7月10日，国家互联网信息办公室发布关于《网络安全审查办法（修订草案征求意见稿）》公开征求意见的通知（以下简称《审查办法〈修订草案〉》）。数据时代，数据安全已经成为网络安全的核心要素，那么，审查办法修订可谓正当其时。

修订《网络安全审查办法》的背景

网络安全审查制度与数据安全审查制度是《网络安全法》和《数据安全法》确立的两项重要国家安全审查制度。《网络安全法》第三十五条规定：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”《数据安全法》第二十四条规定：“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”

根据上述规定，《数据安全法》中的数据安全审查制度与《网络安全法》中的网络安全审查制度有所不同，前者的审查主要针对影响或者可能影响国家安全的数据处理活动，主要包括：数据的收集、存储、使用、加工、传输、提供、公开等；后者的审查主要针对关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的情形。

2020年4月，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部等12个部委联合发布《网络安全审查办法》（以下简称《审查办法》），《审查办法》第二条提出：“关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。”显然，《审查办法》中的网络安全审查，主要是依据《网络安全法》针对关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全情形的安全审查制度。

《数据安全法》于2021年9月1日正式实施后，影响或者可能影响国家安全的数据处理活动也将面临国家安全审查。由于《审查办法》是2020年实施的，其内容只涉及了《网络安全法》中的“网络安全审查”制度，没有涉及《数据安全法》中的“数据安全审查”内容。因此，有必要在原有《审查办法》的基础上增加数据安全审查的内容。

数据时代，数据安全已经成为网络安全的核心要素，网络安全保护更趋向于对数据安全的保护，两者是一个有机体不可分离，特别是数据安全不仅涉及域外效力，还涉及长臂管辖。如美国的“CLOUD法”突破了传统的数据存储地模式，将美国的执法效力扩展至全球；再如欧盟的GDPR要求，凡涉及收集、存储、使用欧盟公民数据（信息）的企业，都将受到GDPR的约束。对此，我国《数据安全法》第二条第二款明确规定：“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”

鉴于网络安全审查与数据安全的审查具有统一性和不可分割性，《审查办法（修订草案）》将依据《网络安全法》和《数据安全法》对《网络安全法》涉及的运营者采购网络产品和服务以及《数据安全法》涉及处理者的数据处理活动，影响或可能影响国家安全的产品和服务的采购活动和数据处理活动，均实行国家安全审查。

《审查办法（修订草案）》第二条规定：“关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，数据处理者（以下简称处理者）开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。”

强化国外上市数据安全风险审查

根据《审查办法》第四条的规定：在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

《审查办法（修订草案）》第四条在《审查办法》第四条的基础上新增加了“中国证券监督管理委员会”。这主要考虑到，我国一些关键信息基础设施运营者在境外上市，涉及重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。对此，《审查办法（修订草案）》第十条增加了“数据处理活动以及国外上市可能带来的国家安全风险”，在《审查办法》考虑的五大因素基础上新增了两项重要因素，一是核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；二是国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。

赴国外上市必须申报安全审查

《审查办法（修订草案）》新增加一条并列为第六条：“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”

最近，“滴滴”以VIE的方式在美上市引发国家和社会高度关注，VIE架构，即“Variable Interest Entity”，中文含义是“可变利益实体”，在国内被称为“协议控制”，其本质是境外上市实体与境内运营实体相分离，境外上市实体在境内设立全资子公司，该全资子公司并不实际开展主营业务，而是通过协议的方式控制境内运营实体的业务和财务，使该运营实体成为上市实体的可变利益实体，VIE架构最关键的问题是“控制”境内运营实体的业务。

当前，“滴滴出行”的业务涵盖15个国家4000个城市，年活跃用户达4.93亿，特别根据美国《外国公司问责法》要求，在美国上市的中国公司必须允许美国公众公司会计监督委员会审计这些公司的文件和资料。如此重要的交通关键信息基础设施的运营平台企业，竟然采取“可变利益实体”的结构在美上市，通过协议控制的方式由美国上市实体控制境内运营实体的业务和财务，且允许美国证券监督管理机构在中国境内直接进行调查，存在大量个人信息被国外政府控制和恶意利用的风险。