當前，數據作為(wei) 國家新型生產(chan) 要素和基礎戰略資源的代表，數據安全已成為(wei) 保障網絡強國建設、護航數字經濟發展的安全基石。2022年2月15日起，國家互聯網信息辦公室等十三部門聯合修訂發布的《網絡安全審查辦法》（以下簡稱新版《審查辦法》）開始施行，新修訂內(nei) 容針對數據處理活動，聚焦國家數據安全風險，明確運營者赴國外上市的網絡安全審查要求，為(wei) 構建完善國家網絡安全審查機製，切實保障國家安全提供了有力抓手。

　　一、審查對象新增數據處理活動，突出赴國外上市申報審查

　　（一）影響或者可能影響國家安全的數據處理活動在審查範圍內(nei)

　　與(yu) 上版《審查辦法》相比，新版《審查辦法》要求網絡平台運營者開展數據處理活動，影響或者可能影響國家安全的應按照新版《審查辦法》進行網絡安全審查。這意味著除了關(guan) 鍵信息基礎設施運營者采購網絡產(chan) 品和服務外，網絡運營者開展影響或者可能影響國家安全的數據處理活動，也將在網絡安全審查範圍內(nei) 。

　　判斷影響或者可能影響國家安全的數據處理活動，可從(cong) 數據處理活動是否存在或疑似存在危害國家安全行為(wei) ，或者是否存在國家安全風險等方麵進行判斷，例如掌握100萬(wan) 用戶個(ge) 人信息的運營者赴國外上市，掌握核心數據或重要數據的運營者赴國外上市，掌握我國禁止或限製出口技術的運營者赴國外上市，匯聚掌握大量關(guan) 係國家安全、經濟發展、公共利益的數據資源的互聯網平台運營者實施合並、重組、分立等數據處理活動，一旦影響或者可能影響國家安全的，都可能成為(wei) 網絡安全審查的對象。

　　（二）超過100萬(wan) 用戶個(ge) 人信息的運營者赴國外上市應申報審查

　　新版《審查辦法》明確規定掌握超過100萬(wan) 用戶個(ge) 人信息的網絡平台運營者赴國外上市必須申報網絡安全審查。按照中國證監會(hui) 公布的《國務院關(guan) 於(yu) 境內(nei) 企業(ye) 境外發行證券和上市的管理規定（草案征求意見稿）》和《境內(nei) 企業(ye) 境外發行證券和上市備案管理辦法（征求意見稿）》，赴國外上市的主體(ti) 涉及境內(nei) 企業(ye) 國外直接發行上市、境內(nei) 企業(ye) 國外間接發行上市。其中，直接發行上市是指注冊(ce) 在境內(nei) 的股份有限公司在國外發行證券或者將其證券在國外上市交易；間接發行上市是指主要業(ye) 務經營活動在境內(nei) 的企業(ye) ，以境外企業(ye) 的名義(yi) ，基於(yu) 境內(nei) 企業(ye) 的股權、資產(chan) 、收益或其他類似權益在國外發行證券或者將證券在國外上市交易。

　　赴國外上市的方式或途徑，包括但不限於(yu) 首次公開發行並上市（IPO）、特殊目的公司收購（SPAC）上市、借殼上市，通過一次或多次收購、換股、劃轉以及其他交易安排實現境內(nei) 企業(ye) 資產(chan) 境外直接或間接上市，境內(nei) 上市公司分拆所屬境內(nei) 企業(ye) 到國外發行上市，境內(nei) 上市公司以境內(nei) 上市股份為(wei) 基礎證券在國外發行可轉換為(wei) 基礎證券的存托憑證等。此外，雖然新版《審查辦法》沒有提及赴香港上市，但是掌握超過100萬(wan) 用戶個(ge) 人信息的運營者赴香港上市，仍應按照數據出境安全評估的有關(guan) 規定進行評估。

　　二、審查評估聚焦國家數據安全風險因素

　　運營者開展影響或可能影響國家安全的數據處理活動，可能帶來多種國家數據安全風險，新版《審查辦法》在供應鏈安全風險評價(jia) 的基礎上，新增了國家數據安全風險因素評價(jia) 。

　　（一）數據被竊取、泄露、毀損、非法利用、非法出境風險

　　運營者對核心數據、重要數據、大量個(ge) 人信息開展數據處理活動時，一旦數據被竊取、泄露、毀損、非法利用或非法出境，可能直接存在國家安全或公共利益風險：一是數據竊取或泄露。由於(yu) 黑客攻擊、員工竊取、數據安全能力不足、內(nei) 部違規操作、違規共享等原因，處理的核心數據、重要數據或大量個(ge) 人信息可能被竊取、未授權或違規泄露。二是數據毀損。處理的核心數據、重要數據或大量個(ge) 人信息被違規篡改、破壞、丟(diu) 失，危害數據的完整性和可用性。三是數據非法利用。例如大型網絡平台運營者，可能匯聚了大量涉及國家安全、公共利益或個(ge) 人權益的數據，一旦濫用大數據技術對掌握的大量敏感數據進行分析挖掘並任意共享或發布，可能對國家安全或公共利益造成威脅。四是數據非法出境。按照我國數據安全法律法規要求，關(guan) 鍵信息基礎設施運營者、重要數據處理者、超過100萬(wan) 用戶個(ge) 人信息的運營者等的個(ge) 人信息和重要數據出境，應通過國家網信部門組織的數據出境安全評估。

　　（二）外國政府影響、控製、惡意利用和網絡信息安全風險

　　隨著美國《外國公司問責法案》落地執行，美國證券交易委員會(hui) （SEC）要求在美國上市的外國企業(ye) 披露是否由政府實體(ti) 擁有或控製、存在的監管環境風險，同時要求審計公司接受美國公共公司會(hui) 計監督委員會(hui) （PCAOB）檢查，披露上市公司的審計細節、工作底稿等信息。在這一背景下，赴國外上市的運營者將麵臨(lin) 更多的國家數據安全風險，例如關(guan) 鍵信息基礎設施被外國政府影響、控製、惡意利用的風險；國外監管機構調取上市公司的敏感數據，導致核心數據、重要數據或者大量個(ge) 人信息被外國政府影響、控製、惡意利用的風險；網絡信息輿論被境外機構操縱風險；上市公司控製權發生重大變更等。

　　三、小結

　　新版《審查辦法》的發布，推動國家數據安全治理進入新階段。網絡運營者開展核心數據、重要數據和大量個(ge) 人信息的數據處理活動時，應加強國家安全意識，預判數據處理活動可能帶來的國家安全風險，影響或者可能影響國家安全的及時向網絡安全審查辦公室報告甚至申報網絡安全審查，主動防範可能造成的國家安全風險。我國網絡安全審查製度的不斷完善，將為(wei) 我國數據安全和網絡安全保障體(ti) 係建設打下堅實基礎。

　　作者：胡　影　中國電子技術標準化研究院