以下文章來源于金融科技之道 ,作者華銳研究所
2022年2月15日,《網絡安全審查辦法》(以下簡稱《辦法》)正式實施,該部門規章雖然只有23條2571字,但字少事大。在國家網絡安全體系構建方面,該《辦法》的實施可以說是一件具有重要意義的事件,開啓了國家網絡安全體系建設與資本市場的協同,也契合當前大國國家網絡安全體系建設博弈已進入的新階段。現嘗試解讀如下。
01
《辦法》背景
(一)國際環境
網絡(信息)安全是國家安全的重要組成部分。美國《1947年國家安全法案》(National Security Act of 1947)是首個針對國家安全問題而制定的法律,該法案強調了情報、檔案等對維護國家安全的重要作用;站在今天視角看,這也是美國甚至全球網絡(信息)安全立法的開始。
之後,在國家戰略、關鍵事件及技術等因素的促進下,美國等國家圍繞網絡(信息)安全不斷出台或修訂系列政策法規。比如,在美蘇冷戰期間,爲確保美國安全體系能夠應對蘇聯的各類挑戰,美國密集出台了系列法律法規,比較代表性的有:1966年發布的《信息自由法》、1974年發布的《隱私法案》、1977年發布的《聯邦計算機系統保護法案》、1984年發布的《計算機欺詐與濫用法案》、1987年發布的《計算機安全法》等等;再比如,“9.11”事件讓美國將網絡(信息)安全問題上升到新的高度,也出台了系列相關法律法規,比較代表性的有:2001年發布的《美國愛國者法案》(第215條允許美國國安局收集反恐調查涉及的包括民衆在內的任何電話通信和數據記錄以保護國家安全)、2002年發布的《國土安全法案》(第225條擴大警方監視互聯網的職權,以及從互聯網服務提供商處調查用戶數據資料的權力,從而保護國家安全)及《聯邦信息安全管理法》、2003年發布《保護網絡空間國家戰略》及《關鍵基礎設施和資産物理防護國家戰略》等等。
需要指出的是,隨著技術的演進,一方面,網絡(信息)安全在國家安全中的重要性不斷提高;另一方面,其內涵也在不斷演進,從當年的情報、檔案到計算機、信息技術,再到今天的網絡(空間)、數據等。
進入21世紀,越來越多的國家不斷將網絡安全上升到國家戰略高度,比如:英國于2011年11月出台《網絡安全戰略》,日本于2013年6月出台《網絡安全戰略》,印度于2013年5月出台《國家網絡安全策略》,德國于2015年7月出台《網絡安全法》,美國于2015年10月發布新《網絡安全法案》(《網絡安全信息共享法》、《國家網絡安全促進法》及《聯邦網絡安全人力資源評估法》等),歐盟于2016年4月出台《通用數據保護條例》(GDPR)(2018年5月25日生效)等等。
2017年以來,中美關系出現明顯轉折。圍繞中國加速崛起對美國帶來的挑戰問題,美國出台了系列更有針對性的法規,並不斷借助其資本市場優勢,制定針對性的規則來爲其所謂的美國國家安全“保駕護航”。2018年3月發布《澄清合法使用境外數據法案》(又稱《雲法案》),該法案使得美國執法機構可避開其他國家法規前提下,通過相關企業獲取各類境外數據;2018年8月發布《外國投資風險評估現代化法案》(FIRRMA),該法案大幅提高美國外商投資委員會(CFIUS)的審查權限,比如:以維護美國國家安全爲由,可多方面介入審查和阻止海外並購,要求對投資于美國技術、基礎設施、數據等有關業務進行審查等;2019年2月推出《2019年網絡安全披露法》,該法要求上市公司董事會和管理層優先考慮網絡安全,從而加強美國的國家網絡安全;2020年1月頒布《外國人士在美國的特定投資的相關規定》以全面實施FIRRMA,該規定是爲了美國能在外資對美國科技公司、擁有個人數據美國公司的收購中掌握控制權;2020年12月通過《外國公司問責法案》,該法案對在美上市外國公司提出額外的信息披露要求,並要求這些企業遵守美國上市公司會計師監督委員會(PCAOB)的審計標准,對中國企業具有較強針對性;2021年5月,美國公衆公司會計監督委員會(PCAOB)就《控股外國公司問責法》(HFCAA)有關實施細則征求意見,該法于2021年12月正式通過美國證監會(SEC)審議,這意味著主要針對中概股的監管政策,進入實質性執行階段,其要求提交的審計底稿有可能使他國上市公司承載的敏感數據流進美國;2021年6月,拜登簽署《關于保護美國人敏感數據不受外國競爭對手侵犯的行政令》,要求采取規範的決策框架和嚴格的實證分析,防範交易可能對美國國家安全和美國人民帶來的風險,包括被敵對國家管轄的人員設計、開發、制造或供應的軟件應用程序等風險。
綜上,美國正試圖通過構建國家網絡安全法規體系的過程來維系其全球領導者地位,領域不僅僅是單純的網絡空間,也在借助資本市場的優勢來達成所願。從中我們也可以看出,當前大國之間的國家網絡安全體系博弈,已進入需要資本市場加持的新階段。
在國家網絡安全體系建設上,個人認爲美國有兩大明顯優勢:一是強大的科技類公司,比如各類雲、各類平台,二是資本市場優勢。通過強大的科技類公司,美國企業可以幾乎觸達各個國家,美國政府再通過類似《雲法案》,可以實現數據霸權;通過其資本市場,美國監管可以吸引各國優秀的上市公司,再通過類似《問責法案》,美國可達到強化國家網絡安全體系的意圖。
(二)國內現狀
以下從網絡安全法規體系、資本市場法規體系、近兩年關鍵事項以及中概股及承銷保薦機構四個維度剖析。
1. 網絡安全法規體系層面。我國構建了以“3法2條”爲核心的框架,這些法律法規均與證券基金行業有關系,其核心目標是爲了進一步保障網絡安全、數據安全,維護國家安全,平衡利用境外資本市場融資發展等和維護國家安全的關系。“3法”指的是《網絡安全法》、《數據安全法》、《個人信息保護法》,“2條”指的是《關鍵信息基礎設施安全保護條例》、《網絡數據安全管理條例(征求意見稿)》,具體出台或公開征求意見時間如下:
表1:“3法2條”
資料來源:華銳金融科技研究所、《金融科技專屬內參》
此外,“3法2條”與《國家安全法》《刑法》等其他法規、部門規章、規範性文件、政策文件一起,組成了整個體系,且在不斷完善中。
圖1:我國網絡安全法規體系
資料來源:華銳金融科技研究所、《金融科技專屬內參》
2.資本市場法規體系層面。國家不斷加強服務實體經濟的力度,服務國家高質量發展戰略,提高直接融資占比;采取了諸如穩步推進資本市場雙向開發、加快推進注冊制、設立科創板、成立北交所等系列舉措,也相應出台了系列政策法規。但出發點都是爲了提高資本市場高質量發展,加速資本市場成熟度,更好地服務實體經濟角度出發。
具體政策法規方面,2021年12月之前,境外上市監管主要依據的是1994年發布實施的《國務院關于股份有限公司境外募集股份及上市的特別規定》,該規定對規範境內企業境外上市活動,支持企業有效利用外資、提高公司治理水平、促進資本市場對外開放等發揮了積極作用。
2012年12月,中國證監會公布《關于股份有限公司境外發行股票和上市申報文件及審核程序的監管指引》,不再設立境內企業赴境外上市的門檻(企業只要符合境外上市地的要求,可自主向證監會提出境外上市申請),並對申請流程進行了簡化。基于當時特定背景,有利于緩解我國資本市場融資壓力,也是特殊時期的特定需要。
2019年12月,新修訂《證券法》明確直接和間接境外上市應當符合國務院的有關規定,爲下位法做鋪墊。
2021年12月,爲促進企業利用境外資本市場規範健康發展,支持企業依法合規赴境外上市,證監會會同國務院有關部門對《國務院關于股份有限公司境外募集股份及上市的特別規定》提出了修訂建議,研究起草了《國務院關于境內企業境外發行證券和上市的管理規定(草案征求意見稿)》(簡稱《規定》),並同步起草了《境內企業境外發行證券和上市備案管理辦法(征求意見稿)》(簡稱《征求意見稿》)。《規定》第七、八、十六條與該《辦法》呼應,比如第八條“境內企業境外發行上市的,應當嚴格遵守外商投資、網絡安全、數據安全等國家安全法律法規和有關規定,切實履行國家安全保護義務。涉及安全審查的,應當依法履行相關安全審查程序”;《征求意見稿》第五條也與《辦法》相呼應;近期出台的這系列法規很明顯的特征之一是與國家安全、網絡安全、網絡安全審查等做了有效銜接。
2022年1月,中國證監會召開2022年系統工作會議,易主席強調“創造條件推動中美審計監管合作取得更大進展,加快推進企業境外上市監管制度政策落地,繼續堅定、有序支持符合條件的企業依法依規境外上市”,也即充分利用境外資本市場融資立場不變。注意,這裏用的是“境外”而非“國外”。
3.關鍵事項。
【事件1:滴滴事件】對內影響了國家的安全
2021年07月02日,網絡安全審查辦公室對“滴滴出行”啓動網絡安全審查,要求下架“滴滴企業版” App。2021年07月16日,國家互聯網信息辦公室等七部門進駐滴滴開展網絡安全審查。
圖2:監管就滴滴事件的相關通知及公告
資料來源:華銳金融科技研究所、《金融科技專屬內參》
滴滴是首個被《國家安全法》處理的企業,滴滴存在嚴重違法違規收集使用個人信息問題,以及危害國家數據安全的風險。2020版《網絡安全審查辦法》在應對滴滴等事件中發揮了重要作用。滴滴等事件,不僅促進了《辦法》的進一步修訂;疊加綜合考慮美國證監會系列政策,也對資本市場制度體系與時俱進帶來了一定影響,證監會(國務院)也于2021年底出台或修正了一些相關法規。
此外,同時期,網信辦牽頭也對 “運滿滿”、“貨車幫”、“BOSS直聘”等類滴滴網絡公司,啓動了網絡安全審查,原因同樣爲“防範國家數據安全風險,維護國家安全”,並停止了“運滿滿”、“貨車幫”、“BOSS直聘”新用戶注冊。
【事件2:瑞幸事件】對外助推了美國相關法規加速出台
2020年5月美國參議院討論《外國公司問責法》時,適逢瑞幸造假事件處于中美輿論漩渦的中心,因此美國參議院全票表決通過了《外國公司問責法》;2020年12月,美國衆議院也通過了《外國公司問責法》。
瑞幸咖啡在2020年1月份的增發招股書中披露的財務數據截止至2019年三季度,且已經承銷商和審計機構核實確認。但當時,在渾水發布了做空瑞幸咖啡的報告後,瑞幸咖啡的承銷商瑞士信貸、XX香港和XX國際均發布了研究報告,認爲渾水做空報告證據可信度不足,且部分指控存在毫無根據且存在重大缺陷。調查還認爲,這幾家承銷商的承銷業務和研究業務存在違反“防火牆”規定的可能性極大。
之後,雖然瑞幸咖啡同意支付1.8 億美元罰款來和解會計欺詐指控,但SEC關于整個事件的調查還在繼續,投資者的集體訴訟和美國司法部針對瑞幸公司高管的調查均仍在繼續,可能耗時數年。
圖3:瑞幸咖啡投資者集體訴訟後續重要時間節點
資料來源:華銳金融科技研究所、《金融科技專屬內參》
4.中概股及承銷保薦情況
自1994年政策以來,在美上市的中概股企業累計數量已近300家,其中約半數爲網絡平台運營者,但承銷商基本是美國幾大投行巨頭。
表2:美國市場境外公司上市情況一覽表
資料來源:華銳金融科技研究所、《金融科技專屬內參》
表3:2021年中概股IPO承銷商排行榜
資料來源:Wind、華銳金融科技研究所、《金融科技專屬內參》
此外,根據2022年2月數據,美國上市的中概股市值約1.38萬億美元,約是A股總市值的10%。
表4:中概股市值與A股市值對比(2022.2)
資料來源:Wind、華銳金融科技研究所、《金融科技專屬內參》
02
整體解讀《辦法》
網絡安全審查不是中國獨創,也不是中國在追隨美國,更不是針對個別國家,只是爲了在全球大國網絡安全博弈中處于公平地位。其他國家地區比如歐盟于2019年3月也出台《歐盟外商直接投資審查條例》,《條例》從關鍵基礎設施、關鍵技術、關鍵供應、敏感信息等方面,審查非歐盟投資對歐盟成員國國家安全和公共秩序的風險。一是保障成員國國家安全或公共秩序;二是爲了應對美國等奉行的貿易保護主義和單邊主義,加上新興市場國家兼並了核心成員國的關基和關鍵技術。
《辦法》牽頭單位是網信辦,其成立于2011年5月,2014年8月,國務院下發通知,授權網信辦負責互聯網信息內容管理工作;此外,從2018年3月國務院下發《國務院關于機構設置的通知》看,網信辦與中央網絡安全和信息化委員會辦公室屬于“五、國務院辦事機構”,列入中共中央直屬機構序列。主要監管國家網絡安全、信息化等領域,有監管執法權。網信辦牽頭出台的很多法規橫切衆多行業,也需要證券基金期貨行業予以高度重視。
從圖1可見,《辦法》屬于法規體系的部門規章層級,以“3法2條”爲主要上位法。在作者上年《金融科技內參8月刊》解讀《關鍵信息基礎設施安全保護條例》時,曾簡單分析過,其將影響《辦法》的後期再修訂。此外,《辦法》可以認爲是2017年正式實施《網絡産品和服務安全審查辦法(試行)》升級版本的再升級。
表5:上位法對網絡安全審查的關鍵要求條款
資料來源:華銳金融科技研究所、《金融科技專屬內參》
從《辦法》聯合發布單位看,由2020版的12家變成13家,增加證監會,並作爲網絡安全審查工作機制成員單位。當然,這不是簡單得多增加一個單位問題。一方面,因爲當前很多突出問題與境外上市(規則)有關,涉及投行(即便當前,美國還沒有批給任何一家境內法人主體承銷保薦資質,但畢竟還有境外子公司)、可能的跨國證監會合作及公平對等等,所以明確增加證監會是很有必要的;另一方面,也體現了資本市場在強化國家網絡安全不可或缺的重要措施,需要協同。
總之,隨著美國等不斷強化對網絡平台的監管,我國對網絡平台運營者的監管要求也將從“審慎包容”切換到“強監管”,以尋求在構建國家網絡安全層面大國競爭的對等。
03
關鍵條款解讀《辦法》
(一)關鍵定義
【網絡安全 VS 信息安全】
在之前解讀12號公告時曾解釋過“網絡安全”、“信息安全”兩個概念的區別,在這裏再做解釋。“信息安全”一詞來自1995年英國發布的《信息安全管理實施細則》,2000年,ISO在其基礎上修訂ISO17799,將“信息安全”定義爲 “對信息保密性、完整性和可用性的保護”;“網絡安全”不是計算機術語中的“Network Security”,而是“CyberSecurity”,也即網絡空間安全的簡稱,它的範圍要廣得多,不僅包括信息安全、網絡安全等等。我國《網絡安全法》對應的翻譯就是“《CyberSecurity Law of the People’s Republic of China》”。
所以,行業46號公告中的“信息安全事件”也在2021年新發布的12號公告中改爲“網絡安全事件”。
【網絡定義】
是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。
網絡空間在這個時代對國家政治、經濟等方面的影響不斷增大,很容易威脅到社會公共利益及國家安全。
【國家安全】
是指國家政權、主權、統一和領土完整、人民福祉、經濟社會可持續發展和國家其他重大利益相對處于沒有危險和不受內外威脅的狀態,以及保障持續安全狀態的能力。
【網絡安全】
是指通過采取必要措施,防範對網絡的攻擊、侵入、幹擾、破壞和非法使用以及意外事故,使網絡處于穩定可靠運行的狀態,以及保障網絡數據的完整性、保密性、可用性的能力。
【數據安全】
是指通過采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。
在當前數字化轉型、數字經濟時代,數據安全越發重要。
【網絡産品和服務】
範圍很廣且是開放的範疇,不是常規的網絡概念,主要指核心網絡設備、重要通信産品、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、雲計算服務,以及其他對關鍵信息基礎設施安全、網絡安全和數據安全有重要影響的網絡産品和服務。請注意,這並非特定産品或服務,包括相關生態鏈。
(二)主要審查對象
1.關鍵信息基礎設施運營者
這個詞是國際通用術語,美國、新加坡等其他國家也都在用,也是爲了便于保持各個國家就一個事情的語系一致性。根據《關鍵信息基礎設施安全保護條例》,關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。
當前,雖然證監會(央行)還沒有在明確法規條文公開定義“關鍵信息基礎設施”,但結合上面定義,部分核心機構及頭部經營機構的交易等核心業務系統應該屬于這個範疇。
2.網絡平台運營者
這裏沒有用網絡公司,而是用了網絡平台運營者,概念更爲廣泛。數據處理活動包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。根據上述美國上市要求,擬海外上市互聯網公司面臨的重大問題往往與傳輸、提供、公開三個環節有關。
第七條是《辦法》自上一版本增加而非修改的唯一單獨條,強化了對擬國外上市的網絡平台運營者的基本要求,也即掌握超過100萬用戶個人信息的網絡平台運營者,赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。100萬客戶的基線涉及範圍很廣,不再僅僅是騰訊、阿裏、滴滴等巨頭,按照當前市場環境,擬上市的互聯網類企業基本都涉及這條;此外,互聯網類或以互聯網爲基礎的公司發展非常迅速,所以符合《辦法》網絡平台的範疇在動態變化,比如隨著基金投顧試點鋪開,新興起的第三方基金投顧平台等。以資本市場經營機構爲例(雖然這些企業一般不會美國上市):
表6:部分頭部基金公司客戶數
資料來源:Wind、華銳金融科技研究所、《金融科技專屬內參》
表7:部分頭部證券公司客戶數(2020年年報)
資料來源:證券公司年報、華銳金融科技研究所、《金融科技專屬內參》
此外,網絡平台運營者與關基運營者也可能是重疊的。
(三)赴國外上市企業網絡安全審查流程
網絡安全審查辦公室設在國家互聯網信息辦公室,具體工作委托中國網絡安全審查技術與認證中心承擔。中國網絡安全審查技術與認證中心在網絡安全審查辦公室的指導下,承擔接收申報材料、對申報材料進行形式審查等任務。中國網絡安全審查技術與認證中心設立網絡安全審查咨詢窗口(咨詢電話:010-65994415 咨詢郵箱:[email protected]聯系地址:北京市朝陽區朝外大街甲10號中認大廈)。
圖4:赴國外上市企業網絡安全審查流程
資料來源:華銳金融科技研究所、《金融科技專屬內參》
這裏要強調的是“繼續赴國外上市程序”,需要履行證監會出台的相關政策法規要求,比如備案等,不能再直接繞開中國證監會。
(四)新增關鍵條及內容解讀——海外上市
一方面,國內優質上市企業是各國資本市場競爭的重要資源;另一方面,在境外成熟資本市場上市,有利于企業有效利用外資、提高公司治理水平、促進資本市場對外開放;是互惠互利的。所以國外或至少境外上市是國家堅定持續的大事。
第七條 掌握超過100萬用戶個人信息的網絡平台運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。
第八條 當事人申報網絡安全審查,應當提交以下材料:
(一)申報書;
(二)關于影響或者可能影響國家安全的分析報告;
(三)采購文件、協議、擬簽訂的合同或者擬提交的首次公開募股(IPO)等上市申請文件;
(四)網絡安全審查工作需要的其他材料。
第七條爲新增的重要條款,吸收了滴滴等事件經驗。對于網絡平台,100萬用戶門檻是很低的,基本成熟網絡公司都囊括,也可以理解對互聯網行業(平台、運營者)的強管理。此外,這裏用了“國外”而非“境外”,所以去香港上市,赴港上市不必主動申報審查,但仍然要落實我國數據出境安全管理規定;網絡安全審查機制成員單位認爲赴港上市影響或可能影響國家安全的,可以由國家網絡安全審查辦公室報請中央網信委批准後進行審查。
綜上,可推出兩個結論:一是互聯網公司紅利不再像幾年前,這是整個趨勢決定的;二是赴美上市流程增加,整體收緊,利好港交所。
爲了中概股回歸提供緩沖墊,港交所優化了海外發行人上市制度,放寬了第二上市門檻。
表8:關鍵條款修訂
資料來源:華銳金融科技研究所、《金融科技專屬內參》
針對已經在港第二上市的公司,如遇海外摘牌,也可以更寬松的條件變更在港上市地位。被摘牌公司自動獲得12個月寬限期,寬限期結束後可轉用《香港財務報告准則》或《國際財務報告准則》編寫財務報表。非自願海外摘牌的公司在向香港作爲主要發行地的過渡時期仍可持續交易,並自除牌通知當日起三年內獲豁免符合《上市規則》條文。若海外發行人預計難以遵守特定《上市規則》條文(例如沒有充足的准備時間以符合除牌時間表),則聯交所只要認爲合理,可就個別情況給予寬限期,豁免發行人遵守特定的《上市規則》條文。
美國SEC加強中概股審查、《外國公司問責法》生效後對于審計底稿要求趨嚴的背景下,不排除一些中概股公司後續面臨主動或者被動從美國退市的風險,而港交所的新規爲中概股提供了安全緩沖墊。優化制度後,香港將持續吸引海外優質企業與中資公司赴港主要上市或第二上市。預計未來轉移上市地點的中概股數量將越來越多。
(五)網絡安全審查重點評估
第十條 網絡安全審查重點評估相關對象或者情形的以下國家安全風險因素:
(一)産品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受幹擾或者破壞的風險;
(二)産品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
(三)産品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因爲政治、外交、貿易等因素導致供應中斷的風險;
(四)産品和服務提供者遵守中國法律、行政法規、部門規章情況;
(五)核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險;
(六)上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網絡信息安全風險;
(七)其他可能危害關鍵信息基礎設施安全、網絡安全和數據安全的因素。
對 “安全可信的網絡産品和服務”的理解:中美關系大背景下“自主可控”“解決卡脖子問題”是大趨勢,當前信創、國産化(之前)目錄可以重點參考,當然這些目錄當前涉密;另一方面,也不代表全部使用國産的,否則就變成鼓勵自我了。證監會、央行後續也會制定本行業預判指南,涉及具體操作層面,值得期待。同時,呼應並落實了《數據安全法》,第31條規定“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和産生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和産生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定”還有《網絡安全法》,第37條規定“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和産生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。”
針對數據處理活動,與第三方合作,但凡涉及業務及客戶數據出司行爲,都要高度警惕,做好合規及安全評估,以及對國家利益可能的威脅。(近兩年,有經營機構因此被處罰過)
此外,《辦法》不是爲了驅除國外産品和服務,甚至國外特定企業。(這是商務部牽頭法規體系範疇事宜)
(六)其他事宜
以下來自中國網絡安全審查技術與認證中心專家的要點解答,供參考:
一是由于網絡安全審查涉及到國家安全,目前沒有公開的實施細則和技術標准;二是網絡安全審查工作不向提交申報的關鍵信息基礎設施運營者收取費用;三是網絡安全審查是一次性工作,不會針對同一采購活動重複審查,且不對審查結論設置上訴機制;四是審查完成後,會持續監督關鍵信息基礎設施運營者履行承諾情況和執行審查結論情況。
(七)網絡安全審查相關處罰依據
依據1:根據《網絡安全法》第六十五條,關鍵信息基礎設施的運營者違反本法第三十五條規定,使用未經安全審查或者安全審查未通過的網絡産品或者服務的,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
依據2:根據《數據安全法》第三十一條,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和産生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和産生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。第四十六條,違反本法第三十一條規定,向境外提供重要數據的,由有關主管部門責令改正,給予警告,可以並處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;情節嚴重的,處一百萬元以上一千萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。
依據3:根據《關鍵信息基礎設施安全保護條例》第十九條,運營者應當優先采購安全可信的網絡産品和服務;采購網絡産品和服務可能影響國家安全的,應當按照國家網絡安全規定通過安全審查。第四十一條,運營者采購可能影響國家安全的網絡産品和服務,未按照國家網絡安全規定進行安全審查的,由國家網信部門等有關主管部門依據職責責令改正,處采購金額1倍以上10倍以下罰款,對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。
若觸犯刑法的,按照《刑法》 285-287條等條款執行。
最後,用一句話總結該法規意義:當前大國之間的國家網絡安全體系博弈,已進入需要資本市場加持的新階段。
作者:華銳金融科技研究所
曹 雷