為落實《數據安全法》等法律法規的要求，國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局等十三部門聯合修訂發布了《網絡安全審查辦法》，今日起施行。

網絡安全審查與數據安全審查是我國《網絡安全法》《數據安全法》和《關鍵信息基礎設安全保護條例》確立的兩項重要國家安全審查制度，新修訂的《網絡安全審查辦法》的核心內容，深度解析關鍵信息基礎設施運營者采購網絡產品和服務，數據處理者開展數據處理活動，影響或可能影響國家安全的風險因素，并通過對滴滴赴美上市案例的分析，闡述了網絡平臺運營者赴國外上市須申報網絡安全審查的重要性和必要性，分析了赴港上市申報網絡安全審查的條件，以及申報網絡安全審查的流程和審核期限等。

《辦法》修訂的主要內容

一、《網絡安全審查辦法》修訂的背景及法律依據

網絡安全審查制度與數據安全審查制度是《網絡安全法》、《數據安全法》和《關鍵信息基礎設施安全保護條例》確立的兩項重要國家安全審查制度。《網絡安全法》第三十五條規定：“關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。”；《數據安全法》第二十四條規定：“國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。”；《關鍵信息基礎設施安全保護條例》第十九條規定：運營者應當優先采購安全可信的網絡產品和服務；采購網絡產品和服務可能影響國家安全的，應當按照國家網絡安全規定通過安全審查。《關鍵信息基礎設施安全保護條例》第十九條在《網絡安全法》第三十五條的基礎上，增加了“運營者應當優先采購安全可信的網絡產品和服務”，強調了網絡產品和服務的供應鏈安全。

根據上述規定，《數據安全法》中的數據安全審查制度與《網絡安全法》中的網絡安全審查制度有所不同，前者的審查主要針對影響或者可能影響國家安全的數據處理活動，主要包括：數據的收集、存儲、使用、加工、傳輸、提供、公開等；后者的審查主要針對關鍵信息基礎設施運營者采購網絡產品和服務，影響或可能影響國家安全的情形。

2020年6月1日施行的《網絡安全審查辦法》（以下簡稱：原《審查辦法》）第二條提出：“關鍵信息基礎設施運營者（以下簡稱運營者）采購網絡產品和服務，影響或可能影響國家安全的，應當按照本辦法進行網絡安全審查。” 可見，原《審查辦法》中的網絡安全審查，主要是依據《網絡安全法》針對關鍵信息基礎設施運營者采購網絡產品和服務，影響或可能影響國家安全情形的安全審查制度。

隨著《數據安全法》于2021年9月1日正式實施，影響或者可能影響國家安全的數據處理活動也將面臨國家安全審查。由于原《審查辦法》只涉及了《網絡安全法》中的“網絡安全審查”制度，沒有涉及《數據安全法》中的“數據安全審查”內容。因此，有必要在原《審查辦法》的基礎上增加數據安全審查的內容。

新修訂的《網絡安全審查辦法》第一條規定：“為了確保關鍵信息基礎設施供應鏈安全，保障網絡安全和數據安全，維護國家安全，根據《中華人民共和國國家安全法》、《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《關鍵信息基礎設施安全保護條例》，制定本辦法。”

從上述立法目的看，《網絡安全審查辦法》的上位法涉及三部法律和一部國務院條例，修訂后的《網絡安全審查辦法》在《國家安全法》和《網絡安全法》的基礎上，增加了《數據安全法》和《關鍵信息基礎設施安全保護條例》，其中《數據安全法》明確提出“國家建立數據安全審查制度”；《關鍵信息基礎設施安全保護條例》要求“關鍵信息基礎設施的運營者采購網絡產品和服務可能影響國家安全的，應當按照國家網絡安全規定通過安全審查”。

這里需要說明，《網絡安全法》和《關鍵信息基礎設施安全保護條例》均要求關鍵信息基礎設施的運營者采購網絡產品和服務可能影響國家安全的，應當通過國家安全審查。但是《網絡安全法》于2017年6月1日開始實施，當時尚沒有出臺《網絡安全審查辦法》，《網絡安全法》第三十五條要求：“關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查”。《網絡安全法》實施后的三年，《網絡安全審查辦法》于2020年6月1日實施，正式確立了網絡安全審查的規則和適用。因此，2021年9月1日開始實施的《關鍵信息基礎設施安全保護條例》第十九條則規定：“采購網絡產品和服務可能影響國家安全的，應當按照國家網絡安全規定通過安全審查。“《網絡安全法》僅規定“應當通過國家網信部門會同國務院有關部門組織的國家安全審查”；《關鍵信息基礎設安全保護條例》則要求“應當按照國家網絡安全規定通過安全審查”，更強調了依網絡安全審查規則通過安全審查。

二、網絡安全審查的客體和原則

《網絡安全審查辦法》第二條規定，關鍵信息基礎設施運營者（以下簡稱運營者）采購網絡產品和服務，數據處理者（以下稱運營者）開展數據處理活動，影響或可能影響國家安全的，應當按照本辦法進行網絡安全審查。

根據上述規定，《網絡安全審查辦法》審查的客體有兩大類，一是關鍵信息基礎設施運營者采購網絡產品和服務；二是數據處理者開展數據處理活動，這兩類客體是網絡安全審查法律關系主體的權利和義務指向的對象，只要這兩類客體的行為或結果影響或可能影響國家安全的，必須依法進行國家網絡安全審查。

《網絡安全審查辦法》從關鍵信息基礎設施的運營者采購網絡產品和服務，以及數據處理者開展數據處理活動的安全性和可能帶來的國家安全風險兩大視角，確立了網絡與數據安全審查的原則。《網絡安全審查辦法》第三條明確了網絡安全審的“四個相結合”原則，一是堅持防范網絡安全風險與促進先進技術應用相結合；二是堅持過程公正透明與知識產權保護相結合；三是事前審查與持續監管相結合；四是企業承諾與社會監督相結合。

（一）堅持防范網絡安全風險與促進先進技術應用相結

網絡產品和服務的安全審查以及數據處理活動的安全審查，必須在貫徹總體國家安全觀的基礎上，堅持防范網絡安全風險與促進先進技術應用相結。在促進先進技術的應用和產業發展的基礎上防范網絡與數據安全風險，以防范網絡與數據安全風險保障先進技術的應用和產業發展。

（二）堅持過程公正透明與知識產權保護相結合

實施網絡產品、服務與數據處理活動的安全審查必須保證公正透明，其中“公正”的前提是審查過程中的“透明”，只有保證審查過程中的“透明”規則和流程，才能保障公正審查制度的落實。

同時，在實施公正透明審查的過程中，應當采取嚴格的措施保護知識產權。《網絡安全審查辦法》第十七條明確要求，參與網絡安全審查的相關機構和人員應當嚴格保護知識產權，對在審查工作中知悉的商業秘密、個人信息，當事人、產品和服務提供者提交的未公開材料，以及其他未公開信息承擔保密義務；未經信息提供方同意，不得向無關方披露或者用于審查以外的目的。

（三）堅持事前審查與持續監管相結合

網絡與數據安全審查的核心是有效預防和化解國家安全風險，因此必須堅持事前審查為基礎。同時，要持續推進事中事后監管的法治化、制度化、規范化。《網絡安全審查辦法》強化了網絡與數據安全的事前審查機制，重點事前評估相關對象，尤其是采購產品和服務可能危害關鍵信息基礎設施安全、網絡安全和數據安全的風險因素。

（四）堅持企業承諾與社會監督相結合

保障網絡安全和數據安全，維護國家安全和發展利益是關鍵信息基礎設施運營者和數據處理者的法定主體責任。因此，網絡與數據安全審查應當以企業自查把關為前提，并對其網絡產品和服務的采購活動以及數據處理活動的安全性、合法性、風險性作出承諾，有效預防和化解國家安全風險，同時要接受社會的監督。

《網絡安全審查辦法》要求，關鍵信息基礎設施運營者申報網絡安全審查的采購活動時，應當通過采購文件、協議等要求產品和服務提供者配合網絡安全審查，并承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備，無正當理由不中斷產品供應或者必要的技術支持服務等。與此同時，關鍵信息基礎設施運營者還應當督促產品和服務提供者履行在網絡安全審查中作出的上述承諾。

三、網絡安全審查的重點對象

國家網絡安全審查，主要針對關鍵信息基礎設施運營者采購網絡產品和服務，以及網絡平臺運營者開展數據處理活動，影響或者可能影響國家安全的風險因素。根據《網絡安全審查辦法》第十條的規定，網絡安全審查重點評估相關對象或者情形的以下國家安全風險因素：（一）產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或者破壞的風險；（二）產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；（三）產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；（四）產品和服務提供者遵守中國法律、行政法規、部門規章情況；（五）核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險；（六）上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險，以及網絡信息安全風險；（七）其他可能危害關鍵信息基礎設施安全、網絡安全和數據安全的因素。

從上述影響或者可能影響國家安全風險因素和審查權重上看，《網絡安全審查辦法》第十條（一）至（四）主要強調與關鍵信息基礎設施相關網絡產品和服務引發的國家安全風險因素。需要指出的是，并不是關鍵信息基礎設施運營者采購的所有網絡產品和服務均需要進行國家網絡安全審查，《網絡安全審查辦法》所指的“網絡產品和服務”主要指核心網絡設備、重要通信產品、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全、網絡安全和數據安全有重要影響的網絡產品和服務。

《網絡安全審查辦法》第十條（五）（六）主要是針對核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險，以及上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險等。目前，我國數據立法將數據分為一般數據、重要數據、核心數據，這個數據分類的方法主要是基于數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度。

2021年11月，國家網信辦公布的《網絡數據安全管理條例（征求意見稿）》明確提出，國家對個人信息和重要數據進行重點保護，對核心數據實行嚴格保護。“核心數據“，主要指關系國家安全、國民經濟命脈、重要民生和重大公共利益等的數據；”重要數據“，是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據。

“重要數據”主要包括以下七類數據：一是未公開的政務數據、工作秘密、情報數據和執法司法數據；二是出口管制數據，出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據，密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據；三是國家法律、行政法規、部門規章明確規定需要保護或者控制傳播的國家經濟運行數據、重要行業業務數據、統計數據等；四是工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產、運行的數據，關鍵系統組件、設備供應鏈數據；五是達到國家有關部門規定的規模或者精度的基因、地理、礦產、氣象等人口與健康、自然資源與環境國家基礎數據；六是國家基礎設施、關鍵信息基礎設施建設運行及其安全數據，國防設施、軍事管理區、國防科研生產單位等重要敏感區域的地理位置、安保情況等數據；七是其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。上述七類重要數據不包括國家秘密和個人信息，但基于海量個人信息形成的統計數據、衍生數據有可能屬于重要數據。

如何識別重要數據？國家市場監督管理總局和國家標準化委員會發布的《重要數據識別指南》（征求意見稿）確立了六項應遵循的基本原則：

一是聚焦安全影響：從國家安全、經濟運行、社會穩定、公共健康和安全等角度識別重要數據，只對組織自身而言重要或敏感的數據不屬于重要數據，如企業的內部管理相關數據；

二是突出保護重點：通過對數據分級，明確安全保護重點，使一般數據充分流動，重要數據在滿足安全保護要求前提下有序流動，釋放數據價值；

三是銜接既有規定：充分考慮地方已有管理要求和行業特色，與地方、部門已經制定實施的有關數據管理政策和標準規范緊密銜接；

四是綜合考慮風險：根據數據用途、面臨威脅等不同因素，綜合考慮數據遭到篡改、破壞、泄露或者非法獲取、非法利用等風險，從保密性、完整性、可用性、真實性、準確性等多個角度識別數據的重要性；

五是定量定性結合：以定量與定性相結合的方式識別重要數據，并根據具體數據類型、特性不同采取定量或定性方法；

六是動態識別復評：隨著數據用途、共享方式、重要性等發生變化，動態識別重要數據，并定期復查重要數據識別結果。

四、網絡平臺運營者赴國外上市須申報網絡安全審查

網絡平臺，特別是大型網絡平臺的運營者擁有和處理著大量的重要數據、核心數據和海量的個人信息，其赴國外上市對國家安全具有重大影響和風險。為此，《網絡安全審查辦法》強化了對網絡平臺運營者赴國外上市可能帶來國家安全風險，對掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市，施行強制性網絡安全審查。

《網絡安全審查辦法》第十條在原《審查辦法》第九條網絡安全審查重點評估的五大國家安全風險因素的基礎上新增了兩項重要因素：一是核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險；二是上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險，以及網絡信息安全風險。同時，新增加一條并列為《網絡安全審查辦法》第七條，即“掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。“這是一條強制性規定，也是一條不可逾越的紅線，任何網絡平臺運營者都必須嚴格遵守。

被列入《2021年中國網絡與數字法治領域十大事件》之一的“網絡安全審查辦公室對‘滴滴出行’啟動網絡安全審查”，就是一起典型的網絡平臺運營者赴國外上市啟動國家網絡安全審查的事件。2021年6月30日，“滴滴出行”采用VIE架構（Variable Interest Entity)，即“可變利益實體”在美上市。這是境內主體為實現在境外上市采取的一種特別方式，其本質是境外上市實體與境內運營實體相分離，境外上市實體在境內設立全資子公司，該全資子公司并不實際開展主營業務，而是通過協議的方式控制境內運營實體的業務和財務，使該運營實體成為上市實體的可變利益實體，VIE架構最關鍵的問題是“控制”境內運營實體的業務。從“滴滴出行”于2021年6月11日向美國證券交易委員會遞交的IPO招股書可以看到：“滴滴出行”的業務涵蓋15個國家、4000個城市，年活躍用戶在4.93億，司機則有一千五百萬，4.9億年活躍用戶。

2021年7月2日，網絡安全審查辦公室發出公告，宣布對滴滴出行啟動網絡安全審查。公告稱，為防范國家數據安全風險，維護國家安全，保障公共利益，依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》，網絡安全審查辦公室按照《網絡安全審查辦法》，對“滴滴出行”實施網絡安全審查。為配合網絡安全審查工作，防范風險擴大，審查期間“滴滴出行”停止新用戶注冊。這是自《網絡安全審查辦法》2020年6月1日出臺以來，我國公開實施網絡安全審查的第一案。

2021年7月9日，國家網信辦發布通告稱：根據舉報，經檢測核實，“滴滴企業版”等25款App存在嚴重違法違規收集使用個人信息問題。國家網信辦依據《中華人民共和國網絡安全法》相關規定，通知應用商店下架上述25款App，要求相關運營者嚴格按照法律要求，參照國家有關標準，認真整改存在的問題，切實保障廣大用戶個人信息安全。各網站、平臺不得為“滴滴出行”和“滴滴企業版”等上述25款已在應用商店下架的App提供訪問和下載服務。從以上公告看，“滴滴企業版”等25款App下架的直接原因，是因為滴滴平臺嚴重違法違規收集使用個人信息。7月16日，國家網信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監管總局等部門聯合進駐滴滴出行科技有限公司，開展網絡安全審查。

根據國家網信辦等五部委發布的《汽車數據安全管理若干規定（試行）》的規定，涉及汽車的重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、組織合法權益的數據，重要以下五類數據：一是軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量、車輛流量等數據；二是車輛流量、物流等反映經濟運行情況的數據；三是汽車充電網的運行數據；四是包含人臉信息、車牌信息等的車外視頻、圖像數據；五是涉及個人信息主體超過10萬人的個人信息；六是國家網信部門和國務院發展改革、工業和信息化、公安、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。

通過對被下架的滴滴25款App分析不難看出，滴滴出行的業務在交通領域幾乎是無所不包，這25款App包括：滴滴企業版、滴滴打車、滴滴車主、滴滴順風車、滴滴代駕、滴滴司機、滴滴貨運、滴滴配送、滴滴護航、滴滴商戶、滴滴助手、滴滴小巴、滴滴公交、加油收銀臺商戶、滴滴金融，還有記錄儀等等。以上App不僅采集和處理了大量的地理數據、人員流量、車輛流量等，同時平臺控制了海量的個人信息，尤其是涉及大量汽車的重要數據，包括車外數據、坐艙數據、位置軌跡數據、運行數據等，車外數據主要是通過攝像頭、雷達等傳感器從汽車外部環境采集的道路、建筑、地形、交通參與者等數據，以及對其進行加工后產生的數據，而且車外數據可能還包含人臉、車牌等個人信息以及車輛流量、物流等法律法規標準所規定的重要數據；座艙數據涉及到通過攝像頭、紅外傳感器、指紋傳感器、麥克風等傳感器從汽車座艙采集的數據，以及對其進行加工后產生的數據，特別是座艙數據可能包含駕駛員和乘員的人臉、聲紋、指紋等敏感個人信息；位置軌跡數據涉及到基于衛星定位、通信網絡等各種方式獲取的汽車定位和途經路徑相關的數據等。

2021年3月，美國美國證券交易委員會（SEC）通過了實施《控股外國公司問責法》(Holding ForeignCompanies Accountable Act，簡稱HFCAA)的臨時最終規則。12月，SEC發布修正案，最終確定了《外國公司問責法案》的實施規則，為HFCAA的實施建立了框架。根據HFCAA的規定，在美上市的外國公司向SEC提交文件，證明該公司不受外國政府擁有或掌控，并要求這些企業遵守美國上市公司會計師監督委員會（PCAOB）的審計標準，修正案還要求外國發行人在其年度報告中為自己及其任何合并的外國經營實體提供某些額外的披露。[顯然，滴滴在美上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險。

依據HFCAA規定，如果外國上市公司連續三年未能提交美國上市公司會計監督委員會所要求的報告，允許SEC將其從交易所摘牌。事實上，滴滴在此前披露的招股書中已經提到了退市的風險。招股書稱，根據美國證券交易委員會（SEC）的《外國公司問責法》（HFCAA），滴滴可能因為無法通過美國上市公司會計師監督委員會（PCAOB）的審計標準，而導致退市。[6]  2021年12月3日，滴滴全球有限公司（NYSE:DIDI.N）發布公告稱：“經認真研究，公司即日起啟動在紐交所退市的工作，并啟動在香港上市的準備工作。”[8]

五、赴港上市是否需要申報網絡安全審查

《網絡安全審查辦法》（以下稱《審查辦法》）第七條規定：“掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。” 該條的申報主體主要是針對“網絡平臺運營者”赴國外上市，至于赴香港上市的“網絡平臺運營者”是否需要申報網絡安全審查，《審查辦法》沒有作出規定。顯然，《審查辦法》第七條的適用范圍不包括赴香港上市，但是這并不意味著網絡平臺運營者或數據處理者赴香港上市不需要申報網絡安全審查。

2021年11月14日，國家網信辦公布《網絡數據安全管理條例（征求意見稿）》（以下稱《網絡數據安全管理條例》），依據《網絡數據安全管理條例》第十三條規定，數據處理者開展以下活動，應當按照國家有關規定，申報網絡安全審查：（一）匯聚掌握大量關系國家安全、經濟發展、公共利益的數據資源的互聯網平臺運營者實施合并、重組、分立，影響或者可能影響國家安全的；（二）處理一百萬人以上個人信息的數據處理者赴國外上市的；（三）數據處理者赴香港上市，影響或者可能影響國家安全的；（四）其他影響或者可能影響國家安全的數據處理活動。

《網絡數據安全管理條例》屬于國務院條例，其實施后的法律階位高于《審查辦法》；如果正式實施后的《網絡數據安全管理條例》第十三條（二）和（三）將數據處理者赴國外上市和赴香港上市分開表述，其內涵在于香港是中華人民共和國香港特別行政區，屬于中國主權范圍，基本不存在《網絡安全審查辦法》第十條（六）關于“上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險”等因素。因此，《網絡安全審查辦法》對國內網絡平臺運營者或數據處理者赴香港上市是否需要申報網絡安全審查沒有作出要求。

2021年12月，中國證監會發布《國務院關于境內企業境外發行證券和上市的管理規定（草案征求意見稿）》（以下稱《境外上市管理規定》），《境外上市管理規定》總體上支持依法合規的境內企業利用境外資本市場融資發展，不額外設置門檻和條件，但明確對四類情形實施嚴格的監管紅線，不得赴境外上市：一是法律法規明確禁止上市融資；二是危害國家安全；三是存在重大權屬糾紛；四是存在違法犯罪行為。

在以上的規定中分別出現了“國外”和“境外”的表述，《網絡安全審查辦法》明確提出是“國外”上市；《網絡數據安全管理條例》將“國外”和“香港”上市分開表述；《境外上市管理規定》則規定了“境內企業境外發行上市”。這里需要明確，《網絡安全審查辦法》和《網絡數據安全管理條例》中的“國外”與《境外上市管理規定》中“境外”有何區別；“國外”比較好理解，指中國以外的其他國家，但是“國外”與“境外”的法律語境相同嗎？根據2013年7月1日起施行的《中華人民共和國出境入境管理法》（以下簡稱《出境入境管理法》）第八十九條第一款的規定：“出境，是指由中國內地前往其他國家或者地區，由中國內地前往香港特別行政區、澳門特別行政區，由中國大陸前往臺灣地區。”可見，《出境入境管理法》對“出境”（境外）的定義有三層含義，一是指由中國內地前往其他國家或者地區；二是由中國內地前往香港特別行政區、澳門特別行政區，這里的香港和澳門屬于中國的特別行政區，特別行政區內實行“一國兩制”，相對于“香港和澳門”，中國稱之為“中國內地”；三是中國大陸前往臺灣地區，臺灣地區屬于中國領土的區域，但中國尚未對其實施行政管轄，相對于“臺灣”地區，中國稱之為“中國大陸”。由此，《境外上市管理規定》中的“境外”應當包括國外和我國香港地區。

《境外上市管理規定》第八條規定：“境內企業境外發行上市的，應當嚴格遵守外商投資、網絡安全、數據安全等國家安全法律法規和有關規定，切實履行國家安全保護義務。涉及安全審查的，應當依法履行相關安全審查程序。“《境外上市管理規定》第十六條對境內企業境外上市涉及損害國家安全以及向境外提供個人信息和重要數據的，提出了嚴格的監管要求，即“境內企業境外發行上市的，應當嚴格遵守國家法律法規和有關規定，建立健全保密制度，采取必要措施落實保密責任，不得泄露國家秘密，不得損害國家安全和公共利益。境內企業境外發行上市涉及向境外提供個人信息和重要數據的，應當符合國家法律法規和有關規定。”

由此可以看出，國內網絡平臺運營者或數據處理者無論是赴國外上市還是赴香港上市，只要其開展數據處理活動，就應當嚴格遵守外商投資、網絡安全、數據安全等國家安全法律法規和有關規定。但是從《網絡數據安全管理條例》第十三條（二）和（三）的表述上可以看出，數據處理者赴國外上市和赴香港上市，實施網絡安全審查的條件有所不同，前者（二）數據處理者赴國外上市，只要處理一百萬人以上個人信息，必須申報網絡安全審查；后者（三）則要求，數據處理者赴香港上市，影響或者可能影響國家安全的，應當申報網絡安全審查。換言之，數據處理者赴香港上市是否需要申報網絡安全審查，關鍵要看是否會影響或者可能影響國家安全，如果存在影響或者可能影響國家安全的情形，就應當申報網絡安全審查，否則，就無需申報網絡安全審查。然而，根據《境外上市管理規定》的要求，涉及安全審查的，應當依法履行相關安全審查程序。筆者認為，網絡平臺運營者或數據處理者，只要涉及數據處理，尤其是處理個人信息超過一百萬人以上，赴香港上市最好主動申報網絡安全審查，是否影響或可能影響國家安全，由網絡安全審查辦公室研判。

六、申報網絡安全審查的材料與流程

當事人申報網絡安全審查，應當提交以下三類材料，一是申報書，申報的主體包括關鍵信息基礎設施的運營者和網絡平臺運營者，前者主要申報采購網絡產品和服務，后者主要是開展數據處理活動，大多情況下的當事人既是關鍵信息基礎設施的運營者，也是網絡平臺運營者；二是關于影響或者可能影響國家安全的分析報告，應重點圍繞《網絡安全審查辦法》第十條的重點評估對象或者情形對影響或可能影響的國家安全風險因素進行分析；三是提交采購文件、協議、擬簽訂的合同或者擬提交的首次公開募股（IPO）等上市申請文件，關鍵信息基礎設施運營者除了應當提交采購文件、協議以及擬簽訂的合同，還應當要求產品和服務提供者配合網絡安全審查，包括承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備，無正當理由不中斷產品供應或者必要的技術支持服務等；首次公開募股（IPO）的當事人應當提交上市申請文件，包括公司章程、發起人協議、發起人姓名或者名稱，發起人認購的股份數、出資種類及驗資證明、招股說明書、代收股款銀行的名稱及地址、承銷機構名稱及有關的協議。除上述材料，網絡安全審查辦公室在網絡安全審查過程中需要其他材料的，當事人也應當及時提交。

《網絡安全審查辦法》規定了嚴格的網絡安全審查程序和審查期限，申報網絡安全審查，網絡安全審查辦公室應當履行以下審核程序：

（一）網絡安全審查辦公室收到數據處理者的申報網絡安全審查材料，在10個工作日內，確定是否需要審查，并書面通知當事人。處理的結果有兩個，一是啟動審查；二是無需審查；

（二）網絡安全審查辦公室認為需要啟動網絡安全審查的，應當向當事人發出書面通知，自通知發出之日起30個工作日內完成初步審查，包括形成審查結論建議和將審查結論建議發送網絡安全審查工作機制成員單位、相關部門征求意見，如果情況復雜的，可以延長15個工作日；

（三）網絡安全審查工作機制成員單位和相關部門應當自收到審查結論建議之日起15個工作日內書面回復意見，如果網絡安全審查工作機制成員單位、相關部門意見一致的，網絡安全審查辦公室以書面形式將審查結論通知當事人，如果審查結論不影響國家安全的，赴國外上市的可以繼續上市程序，如果審查結論認為影響國家安全的，則不允許赴國外（境外）上市；

（四）如果網絡安全審查工作機制成員單位、相關部門意見不一致，將按照特別審查程序處理，并通知當事人；按照特別審查程序處理的，網絡安全審查辦公室應當聽取相關單位和部門意見，進行深入分析評估，再次形成審查結論建議，并征求網絡安全審查工作機制成員單位和相關部門意見，按程序報中央網絡安全和信息化委員會批準后，形成審查結論并書面通知當事人。啟動特別審查程序的，一般應當在90個工作日內完成，情況復雜的可以適當延長。

《網絡安全審查辦法》要求，凡參與網絡安全審查的相關機構和人員應當嚴格保護知識產權，對在審查工作中知悉的商業秘密、個人信息，當事人、產品和服務提供者提交的未公開材料，以及其他未公開信息承擔保密義務；未經信息提供方同意，不得向無關方披露或者用于審查以外的目的。如果當事人或者網絡產品和服務提供者認為審查人員有失客觀公正，或者未能對審查工作中知悉的信息承擔保密義務的，可以向網絡安全審查辦公室或者有關部門舉報。