以下文章来源于金融科技之道 ,作者华锐研究所
2022年2月15日,《网络安全审查办法》(以下简称《办法》)正式实施,该部门规章虽然只有23条2571字,但字少事大。在国家网络安全体系构建方面,该《办法》的实施可以说是一件具有重要意义的事件,开启了国家网络安全体系建设与资本市场的协同,也契合当前大国国家网络安全体系建设博弈已进入的新阶段。现尝试解读如下。
01
《办法》背景
(一)国际环境
网络(信息)安全是国家安全的重要组成部分。美国《1947年国家安全法案》(National Security Act of 1947)是首个针对国家安全问题而制定的法律,该法案强调了情报、档案等对维护国家安全的重要作用;站在今天视角看,这也是美国甚至全球网络(信息)安全立法的开始。
之后,在国家战略、关键事件及技术等因素的促进下,美国等国家围绕网络(信息)安全不断出台或修订系列政策法规。比如,在美苏冷战期间,为确保美国安全体系能够应对苏联的各类挑战,美国密集出台了系列法律法规,比较代表性的有:1966年发布的《信息自由法》、1974年发布的《隐私法案》、1977年发布的《联邦计算机系统保护法案》、1984年发布的《计算机欺诈与滥用法案》、1987年发布的《计算机安全法》等等;再比如,“9.11”事件让美国将网络(信息)安全问题上升到新的高度,也出台了系列相关法律法规,比较代表性的有:2001年发布的《美国爱国者法案》(第215条允许美国国安局收集反恐调查涉及的包括民众在内的任何电话通信和数据记录以保护国家安全)、2002年发布的《国土安全法案》(第225条扩大警方监视互联网的职权,以及从互联网服务提供商处调查用户数据资料的权力,从而保护国家安全)及《联邦信息安全管理法》、2003年发布《保护网络空间国家战略》及《关键基础设施和资产物理防护国家战略》等等。
需要指出的是,随着技术的演进,一方面,网络(信息)安全在国家安全中的重要性不断提高;另一方面,其内涵也在不断演进,从当年的情报、档案到计算机、信息技术,再到今天的网络(空间)、数据等。
进入21世纪,越来越多的国家不断将网络安全上升到国家战略高度,比如:英国于2011年11月出台《网络安全战略》,日本于2013年6月出台《网络安全战略》,印度于2013年5月出台《国家网络安全策略》,德国于2015年7月出台《网络安全法》,美国于2015年10月发布新《网络安全法案》(《网络安全信息共享法》、《国家网络安全促进法》及《联邦网络安全人力资源评估法》等),欧盟于2016年4月出台《通用数据保护条例》(GDPR)(2018年5月25日生效)等等。
2017年以来,中美关系出现明显转折。围绕中国加速崛起对美国带来的挑战问题,美国出台了系列更有针对性的法规,并不断借助其资本市场优势,制定针对性的规则来为其所谓的美国国家安全“保驾护航”。2018年3月发布《澄清合法使用境外数据法案》(又称《云法案》),该法案使得美国执法机构可避开其他国家法规前提下,通过相关企业获取各类境外数据;2018年8月发布《外国投资风险评估现代化法案》(FIRRMA),该法案大幅提高美国外商投资委员会(CFIUS)的审查权限,比如:以维护美国国家安全为由,可多方面介入审查和阻止海外并购,要求对投资于美国技术、基础设施、数据等有关业务进行审查等;2019年2月推出《2019年网络安全披露法》,该法要求上市公司董事会和管理层优先考虑网络安全,从而加强美国的国家网络安全;2020年1月颁布《外国人士在美国的特定投资的相关规定》以全面实施FIRRMA,该规定是为了美国能在外资对美国科技公司、拥有个人数据美国公司的收购中掌握控制权;2020年12月通过《外国公司问责法案》,该法案对在美上市外国公司提出额外的信息披露要求,并要求这些企业遵守美国上市公司会计师监督委员会(PCAOB)的审计标准,对中国企业具有较强针对性;2021年5月,美国公众公司会计监督委员会(PCAOB)就《控股外国公司问责法》(HFCAA)有关实施细则征求意见,该法于2021年12月正式通过美国证监会(SEC)审议,这意味着主要针对中概股的监管政策,进入实质性执行阶段,其要求提交的审计底稿有可能使他国上市公司承载的敏感数据流进美国;2021年6月,拜登签署《关于保护美国人敏感数据不受外国竞争对手侵犯的行政令》,要求采取规范的决策框架和严格的实证分析,防范交易可能对美国国家安全和美国人民带来的风险,包括被敌对国家管辖的人员设计、开发、制造或供应的软件应用程序等风险。
综上,美国正试图通过构建国家网络安全法规体系的过程来维系其全球领导者地位,领域不仅仅是单纯的网络空间,也在借助资本市场的优势来达成所愿。从中我们也可以看出,当前大国之间的国家网络安全体系博弈,已进入需要资本市场加持的新阶段。
在国家网络安全体系建设上,个人认为美国有两大明显优势:一是强大的科技类公司,比如各类云、各类平台,二是资本市场优势。通过强大的科技类公司,美国企业可以几乎触达各个国家,美国政府再通过类似《云法案》,可以实现数据霸权;通过其资本市场,美国监管可以吸引各国优秀的上市公司,再通过类似《问责法案》,美国可达到强化国家网络安全体系的意图。
(二)国内现状
以下从网络安全法规体系、资本市场法规体系、近两年关键事项以及中概股及承销保荐机构四个维度剖析。
1. 网络安全法规体系层面。我国构建了以“3法2条”为核心的框架,这些法律法规均与证券基金行业有关系,其核心目标是为了进一步保障网络安全、数据安全,维护国家安全,平衡利用境外资本市场融资发展等和维护国家安全的关系。“3法”指的是《网络安全法》、《数据安全法》、《个人信息保护法》,“2条”指的是《关键信息基础设施安全保护条例》、《网络数据安全管理条例(征求意见稿)》,具体出台或公开征求意见时间如下:
表1:“3法2条”
资料来源:华锐金融科技研究所、《金融科技专属内参》
此外,“3法2条”与《国家安全法》《刑法》等其他法规、部门规章、规范性文件、政策文件一起,组成了整个体系,且在不断完善中。
图1:我国网络安全法规体系
资料来源:华锐金融科技研究所、《金融科技专属内参》
2.资本市场法规体系层面。国家不断加强服务实体经济的力度,服务国家高质量发展战略,提高直接融资占比;采取了诸如稳步推进资本市场双向开发、加快推进注册制、设立科创板、成立北交所等系列举措,也相应出台了系列政策法规。但出发点都是为了提高资本市场高质量发展,加速资本市场成熟度,更好地服务实体经济角度出发。
具体政策法规方面,2021年12月之前,境外上市监管主要依据的是1994年发布实施的《国务院关于股份有限公司境外募集股份及上市的特别规定》,该规定对规范境内企业境外上市活动,支持企业有效利用外资、提高公司治理水平、促进资本市场对外开放等发挥了积极作用。
2012年12月,中国证监会公布《关于股份有限公司境外发行股票和上市申报文件及审核程序的监管指引》,不再设立境内企业赴境外上市的门槛(企业只要符合境外上市地的要求,可自主向证监会提出境外上市申请),并对申请流程进行了简化。基于当时特定背景,有利于缓解我国资本市场融资压力,也是特殊时期的特定需要。
2019年12月,新修订《证券法》明确直接和间接境外上市应当符合国务院的有关规定,为下位法做铺垫。
2021年12月,为促进企业利用境外资本市场规范健康发展,支持企业依法合规赴境外上市,证监会会同国务院有关部门对《国务院关于股份有限公司境外募集股份及上市的特别规定》提出了修订建议,研究起草了《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》(简称《规定》),并同步起草了《境内企业境外发行证券和上市备案管理办法(征求意见稿)》(简称《征求意见稿》)。《规定》第七、八、十六条与该《办法》呼应,比如第八条“境内企业境外发行上市的,应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定,切实履行国家安全保护义务。涉及安全审查的,应当依法履行相关安全审查程序”;《征求意见稿》第五条也与《办法》相呼应;近期出台的这系列法规很明显的特征之一是与国家安全、网络安全、网络安全审查等做了有效衔接。
2022年1月,中国证监会召开2022年系统工作会议,易主席强调“创造条件推动中美审计监管合作取得更大进展,加快推进企业境外上市监管制度政策落地,继续坚定、有序支持符合条件的企业依法依规境外上市”,也即充分利用境外资本市场融资立场不变。注意,这里用的是“境外”而非“国外”。
3.关键事项。
【事件1:滴滴事件】对内影响了国家的安全
2021年07月02日,网络安全审查办公室对“滴滴出行”启动网络安全审查,要求下架“滴滴企业版” App。2021年07月16日,国家互联网信息办公室等七部门进驻滴滴开展网络安全审查。
图2:监管就滴滴事件的相关通知及公告
资料来源:华锐金融科技研究所、《金融科技专属内参》
滴滴是首个被《国家安全法》处理的企业,滴滴存在严重违法违规收集使用个人信息问题,以及危害国家数据安全的风险。2020版《网络安全审查办法》在应对滴滴等事件中发挥了重要作用。滴滴等事件,不仅促进了《办法》的进一步修订;叠加综合考虑美国证监会系列政策,也对资本市场制度体系与时俱进带来了一定影响,证监会(国务院)也于2021年底出台或修正了一些相关法规。
此外,同时期,网信办牵头也对 “运满满”、“货车帮”、“BOSS直聘”等类滴滴网络公司,启动了网络安全审查,原因同样为“防范国家数据安全风险,维护国家安全”,并停止了“运满满”、“货车帮”、“BOSS直聘”新用户注册。
【事件2:瑞幸事件】对外助推了美国相关法规加速出台
2020年5月美国参议院讨论《外国公司问责法》时,适逢瑞幸造假事件处于中美舆论漩涡的中心,因此美国参议院全票表决通过了《外国公司问责法》;2020年12月,美国众议院也通过了《外国公司问责法》。
瑞幸咖啡在2020年1月份的增发招股书中披露的财务数据截止至2019年三季度,且已经承销商和审计机构核实确认。但当时,在浑水发布了做空瑞幸咖啡的报告后,瑞幸咖啡的承销商瑞士信贷、XX香港和XX国际均发布了研究报告,认为浑水做空报告证据可信度不足,且部分指控存在毫无根据且存在重大缺陷。调查还认为,这几家承销商的承销业务和研究业务存在违反“防火墙”规定的可能性极大。
之后,虽然瑞幸咖啡同意支付1.8 亿美元罚款来和解会计欺诈指控,但SEC关于整个事件的调查还在继续,投资者的集体诉讼和美国司法部针对瑞幸公司高管的调查均仍在继续,可能耗时数年。
图3:瑞幸咖啡投资者集体诉讼后续重要时间节点
资料来源:华锐金融科技研究所、《金融科技专属内参》
4.中概股及承销保荐情况
自1994年政策以来,在美上市的中概股企业累计数量已近300家,其中约半数为网络平台运营者,但承销商基本是美国几大投行巨头。
表2:美国市场境外公司上市情况一览表
资料来源:华锐金融科技研究所、《金融科技专属内参》
表3:2021年中概股IPO承销商排行榜
资料来源:Wind、华锐金融科技研究所、《金融科技专属内参》
此外,根据2022年2月数据,美国上市的中概股市值约1.38万亿美元,约是A股总市值的10%。
表4:中概股市值与A股市值对比(2022.2)
资料来源:Wind、华锐金融科技研究所、《金融科技专属内参》
02
整体解读《办法》
网络安全审查不是中国独创,也不是中国在追随美国,更不是针对个别国家,只是为了在全球大国网络安全博弈中处于公平地位。其他国家地区比如欧盟于2019年3月也出台《欧盟外商直接投资审查条例》,《条例》从关键基础设施、关键技术、关键供应、敏感信息等方面,审查非欧盟投资对欧盟成员国国家安全和公共秩序的风险。一是保障成员国国家安全或公共秩序;二是为了应对美国等奉行的贸易保护主义和单边主义,加上新兴市场国家兼并了核心成员国的关基和关键技术。
《办法》牵头单位是网信办,其成立于2011年5月,2014年8月,国务院下发通知,授权网信办负责互联网信息内容管理工作;此外,从2018年3月国务院下发《国务院关于机构设置的通知》看,网信办与中央网络安全和信息化委员会办公室属于“五、国务院办事机构”,列入中共中央直属机构序列。主要监管国家网络安全、信息化等领域,有监管执法权。网信办牵头出台的很多法规横切众多行业,也需要证券基金期货行业予以高度重视。
从图1可见,《办法》属于法规体系的部门规章层级,以“3法2条”为主要上位法。在作者上年《金融科技内参8月刊》解读《关键信息基础设施安全保护条例》时,曾简单分析过,其将影响《办法》的后期再修订。此外,《办法》可以认为是2017年正式实施《网络产品和服务安全审查办法(试行)》升级版本的再升级。
表5:上位法对网络安全审查的关键要求条款
资料来源:华锐金融科技研究所、《金融科技专属内参》
从《办法》联合发布单位看,由2020版的12家变成13家,增加证监会,并作为网络安全审查工作机制成员单位。当然,这不是简单得多增加一个单位问题。一方面,因为当前很多突出问题与境外上市(规则)有关,涉及投行(即便当前,美国还没有批给任何一家境内法人主体承销保荐资质,但毕竟还有境外子公司)、可能的跨国证监会合作及公平对等等,所以明确增加证监会是很有必要的;另一方面,也体现了资本市场在强化国家网络安全不可或缺的重要措施,需要协同。
总之,随着美国等不断强化对网络平台的监管,我国对网络平台运营者的监管要求也将从“审慎包容”切换到“强监管”,以寻求在构建国家网络安全层面大国竞争的对等。
03
关键条款解读《办法》
(一)关键定义
【网络安全 VS 信息安全】
在之前解读12号公告时曾解释过“网络安全”、“信息安全”两个概念的区别,在这里再做解释。“信息安全”一词来自1995年英国发布的《信息安全管理实施细则》,2000年,ISO在其基础上修订ISO17799,将“信息安全”定义为 “对信息保密性、完整性和可用性的保护”;“网络安全”不是计算机术语中的“Network Security”,而是“CyberSecurity”,也即网络空间安全的简称,它的范围要广得多,不仅包括信息安全、网络安全等等。我国《网络安全法》对应的翻译就是“《CyberSecurity Law of the People’s Republic of China》”。
所以,行业46号公告中的“信息安全事件”也在2021年新发布的12号公告中改为“网络安全事件”。
【网络定义】
是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
网络空间在这个时代对国家政治、经济等方面的影响不断增大,很容易威胁到社会公共利益及国家安全。
【国家安全】
是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力。
【网络安全】
是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
【数据安全】
是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
在当前数字化转型、数字经济时代,数据安全越发重要。
【网络产品和服务】
范围很广且是开放的范畴,不是常规的网络概念,主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。请注意,这并非特定产品或服务,包括相关生态链。
(二)主要审查对象
1.关键信息基础设施运营者
这个词是国际通用术语,美国、新加坡等其他国家也都在用,也是为了便于保持各个国家就一个事情的语系一致性。根据《关键信息基础设施安全保护条例》,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
当前,虽然证监会(央行)还没有在明确法规条文公开定义“关键信息基础设施”,但结合上面定义,部分核心机构及头部经营机构的交易等核心业务系统应该属于这个范畴。
2.网络平台运营者
这里没有用网络公司,而是用了网络平台运营者,概念更为广泛。数据处理活动包括数据的收集、存储、使用、加工、传输、提供、公开等。根据上述美国上市要求,拟海外上市互联网公司面临的重大问题往往与传输、提供、公开三个环节有关。
第七条是《办法》自上一版本增加而非修改的唯一单独条,强化了对拟国外上市的网络平台运营者的基本要求,也即掌握超过100万用户个人信息的网络平台运营者,赴国外上市,必须向网络安全审查办公室申报网络安全审查。100万客户的基线涉及范围很广,不再仅仅是腾讯、阿里、滴滴等巨头,按照当前市场环境,拟上市的互联网类企业基本都涉及这条;此外,互联网类或以互联网为基础的公司发展非常迅速,所以符合《办法》网络平台的范畴在动态变化,比如随着基金投顾试点铺开,新兴起的第三方基金投顾平台等。以资本市场经营机构为例(虽然这些企业一般不会美国上市):
表6:部分头部基金公司客户数
资料来源:Wind、华锐金融科技研究所、《金融科技专属内参》
表7:部分头部证券公司客户数(2020年年报)
资料来源:证券公司年报、华锐金融科技研究所、《金融科技专属内参》
此外,网络平台运营者与关基运营者也可能是重叠的。
(三)赴国外上市企业网络安全审查流程
网络安全审查办公室设在国家互联网信息办公室,具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查等任务。中国网络安全审查技术与认证中心设立网络安全审查咨询窗口(咨询电话:010-65994415 咨询邮箱:shencha@isccc.gov.cn联系地址:北京市朝阳区朝外大街甲10号中认大厦)。
图4:赴国外上市企业网络安全审查流程
资料来源:华锐金融科技研究所、《金融科技专属内参》
这里要强调的是“继续赴国外上市程序”,需要履行证监会出台的相关政策法规要求,比如备案等,不能再直接绕开中国证监会。
(四)新增关键条及内容解读——海外上市
一方面,国内优质上市企业是各国资本市场竞争的重要资源;另一方面,在境外成熟资本市场上市,有利于企业有效利用外资、提高公司治理水平、促进资本市场对外开放;是互惠互利的。所以国外或至少境外上市是国家坚定持续的大事。
第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
第八条 当事人申报网络安全审查,应当提交以下材料:
(一)申报书;
(二)关于影响或者可能影响国家安全的分析报告;
(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;
(四)网络安全审查工作需要的其他材料。
第七条为新增的重要条款,吸收了滴滴等事件经验。对于网络平台,100万用户门槛是很低的,基本成熟网络公司都囊括,也可以理解对互联网行业(平台、运营者)的强管理。此外,这里用了“国外”而非“境外”,所以去香港上市,赴港上市不必主动申报审查,但仍然要落实我国数据出境安全管理规定;网络安全审查机制成员单位认为赴港上市影响或可能影响国家安全的,可以由国家网络安全审查办公室报请中央网信委批准后进行审查。
综上,可推出两个结论:一是互联网公司红利不再像几年前,这是整个趋势决定的;二是赴美上市流程增加,整体收紧,利好港交所。
为了中概股回归提供缓冲垫,港交所优化了海外发行人上市制度,放宽了第二上市门槛。
表8:关键条款修订
资料来源:华锐金融科技研究所、《金融科技专属内参》
针对已经在港第二上市的公司,如遇海外摘牌,也可以更宽松的条件变更在港上市地位。被摘牌公司自动获得12个月宽限期,宽限期结束后可转用《香港财务报告准则》或《国际财务报告准则》编写财务报表。非自愿海外摘牌的公司在向香港作为主要发行地的过渡时期仍可持续交易,并自除牌通知当日起三年内获豁免符合《上市规则》条文。若海外发行人预计难以遵守特定《上市规则》条文(例如没有充足的准备时间以符合除牌时间表),则联交所只要认为合理,可就个别情况给予宽限期,豁免发行人遵守特定的《上市规则》条文。
美国SEC加强中概股审查、《外国公司问责法》生效后对于审计底稿要求趋严的背景下,不排除一些中概股公司后续面临主动或者被动从美国退市的风险,而港交所的新规为中概股提供了安全缓冲垫。优化制度后,香港将持续吸引海外优质企业与中资公司赴港主要上市或第二上市。预计未来转移上市地点的中概股数量将越来越多。
(五)网络安全审查重点评估
第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
对 “安全可信的网络产品和服务”的理解:中美关系大背景下“自主可控”“解决卡脖子问题”是大趋势,当前信创、国产化(之前)目录可以重点参考,当然这些目录当前涉密;另一方面,也不代表全部使用国产的,否则就变成鼓励自我了。证监会、央行后续也会制定本行业预判指南,涉及具体操作层面,值得期待。同时,呼应并落实了《数据安全法》,第31条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”还有《网络安全法》,第37条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”
针对数据处理活动,与第三方合作,但凡涉及业务及客户数据出司行为,都要高度警惕,做好合规及安全评估,以及对国家利益可能的威胁。(近两年,有经营机构因此被处罚过)
此外,《办法》不是为了驱除国外产品和服务,甚至国外特定企业。(这是商务部牵头法规体系范畴事宜)
(六)其他事宜
以下来自中国网络安全审查技术与认证中心专家的要点解答,供参考:
一是由于网络安全审查涉及到国家安全,目前没有公开的实施细则和技术标准;二是网络安全审查工作不向提交申报的关键信息基础设施运营者收取费用;三是网络安全审查是一次性工作,不会针对同一采购活动重复审查,且不对审查结论设置上诉机制;四是审查完成后,会持续监督关键信息基础设施运营者履行承诺情况和执行审查结论情况。
(七)网络安全审查相关处罚依据
依据1:根据《网络安全法》第六十五条,关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
依据2:根据《数据安全法》第三十一条,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。第四十六条,违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
依据3:根据《关键信息基础设施安全保护条例》第十九条,运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。第四十一条,运营者采购可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查的,由国家网信部门等有关主管部门依据职责责令改正,处采购金额1倍以上10倍以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
若触犯刑法的,按照《刑法》 285-287条等条款执行。
最后,用一句话总结该法规意义:当前大国之间的国家网络安全体系博弈,已进入需要资本市场加持的新阶段。
作者:华锐金融科技研究所
曹 雷