《网络安全审查办法》金融机构合规要点解读

《网络安全审直办法》金融机构合规要点解读

2022年1月4日，修订的《网络安全审查办法》（“《网安办法》"）正式发布并将自

2022年2月15日起施行。此前，国家互联网信息办公室（“网信办”）等部门曾于2020

年4月13日发布原《网络安全审查办法》（“原《办法》”），2021年7月16日，网信

办就《网络安全审查办法（修订草案征求意见稿）》（“《意见稿》”）公开征求意见，拟

对网络安全审查制度进行修订和补充。《意见稿》增加了2021年发布的《数据安全法》作

为其主要法律依据之一，在强化关键信息基础设施运营者（“关基运营者”）网络安全审查

要求的基础上，也将数据处理者开展影响或可能影响国家安全的数据处理活动纳入网络安全

审查范围。《网安办法》基本保留了《意见稿》提出的制度框架，同时明确了涉及的审查部

门、内部的工作机制以及若干关键问题。

一、金融机构需关注《网安办法》的原因

根据《网安办法》第二条，关基运营者和掌握超过100万用户信息赴国外上市的网络平

台运营者为网络安全审查的两类主要主体。根据《关键信息基础设施安全保护条例》，关键

信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、

国防科技工北等重要行、也和领域的，以及其他一口.遭到破坏、丧失功能或者数据泄露，可能

严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等；保护工作部门应根

据认定规则组织认定本行业、本领域的关基并及时将认定结果通知运营者。因此，对于已经

被认定的金融机构关基运营者应当关注《网安办法》的要求。目前中国银行已经根据《网络

安全法》、原《网安办法》制定了《中国银行网络安全审查工作管理办法》。

金融机构也可能成为被规制的网络平台运营者，尽管既有的法律法规中暂时仍没有很清

晰的“网络平台运营者”的定义和范围，但相关规定中有许多近似的定义，如《网络数据安

全管理条例（征求意见稿）》中互联网平台运营者是指为用户毙供信息发布、社交、交易、

支付、视听等互联网平台服务的数据处理者：《互联网平台落实主体贡任指南（征求意见稿）》

中互联网平台/平台经营者平台经营者，是指向自然人、法人及其他市场主体提供经营场所、

交易撮合、信息发布等互联网平台服务的法人及非法人组织。通过互联网等信息网络从事销

售商品或者提供服务的自建网站经营者，可参照平台经营者适用木指南。因此对于平台的定

义不仅仅应当局限于我们认知内的电子商务平台，而应该广义的理解为包括金融机构自建的

APP、小程序或可以进行交易、支付的PC端或移动端网站。《互联网平台分类分级指南（征

求意见稿）》依据平台的连接对象和主要功能将平台分为了六大类，其中对于金融服务类平

台认定为提供连接人与资金起到融资功能的平台。结合网络数据安全管理条例（征求意见

稿）》（“《数安条例草案》"）第13条规定，汇聚掌握大量关系国家安全、经济发展、

公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安

全的，应当申报网络安全审查。尽管《网安办法》并未将该等情形列入需申报网络安全审查

的场景，最终这种情况是否会受限于网络安全审查制度的要求还有待《数安条例草案》定稿

后进•步予以明确，时于可能无法构成关其运营者的金融机构而言也可能成为网络平台运营

者从而适用本《网安办法》。

二、网络安全审查的触发情形

《网安办法》从主动申报和被动申报角度规定了以下两种网络安全审查的启动方式:

主动申报网络安全审查。关基运营者采购网络产品和服务，预判认为该行为影响或者可

能影响国家安全的，应当向网络安全审查办公室申报网络安全审查（第5条）。掌握超过

100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安

全审查（第7条）。

对于境外上市是否需要网安审查，在《数安条例草案》中对赴香港和境外上市有着更清

晰的区分及细致的规定。在《数安条例草案》中处理一百万人以上个人信息的数据处理者赴

国外上市，需主动申报进行网安审查。其中对于申报主体，不局限于网络平台运营者，而是

运用了“数据处理者一一在数据处理活动中自主决定处理目的和处理方式的个人和组织”这

一范围更广的主体。同时处理二字为法律用语，包含着“收集、存储、使用、加工、传输、

提供、公开、删除"各个环节，使得除需要经营业务需要收集信息的业务经营者外，对业务

中涉及一百万以上的个人信息的金融机构甚至可能都需要在境外上市中主动申报进行安全

审查。但《网安办法》中所用的“掌握”二字却没有明确的法律定义与之对应。对于金融机

构而言为降低合规风险，可将掌握等同于处理，在金融机构经营过程中如涉及超过100万的

个人信息，在境外上市时都需履行事先中报义务。尽管《数安条例草案》目前仅在征求意见

阶段，但在法律位阶上条例为国务院制定的行政法规而办法仅为部门规章，《数安条例草案》

中体现出的对于数据出境的细致全面的监管态势不容忽视。

被动申报，包括依职权启动及社会举报。成员单位认为影响或者可能影响国家安全的网

络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委

员会批准后，依照本办法的规定进行审查（第16条）。《网安办法》增加“中国证券监督

管理委员会”作为第13个网络安全审查工作机制成员单位，这一点与第7条所增加的赴国

外上市可能触发网络安全审查直接相关。

在2021年12月24日证监会有关负责人关于《境外上市管理规定》和《境外上市备案

办法》答记者问时，提到“为保障备案管理顺利实施，证监会将与境内有关行业和领域主管

部门建立监管协作机制，加强政策衔接、信息共享和监管协同，不会要求企业到多个部门拿

路条、跑审批，尽可能减轻企业监管负担”，以及如下的说明：

“首先，对特定行业领域主管部门以制度规则明确要求企业境外上市前履行监管程序的，

企业提交备案申请前应当取得主管部门出具的监管意见、备案或核准等文件。比如，根据《中

资商业银行行政许可事项实施办法》等规定，中资商业银行境外上市前须履行银行业主管部

门的审批程序。

其次，根据《管理规定》,证监会将牵头建立企业境外上市跨部门监管协调机制，在收

到企业备案申请材料后，主动与有关主管部门加强沟通或征求意见，以提高备案效率。同时，

证监会将配合推动有关主管部门明晰相关领域的监管制度规则，提高政策可预期性一

最后，对涉及外商投资安全审查、网络安全审查等法律法规规定范围内的企业境外上市，

在提交备案申请前，企业应当依法申报安全审查。”

证监会的备案机制适用于所有拟境外上市企业。虽然在关于《境外上市管理规定》和《境

外上市备案办法》答记者问中对网络安全审查的口径均为“按照其他法律法规”执行，但是

实践中为了避免企业完成证监会备案后甚至实质启动上市程序后，其他网络安全审查工作机

制单位因持有不同的意见而决定依职权对企业发起网络安全审查，证监会也可能会与国家网

信部门等部委建立内部协调机制，对拟境外上市的企业（特别走影响或者可能影响国家安全

的企业拟港股上市、或者是不掌握100万用户个人信息的企业拟赴国外上市）在完成证监会

备案的同时进行网络安全审查工作机制成员单位内部的讨论以及审查。

13家政府主管机关涉及到网络安全的主要方面，包括国家互联网信息办公室、国家发

展和改革委、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国

家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局和国家密

码管理局，从不同的侧面监管网络安全。企业的赴国外上市行为是否影响国家安全的审查，

除网信办外，还需要由证券监管部门针对该行为本身履行监管职能。同时，《网安办法》将

企业拟提交的首次公开募股（IP0）等上市申请文件纳入申报材料范围（第8条），赋予了

证券监管部门主动通过网络安全审查的方式对拟赴国外上市企业拟提交的IP0材料进行审

查的权利（第16条）。

三、审查流程及期限

第8条规定了运营者申报网络安全审查应提交的材料；第9、IL14条明确了整个网络

安全审查的具体流程与时长，整体上形成了由网络安全审查办公室、网络安全审查工作机制

成员单位、中央网络安全和信息化委员会构成的三级审查机制,具体审查流程详见下图：

在《网安办法》的规定下，一般情形的网络安全审查将在启动后60个工作日（45+15）

内完成，进入特别审查程序的周期则可能长达7个月（45+15+90）。此外，网络安全审查办

公室要求提交补充材料的时间不计入审查时间，实践中应对网络安全审查的实际期限将更加

漫长。

四、对金融机构的合规提示

1、已经被认定为关基运营者的金融机构在构建云计算、大数据、人工智能，形成“多

地多中心”基础设施布局时需注意在采购硬件或服务时的安全审杳义务。

2、拟赴国外上市的金融机构应将可能触发网络安全审查的期限充分考虑在商业计划的

时间表内，特别是