依据审查内容，我国网络安全审查制度可以分为两个阶段。一是2014年5月至2021年6月，主要强调对关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险审查。2014年5月，国家网信办宣布将推出网络安全审查制度，对“关系国家安全和公共利益的系统使用的重要技术产品和服务”进行网络安全审查。2017年6月，《网络安全法》和《网络产品和服务安全审查办法（试行）》[以下简称《办法（试行）》]同日生效，进一步明确了网络安全审查的两个条件：一是关键信息基础设施的运营者采购网络产品和服务；二是可能影响国家安全。2020年4月，国家网信办、国家发改委等12个部门联合发布《网络安全审查办法》，重点保障关键信息基础设施供应链安全，并取代了《办法（试行）》。

二是2021年7月以来，网络安全审查在原有内容的基础上，“合二为一”地加入了数据安全审查制度。近年来以“滴滴出行”为代表的掌握大量信息的企业赴国外上市，进一步暴露了在数据处理活动以及国外上市等复杂情形下的新型网络安全隐患，折射出强化数据处理活动中的网络安全的重要性。在此背景下，2021年7月，征求意见稿出台，实质扩大了网络安全审查的范围，既彰显中国特色，又顺应了加强网络安全审查的国际趋势。

制度内容：网络安全审查制度及其不足

根据征求意见稿，我国网络安全审查制度主要包括以下内容：一是明确审查目的和依据。网络安全审查目的是确保关键信息基础设施供应链安全，维护国家安全。网络安全审查以《国家安全法》《网络安全法》以及《数据安全法》作为依据。

二是确立审查对象和条件。征求意见稿将关键信息基础设施运营者和数据处理者作为审查对象。根据不同的审查条件，申报网络安全审查具体分为三种情形：第一，关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全；第二，数据处理者开展数据处理活动，影响或可能影响国家安全；第三，掌握超过100万用户个人信息的运营者（包括关键信息基础设施运营者及数据处理者）赴国外上市。其中第三种情形可能与前两种情形重合。

三是确定审查内容。网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险。征求意见稿列举了几项影响关键信息基础设施安全和数据安全的风险因素，以供审查机构重点考虑。

四是建立审查机制。国家网信办下设网络安全审查办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。同时，由13个部门建立网络安全审查工作机制，与网络安全审查办公室相衔接。由此，网络安全审查可以通过审查对象主动申报和工作机制成员单位依职权申请等两种途径展开。网络安全审查的具体工作，由网络安全审查办公室委托中国网络安全审查技术与认证中心承担。

五是规定审查材料和流程。运营者申报网络安全审查，应当提交申报书、分析报告、采购文件及其他材料。审查流程分为普通审查程序和特别审查程序，若审查工作机制成员单位和相关部门意见不一致，则进入特别审查程序处理。

整体来看，征求意见稿的突出变化是将数据处理者纳入网络安全审查对象。但是，在以下方面尚不清晰：一是审查对象有待明晰。一方面，关键信息基础设施的认定规则暂未正式出台，因此其运营者的范围有待明确。另一方面，“掌握超过100万用户个人信息的运营者赴国外上市”的规定中，数据“掌握者”的范围是否包括数据处理者和受托处理方，“100万用户”是否仅限于境内用户，“国外上市”是否排除了赴港上市、在港二次上市等情形尚不清楚。二是审查内容有待厘清。一方面，网络安全审查的重点考虑因素采取列举式规定，可能有所遗漏。另一方面，证监会是否仅限于审查赴国外上市的情形，还是也包括其他在国外资本市场中影响或可能影响国家安全的情形，例如已经在国外上市的中概股公司增发和发债情形，则尚未有明确的界定。三是审查机制有待完善。根据征求意见稿，目前网络安全审查工作机制共有13个成员单位，各成员单位之间的统筹协调、职责分工、信息共享等尚缺乏指引。

制度比较：国外网络安全审查制度简析

从全球来看，对涉及国家安全的技术产品和服务进行网络安全审查已成为通行做法和趋势。以美国、英国、德国为例，这三个国家均建立了网络安全审查制度，以加强对关键信息基础设施和重要信息系统的保护，其在审查对象、审查内容、审查机制等方面各有特点（见表1）。

美国是最早开展网络安全审查的国家，其网络安全审查涉及众多领域，包括国家安全系统、国防系统、联邦信息系统、特定行业（例如电信）、外商投资等领域。在审查对象方面，不同领域有具体的审查对象，既包括技术产品和服务，也可以涵盖技术产品和服务提供商，还可以审查特定行为活动。在审查内容方面，整体而言主要审查技术产品和服务、特定行为活动是否影响国家安全、是否符合技术标准，各项网络安全审查均不是单一的产品或服务的技术性安全检查，而是多维度的风险评估。多项网络安全审查标准并不公开或者不明确，审查过程也不公开，审查机构享有相当大的自由裁量空间。在审查机制方面，既有多部门联合工作机制，也有单一机构审查机制。一般采取专事专办的形式，联合多家政府机构共同组织成立专门的网络安全审查机构。国家信息保障联盟（NIAP）、联合授权委员会（JAB）、电信小组（TeamTelecom）、外国投资委员会（CFIUS）等均属于不同领域的多部门联合工作机制，联合工作机制成员单位之间的协调和分工情况一般不公布。

近年来，美国进行网络安全审查的典型案例之一是对TikTok进行审查。2019年，特朗普政府以威胁国家安全为由开始对TikTok进行打压和调查，其中尤为突出的是美国外国投资委员会（CFIUS）进行的国家安全审查。美国将跨境数据流视为国家网络安全的重要内容，CFIUS认为TikTok拥有大量美国用户，由中国人作为控股股东，存在可能将用户数据交给中国政府因而危害美国国家安全的风险，因此认为字节跳动收购Musical.ly的交易存在国家安全风险。2021年6月，美国总统拜登撤销了特朗普时期针对TikTok的禁令，同时签署一项新的命令以对包括TikTok在内的多款应用程序实施新的安全审查。TikTok案例表明了美国对数据安全的重视程度，相关网络安全审查机构以威胁国家安全为由，在进行审查时有较大的自由裁量空间。

英国拥有世界上最严格的国家级安全评估中心，其网络安全审查制度呈现一定的技术本位特征。在审查对象方面，以政府和公共部门采购的信息技术产品和服务为主，并延伸至供应商。外商投资领域如涉及网络安全问题，也可能需要进行安全审查。在审查内容方面，网络安全审查具有较强技术性，以信息技术产品源代码审查与托管为基础，可以委托第三方机构承担具体安全认证及源代码托管服务。源代码审查的目的、操作流程、所需条件、技术要求、审查结果等均予公开，审查相对透明。在审查机制方面，实行单一机构审查机制，由国家通信情报局（GCHQ）下设的国家网络安全中心（NCSC）负责网络安全审查、评估、咨询等事项。

英国进行网络安全审查的典型案例之一是对华为网络安全评估中心（HCSEC）的审查。2010年11月，华为与英国政府成立HCSEC，对在英国部署的华为产品进行独立的安全评估，英国政府提出改进思路和建议。在运作机制上，HCSEC独立执行测试，英国国家网络安全中心每年对HCSEC的独立运作进行审计，2014年建立的HCSEC监督委员会对其独立性、有效性和能力进行监督。HCSEC监督委员会公布的2020年年度报告中，认定HCSEC继续提供世界一流的电信产品分析专业能力，但是认为2020年期间HCSEC在满足产品软件工程和网络安全质量方面未取得整体进展。总体而言，HCSEC继续对华为在英国的产品进行有效、独立的评估，并且仍然是英国风险缓和战略的重要组成部分。英国对华为采取的网络安全审查机制可以说极其强硬和严厉，在全球主流电信设备供应商中，华为率先主动、自愿地接受了这种严苛的源代码级安全审查。

德国也形成了健全的网络安全审查制度，具有本国法和欧盟法双重规制的特征。在审查对象方面，以特定行业和领域（包括关键基础设施）已经投入市场或拟投入市场的信息技术产品和系统为主，也包括关键基础设施运营商。此外，联邦经济和能源部（BMWi）审查外商投资领域时，也增加了对网络安全和特定数据处理活动的考量因素。在审查内容方面，审查机构依据本国法和欧盟条例，主要考虑信息技术产品是否可能影响德国的公共秩序或安全。在审查机制方面，实行单一机构审查机制，由德国联邦内政、建设和家园部（BMI）下设的联邦信息技术安全局（BSI）负责网络安全审查、认证、咨询等事项，必要时与欧盟及其他成员国的对应机构展开合作。

制度完善：网络安全审查制度推进建议

总体来看，国外网络安全审查制度具有适用弹性，在审查对象、内容、机制方面各有体现。结合国外的相关规定和实践，我国推进网络安全审查制度时应当保持一定的适用弹性，并在审查对象、内容、机制等方面进行完善。

一是在保持适当弹性的前提下，进一步明确审查对象。结合国外经验，征求意见稿将审查对象扩展到数据处理活动具有合理性。下一步首先建议明确第六条中“掌握超过100万用户个人信息的运营者赴国外上市”中“掌握”“100万用户个人信息”“国外上市”的准确含义。其次，建议增加一个“兜底”条款以便于满足未来可能在数据处理领域进一步扩展审查对象的需求。

二是厘清审查内容。建议进一步明确数据安全与网络安全的关系。针对第十条网络安全审查的重点考虑因素，可以对国家安全和数据安全的含义继续保持开放性，以便为国家安全风险和数据安全风险的判断预留一定空间。

......

现在征订全年刊（第11-14期），即可免费获得第10期1本！