首页 / 文章发布 / 君合法评 / 君合法评详情

《网络数据安全风险评估办法》出台安全至上时代企业如何应对中国四大安全审查“矩阵”?

1970.01.01 陈思佳

2026年6月18日,国家网信办发布了《网络数据安全风险评估办法》,中国安全审查领域再添重要拼图。


一、中国安全审查版图


安全审查的基石是国家安全,国家安全一直是近年来的时代主旋律,地缘政治的冲突、国际社会的大国博弈,使得国家安全的重要性上升到一个新高度,中国正以总体国家安全观为引领,加速构建“安全至上”的宏观治理新格局。


在中国并没有一个统一的国家安全审查制度,而是将国家安全解构成外商投资、特定物项和关键技术、网络信息技术产品和服务等不同涉及国家安全的维度,分别进行安全审查。


初步检索,截止目前法律层面对安全审查作出规定的法律主要有:


审查领域

主要法律

重要规定

国家安全

《国家安全法》

(2015年,主席令第29号)

国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。

外商投资

《外商投资法》

(2020年,主席令第26号)

国家建立外商投资安全审查制度,对影响或者可能影响国家安全的外商投资进行安全审查。依法作出的安全审查决定为最终决定。

《反垄断法》

(2022年,主席令第116号)

对外资并购境内企业或者以其他方式参与经营者集中,涉及国家安全的,除依照本法规定进行经营者集中审查外,还应当按照国家有关规定进行国家安全审查

《粮食安全保障法》

(2023年,主席令第17号)

外商投资粮食生产经营,影响或者可能影响国家安全的,应当按照国家有关规定进行外商投资安全审查

《海南自由贸易港法》

(2021年,主席令第85号)

在海南自由贸易港依法实施外商投资安全审查制度,对影响或者可能影响国家安全的外商投资进行安全审查。

网络信息技术产品和服务

《网络安全法》

(2025修正)

关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查

《数据安全法》(2021年,主席令第84号)

国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查

《密码法》

(2020年,主席令第35号)

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查

生物/农业

《生物安全法》

(2024修正)

国家建立生物安全审查制度。对影响或者可能影响国家安全的生物领域重大事项和活动,由国务院有关部门进行生物安全审查,有效防范和化解生物安全风险。

《种子法》

(2022年,主席令第105号)

国家建立种业国家安全审查机制。境外机构、个人投资、并购境内种子企业,或者与境内科研院所、种子企业开展技术合作,从事品种研发、种子生产经营的审批管理依照有关法律、行政法规的规定执行。


这些法律层面所规定的安全审查,多数仅一两个条文,要将安全审查真正落实,通常还需要制定更加具体的实施制度,这些制度是中国安全审查的核心部分。


二、中国四大安全审查制度“矩阵”


为落实外商投资领域的安全审查——制定了《外商投资安全审查办法》随着《国务院关于对外投资的规定》的出台,在行政法规层面确立了境外投资国家安全审查制度,形成了投资“引进来”与“走出去”双向安全审查,但因为相应的细化制度尚未落地,本文暂不纳入讨论范围。


为落实网络领域的安全审查——制定了《网络安全审查办法》;


为落实《个保法》向境外提供个人信息安全评估及《数安法》重要数据的出境安全管理——制定了《数据出境安全评估办法》;


为落实数据领域的安全审查——制定了《网络数据安全风险评估办法》;


他们一起共同构筑起中国四大“安全审查矩阵”,标志着我国安全治理进入精细化、标准化的新阶段。


这些各有侧重、并行实施的安全审查“矩阵” 如何理解和适用,是企业经营的生命红线。下面我们来逐一拆解下,四大安全审查“矩阵”到底谁来审?审什么?什么时候必须审?


(一) 外商投资安全审查办法


1、背景


现行的外商投资安全审查办法是2020年在《外商投资法》制定颁布之后,对《外商投资法》规定的外商投资安全审查制度的落地制度,也是中国第一部专门的外商投资安全审查制度。


2、谁来审查?


国家建立外商投资安全审查工作机制(以下简称工作机制),负责组织、协调、指导外商投资安全审查工作。


工作机制办公室设在国家发展改革委,由国家发展改革委、商务部牵头,承担外商投资安全审查的日常工作。


3、审什么?


  • 投资关键产业,比如,军工、军工配套等关系国防安全的领域,以及在军事设施和军工设施周边地域投资,无论是否有控制权,都需要经过安全审查

  • 投资关系国家安全的重要农产品、重要能源和资源、重大装备制造、重要基础设施、重要运输服务、重要文化产品与服务、重要信息技术和互联网产品与服务、重要金融服务、关键技术以及其他重要领域,并取得所投资企业的实际控制权。


4、什么时候审?


事前审查——审查期间及工作机制办公室作出决定前,当事人不得实施投资。


5、审查的法律后果?


  • 通过安全审查决定的,可以实施投资;

  • 禁止投资决定的,当事人不得实施投资,已经实施的,应当限期处分股权或者资产以及采取其他必要措施,恢复到投资实施前的状态,消除对国家安全的影响;

  • 附条件通过安全审查的,按照附加条件实施投资。

  • 应报未报的,责令申报;拒不申报的,责令限期处分股权或者资产以及采取其他必要措施,恢复到投资实施前的状态。


(二)网络安全审查办法


1、背景


2016年《网络安全法》确立了关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。


作为网络领域国家安全审查的落地制度,2017《网络产品和服务安全审查办法(试行)》出台,经过几年的实践,2020年正式发布《网络安全审查办法》。2021年对《网络安全审查办法》进行了修订,也就是我们现行有效的《网络安全审查办法》。


根据国家网信办答记者问口径,2021年《网络安全审查办法》修订的背景是:“2021年9月1日,《数据安全法》正式施行,明确规定国家建立数据安全审查制度。我们据此对《网络安全审查办法》进行了修订,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查,主要目的是为了进一步保障网络安全和数据安全,维护国家安全。”1


2、谁来审查?


在中央网络安全和信息化委员会领导下,国家网信办会同国家发展委、工信部、公安部、国安部、财政部、商务部、中国人民银行、市监总局、广电总局、证监会、国家保密局、密码管理局建立国家网络安全审查工作机制。


网络安全审查办公室设在国家网信办,负责制定相关制度规范,组织网络安全审查。


3、审什么?


1)关键信息基础设施运营者采购网络产品和服务的,该产品和服务投入使用后,影响或者可能影响国家安全的,包括:


  • 产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;

  • 产品和服务供应中断对关键信息基础设施业务连续性的危害;

  • 产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

  • 产品和服务提供者遵守中国法律、行政法规、部门规章情况;


2)掌握超过100万用户个人信息的网络平台运营者赴国外上市,推定可能影响国家安全,必须向网络安全审查办公室申报网络安全审查。包括:


  • 核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;

  • 上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;


总结一下:网络安全审查关注的是关键基础设施经营者采购产品和服务的供应链稳定性和安全性及掌握超100万用户个人信息的网络平台赴国外上市后被外国政府影响、控制、恶意利用的风险;


4、什么时候审?


1)采购——虽然没有像《外商投资安全审查》一样明确写审查决定期间和决定前不得采购,但是第三条明确规定了网络安全审查坚持事前审查与持续监管相结合。


2)上市——向国外证券监管机构提出上市申请之前


国家网信办答记者问对此问题进行了明确,网络平台运营者应当在向国外证券监管机构提出上市申请之前,申报网络安全审查。2


5、审查的法律后果?


《网络安全法》第67条规定,关键信息基础设施的运营者使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。


海外上市未通过网络安全审查的后果没有明确规定,监管部门也尚未公布以“未申报网安审”为单一违法事由的罚款等行政处罚决定书,但通过监管部门对滴滴、对运满满、货车帮、BOSS直聘等多家赴美上市企业启动了网络安全审查,启动调查期间,几乎都会附随暂停新用户注册、下架APP,甚至最后要求退市整改等严厉制裁。


(三)数据出境安全评估


1、背景


《网络安全法》39条规定,关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。


《数据安全法》31条规定,关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法 》的规定;其他数据处理者在中国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。


从网安法强调关基运营者数据出境要评估,到数安法,非关基运营者重要数据出境也要评估,范围是逐步扩大的。


此外,《个保法》40条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供的个人信息的,应当通过国家网信部门组织的安全评估。


基于上述3部法律的规定,出台了《数据出境安全评估办法》。


2、谁来审查?


经营者向所在地省级网信部门申报,材料齐全后,报送国家网信部门。


国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。


3、审什么?


1)向境外提供重要数据;

2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;


审核具体内容是:


  • 数据出境的目的、范围、方式等的合法性、正当性、必要性;

  • 境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;

  • 出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;

  • 数据安全和个人信息权益是否能够得到充分有效保障;

  • 数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;

  • 遵守中国法律、行政法规、部门规章情况;


总结一下,关注的是个人信息和重要数据出境中和出境后是否可能遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险。


4、什么时候审?


事前——办法第5条规定,数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估。


5、审查的法律后果?


《数据出境安全评估办法》本身未设定新的后果,适用上位法。


《网络安全法》规定依照有关法律、行政法规的规定处理、处罚。《数据安全法》、《个人信息保法》规定的违法出境的后果,有警告、罚款到、吊销相关业务许可证或者吊销营业执照、终止提供服务,根据违法行为确定。


(四) 网络数据安全风险评估办法


1、背景


根据工信部的答记者问及专家解读3,《网络数据安全风险评估办法》出台的背景是——《数据安全法》22条和30条提出,国家建立集中统一、高效权威的数据安全风险评估机制,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。《网络数据安全管理条例》提出,重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,提供、委托处理、共同处理重要数据前,应当进行风险评估。《网络数据安全风险评估办法》对上位法中的原则性规定进行细化与落实,为网络数据安全风险评估工作提供了具体的制度保障和实施路径,解决的是企业网络数据安全风险评估“谁来评、怎么评、评估结果如何用”的实践难题。


2、谁来审?


中央国家安全领导机构建立国家数据安全工作协调机制——在国家数据安全工作协调机制指导下,国家网信部门会同国务院电信、公安等有关部门建立网络数据安全风险评估专项工作机制,指导、监督风险评估工作。


有关主管部门应当按照谁管业务、谁管业务数据、谁管数据安全的原则,定期组织开展本行业、本领域风险评估。


3、审什么?


根据GB/T 45577—2025《数据安全技术 数据安全风险评估方法》,数据安全风险评估主要围绕数据和数据处理活动, 聚焦可能影响数据的保密性、 完整性、 可用性和数据处理活动合理性的安全风险, 掌握数据安全总体状况, 发现数据安全隐患, 提出数据安全管理和技术防护措施建议, 提升数据安全防攻击、 防破坏、 防窃取、 防泄露、 防滥用能力。


4、什么时候审?


不是一票否决的事前审查,而是常态化、持续改进导向的评估。具体来说:


1)重要数据处理者应当每年度开展风险评估。

2)重要数据安全状态发生重大变化可能对数据安全造成不利影响的,应当及时对发生变化及其影响的部分开展风险评估。

3)鼓励处理一般数据的网络数据处理者(以下简称一般数据处理者)至少每3年开展一次风险评估。


5、审查的法律后果?


有关部门在风险评估中发现重要数据处理者的重要数据处理活动可能危害国家安全、公共利益的,应当依据职责责令重要数据处理者进行整改;对拒不整改或者未达到整改要求的重要数据处理者,可以采取要求其停止处理重要数据等措施。


总结一下,关注的是中国境内网络数据和网络数据处理活动的安全;这不是"一票否决"的准入审查,而是常态化、持续改进导向的评估。


6、数据安全审查 VS 网络数据安全风险评估


我们前面提到,2021年《网络安全审查办法》修订的背景是将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,落实《数据安全法》规定国家建立数据安全审查制度。那么《网络安全审查办法》规定的对数据处理活动的安全审查与《网络数据安全风险评估》的安全评估有什么区别?


1)《网络安全审查办法》是审查数据处理活动对国家安全影响,但根据17条及GB/T 45577—2025《数据安全技术 数据安全风险评估方法》,数据安全事件包括造成的国家安全、 公共利益或者组织、个人合法权益造成的风险,范围更广。


2)《网络安全审查办法》是当发生特定的可能影响国家安全事件时进行节点性审查,像特病门诊;而网络数据安全风险评估,是定期开展风险评估,并向有关主管部门报送风险评估报告,常态化、持续改进导向的评估,有点像每年体检。


网络数据安全风险评估机制是整个数据安全制度体系的基础制度,是决定网络数据处理者采取何种保护策略与管理措施的根本考量因素。它不仅是国家安全的审查,而是数据安全领域范围更广的安全基座。


三、四大安全审查制度“矩阵”对比总结


1. 外商投资安全审查:资本入口的"过滤器",关注外资通过投资行为控制相关企业或参与特定行业进而威胁国家安全;网络安全审查是供应链安全的"守门员",关注关键基础设施经营者采购产品和服务的供应链稳定性和安全性,及掌握超100万用户个人信息的网络平台赴国外上市后被外国政府影响、控制、恶意利用的风险;数据出境安全评估:跨境流动的"通行证",关注个人信息和重要数据出境后是否被滥用;数据安全风险评估:数据安全的"体检表",是中国境内网络数据和网络数据处理活动的安全全面体检。


2.前三个都是事前准入式审核,数据安全风险评估常态化审核,并非准入式。


3.四个审查中,投资安全审查和数据安全审查,都明确规定作出的安全审查决定为最终决定,网络安全法和网络安全审查办法中也未规定任何复议、或复核,出境安全审查结论虽然可复评,但复评结果为最终结论,理论界中主流观点认为,这些审查都属于行政终局行为,当事人不能对此决定申请行政复议或提起行政诉讼,对企业来说几乎没有事后救济的途径,所以在审查过程中的积极配合、妥善应对,具有非常重要的意义。


对比维度

外商投资安全审查

网络安全审查

数据出境安全评估

网络数据安全风险评估

定性

资本入口的"过滤器"

供应链安全的"守门员"

跨境流动的"通行证"

数据安全的"体检表"

主管机关

发改委+商务部

网信办+12 部门

国家网信部门

网信部门统筹+行业分工

触发时机

投资实施前

采购前/上市前

数据出境前

年度常规+重大变化

审查性质

准入式(否决权)

准入式(否决权)

准入式(否决权)

常态化(改进导向)

核心关注

外资控制+关键技术

供应链+上市安全

数据跨境后是否被滥用

数据全生命周期风险

是否可救济

最终决定

最终决定

可复评(终局)


_


四、企业全生命周期合规应对


结合们企业的实际业务场景中,这些看似各有侧重的安全审查,可能贯穿企业经营的全生命周期,企业可能需要满足并行的不同安全审查。我们以一个做AI模型的公司为例。


1、资金募集阶段


要启动资金或者扩大融资,引入外资/VIE架构,这时候首先,先判断AI模型会不会落入到国防军工领域或者会不会构成对重要信息技术和互联网产品与服务的投资且外资取得控制权,如果是,那么这时候需要在投资前拿到外商投资安全审查决定;当然投资领域,外资还需要满足外商投资负面清单等产业政策要求。


2、设备采购阶段


融到资了,需要买设备,比如采购高性能GPU、光模块等设备,先无论出口国卖不卖,有没有贸易管制,从中国自身来说,如果采购人被认定为关键基础设施运营者娿,可能也会触发网络安全审查,采购之前要先拿到网络安全审查办公室的审查结论,否则可能会罚款,禁止使用。


3、模型训练阶段


设备采购到了,模型训练好了,如果模型要面向海外用户提供服务或者销售到海外部署或者将数据传输至境外,根据《中国(北京)自由贸易试验区、国家服务业扩大开放综合示范区数据出境管理清单(负面清单)(2025版)》,在研发设计过程中,收集和产生的与行业竞争力相关的高价值敏感数据,属于重要数据,出境前需要拿到国家网信部门数据出境安全评估结果。


 4、上市阶段


业务越做越好,准备去港股上市了,只要做TO C业务,大概率会掌握超100万用户个人信息,否则可能也满足不了上市的条件,此时会触发掌握超过100万用户个人信息的网络平台运营者赴国外上市前需要完成网络安全审查。


5、常态化数据处理


AI大模型公司,大模型训练和推理必然涉及海量数据处理,如果你的产品形态不是纯本地的,几乎不可能有存本地的哈,那么恭喜你,常态化的网络数据安全风险评估你可能也会涉及。


五、结语


一个AI企业可能同时踩中四条线,安全审查矩阵离我们企业很近。对于企业来说,要精准通过矩阵的考验极其不易,且不同于其他行政行为,没有事后救济的途径,企业在面对这些安全审查矩阵时,违规成本极高。


与其盲目焦虑或心存侥幸,不如主动将合规嵌入合规管理全生命周期,准确理解判断不同场景审查重点,精准识别红线、建立有效治理体系,有效化解风险、将外部约束转化为内生安全动力。




[1] https://www.cac.gov.cn/2022-01/04/c_1642894602460572.htm

[2] https://www.cac.gov.cn/2022-01/04/c_1642894602460572.htm

[3] https://www.cac.gov.cn/2026-06/18/c_1783525612886783.htm




声 明


《君合法律评论》所刊登的文章仅代表作者本人观点,不得视为君合律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容,请注明出处。未经本所书面同意,不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

君合是两大国际律师协作组织Lex MundiMultilaw中唯一的中国律师事务所成员,同时还与亚欧主要国家最优秀的一些律师事务所建立Best Friends协作伙伴关系。通过这些协作组织和伙伴,我们的优质服务得以延伸至几乎世界每一个角落。
北京绿化基金会与君合共同发起的“北京绿化基金会碳中和专项基金”,是中国律师行业参与发起设立的第一支碳中和专项基金。旨在充分利用公开募捐平台优势,积极联合社会力量,宣传碳中和理念,鼓励和动员社会单位和个人参与“增汇减排”、“植树造林”等公益活动。