2022年6月23日，网络安全审查办公室约谈同方知网（北京）技术有限公司负责人，宣布对知网启动网络安全审查。

本文以此次网络安全审查为背景，结合《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《网络安全审查办法》等法律、行政法规、部门规章的规定，简要总结网络安全审查的相关要点，供读者参考。

一

哪些当事人需要进行网络安全审查？

Career In Business

以下两类当事人需要进行网络安全审查：

1

关键信息基础设施运营者采购网络产品和服务，影响或者可能影响国家安全的；

2

网络平台运营者开展数据处理活动，影响或者可能影响国家安全的。

其中，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

根据上述规定来看，知网属于上述的网络平台运营者，其掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据，以及重大项目、重要科技成果及关键技术动态等敏感信息，对这些重要数据、敏感信息进行处理可能影响国家安全，需要进行网络安全审查。

二

由哪些部门开展网络安全审查？

Career In Business

网络安全审查工作由中央网络安全和信息化委员会领导，审查工作机制成员单位包括国家网信办、国家发改委、工信部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监管总局、国家广播电视总局、证监会、国家保密局、国家密码管理局，覆盖国家经济发展的各个部门。

网络安全审查办公室设在国家网信办，负责组织网络安全审查具体工作。

三

什么情况下需要开展网络安全审查？

Career In Business

当事人可以主动申报网络安全审查，网络安全审查办公室也可以依职权开展网络安全审查。

1

对于关键信息基础设施运营者，其采购网络产品和服务时，预判该产品和服务投入使用后影响或者可能影响国家安全的，应当申报网络安全审查。

2

掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

3

网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室报中央网络安全和信息化委员会批准后进行审查。

从通告来看，此次对知网的网络安全审查即为网络安全审查办公室依职权主动进行，其直接约谈知网、向知网发送审查通知。

四

网络安全审查需要审查哪些内容？

Career In Business

当事人申报网络安全审查，应向网络安全审查办公室提交以下材料：申报书；关于影响或者可能影响国家安全的分析报告；采购文件、协议、拟签订的合同或者拟提交的IPO申请文件；其他需要的材料。

网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：

1

产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；

2

产品和服务供应中断对关键信息基础设施业务连续性的危害；

3

产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

4

产品和服务提供者遵守中国法律、行政法规、部门规章情况；

5

核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；

6

上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；

7

其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

五

开展网络安全审查需要经过哪些程序？

Career In Business

1

网络安全审查办公室自向当事人发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见；情况复杂的，可以延长15个工作日。

2

网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

3

网络安全审查工作机制成员单位、相关部门意见一致的，网络安全审查办公室以书面形式将审查结论通知当事人；意见不一致的，按照特别审查程序处理，并通知当事人。

4

按照特别审查程序处理的，网络安全审查办公室应当听取相关单位和部门意见，进行深入分析评估后再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关部门意见，报中央网络安全和信息化委员会批准后，形成审查结论并书面通知当事人。

六

开展网络安全审查需要多长时间？

Career In Business

从上述网络安全审查的程序可以看出，如果不需要经过特别审查程序，一般审查经45个工作日即可将审查结论通知当事人；情况复杂的，可以延长15个工作日，即60个工作日。

如果需要经过特别审查程序的，特别审查程序一般应在90个工作日内完成，即在一般审查的45（60）个工作日基础上增加90个工作日；情况复杂的，特别审查程序的用时还可以延长。

另外，网络安全审查办公室要求提供补充材料的，提交补充材料的时间不计入审查时间。

七

未通过网络安全审查须承担什么样的法律责任？

Career In Business

关键信息基础设施的运营者使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

开展数据处理活动的组织、个人不履行数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

违反规定向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

从事数据交易中介服务的机构未履行要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录的义务的，由有关主管部门责令改正，没收违法所得，处违法所得一倍以上十倍以下罚款，没有违法所得或者违法所得不足十万元的，处十万元以上一百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

拒不配合公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要进行数据调取的，由有关主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

未经主管机关批准向外国司法或者执法机构提供数据的，由有关主管部门给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；造成严重后果的，处一百万元以上五百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。

除了上述行政处罚外，给他人造成损害的，依法承担民事责任；构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

（本文作者：盈科王俊林、石陇辉律师 来源：微信公众号 盈科北京办公室）