2021年7月10日，国家互联网信息办公室发布关于《网络安全审查办法（修订草案征求意见稿）》（“《征求意见稿》”）公开征求意见的通知，就依据《国家安全法》《网络安全法》《数据安全法》等法律法规会同有关部门修订的《网络安全审查办法》向社会公开征求意见。

(a) 旧法历史：《网络安全审查办法》是2020年4月13日国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局联合印发，自2020年6月1日起实施。

(b) 何种情况需要申报网络安全审查： 如果企业为关键信息基础设施运营者或者数据处理者，则满足以下条件之一即需要申报或通过网络安全审查：1）自行申请。A. 关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的；B. 掌握超过100万用户个人信息的运营者（关键信息基础设施运营者及数据处理者）赴国外上市的。2）主动审查。网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为的。

(c) 审查行为对象范围扩大。 办法中规定的网络安全审查行为对象主要是CIIO采购网络产品和服务，《征求意见稿》将数据处理者开展数据处理活动以及掌握超过100万用户个人信息的CIIO、数据处理者赴国外上市的行为也纳入网络安全审查对象范围。

(d) “赴国外上市”是否包括赴香港上市？ 《征求意见稿》使用的是“赴国外上市”的概念，而非《证券法》及其配套法规中常用的“境内”和“境外”概念，在《证券法》及其配套法规中境外上市包括赴香港上市。《征求意见稿》似乎有意使用“国外上市”概念，将赴香港上市排除在网络安全审查范围之外，但最终含义仍有待相关监管部门后续在正式出台的新办法或执法实践中加以明确。  

(e) 未来出台的新《网络安全审查办法》是否具备法律溯及力？ 《征求意见稿》未明确规定未来出台的新《网络安全审查办法》生效实施时，已经在国外上市的企业是否需要申报网络安全审查。但是，《征求意见稿》第十六条规定，“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查”，根据该规定，相关监管部门有权对已经在国外上市的企业的数据处理活动进行网络安全审查，并在网络审查中考虑《征求意见稿》第十条中规定的“（五）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；（六）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”因素。