2022年6月23日，網絡安全審查辦公室約談某知名學術期刊數據庫負責人，宣布對其啟動網絡安全審查。至此，由網絡安全審查辦公室依職權啟動網絡安全審查的情形在實踐中也已得到落實。結合2022年2月開始實施的《網絡安全審查辦法》（簡稱“《審查辦法》”）等法律法規，以及自2021年以來報導的網絡安全審查案例，我們認為關鍵信息基礎設施運營者（也即CIIO）、掌握大量個人信息的企業、掌握重要數據及核心數據的企業以及掌握敏感信息的企業是易觸發網絡安全審查的重點對象。

（一）關鍵信息基礎設施運營者

關鍵信息基礎設施運營者是《審查辦法》明確規定的重點審查對象之一，也是《審查辦法》第二條規定的“當事人”之一?！秾彶檗k法》開篇，即在第一條指出辦法修訂的目的之一即是“為了確保關鍵信息基礎設施供應鏈安全”，而《關鍵信息基礎設施安全保護條例》（簡稱“《保護條例》”）則是《審查辦法》的制定依據之一。同時，《審查辦法》第二條和第五條均明確地指出了關鍵信息基礎設施運營者采購網絡產品和服務，影響或者可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查。實際上，通過我們在本系列的第一篇文章中對“網絡安全審查制度演進”的概述即可發現，自2017年生效實施的《網絡安全法》以來，關鍵信息基礎設施運營者即為關注重點，在此后的《關鍵信息基礎設施安全保護條例》與《審查辦法》，均重申并細化了《網絡安全法》的該條規定。由此可見，關鍵信息基礎設施運營者是易觸發被要求進行審查的重要對象。

目前，根據《保護條例》第八條至第十條的規定可知，重要行業和領域（如公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等）的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門（“保護工作部門”），保護工作部門應當制定本行業、本領域關鍵信息基礎設施的認定規則，根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施，及時將認定結果通知運營者，并通報國務院公安部門。換言之，在目前的制度下，關鍵信息基礎設施運營者是由有關監管部門認定并通知的，而非企業自主判斷并認定的。而在實踐中，哪些主體會被認定為關鍵信息基礎設施主管部門一般是不對社會公開發布的，只有被通知的運營者自身了解詳情。故我們在此建議，一方面，《保護條例》提及的公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等行業領域的從業者應具有高度警覺，關注本領域保護工作部門的最新監管動態。另一方面，對于《保護條例》雖未提及但同樣關系到國家安全、國計民生、公共利益的重點行業及領域企業而言，其應針對本行業/領域的重點安全問題做出提前分析，必要時應會同行業專家共同預判監管走向；同時，企業應時刻關注本行業/領域及類似行業/領域的最新通知，以便進一步調整自身的行動方案?？傊?，關鍵信息基礎設施運營者應當高度關注自身的網絡安全責任義務，并依照《審查辦法》在采購網絡產品和服務前預判該產品和服務投入使用后可能帶來的國家安全風險，對于影響或者可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查。

（二）掌握大量個人信息的企業

目前，《審查辦法》以及2021年發布的《網絡數據安全管理條例（征求意見稿）》（簡稱“《網數條例（征求意見稿）》”）均提及了網絡安全審查中的個人信息數量條件。但二者的表述存在區別，《網數條例（征求意見稿）》規定“處理一百萬人以上個人信息的數據處理者赴國外上市的”應當申報網絡安全審查，而《審查辦法》第七條則規定“掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。”在此我們認為：一方面應當注意雖然兩部文件均在上市的語境下談論觸發網絡安全審查的個人信息數量這一條件，但從網絡安全審查的制度目標與實際運作看，企業應當將其處理的個人信息主體的數量作為衡量自身是否容易觸發網絡安全審查的影響因素之一，而非僅在上市的語境下關注“一百萬”的個人信息數量標準。另一方面，相較于《網數條例（征求意見稿）》所述的“處理”，《審查辦法》使用了“掌握”一詞，雖然“處理”延續了《數據安全法》及《個人信息保護法》的用詞，但“掌握”則更為泛化地描述企業對個人信息的持有狀態，而其外延更具有延展性和包容度，在監管趨嚴的當下，“掌握”也更能達到對企業真實控制個人信息的實際狀態進行定義的目的。因此，對于在實踐中掌握大量個人信息（如達到一百萬及以上個人信息主體數量）的企業，應當注意其可能成為觸發網絡安全審查的主體。

在實踐中，對于直接面向個人用戶端（To C）的企業，或是間接收集并使用或存儲（如云服務企業、SaaS技術服務提供方）個人用戶信息的企業而言，通過全面的個人信息數據梳理即可判斷自身掌握個人信息的大致數量，例如直接為個人消費者提供服務的電子商務平臺、為個人用戶提供服務的即時通信類平臺等。但對于面向企業端（To B）提供服務的企業而言，則在判斷其實際掌握的個人信息方面存在較大的難度與不確定性。我們在《赴美上市中概股企業的網絡安全審查應對》中曾分析認為，雖然B端用戶的個人信息通常是B端最終用戶提供的，但也由網絡平臺運營者“掌握”，因此需要計入100萬的范圍。在此，我們建議此類企業也通過對自身情況進行梳理，將不同來源的數據和數據類型進行分類，最大程度明確自身所掌握的個人信息數量，并通過隱私政策等披露處理（或掌握）個人信息的情況，采取有效措施落實個人信息保護的合規。此外，若相關企業主體雖不掌握大量個人信息，但卻掌握一定數量的敏感個人信息的，相關企業主體也應當引起高度重視并嚴格落實網絡安全、數據安全與個人信息保護的合規義務。例如，雖然整體數量在100萬以下，但卻掌握著個人生物識別信息（如面部識別信息、指紋聲紋、遺傳信息）的醫藥科技企業或人工智能企業；又如掌握著政府部門或軍事國防區域等涉密或敏感地區人員的行蹤軌跡、地理位置信息的企業。

（三）掌握重要數據及核心數據的企業

雖然《審查辦法》并未直接規定涉及重要數據的企業應當主動申報網絡安全審查，但《網絡安全法》《審查辦法》以及《網數條例（征求意見稿）》均明確規定了“影響或者可能影響國家安全”是觸發網絡安全審查的根本原因。誕生自《國家安全法》下“國家安全審查制度”的網絡安全審查，其制度定位即為實現對網絡信息及數據領域“影響或者可能影響國家安全”的技術/服務/行為的監督管理。同時，根據《網數條例（征求意見稿）》，重要數據是指“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據。”因此，對于掌握著重要數據的企業而言，不能忽視其重要數據處理行為“影響或者可能影響國家安全”的性質，以及因此存在的觸發網絡安全審查的可能性。

根據《數據安全法》的規定，我國實施重要數據目錄制度，即各地區、各部門應當按照數據分類分級保護的保護要求，確定并編制本地區、本部門以及相關行業、領域的重要數據具體目錄。目前，還未見有關部門向社會公布制定完成本地區或行業領域的重要數據目錄。但《網數條例（征求意見稿）》則概括性地列出了七類重要數據類型[1]，應當引起企業主體的關注。同時，已經有部分行業的主管部門通過發布部門規章的形式細化了本領域重要數據的類型。例如，《汽車數據安全管理若干規定（試行）》（簡稱“《汽車規定》”）明確了本領域的重要數據類型，[2]其中之一即為“重要敏感區域的地理信息、人員流量、車輛流量等數據”，因此對于提供用車租車類服務的企業主體而言，其可能掌握并實際處理著重要數據；又如“包含人臉信息、車牌信息等的車外視頻、圖像數據”也為《汽車規定》項下的重要數據類型，因而車企等相關汽車數據處理者或軟件服務提供商也可能涉及對重要數據的處理。此外，雖然暫時沒有官方發布的重要數據目錄作為參考依據，但2022年1月，全國信息安全標準化技術委員會（以下簡稱“信安標委”）發布的《信息安全技術重要數據識別指南（征求意見稿）》規定了重要數據識別時應考量的基本原則和因素，同時也提出了識別重要數據時可采取的描述格式，因而其可成為企業主體自行主動識別重要數據的有力參考。

對于核心數據而言，《數據安全法》與《網數條例（征求意見稿）》均明確其關系到“國家安全、國民經濟命脈、重要民生、重大公共利益”，實行比照重要數據更為嚴格的管理制度。因此我們理解，掌握并處理核心數據的企業也極易因自身行為“影響或者可能影響國家安全”而觸發網絡安全審查。2022年2月發布的《工業和信息化領域數據安全管理辦法（試行）（征求意見稿）》提出了工業和信息化領域的核心數據的判斷標準，但目前，同重要數據目錄一樣，核心數據的范圍或目錄也暫未公布。

（四）掌握敏感信息的企業

在6月23日網絡安全審查辦公室發布的對某知名學術期刊數據庫啟動網絡安全審查的公告中，提及了該企業掌握著大量“重大項目、重要科技成果及關鍵技術動態等敏感信息”。據此可知，掌握大量“敏感信息”的企業也可成為觸發網絡安全審查的主體。目前，暫無法律法規對“敏感信息”的定義或范圍作出規定，但根據網絡安全審查辦公室的公告，我們認為該等“敏感信息”包括了比較關鍵與重要的科技成果及相關研究數據，其中也可能涉及包括國家秘密的科學技術信息。對此，可參考國務院于2018年發布的《科學數據管理辦法》，其規定的科學數據主要包括在自然科學、工程技術科學等領域，通過基礎研究、應用研究、試驗開發等產生的數據，以及通過觀測監測、考察調查、檢驗檢測等方式取得并用于科學研究活動的原始數據及其衍生數據。該辦法同時對科學數據的采集、匯交、保存、共享、利用、保密及安全保護等作出了規定，并明確不得利用科學數據從事危害國家安全的活動。而有關數據也可能構成《保守國家秘密法》第九條規定的“科學技術中的秘密事項”。根據全國信息安全技術標準化技術委員會于2022年發布的《信息安全技術 重要數據識別指南（征求意見稿）》可知，重要數據不包括“國家秘密”；而《網數條例（征求意見稿）》則將“工作秘密”規定為重要數據。因此，目前由于沒有清晰的定義，“敏感信息”存在邊界尚不清晰的情況，其可能會與重要數據有所重合，故而企業需要特別留心。目前，雖然網絡安全審查辦公室啟動網絡安全審查所涉及“敏感信息”的具體所指為何還有待進一步觀察，但掌握上述科學數據與國家秘密的企業也應當高度重視自身的數據處理行為以及對這類數據的保護手段和合規措施，以避免觸發網絡安全審查。

二、預防觸發網絡安全審查的事先自評估

目前，在《審查辦法》的網絡安全審查體系下，關鍵信息基礎設施運營者應當對其采購網絡產品和服務的情況進行安全評估并預判是否涉及影響國家安全的風險。此外，不同業務類型的企業也應當提前判斷和評估自己當前的業務運營情況與數據處理活動是否涉及本領域“影響或者可能影響國家安全”的因素。如果經評估，上述任何一條有可能涉及“影響或者可能影響國家安全”的，則相關企業不但需要向網絡安全審查辦公室申報網絡安全審查，還需要考慮終止采購或者與該網絡產品/服務供應商停止合作、調整業務運營模式、立即修正數據處理活動并實施相關補救措施以消除影響或者危害。

（一）關鍵信息基礎設施運營者的預判義務

《審查辦法》第五條規定，關鍵信息基礎設施運營者采購網絡產品和服務的，應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查。對此，我們理解關鍵信息基礎設施運營者對于其采購的網絡產品和服務的國家安全風險，負有法定的預判義務，如果未履行此義務而導致應當申報網絡安全審查而未申報的，則將面臨《網絡安全法》下責令停用和高額罰金的處罰措施。同時根據《審查辦法》的定義，網絡產品和服務主要指核心網絡設備、重要通信產品、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全、網絡安全和數據安全有重要影響的網絡產品和服務。而關鍵信息基礎設施安全保護工作部門負責制定本行業、本領域預判指南，故關鍵信息基礎設施運營者應當對本領域保護工作部門的預判指南保持高度關注。在目前實踐中，有關保護工作部門暫未公布相關領域及行業的預判指南。對于關鍵信息基礎設施運營者而言，可以關注中國網絡安全審查技術與認證中心（CCRC）負責的“網絡關鍵設備和網絡安全專用產品安全認證”。該認證是依據《網絡安全法》第二十三條的規定，對網絡關鍵設備和網絡安全專用產品依據國家標準強制性要求開展的安全認證。2022年4月28日，國家互聯網信息辦公室（簡稱“網信辦”）曾發布了最新的網絡關鍵設備和網絡安全專用產品安全認證和安全檢測結果。關鍵信息基礎設施運營者可持續關注CCRC對該類設備及產品認證目錄的發布，以及暫停、撤銷、注銷認證的最新公告，同時也應當加強同本領域保護工作部門及CCRC的溝通，切實落實自身的預判義務。

此外，根據《審查辦法》第十六條的規定，有關單位可依職權啟動網絡安全審查。而關鍵信息基礎設施運營者作為“影響或者可能影響國家安全”的重要數據處理主體，也應當高度重視落實自身網絡安全、數據安全與個人信息保護的合規義務，以避免觸發由政府部門依職權采取的網絡安全審查。為此，關鍵信息基礎設施運營者在落實《保護條例》等法律法規下的法定義務的同時，也可參考公安部信息安全等級保護評估中心發布的“關鍵信息基礎設施安全保護標準體系解析”，結合其中涉及的各類安全標準體系開展自查與評估工作。

（二）不同業務類型企業主體的事先評估工作

對于開展不同業務類型的企業主體而言，應當圍繞作為網絡安全審查內核的“影響或者可能影響國家安全”，結合本行業領域的監管重點提前評估自身的產品和業務。我們挑選幾類典型企業予以簡要分析。

1. App運營者

對于App運營者而言，最應當關注的重點即為用戶個人信息保護問題。2021年網絡安全審查辦公室宣布對某網絡約車類企業實施網絡安全審查后即對其各系列App以“嚴重違法違規收集使用個人信息問題”為由要求其在應用商店下架。因此，各類型App運營者均應當注意自身App對用戶個人信息的保護。除應當關注《個人信息保護法》及《個人信息安全規范（GB/T 35273-2020）》等規范性文件要求的個人信息保護重點合規義務外，還應當注意有關信息內容監管的最新動態。例如，2022年6月27日發布，并將于2022年8月1日正式實施的《互聯網用戶賬號信息管理規定》明確了互聯網信息服務提供者應當履行互聯網用戶賬號信息管理主體責任，保證信息內容安全；對于存在較大網絡信息安全風險的，省級以上網信部門可以要求其采取暫停信息更新、用戶賬號注冊或者其他相關服務等措施。又如，網信辦于6月17日發布的《互聯網跟帖評論服務管理規定（修訂草案征求意見稿）》明確了跟帖評論服務提供者應落實安全管理主體責任，避免發生安全風險或安全事件。

同時，App運營者也應當關注監管部門的監管動態，對于專項整治或處罰通報予以足夠重視。例如，工信部定期組織第三方檢測機構對App進行檢查，對于存在問題且未整改的App予以通報；又如，網信辦于2022年開展的“清朗”系列專項行動，將對“網絡直播、信息內容亂象、網絡謠言、未成年網絡環境、信息服務亂象、網絡傳播秩序、算法綜合治理、春節網絡環境、流量造假、賬號造假”[3]等諸領域問題展開整治，相關主體也應注意落實2020年開始實施的《網絡信息內容生態治理規定》的相關要求。此外，網信辦于近期發布的《移動互聯網應用程序信息服務管理規定》從“應用程序信息服務”的視角，對移動互聯網應用程序提供者及移動互聯網應用程序分發平臺兩大類App做出規制，這應當引起App運營者的關注。（具體可參見【環球合規與風控 | 《移動互聯網應用程序信息服務管理規定》合規要點解讀】）

最后，我們認為基于近年來陸續出臺的法律法規、相關標準文件以及監管部門的態度，應當將“小程序”作為App的類型之一予以看待，并參照App的合規標準落實小程序的合規，以避免因小程序的安全與合規問題，而使得有關企業主體遭到監管處罰并帶來更嚴重的后果。

2. AI企業/IoT企業

對于人工智能企業及物聯網而言，其可能因業務需要，如算法訓練等，涉及掌握并處理大量用戶個人信息，甚至用戶的“敏感個人信息”或“個人生物識別信息”。對于該類企業，一方面應保障產品功能和服務對數據的有效管理，提升安全性以保護用戶隱私及敏感個人信息；另一方面，也需合規存儲和管理收集的用戶信息，充分保護用戶的人臉、語音等生物識別信息。同時，應盡量避免該等敏感個人信息的境外存儲或大量個人信息的出境（包括物理出境與境外訪問），以確保對用戶個人信息安全及國家安全的雙重保護。此外，《互聯網信息服務算法推薦管理規定》要求算法推薦服務提供者應當落實算法安全主體責任，包括建立安全評估監測、安全事件應急處置等管理制度和技術措施。算法推薦服務提供者應當加強信息安全管理，建立健全用于識別違法和不良信息的特征庫，完善入庫標準、規則和程序。發現未作顯著標識的算法生成合成信息的，應當作出顯著標識后，方可繼續傳輸。例如，應當杜絕非法利用算法進行“深度偽造”（Deepfake）或類似技術實施影響或者可能影響國家安全的行為。

3. 大數據企業

對于開展大數據業務的企業，由于其本身的業務類型即要求其處理多類型的大量數據，因而其更應當重視自身業務的綜合合規，避免影響或者可能影響國家安全的行為或交易。對于大數據企業而言，若涉及到各類型數據的采買，則應當對來源和合法性有所確認，對涉嫌通過違法犯罪而獲取的數據劃定紅線。此外，我們提醒大數據企業注意以下三點：第一，應全面禁止使用網絡爬蟲等侵犯個人信息和數據安全的技術獲取數據；尤其應當避免侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統，或因獲取計算機信息系統中存儲、處理或者傳輸的數據，對計算機信息系統實施非法控制達到情節嚴重的情況而構成《刑法》第二百八十五條的非法侵入計算機信息系統罪以及非法獲取計算機信息系統數據、非法控制計算機信息系統罪，以及因對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行而造成后果嚴重，而構成《刑法》第二百八十六條的破壞計算機信息系統罪。第二，企業內部針對信息安全的控制制度應具備應對監管和政策變動的能力；第三，重點關注第三方合作中的供應鏈安全、采購合同等數據安全問題。

4. 銀行/互聯網金融企業

金融領域的運營主體本身面對著本領域主管部門的“強監管”，而諸如商業銀行在內的主體常因個人信息保護的不合規而面臨主管機構的高額罰金和負面的社會輿論。銀行金融類企業還應重點關注數據本地化的問題，根據《個人金融信息保護技術規范》的規定，若因業務需要，確需向境外機構提供個人金融信息的，除應符合國家法律法規及行業主管部門有關規定、獲得個人金融信息主體明示同意以及明確并監督境外機構有效履行個人金融信息保密等職責義務外，還應特別注意依據國家、行業有關部門制定的辦法與標準開展個人金融信息出境安全評估。此外，我們提醒相關主體還應注意以下三點：第一，應嚴格保障個人財產信息的保密性，嚴防個人信息泄露事件的發生；第二，依據《個人金融信息保護技術規范》等行業規范提升技術與管理水平；第三，加強網絡安全事件的事前防護和事后處置，避免因用戶個人信息泄露等網絡安全事件而引發社會負面輿論浪潮。

5. 醫療企業

醫療企業在數據方面的風險在于處理的數據的敏感性。例如，2019年發布的《人類遺傳資源管理條例》，將人類遺傳資源分為兩類：第一類是人類遺傳資源材料，包括細胞、血液這些肉眼可見的遺傳材料；另一類是人類遺傳資源信息，是指利用人類遺傳資源材料產生的數據等信息資料。對于人類遺傳資源信息概念，目前其范圍較廣，如何確保相關遺傳資源信息合規處理是企業面對的難題。此前，某知名醫療基因科技公司曾因未經許可將部分人類遺傳資源信息通過互聯網傳輸出境而遭到監管處罰。因此，對于醫療數據企業而言，應加強對各類醫療數據的保護，嚴格按照相關領域監管要求及網絡安全、數據安全與個人信息保護的合規要求處理數據，避免可能因數據安全事件或不合規處理所帶來的影響或者可能影響國家安全的問題。

三、網絡安全審查的應對舉措

在網絡安全審查日益趨嚴的背景下，企業主體應當事先完成對自身業務合規的評估及整改，以最大程度避免觸發網絡安全審查。倘若企業主體被有關部門依職權啟動網絡安全審查，則也應當積極配合有關部門的工作以盡快完成相關整改要求，最大程度減小損失。

（一）法定配合義務

《審查辦法》第十六條第二款規定，為了防范風險，當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施。據此可知，配合有關部門開展審查是觸發網絡安全審查的企業主體的法定義務，而配合的內容可概括為采取“預防措施”和“消減風險的措施”。同時，《審查辦法》第十條規定了網絡安全審查重點評估的國家安全風險因素，此條既可理解為企業主動申報網絡安全審查后網絡安全審查辦公室決定是否啟動相關審查的依據，也可理解為對已經被開展網絡安全審查的企業的審查要點。對于非關鍵信息基礎設施運營者的企業主體而言，審查要點即包括：產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；產品和服務提供者遵守中國法律、行政法規、部門規章情況；核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險。此外，關鍵信息基礎設施運營者的服務提供商的業務如可能對關鍵信息基礎設施產生危害或不利影響，則也將成為網絡安全審查辦公室的關注重點。因此，我們建議已被開展網絡安全審查的企業主體，應當結合上述規定與網絡安全審查辦公室在審查過程中提出的問題，積極采取預防措施和消除風險的措施，并持續配合監管部門完成整改。

（二）與各界展開積極溝通

除應當履行《審查辦法》第十六條第二款規定的配合義務外，企業主體對其各層級人員均應開展相關培訓以配合監管部門的問詢談話。為此，企業可在人員培訓與回復問詢方面尋求外部律師的協助。同時，在面對社會各界輿論時，外部律師也可以迅速從法律的角度起草、審閱對外的聲明、回復，最大程度幫助企業面對監管質詢和輿論危機。

（三）內部評估與差距分析

當企業實際觸發網絡安全審查后，立即啟動內部評估并形成差距分析是十分必要的。對此，企業可自行或邀請外部律師對企業產品及業務線本身所涉及的數據類型進行摸底梳理，同時快速制定方案并開展整改。同時，觸發網絡安全審查并不意味著實際產生了“影響國家安全”的危害，因此企業應在內部整改的同時關注公布的審查結果，并就官方的審查結果開展后續工作。

四、網絡安全審查結束后的持續鞏固

（一）與監管部門的持續溝通

近日，曾于2021年被啟動網絡安全審查的兩家企業在社交媒體平臺上發布消息稱，近一年來其認真配合國家網絡安全審查，嚴肅對待審查中發現的安全問題并進行了全面的整改。經網絡安全審查辦公室同意，即日起恢復其產品的新用戶注冊。后續，該等公司將采取有效措施，切實保障平臺設施安全和大數據安全。據此可以發現，目前的實踐案例中，企業一旦被啟動網絡安全審查，時間跨度一般在一年左右，而在此期間企業將對網絡安全審查辦公室確定的問題開展整改工作，而網絡安全審查也并非根據對外公布的具體時間安排即自然結束，企業需要在整改過程中與網絡安全審查辦公室溝通并取得其同意方可正常開展業務。

我們建議，對于企業主體而言，一方面應當在審查期間積極配合整改相關工作，并有針對性地發現、整頓、解決自身業務開展過程中的問題，了解觸發網絡安全審查的原因，并就此痛點展開持續性合規工作；另一方面也可以此為契機增強與監管部門的有效溝通，對監管部門指出的自身業務問題積極反思并與監管部門形成良性溝通與反饋機制，在避免未來出現相似問題的同時，也可更加明確地了解監管的實際側重點，從而更為合規地開展業務。

（二）構建長期合規計劃

根據此前觸發網絡安全審查的案例可以發現，企業主體一旦被啟動網絡安全審查，其某些業務或產品將被按下“暫停鍵”，如App下架、暫停產品注冊新用戶等。實際上，對于企業主體而言，這是重新審視自身合規體系的搭建與落實的契機，而這對致力于長遠發展的企業而言也至關重要。

近年來，各層級規范性文件及監管要求發布極為頻繁，企業可在網絡安全審查期間梳理自身的合規體系是否全部達到最新的合規要求，或是否已逐項落實相應的合規義務而非僅“停留在紙面”。例如，企業可在此期間落實《數據安全法》《個人信息保護法》以及《網數條例（征求意見稿）》等法律法規下的培訓義務，組織開展對全體成員及數據安全相關的技術和管理人員合規培訓，培養企業在網絡安全乃至國家安全問題上的合規意識。又如，企業可針對其數據安全保護落實情況以及處理個人信息的合規情況進行合規審計，滿足法律規定的審計義務。此外，如上文所述，企業可以提請網絡產品與服務認證，同時對于數據處理活動也可以依據《數據安全管理認證實施規則》開展數據安全管理認證，且在提交認證前也可以委托專業人士進行評估和審計。

（三）杜絕觸及監管紅線

隨著我國網絡安全與數據保護的相關法律體系逐漸完善，相關的監管重點與紅線愈發明晰。例如，對于作為數據處理者的企業主體而言，數據出境應當符合我國法律法規的要求。根據《數據安全法》第三十六條、《個人信息保護法》第四十一條的規定，非經中華人民共和國主管機關批準，包括個人信息處理者在內的數據處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的各類型數據。此外，各企業主體均應警惕境外商業主體對敏感信息的購買等獲取需求，特別涉及如無線電信號、交通設施信息、軍事區域信息等相關數據。企業主體對于該類數據的出境應嚴格遵守有關數據安全的法律法規，并與網信監管部門及國家安全部門主動溝通，以避免觸犯刑事責任。例如，近期上海某信息科技公司受境外公司委托，采集并向境外傳輸大量高鐵數據，相關責任人因涉嫌《中華人民共和國刑法》第111條規定的為境外刺探、非法提供情報罪而被逮捕。因此，企業應時刻關注監管紅線，杜絕觸碰影響或者可能影響國家安全的行為。

五、總結

網絡安全審查制度誕生以來，包括企業主體、監管主體和第三方服務機構在內的社會各界均給予了足夠的關注。隨著2022年6月某知名學術期刊雜志被啟動網絡安全審查，我國的網絡安全審查制度的運行及其可能在實踐中呈現的樣態逐漸全方位地展示在公眾視野中。與此同時，網絡安全審查的觸發對象、啟動原因、審查過程與審查結束后的持續監管跟進等問題，仍有待進一步的釋明。對于企業主體而言，對監管部門的最新動態保持敏感度十分重要，但更為重要的是日常搭建并落實合規體系，了解本領域的監管尺度，并積極與有關部門展開溝通。倘若觸發網絡安全審查，企業主體也可沉著面對并積極整改，最大程度地減小損失和成本，為未來更為合規的業務發展蓄力。

注釋：

[1]《網數條例（征求意見稿）》第七十三條（三）：重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據。包括以下數據：

1.未公開的政務數據、工作秘密、情報數據和執法司法數據；

2.出口管制數據，出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據，密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據；

3.國家法律、行政法規、部門規章明確規定需要保護或者控制傳播的國家經濟運行數據、重要行業業務數據、統計數據等；

4.工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產、運行的數據，關鍵系統組件、設備供應鏈數據；

5.達到國家有關部門規定的規?；蛘呔鹊幕?、地理、礦產、氣象等人口與健康、自然資源與環境國家基礎數據；

6.國家基礎設施、關鍵信息基礎設施建設運行及其安全數據，國防設施、軍事管理區、國防科研生產單位等重要敏感區域的地理位置、安保情況等數據；

7.其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。

 [2]《汽車數據安全管理若干規定（試行）》第三條第六款：重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、組織合法權益的數據，包括：（一）軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量、車輛流量等數據；

（二）車輛流量、物流等反映經濟運行情況的數據；

（三）汽車充電網的運行數據；

（四）包含人臉信息、車牌信息等的車外視頻、圖像數據；

（五）涉及個人信息主體超過10萬人的個人信息；

（六）國家網信部門和國務院發展改革、工業和信息化、公安、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。

[3] 國新辦舉行2022年“清朗”系列專項行動新聞發布會，http://www.scio.gov.cn/xwfbh/xwbfbh/wqfbh/47673/48033/index.htm