 可能 影响 国家 安全 的 , 应当 向 网络安全 审查 办公室 申报 网络安全 审查 。

关键 信息 基础设施 保护 工作部门 可以 制定 本行业 、 本 领域 预判 指南 。

第 六 条 掌握 超过 100 万 用户 个人信息 的 运营者 赴 国外 上市 , 必须 向 网络安全 审查 办公室 申报 网络安全 审查 。

第 七 条 对于 申报 网络安全 审查 的 采购 活动 , 运营者 应 通过 采购 文件 、 协议 等 要求 产品 和 服务提供者 配合 网络安全 审查 , 包括 承诺 不 利用 提供 产品 和 服务 的 便利 条件 非法 获取 用户 数据 、 非法 控制 和 操纵 用户 设备 , 无 正当理由 不 中断 产品 供应 或 必要 的 技术支持 服务 等 。

第 八 条 运营者 申报 网络安全 审查 , 应当 提交 以下 材料 :

( 一 ) 申报 书 ;

( 二 ) 关于 影响 或 可能 影响 国家 安全 的 分析报告 ;

( 三 ) 采购 文件 、 协议 、 拟 签订 的 合同 或拟 提交 的 IPO 材料 等 ;

( 四 ) 网络安全 审查 工作 需要 的 其他 材料 。

第 九 条 网络安全 审查 办公室 应当 自 收到 审查 申报材料 起 ,10 个 工作日内 确定 是否 需要 审查 并 书面通知 运营者 。

第 十 条 网络安全 审查 重点 评估 采购 活动 、 数据处理 活动 以及 国外 上市 可能 带来 的 国家 安全 风险 , 主要 考虑 以下 因素 :

( 一 ) 产品 和 服务 使用 后 带来 的 关键 信息 基础设施 被 非法 控制 、 遭受 干扰 或 破坏 的 风险 ;

( 二 ) 产品 和 服务 供应 中断 对 关键 信息 基础设施 业务 连续性 的 危害 ;

( 三 ) 产品 和 服务 的 安全性 、 开放性 、 透明性 、 来源 的 多样性 , 供应 渠道 的 可靠性 以及 因为 政治 、 外交 、 贸易 等 因素 导致 供应 中断 的 风险 ;

( 四 ) 产品 和 服务提供者 遵守 中国 法律 、 行政 法规 、 部门规章 情况 ;

( 五 ) 核心 数据 、 重要 数据 或 大量 个人信息 被 窃取 、 泄露 、 毁损 以及 非法 利用 或 出境 的 风险 ;

( 六 ) 国外 上市 后 关键 信息 基础设施 , 核心 数据 、 重要 数据 或 大量 个人信息 被 国外 政府 影响 、 控制 、 恶意 利用 的 风险 ;

( 七 ) 其他 可能 危害 关键 信息 基础设施 安全 和 国家 数据安全 的 因素 。

第 十一 条 网络安全 审查 办公室 认为 需要 开展 网络安全 审查 的 , 应当 自向 运营者 发出 书面通知 之日起 30 个 工作日内 完成 初步 审查 , 包括 形成 审查 结论 建议 和 将 审查 结论 建议 发送 网络安全 审查 工作 机制 成员 单位 、 相关 关键 信息 基础设施 保护 工作部门 征求意见 ; 情况 复杂 的 , 可以 延长 15 个 工作日 。

第 十二 条 网络安全 审查 工作 机制 成员 单位 和 相关 关键 信息 基础设施 保护 工作部门 应当 自 收到 审查 结论 建议 之日起 15 个 工作日内 书面 回复 意见 。

网络安全 审查 工作 机制 成员 单位 、 相关 关键 信息 基础设施 保护 工作部门 意见 一致 的 , 网络安全 审查 办公室 以 书面形式 将 审查 结论 通知 运营者 ; 意见 不 一致 的 , 按照 特别 审查 程序处理 , 并 通知 运营者 。

第 十三 条 按照 特别 审查 程序处理 的 , 网络安全 审查 办公室 应当 听取 相关 部门 和 单位 意见 , 进行 深入分析 评估 , 再次 形成 审查 结论 建议 , 并 征求 网络安全 审查 工作 机制 成员 单位 和 相关 部门 意见 , 按程序 报 中央 网络安全 和 信息化 委员会 批准 后 , 形成 审查 结论 并 书面通知 运营者 。

第 十四 条 特别 审查 程序 一般 应当 在 3 个 月 内 完成 , 情况 复杂 的 可以 延长 。

第 十五 条 网络安全 审查 办公室 要求 提供 补充 材料 的 , 运营者 、 产品 和 服务提供者 应当 予以 配合 。 提交 补充 材料 的 时间 不 计入 审查 时间 。

第 十六 条 网络安全 审查 工作 机制 成员 单位 认为 影响 或 可能 影响 国家 安全 的 网络产品 和 服务 、 数据处理 活动 以及 国外 上市 行为 , 由 网络安全 审查 办公室 按程序 报 中央 网络安全 和 信息化 委员会 批准 后 , 依照 本 办法 的 规定 进行 审查 。

第 十七 条 参与 网络安全 审查 的 相关 机构 和 人员 应 严格 保护 企业 商业秘密 和 知识产权 , 对 运营者 、 产品 和 服务提供者 提交 的 未公开 材料 , 以及 审查 工作 中 获悉 的 其他 未公开 信息 承担 保密 义务 ; 未经 信息 提供 方 同意 , 不得 向 无关 方 披露 或 用于 审查 以外 的 目的 。

第 十八 条 运营者 或 网络产品 和 服务提供者 认为 审查 人员 有失 客观 公正 , 或 未能 对 审查 工作 中 获悉 的 信息 承担 保密 义务 的 , 可以 向 网络安全 审查 办公室 或者 有关 部门 举报 。

第 十九 条 运营者 应当 督促 产品 和 服务提供者 履行 网络安全 审查 中 作出 的 承诺 。

网络安全 审查 办公室 通过 接受 举报 等 形式 加强 事前 事中 事后 监督 。

第 二十 条 运营者 违反 本 办法 规定 的 , 依照 《 中华人民共和国 网络安全 法 》《 中华人民共和国 数据 安全法 》 的 规定 处理 。

第 二十一 条 本 办法 中 关键 信息 基础设施 运营者 是 指经 关键 信息 基础设施 保护 工作部门 认定 的 运营者 。

本 办法 所 称 网络产品 和 服务 主要 指 核心 网络设备 、 重要 通信 产品 、 高性能 计算机 和 服务器 、 大容量 存储设备 、 大型 数据库 和 应用软件 、 网络安全 设备 、 云 计算 服务 , 以及 其他 对 关键 信息 基础设施 安全 有 重要 影响 的 网络产品 和 服务 。

第 二十 二 条 涉及 国家 秘密 信息 的 , 依照 国家有关 保密 规定 执行 。

第 二十 三 条 本 办法 自 2021 年 月 日起 实施 ,《 网络产品 和 服务 安全 审查 办法 ( 试行 )》 同时 废止 。


掌握 超 100万 用户 个人信息 的 运营者 赴 国外 上市 ,必须 申报 网络安全 审查

国家互联网信息办公室 发布 关于 《 网络安全 审查 办法 ( 修订 草案 征求意见 稿 )》 公开 征求意见 的 通知 。 《 办法 》 提出 , 掌握 超过 100 万 用户 个人信息 的 运营者 赴 国外 上市 , 必须 向 网络安全 审查 办公室 申报 网络安全 审查 。 承诺 不 利用 提供 产品 和 服务 的 便利 条件 非法 获取 用户 数据 、 非法 控制 和 操纵 用户 设备 , 无 正当理由 不 中断 产品 供应 或 必要 的 技术支持 服务 等 。

网络安全 审查 重点 评估 采购 活动 、 数据处理 活动 以及 国外 上市 可能 带来 的 国家 安全 风险 。

附 : 网络安全 审查 办法 ( 修订 草案 征求意见 稿 )

国家 互联网 信息 办公室

2021 年 7 月 10 日

网络安全 审查 办法 .( 修订 草案 征求意见 稿 )

第一条   为了 确保 关键 信息 基础设施 供应链 安全 , 维护 国家 安全 , 依据 《 中华人民共和国 国家 安全法 》《 中华人民共和国 网络安全 法 》《 中华人民共和国 数据 安全法 》, 制定 本 办法 。

第二条   关键 信息 基础设施 运营者 ( 以下 简称 运营者 ) 采购 网络产品 和 服务 , 数据处理 者 ( 以下 称 运营者 ) 开展 数据处理 活动 , 影响 或 可能 影响 国家 安全 的 , 应当 按照 本 办法 进行 网络安全 审查 。

第三条   网络安全 审查 坚持 防范 网络安全 风险 与 促进 先进 技术 应用 相结合 、 过程 公正 透明 与 知识产权 保护 相结合 、 事前 审查 与 持续 监管 相结合 、 企业 承诺 与 社会 监督 相结合 , 从 产品 和 服务 安全性 、 可能 带来 的 国家 安全 风险 等 方面 进行 审查 。

第四条   在 中央 网络安全 和 信息化 委员会 领导 下 , 国家 互联网 信息 办公室 会同 中华人民共和国 国家 发展 和 改革 委员会 、 中华人民共和国 工业 和 信息化 部 、 中华人民共和国 公安部 、 中华人民共和国 国家安全部 、 中华人民共和国财政部 、 中华人民共和国 商务部 、 中国人民银行 、 国家 市场 监督管理 总局 、 国家 广播电视 总局 、 中国证券监督管理委员会 、 国家 保密局 、 国家 密码 管理局 建立 国家 网络安全 审查 工作 机制 。

网络安全 审查 办公室 设在 国家 互联网 信息 办公室 , 负责 制定 网络安全 审查 相关 制度 规范 , 组织 网络安全 审查 。

第五条   运营者 采购 网络产品 和 服务 的 , 应当 预判 该 产品 和 服务 投入使用 后 可能 带来 的 国家 安全 风险 。 影响 或者 可能 影响 国家 安全 的 , 应当 向 网络安全 审查 办公室 申报 网络安全 审查 。

关键 信息 基础设施 保护 工作部门 可以 制定 本行业 、 本 领域 预判 指南 。

第 六 条   掌握 超过 100 万 用户 个人信息 的 运营者 赴 国外 上市 , 必须 向 网络安全 审查 办公室 申报 网络安全 审查 。

第 七 条   对于 申报 网络安全 审查 的 采购 活动 , 运营者 应 通过 采购 文件 、 协议 等 要求 产品 和 服务提供者 配合 网络安全 审查 , 包括 承诺 不 利用 提供 产品 和 服务 的 便利 条件 非法 获取 用户 数据 、 非法 控制 和 操纵 用户 设备 , 无 正当理由 不 中断 产品 供应 或 必要 的 技术支持 服务 等 。

第 八 条   运营者 申报 网络安全 审查 , 应当 提交 以下 材料 :

( 一 ) 申报 书 ;

( 二 ) 关于 影响 或 可能 影响 国家 安全 的 分析报告 ;

( 三 ) 采购 文件 、 协议 、 拟 签订 的 合同 或拟 提交 的 IPO 材料 等 ;

( 四 ) 网络安全 审查 工作 需要 的 其他 材料 。

第 九 条   网络安全 审查 办公室 应当 自 收到 审查 申报材料 起 ,10 个 工作日内 确定 是否 需要 审查 并 书面通知 运营者 。

第 十 条   网络安全 审查 重点 评估 采购 活动 、 数据处理 活动 以及 国外 上市 可能 带来 的 国家 安全 风险 , 主要 考虑 以下 因素 :

( 一 ) 产品 和 服务 使用 后 带来 的 关键 信息 基础设施 被 非法 控制 、 遭受 干扰 或 破坏 的 风险 ;

( 二 ) 产品 和 服务 供应 中断 对 关键 信息 基础设施 业务 连续性 的 危害 ;

( 三 ) 产品 和 服务 的 安全性 、 开放性 、 透明性 、 来源 的 多样性 , 供应 渠道 的 可靠性 以及 因为 政治 、 外交 、 贸易 等 因素 导致 供应 中断 的 风险 ;

( 四 ) 产品 和 服务提供者 遵守 中国 法律 、 行政 法规 、 部门规章 情况 ;

( 五 ) 核心 数据 、 重要 数据 或 大量 个人信息 被 窃取 、 泄露 、 毁损 以及 非法 利用 或 出境 的 风险 ;

( 六 ) 国外 上市 后 关键 信息 基础设施 , 核心 数据 、 重要 数据 或 大量 个人信息 被 国外 政府 影响 、 控制 、 恶意 利用 的 风险 ;

( 七 ) 其他 可能 危害 关键 信息 基础设施 安全 和 国家 数据安全 的 因素 。

第 十一 条   网络安全 审查 办公室 认为 需要 开展 网络安全 审查 的 , 应当 自向 运营者 发出 书面通知 之日起 30 个 工作日内 完成 初步 审查 , 包括 形成 审查 结论 建议 和 将 审查 结论 建议 发送 网络安全 审查 工作 机制 成员 单位 、 相关 关键 信息 基础设施 保护 工作部门 征求意见 ; 情况 复杂 的 , 可以 延长 15 个 工作日 。

第 十二 条   网络安全 审查 工作 机制 成员 单位 和 相关 关键 信息 基础设施 保护 工作部门 应当 自 收到 审查 结论 建议 之日起 15 个 工作日内 书面 回复 意见 。

网络安全 审查 工作 机制 成员 单位 、 相关 关键 信息 基础设施 保护 工作部门 意见 一致 的 , 网络安全 审查 办公室 以 书面形式 将 审查 结论 通知 运营者 ; 意见 不 一致 的 , 按照 特别 审查 程序处理 , 并 通知 运营者 。

第 十三 条   按照 特别 审查 程序处理 的 , 网络安全 审查 办公室 应当 听取 相关 部门 和 单位 意见 , 进行 深入分析 评估 , 再次 形成 审查 结论 建议 , 并 征求 网络安全 审查 工作 机制 成员 单位 和 相关 部门 意见 , 按程序 报 中央 网络安全 和 信息化 委员会 批准 后 , 形成 审查 结论 并 书面通知 运营者 。

第 十四 条   特别 审查 程序 一般 应当 在 3 个 月 内 完成 , 情况 复杂 的 可以 延长 。

第 十五 条   网络安全 审查 办公室 要求 提供 补充 材料 的 , 运营者 、 产品 和 服务提供者 应当 予以 配合 。 提交 补充 材料 的 时间 不 计入 审查 时间 。

第 十六 条   网络安全 审查 工作 机制 成员 单位 认为 影响 或 可能 影响 国家 安全 的 网络产品 和 服务 、 数据处理 活动 以及 国外 上市 行为 , 由 网络安全 审查 办公室 按程序 报 中央 网络安全 和 信息化 委员会 批准 后 , 依照 本 办法 的 规定 进行 审查 。

第 十七 条   参与 网络安全 审查 的 相关 机构 和 人员 应 严格 保护 企业 商业秘密 和 知识产权 , 对 运营者 、 产品 和 服务提供者 提交 的 未公开 材料 , 以及 审查 工作 中 获悉 的 其他 未公开 信息 承担 保密 义务 ; 未经 信息 提供 方 同意 , 不得 向 无关 方 披露 或 用于 审查 以外 的 目的 。

第 十八 条   运营者 或 网络产品 和 服务提供者 认为 审查 人员 有失 客观 公正 , 或 未能 对 审查 工作 中 获悉 的 信息 承担 保密 义务 的 , 可以 向 网络安全 审查 办公室 或者 有关 部门 举报 。

第 十九 条   运营者 应当 督促 产品 和 服务提供者 履行 网络安全 审查 中 作出 的 承诺 。

网络安全 审查 办公室 通过 接受 举报 等 形式 加强 事前 事中 事后 监督 。

第 二十 条   运营者 违反 本 办法 规定 的 , 依照 《 中华人民共和国 网络安全 法 》《 中华人民共和国 数据 安全法 》 的 规定 处理 。

第 二十一 条   本 办法 中 关键 信息 基础设施 运营者 是 指经 关键 信息 基础设施 保护 工作部门 认定 的 运营者 。

本 办法 所 称 网络产品 和 服务 主要 指 核心 网络设备 、 重要 通信 产品 、 高性能 计算机 和 服务器 、 大容量 存储设备 、 大型 数据库 和 应用软件 、 网络安全 设备 、 云 计算 服务 , 以及 其他 对 关键 信息 基础设施 安全 有 重要 影响 的 网络产品 和 服务 。

第 二十 二  条   涉及 国家 秘密 信息 的 , 依照 国家有关 保密 规定 执行 。

第 二十 三 条   本 办法 自 2021 年 月 日起 实施 ,《 网络产品 和 服务 安全 审查 办法 ( 试行 )》 同时 废止 。