用(yòng)戶信息超百萬公司國外(wài)上(shàng)市須審查

7月10日，國家互聯網信息辦公室發布關于《網絡安全審查辦法（修訂草案征求意見稿）》公開(kāi)征求意見的通知(zhī)。征求意見稿包括了(le)“掌握超過100萬用(yòng)戶個人信息的運營者赴國外(wài)上(shàng)市，必須向網絡安全審查辦公室申報(bào)網絡安全審查”等内容，通知(zhī)如下(xià)：

依據《中華人民共和(hé)國國家安全法》《中華人民共和(hé)國網絡安全法》《中華人民共和(hé)國數據安全法》等法律法規，國家互聯網信息辦公室會(huì)同有關部門(mén)修訂了(le)《網絡安全審查辦法》，現(xiàn)向社會(huì)公開(kāi)征求意見。公衆可通過以下(xià)途徑和(hé)方式提出反饋意見：

1.登錄中華人民共和(hé)國司法部中國政府法制信息網（www.moj.gov.cn、www.chinalaw.gov.cn），進入首頁主菜單的“立法意見征集”欄目提出意見。

2.通過電子郵件方式發送至：shencha@cac.gov.cn。

3.通過信函方式将意見寄至：北京市西城(chéng)區(qū)車公莊大(dà)街11号國家互聯網信息辦公室網絡安全協調局，郵編100044，并在信封上(shàng)注明(míng)“網絡安全審查辦法征求意見”。

意見反饋截止日期爲2021年7月25日。

附件：網絡安全審查辦法（修訂草案征求意見稿）

網絡安全審查辦法

（修訂草案征求意見稿）

第一條：爲了(le)确保關鍵信息基礎設施供應鏈安全，維護國家安全，依據《中華人民共和(hé)國國家安全法》《中華人民共和(hé)國網絡安全法》《中華人民共和(hé)國數據安全法》，制定本辦法。

第二條：關鍵信息基礎設施運營者（以下(xià)簡稱運營者）采購網絡産品和(hé)服務，數據處理(lǐ)者（以下(xià)稱運營者）開(kāi)展數據處理(lǐ)活動，影響或可能(néng)影響國家安全的，應當按照本辦法進行網絡安全審查。

第三條：網絡安全審查堅持防範網絡安全風(fēng)險與促進先進技術應用(yòng)相結合、過程公正透明(míng)與知(zhī)識産權保護相結合、事(shì)前審查與持續監管相結合、企業承諾與社會(huì)監督相結合，從(cóng)産品和(hé)服務安全性、可能(néng)帶來(lái)的國家安全風(fēng)險等方面進行審查。

第四條：在中央網絡安全和(hé)信息化委員會(huì)領導下(xià)，國家互聯網信息辦公室會(huì)同中華人民共和(hé)國國家發展和(hé)改革委員會(huì)、中華人民共和(hé)國工(gōng)業和(hé)信息化部、中華人民共和(hé)國公安部、中華人民共和(hé)國國家安全部、中華人民共和(hé)國财政部、中華人民共和(hé)國商務部、中國人民銀行、國家市場監督管理(lǐ)總局、國家廣播電視(shì)總局、中國證券監督管理(lǐ)委員會(huì)、國家保密局、國家密碼管理(lǐ)局建立國家網絡安全審查工(gōng)作(zuò)機制。

網絡安全審查辦公室設在國家互聯網信息辦公室，負責制定網絡安全審查相關制度規範，組織網絡安全審查。

第五條：運營者采購網絡産品和(hé)服務的，應當預判該産品和(hé)服務投入使用(yòng)後可能(néng)帶來(lái)的國家安全風(fēng)險。影響或者可能(néng)影響國家安全的，應當向網絡安全審查辦公室申報(bào)網絡安全審查。

關鍵信息基礎設施保護工(gōng)作(zuò)部門(mén)可以制定本行業、本領域預判指南。

第六條：掌握超過100萬用(yòng)戶個人信息的運營者赴國外(wài)上(shàng)市，必須向網絡安全審查辦公室申報(bào)網絡安全審查。

第七條：對(duì)于申報(bào)網絡安全審查的采購活動，運營者應通過采購文(wén)件、協議(yì)等要求産品和(hé)服務提供者配合網絡安全審查，包括承諾不利用(yòng)提供産品和(hé)服務的便利條件非法獲取用(yòng)戶數據、非法控制和(hé)操縱用(yòng)戶設備，無正當理(lǐ)由不中斷産品供應或必要的技術支持服務等。

第八條：運營者申報(bào)網絡安全審查，應當提交以下(xià)材料：

（一）申報(bào)書；

（二）關于影響或可能(néng)影響國家安全的分析報(bào)告；

（三）采購文(wén)件、協議(yì)、拟簽訂的合同或拟提交的IPO材料等；

（四）網絡安全審查工(gōng)作(zuò)需要的其他(tā)材料。

第九條：網絡安全審查辦公室應當自(zì)收到(dào)審查申報(bào)材料起，10個工(gōng)作(zuò)日内确定是否需要審查并書面通知(zhī)運營者。

第十條：網絡安全審查重點評估采購活動、數據處理(lǐ)活動以及國外(wài)上(shàng)市可能(néng)帶來(lái)的國家安全風(fēng)險，主要考慮以下(xià)因素：

（一）産品和(hé)服務使用(yòng)後帶來(lái)的關鍵信息基礎設施被非法控制、遭受幹擾或破壞的風(fēng)險；

（二）産品和(hé)服務供應中斷對(duì)關鍵信息基礎設施業務連續性的危害；

（三）産品和(hé)服務的安全性、開(kāi)放(fàng)性、透明(míng)性、來(lái)源的多樣性，供應渠道(dào)的可靠性以及因爲政治、外(wài)交、貿易等因素導緻供應中斷的風(fēng)險；

（四）産品和(hé)服務提供者遵守中國法律、行政法規、部門(mén)規章情況；

（五）核心數據、重要數據或大(dà)量個人信息被竊取、洩露、毀損以及非法利用(yòng)或出境的風(fēng)險；

（六）國外(wài)上(shàng)市後關鍵信息基礎設施，核心數據、重要數據或大(dà)量個人信息被國外(wài)政府影響、控制、惡意利用(yòng)的風(fēng)險；

（七）其他(tā)可能(néng)危害關鍵信息基礎設施安全和(hé)國家數據安全的因素。

第十一條：網絡安全審查辦公室認爲需要開(kāi)展網絡安全審查的，應當自(zì)向運營者發出書面通知(zhī)之日起30個工(gōng)作(zuò)日内完成初步審查，包括形成審查結論建議(yì)和(hé)将審查結論建議(yì)發送網絡安全審查工(gōng)作(zuò)機制成員單位、相關關鍵信息基礎設施保護工(gōng)作(zuò)部門(mén)征求意見；情況複雜(zá)的，可以延長15個工(gōng)作(zuò)日。

第十二條：網絡安全審查工(gōng)作(zuò)機制成員單位和(hé)相關關鍵信息基礎設施保護工(gōng)作(zuò)部門(mén)應當自(zì)收到(dào)審查結論建議(yì)之日起15個工(gōng)作(zuò)日内書面回複意見。

網絡安全審查工(gōng)作(zuò)機制成員單位、相關關鍵信息基礎設施保護工(gōng)作(zuò)部門(mén)意見一緻的，網絡安全審查辦公室以書面形式将審查結論通知(zhī)運營者；意見不一緻的，按照特别審查程序處理(lǐ)，并通知(zhī)運營者。

第十三條：按照特别審查程序處理(lǐ)的，網絡安全審查辦公室應當聽取相關部門(mén)和(hé)單位意見，進行深入分析評估，再次形成審查結論建議(yì)，并征求網絡安全審查工(gōng)作(zuò)機制成員單位和(hé)相關部門(mén)意見，按程序報(bào)中央網絡安全和(hé)信息化委員會(huì)批準後，形成審查結論并書面通知(zhī)運營者。

第十四條：特别審查程序一般應當在3個月内完成，情況複雜(zá)的可以延長。

第十五條：網絡安全審查辦公室要求提供補充材料的，運營者、産品和(hé)服務提供者應當予以配合。提交補充材料的時(shí)間不計(jì)入審查時(shí)間。

第十六條：網絡安全審查工(gōng)作(zuò)機制成員單位認爲影響或可能(néng)影響國家安全的網絡産品和(hé)服務、數據處理(lǐ)活動以及國外(wài)上(shàng)市行爲，由網絡安全審查辦公室按程序報(bào)中央網絡安全和(hé)信息化委員會(huì)批準後，依照本辦法的規定進行審查。

第十七條：參與網絡安全審查的相關機構和(hé)人員應嚴格保護企業商業秘密和(hé)知(zhī)識産權，對(duì)運營者、産品和(hé)服務提供者提交的未公開(kāi)材料，以及審查工(gōng)作(zuò)中獲悉的其他(tā)未公開(kāi)信息承擔保密義務；未經信息提供方同意，不得向無關方披露或用(yòng)于審查以外(wài)的目的。

第十八條：運營者或網絡産品和(hé)服務提供者認爲審查人員有失客觀公正，或未能(néng)對(duì)審查工(gōng)作(zuò)中獲悉的信息承擔保密義務的，可以向網絡安全審查辦公室或者有關部門(mén)舉報(bào)。

第十九條：運營者應當督促産品和(hé)服務提供者履行網絡安全審查中作(zuò)出的承諾。

網絡安全審查辦公室通過接受舉報(bào)等形式加強事(shì)前事(shì)中事(shì)後監督。

第二十條：運營者違反本辦法規定的，依照《中華人民共和(hé)國網絡安全法》《中華人民共和(hé)國數據安全法》的規定處理(lǐ)。

第二十一條：本辦法中關鍵信息基礎設施運營者是指經關鍵信息基礎設施保護工(gōng)作(zuò)部門(mén)認定的運營者。

本辦法所稱網絡産品和(hé)服務主要指核心網絡設備、重要通信産品、高(gāo)性能(néng)計(jì)算(suàn)機和(hé)服務器、大(dà)容量存儲設備、大(dà)型數據庫和(hé)應用(yòng)軟件、網絡安全設備、雲計(jì)算(suàn)服務，以及其他(tā)對(duì)關鍵信息基礎設施安全有重要影響的網絡産品和(hé)服務。

第二十二條：涉及國家秘密信息的，依照國家有關保密規定執行。

第二十三條：本辦法自(zì)2021年 月 日起實施，《網絡産品和(hé)服務安全審查辦法（試行）》同時(shí)廢止。