×

我们使用cookies帮助改善LingQ。通过浏览本网站,表示你同意我们的 cookie 政策.


image

Chinese Tech News 中国技术 黑科技 新闻, 掌握超100万用户个人信息的运营者赴国外上市,必须申报网络安全审查

掌握 超 100万 用户 个人信息 的 运营者 赴 国外 上市 ,必须 申报 网络安全 审查

国家互联网信息办公室 发布 关于 《 网络安全 审查 办法 ( 修订 草案 征求意见 稿 )》 公开 征求意见 的 通知 。 《 办法 》 提出 , 掌握 超过 100 万 用户 个人信息 的 运营者 赴 国外 上市 , 必须 向 网络安全 审查 办公室 申报 网络安全 审查 。 承诺 不 利用 提供 产品 和 服务 的 便利 条件 非法 获取 用户 数据 、 非法 控制 和 操纵 用户 设备 , 无 正当理由 不 中断 产品 供应 或 必要 的 技术支持 服务 等 。

网络安全 审查 重点 评估 采购 活动 、 数据处理 活动 以及 国外 上市 可能 带来 的 国家 安全 风险 。

附 : 网络安全 审查 办法 ( 修订 草案 征求意见 稿 )

国家 互联网 信息 办公室

2021 年 7 月 10 日

网络安全 审查 办法 .( 修订 草案 征求意见 稿 )

第一条 为了 确保 关键 信息 基础设施 供应链 安全 , 维护 国家 安全 , 依据 《 中华人民共和国 国家 安全法 》《 中华人民共和国 网络安全 法 》《 中华人民共和国 数据 安全法 》, 制定 本 办法 。

第二条 关键 信息 基础设施 运营者 ( 以下 简称 运营者 ) 采购 网络产品 和 服务 , 数据处理 者 ( 以下 称 运营者 ) 开展 数据处理 活动 , 影响 或 可能 影响 国家 安全 的 , 应当 按照 本 办法 进行 网络安全 审查 。

第三条 网络安全 审查 坚持 防范 网络安全 风险 与 促进 先进 技术 应用 相结合 、 过程 公正 透明 与 知识产权 保护 相结合 、 事前 审查 与 持续 监管 相结合 、 企业 承诺 与 社会 监督 相结合 , 从 产品 和 服务 安全性 、 可能 带来 的 国家 安全 风险 等 方面 进行 审查 。

第四条 在 中央 网络安全 和 信息化 委员会 领导 下 , 国家 互联网 信息 办公室 会同 中华人民共和国 国家 发展 和 改革 委员会 、 中华人民共和国 工业 和 信息化 部 、 中华人民共和国 公安部 、 中华人民共和国 国家安全部 、 中华人民共和国财政部 、 中华人民共和国 商务部 、 中国人民银行 、 国家 市场 监督管理 总局 、 国家 广播电视 总局 、 中国证券监督管理委员会 、 国家 保密局 、 国家 密码 管理局 建立 国家 网络安全 审查 工作 机制 。

网络安全 审查 办公室 设在 国家 互联网 信息 办公室 , 负责 制定 网络安全 审查 相关 制度 规范 , 组织 网络安全 审查 。

第五条 运营者 采购 网络产品 和 服务 的 , 应当 预判 该 产品 和 服务 投入使用 后 可能 带来 的 国家 安全 风险 。 影响 或者 可能 影响 国家 安全 的 , 应当 向 网络安全 审查 办公室 申报 网络安全 审查 。

关键 信息 基础设施 保护 工作部门 可以 制定 本行业 、 本 领域 预判 指南 。

第 六 条 掌握 超过 100 万 用户 个人信息 的 运营者 赴 国外 上市 , 必须 向 网络安全 审查 办公室 申报 网络安全 审查 。

第 七 条 对于 申报 网络安全 审查 的 采购 活动 , 运营者 应 通过 采购 文件 、 协议 等 要求 产品 和 服务提供者 配合 网络安全 审查 , 包括 承诺 不 利用 提供 产品 和 服务 的 便利 条件 非法 获取 用户 数据 、 非法 控制 和 操纵 用户 设备 , 无 正当理由 不 中断 产品 供应 或 必要 的 技术支持 服务 等 。

第 八 条 运营者 申报 网络安全 审查 , 应当 提交 以下 材料 :

( 一 ) 申报 书 ;

( 二 ) 关于 影响 或 可能 影响 国家 安全 的 分析报告 ;

( 三 ) 采购 文件 、 协议 、 拟 签订 的 合同 或拟 提交 的 IPO 材料 等 ;

( 四 ) 网络安全 审查 工作 需要 的 其他 材料 。

第 九 条 网络安全 审查 办公室 应当 自 收到 审查 申报材料 起 ,10 个 工作日内 确定 是否 需要 审查 并 书面通知 运营者 。

第 十 条 网络安全 审查 重点 评估 采购 活动 、 数据处理 活动 以及 国外 上市 可能 带来 的 国家 安全 风险 , 主要 考虑 以下 因素 :

( 一 ) 产品 和 服务 使用 后 带来 的 关键 信息 基础设施 被 非法 控制 、 遭受 干扰 或 破坏 的 风险 ;

( 二 ) 产品 和 服务 供应 中断 对 关键 信息 基础设施 业务 连续性 的 危害 ;

( 三 ) 产品 和 服务 的 安全性 、 开放性 、 透明性 、 来源 的 多样性 , 供应 渠道 的 可靠性 以及 因为 政治 、 外交 、 贸易 等 因素 导致 供应 中断 的 风险 ;

( 四 ) 产品 和 服务提供者 遵守 中国 法律 、 行政 法规 、 部门规章 情况 ;

( 五 ) 核心 数据 、 重要 数据 或 大量 个人信息 被 窃取 、 泄露 、 毁损 以及 非法 利用 或 出境 的 风险 ;

( 六 ) 国外 上市 后 关键 信息 基础设施 , 核心 数据 、 重要 数据 或 大量 个人信息 被 国外 政府 影响 、 控制 、 恶意 利用 的 风险 ;

( 七 ) 其他 可能 危害 关键 信息 基础设施 安全 和 国家 数据安全 的 因素 。

第 十一 条 网络安全 审查 办公室 认为 需要 开展 网络安全 审查 的 , 应当 自向 运营者 发出 书面通知 之日起 30 个 工作日内 完成 初步 审查 , 包括 形成 审查 结论 建议 和 将 审查 结论 建议 发送 网络安全 审查 工作 机制 成员 单位 、 相关 关键 信息 基础设施 保护 工作部门 征求意见 ; 情况 复杂 的 , 可以 延长 15 个 工作日 。

第 十二 条 网络安全 审查 工作 机制 成员 单位 和 相关 关键 信息 基础设施 保护 工作部门 应当 自 收到 审查 结论 建议 之日起 15 个 工作日内 书面 回复 意见 。

网络安全 审查 工作 机制 成员 单位 、 相关 关键 信息 基础设施 保护 工作部门 意见 一致 的 , 网络安全 审查 办公室 以 书面形式 将 审查 结论 通知 运营者 ; 意见 不 一致 的 , 按照 特别 审查 程序处理 , 并 通知 运营者 。

第 十三 条 按照 特别 审查 程序处理 的 , 网络安全 审查 办公室 应当 听取 相关 部门 和 单位 意见 , 进行 深入分析 评估 , 再次 形成 审查 结论 建议 , 并 征求 网络安全 审查 工作 机制 成员 单位 和 相关 部门 意见 , 按程序 报 中央 网络安全 和 信息化 委员会 批准 后 , 形成 审查 结论 并 书面通知 运营者 。

第 十四 条 特别 审查 程序 一般 应当 在 3 个 月 内 完成 , 情况 复杂 的 可以 延长 。

第 十五 条 网络安全 审查 办公室 要求 提供 补充 材料 的 , 运营者 、 产品 和 服务提供者 应当 予以 配合 。 提交 补充 材料 的 时间 不 计入 审查 时间 。

第 十六 条 网络安全 审查 工作 机制 成员 单位 认为 影响 或 可能 影响 国家 安全 的 网络产品 和 服务 、 数据处理 活动 以及 国外 上市 行为 , 由 网络安全 审查 办公室 按程序 报 中央 网络安全 和 信息化 委员会 批准 后 , 依照 本 办法 的 规定 进行 审查 。

第 十七 条 参与 网络安全 审查 的 相关 机构 和 人员 应 严格 保护 企业 商业秘密 和 知识产权 , 对 运营者 、 产品 和 服务提供者 提交 的 未公开 材料 , 以及 审查 工作 中 获悉 的 其他 未公开 信息 承担 保密 义务 ; 未经 信息 提供 方 同意 , 不得 向 无关 方 披露 或 用于 审查 以外 的 目的 。

第 十八 条 运营者 或 网络产品 和 服务提供者 认为 审查 人员 有失 客观 公正 , 或 未能 对 审查 工作 中 获悉 的 信息 承担 保密 义务 的 , 可以 向 网络安全 审查 办公室 或者 有关 部门 举报 。

第 十九 条 运营者 应当 督促 产品 和 服务提供者 履行 网络安全 审查 中 作出 的 承诺 。

网络安全 审查 办公室 通过 接受 举报 等 形式 加强 事前 事中 事后 监督 。

第 二十 条 运营者 违反 本 办法 规定 的 , 依照 《 中华人民共和国 网络安全 法 》《 中华人民共和国 数据 安全法 》 的 规定 处理 。

第 二十一 条 本 办法 中 关键 信息 基础设施 运营者 是 指经 关键 信息 基础设施 保护 工作部门 认定 的 运营者 。

本 办法 所 称 网络产品 和 服务 主要 指 核心 网络设备 、 重要 通信 产品 、 高性能 计算机 和 服务器 、 大容量 存储设备 、 大型 数据库 和 应用软件 、 网络安全 设备 、 云 计算 服务 , 以及 其他 对 关键 信息 基础设施 安全 有 重要 影响 的 网络产品 和 服务 。

第 二十 二 条 涉及 国家 秘密 信息 的 , 依照 国家有关 保密 规定 执行 。

第 二十 三 条 本 办法 自 2021 年 月 日起 实施 ,《 网络产品 和 服务 安全 审查 办法 ( 试行 )》 同时 废止 。


掌握 超 100万 用户 个人信息 的 运营者 赴 国外 上市 ,必须 申报 网络安全 审查 Operators who have mastered the personal information of more than 1 million users must apply for a network security review when they go abroad to list

国家互联网信息办公室 发布 关于 《 网络安全 审查 办法 ( 修订 草案 征求意见 稿 )》 公开 征求意见 的 通知 。 The Cyberspace Administration of China issued a notice on the public consultation on the "Measures for Network Security Review (Revised Draft)". 《 办法 》 提出 , 掌握 超过 100 万 用户 个人信息 的 运营者 赴 国外 上市 , 必须 向 网络安全 审查 办公室 申报 网络安全 审查 。 The "Measures" propose that operators with personal information of more than 1 million users must apply for a network security review to the Network Security Review Office if they want to go public abroad. 承诺 不 利用 提供 产品 和 服务 的 便利 条件 非法 获取 用户 数据 、 非法 控制 和 操纵 用户 设备 , 无 正当理由 不 中断 产品 供应 或 必要 的 技术支持 服务 等 。 Promise not to take advantage of the convenience of providing products and services to illegally obtain user data, illegally control and manipulate user equipment, and not to interrupt product supply or necessary technical support services without justified reasons.

网络安全 审查 重点 评估 采购 活动 、 数据处理 活动 以及 国外 上市 可能 带来 的 国家 安全 风险 。 The cybersecurity review focuses on assessing national security risks that may arise from procurement activities, data processing activities, and foreign listings.

附 : 网络安全 审查 办法 ( 修订 草案 征求意见 稿 ) Attachment: Network Security Review Measures (Revised Draft for Soliciting Comments)

国家 互联网 信息 办公室 State Internet Information Office

2021 年 7 月 10 日

网络安全 审查 办法 .( 修订 草案 征求意见 稿 ) Network Security Review Measures. (Draft Revised for Solicitation of Comments)

第一条   为了 确保 关键 信息 基础设施 供应链 安全 , 维护 国家 安全 , 依据 《 中华人民共和国 国家 安全法 》《 中华人民共和国 网络安全 法 》《 中华人民共和国 数据 安全法 》, 制定 本 办法 。 Article 1 In order to ensure the security of the key information infrastructure supply chain and maintain national security, these measures are formulated in accordance with the "National Security Law of the People's Republic of China", "Cyber Security Law of the People's Republic of China" and "Data Security Law of the People's Republic of China".

第二条   关键 信息 基础设施 运营者 ( 以下 简称 运营者 ) 采购 网络产品 和 服务 , 数据处理 者 ( 以下 称 运营者 ) 开展 数据处理 活动 , 影响 或 可能 影响 国家 安全 的 , 应当 按照 本 办法 进行 网络安全 审查 。

第三条   网络安全 审查 坚持 防范 网络安全 风险 与 促进 先进 技术 应用 相结合 、 过程 公正 透明 与 知识产权 保护 相结合 、 事前 审查 与 持续 监管 相结合 、 企业 承诺 与 社会 监督 相结合 , 从 产品 和 服务 安全性 、 可能 带来 的 国家 安全 风险 等 方面 进行 审查 。

第四条   在 中央 网络安全 和 信息化 委员会 领导 下 , 国家 互联网 信息 办公室 会同 中华人民共和国 国家 发展 和 改革 委员会 、 中华人民共和国 工业 和 信息化 部 、 中华人民共和国 公安部 、 中华人民共和国 国家安全部 、 中华人民共和国财政部 、 中华人民共和国 商务部 、 中国人民银行 、 国家 市场 监督管理 总局 、 国家 广播电视 总局 、 中国证券监督管理委员会 、 国家 保密局 、 国家 密码 管理局 建立 国家 网络安全 审查 工作 机制 。

网络安全 审查 办公室 设在 国家 互联网 信息 办公室 , 负责 制定 网络安全 审查 相关 制度 规范 , 组织 网络安全 审查 。

第五条   运营者 采购 网络产品 和 服务 的 , 应当 预判 该 产品 和 服务 投入使用 后 可能 带来 的 国家 安全 风险 。 影响 或者 可能 影响 国家 安全 的 , 应当 向 网络安全 审查 办公室 申报 网络安全 审查 。

关键 信息 基础设施 保护 工作部门 可以 制定 本行业 、 本 领域 预判 指南 。

第 六 条   掌握 超过 100 万 用户 个人信息 的 运营者 赴 国外 上市 , 必须 向 网络安全 审查 办公室 申报 网络安全 审查 。

第 七 条   对于 申报 网络安全 审查 的 采购 活动 , 运营者 应 通过 采购 文件 、 协议 等 要求 产品 和 服务提供者 配合 网络安全 审查 , 包括 承诺 不 利用 提供 产品 和 服务 的 便利 条件 非法 获取 用户 数据 、 非法 控制 和 操纵 用户 设备 , 无 正当理由 不 中断 产品 供应 或 必要 的 技术支持 服务 等 。

第 八 条   运营者 申报 网络安全 审查 , 应当 提交 以下 材料 :

( 一 ) 申报 书 ;

( 二 ) 关于 影响 或 可能 影响 国家 安全 的 分析报告 ;

( 三 ) 采购 文件 、 协议 、 拟 签订 的 合同 或拟 提交 的 IPO 材料 等 ;

( 四 ) 网络安全 审查 工作 需要 的 其他 材料 。

第 九 条   网络安全 审查 办公室 应当 自 收到 审查 申报材料 起 ,10 个 工作日内 确定 是否 需要 审查 并 书面通知 运营者 。

第 十 条   网络安全 审查 重点 评估 采购 活动 、 数据处理 活动 以及 国外 上市 可能 带来 的 国家 安全 风险 , 主要 考虑 以下 因素 :

( 一 ) 产品 和 服务 使用 后 带来 的 关键 信息 基础设施 被 非法 控制 、 遭受 干扰 或 破坏 的 风险 ;

( 二 ) 产品 和 服务 供应 中断 对 关键 信息 基础设施 业务 连续性 的 危害 ;

( 三 ) 产品 和 服务 的 安全性 、 开放性 、 透明性 、 来源 的 多样性 , 供应 渠道 的 可靠性 以及 因为 政治 、 外交 、 贸易 等 因素 导致 供应 中断 的 风险 ;

( 四 ) 产品 和 服务提供者 遵守 中国 法律 、 行政 法规 、 部门规章 情况 ;

( 五 ) 核心 数据 、 重要 数据 或 大量 个人信息 被 窃取 、 泄露 、 毁损 以及 非法 利用 或 出境 的 风险 ;

( 六 ) 国外 上市 后 关键 信息 基础设施 , 核心 数据 、 重要 数据 或 大量 个人信息 被 国外 政府 影响 、 控制 、 恶意 利用 的 风险 ;

( 七 ) 其他 可能 危害 关键 信息 基础设施 安全 和 国家 数据安全 的 因素 。

第 十一 条   网络安全 审查 办公室 认为 需要 开展 网络安全 审查 的 , 应当 自向 运营者 发出 书面通知 之日起 30 个 工作日内 完成 初步 审查 , 包括 形成 审查 结论 建议 和 将 审查 结论 建议 发送 网络安全 审查 工作 机制 成员 单位 、 相关 关键 信息 基础设施 保护 工作部门 征求意见 ; 情况 复杂 的 , 可以 延长 15 个 工作日 。

第 十二 条   网络安全 审查 工作 机制 成员 单位 和 相关 关键 信息 基础设施 保护 工作部门 应当 自 收到 审查 结论 建议 之日起 15 个 工作日内 书面 回复 意见 。

网络安全 审查 工作 机制 成员 单位 、 相关 关键 信息 基础设施 保护 工作部门 意见 一致 的 , 网络安全 审查 办公室 以 书面形式 将 审查 结论 通知 运营者 ; 意见 不 一致 的 , 按照 特别 审查 程序处理 , 并 通知 运营者 。

第 十三 条   按照 特别 审查 程序处理 的 , 网络安全 审查 办公室 应当 听取 相关 部门 和 单位 意见 , 进行 深入分析 评估 , 再次 形成 审查 结论 建议 , 并 征求 网络安全 审查 工作 机制 成员 单位 和 相关 部门 意见 , 按程序 报 中央 网络安全 和 信息化 委员会 批准 后 , 形成 审查 结论 并 书面通知 运营者 。

第 十四 条   特别 审查 程序 一般 应当 在 3 个 月 内 完成 , 情况 复杂 的 可以 延长 。

第 十五 条   网络安全 审查 办公室 要求 提供 补充 材料 的 , 运营者 、 产品 和 服务提供者 应当 予以 配合 。 提交 补充 材料 的 时间 不 计入 审查 时间 。

第 十六 条   网络安全 审查 工作 机制 成员 单位 认为 影响 或 可能 影响 国家 安全 的 网络产品 和 服务 、 数据处理 活动 以及 国外 上市 行为 , 由 网络安全 审查 办公室 按程序 报 中央 网络安全 和 信息化 委员会 批准 后 , 依照 本 办法 的 规定 进行 审查 。

第 十七 条   参与 网络安全 审查 的 相关 机构 和 人员 应 严格 保护 企业 商业秘密 和 知识产权 , 对 运营者 、 产品 和 服务提供者 提交 的 未公开 材料 , 以及 审查 工作 中 获悉 的 其他 未公开 信息 承担 保密 义务 ; 未经 信息 提供 方 同意 , 不得 向 无关 方 披露 或 用于 审查 以外 的 目的 。

第 十八 条   运营者 或 网络产品 和 服务提供者 认为 审查 人员 有失 客观 公正 , 或 未能 对 审查 工作 中 获悉 的 信息 承担 保密 义务 的 , 可以 向 网络安全 审查 办公室 或者 有关 部门 举报 。

第 十九 条   运营者 应当 督促 产品 和 服务提供者 履行 网络安全 审查 中 作出 的 承诺 。

网络安全 审查 办公室 通过 接受 举报 等 形式 加强 事前 事中 事后 监督 。

第 二十 条   运营者 违反 本 办法 规定 的 , 依照 《 中华人民共和国 网络安全 法 》《 中华人民共和国 数据 安全法 》 的 规定 处理 。

第 二十一 条   本 办法 中 关键 信息 基础设施 运营者 是 指经 关键 信息 基础设施 保护 工作部门 认定 的 运营者 。

本 办法 所 称 网络产品 和 服务 主要 指 核心 网络设备 、 重要 通信 产品 、 高性能 计算机 和 服务器 、 大容量 存储设备 、 大型 数据库 和 应用软件 、 网络安全 设备 、 云 计算 服务 , 以及 其他 对 关键 信息 基础设施 安全 有 重要 影响 的 网络产品 和 服务 。

第 二十 二  条   涉及 国家 秘密 信息 的 , 依照 国家有关 保密 规定 执行 。

第 二十 三 条   本 办法 自 2021 年 月 日起 实施 ,《 网络产品 和 服务 安全 审查 办法 ( 试行 )》 同时 废止 。