行业新闻

为落实《数据安全法》等法律法规的要求，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布了《网络安全审查办法》，今日起施行。

01《办法》修订的主要内容

《网络安全审查办法》2020版

《网络安全审查办法》2022版

立法依据

《中华人民共和国国家安全法》《中华人民共和国网络安全法》

《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》

立法目的

确保关键信息基础设施供应链安全，维护国家安全

确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全

网络安全审查工作机制构成

网信办、发改委、工信部、公安部、国家安全部、财政部、商务部、央行、市监总局、广电总局、国密局、国密管理局

网信办、发改委、工信部、公安部、国家安全部、财政部、商务部、央行、市监总局、广电总局、证监会、国密局、国密管理局

网络安全审查触发条件

1.关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的

2.网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务

3.社会举报

2.网络平台运营者开展数据处理活动，影响或者可能影响国家安全的

3.掌握超过100万用户个人信息的网络平台运营者赴国外上市

4.网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动

5.社会举报

需提交的申报材料

1.申报书；

2.关于影响或可能影响国家安全的分析报告；

3.采购文件、协议、拟签订的合同等；

4.网络安全审查工作需要的其他材料

2.关于影响或者可能影响国家安全的分析报告；

3.采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请文件；

重点评估的国家安全风险因素

1.产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

2.产品和服务供应中断对关键信息基础设施业务连续性的危害；

4.产品和服务提供者遵守中国法律、行政法规、部门规章情况；

5.其他可能危害关键信息基础设施安全和国家安全的因素。

1.产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险；

5.核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或者非法出境的风险；

6.上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；

7.其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

特别审查时限

特别审查程序一般应当在45个工作日内完成，情况复杂的可以适当延长。

特别审查程序一般应当在90个工作日内完成，情况复杂的可以延长。

新增义务

为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。

网络产品和服务范围

核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务

核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。

第一条为了确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全，根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》，制定本办法。

第二条关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。

前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。

第三条网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。

第四条在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

第五条关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。

第六条对于申报网络安全审查的采购活动，关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。

第七条掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

第八条当事人申报网络安全审查，应当提交以下材料：

（一）申报书；

（二）关于影响或者可能影响国家安全的分析报告；

（三）采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请文件；

（四）网络安全审查工作需要的其他材料。

第九条网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内，确定是否需要审查并书面通知当事人。

（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；

（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；

（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；

（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

第十四条特别审查程序一般应当在90个工作日内完成，情况复杂的可以延长。

第十六条网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

第十八条当事人或者网络产品和服务提供者认为审查人员有失客观公正，或者未能对审查工作中知悉的信息承担保密义务的，可以向网络安全审查办公室或者有关部门举报。

第十九条当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。

网络安全审查办公室通过接受举报等形式加强事前事中事后监督。

第二十条当事人违反本办法规定的，依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。

第二十一条本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。

第二十二条涉及国家秘密信息的，依照国家有关保密规定执行。

国家对数据安全审查、外商投资安全审查另有规定的，应当同时符合其规定。

第二十三条本办法自2022年2月15日起施行。2020年4月13日公布的《网络安全审查办法》（国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局令第6号）同时废止。

一、《网络安全审查办法》修订的背景及法律依据

网络安全审查制度与数据安全审查制度是《网络安全法》、《数据安全法》和《关键信息基础设施安全保护条例》确立的两项重要国家安全审查制度。《网络安全法》第三十五条规定：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”；《数据安全法》第二十四条规定：“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”；《关键信息基础设施安全保护条例》第十九条规定：运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。《关键信息基础设施安全保护条例》第十九条在《网络安全法》第三十五条的基础上，增加了“运营者应当优先采购安全可信的网络产品和服务”，强调了网络产品和服务的供应链安全。

根据上述规定，《数据安全法》中的数据安全审查制度与《网络安全法》中的网络安全审查制度有所不同，前者的审查主要针对影响或者可能影响国家安全的数据处理活动，主要包括：数据的收集、存储、使用、加工、传输、提供、公开等；后者的审查主要针对关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的情形。

2020年6月1日施行的《网络安全审查办法》（以下简称：原《审查办法》）第二条提出：“关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。”可见，原《审查办法》中的网络安全审查，主要是依据《网络安全法》针对关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全情形的安全审查制度。

随着《数据安全法》于2021年9月1日正式实施，影响或者可能影响国家安全的数据处理活动也将面临国家安全审查。由于原《审查办法》只涉及了《网络安全法》中的“网络安全审查”制度，没有涉及《数据安全法》中的“数据安全审查”内容。因此，有必要在原《审查办法》的基础上增加数据安全审查的内容。

新修订的《网络安全审查办法》第一条规定：“为了确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全，根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》，制定本办法。”

从上述立法目的看，《网络安全审查办法》的上位法涉及三部法律和一部国务院条例，修订后的《网络安全审查办法》在《国家安全法》和《网络安全法》的基础上，增加了《数据安全法》和《关键信息基础设施安全保护条例》，其中《数据安全法》明确提出“国家建立数据安全审查制度”；《关键信息基础设施安全保护条例》要求“关键信息基础设施的运营者采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查”。

这里需要说明，《网络安全法》和《关键信息基础设施安全保护条例》均要求关键信息基础设施的运营者采购网络产品和服务可能影响国家安全的，应当通过国家安全审查。但是《网络安全法》于2017年6月1日开始实施，当时尚没有出台《网络安全审查办法》，《网络安全法》第三十五条要求：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。《网络安全法》实施后的三年，《网络安全审查办法》于2020年6月1日实施，正式确立了网络安全审查的规则和适用。因此，2021年9月1日开始实施的《关键信息基础设施安全保护条例》第十九条则规定：“采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。“《网络安全法》仅规定“应当通过国家网信部门会同国务院有关部门组织的国家安全审查”；《关键信息基础设安全保护条例》则要求“应当按照国家网络安全规定通过安全审查”，更强调了依网络安全审查规则通过安全审查。

二、网络安全审查的客体和原则

《网络安全审查办法》第二条规定，关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，数据处理者（以下称运营者）开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。

根据上述规定，《网络安全审查办法》审查的客体有两大类，一是关键信息基础设施运营者采购网络产品和服务；二是数据处理者开展数据处理活动，这两类客体是网络安全审查法律关系主体的权利和义务指向的对象，只要这两类客体的行为或结果影响或可能影响国家安全的，必须依法进行国家网络安全审查。

《网络安全审查办法》从关键信息基础设施的运营者采购网络产品和服务，以及数据处理者开展数据处理活动的安全性和可能带来的国家安全风险两大视角，确立了网络与数据安全审查的原则。《网络安全审查办法》第三条明确了网络安全审的“四个相结合”原则，一是坚持防范网络安全风险与促进先进技术应用相结合；二是坚持过程公正透明与知识产权保护相结合；三是事前审查与持续监管相结合；四是企业承诺与社会监督相结合。

（一）坚持防范网络安全风险与促进先进技术应用相结

网络产品和服务的安全审查以及数据处理活动的安全审查，必须在贯彻总体国家安全观的基础上，坚持防范网络安全风险与促进先进技术应用相结。在促进先进技术的应用和产业发展的基础上防范网络与数据安全风险，以防范网络与数据安全风险保障先进技术的应用和产业发展。

（二）坚持过程公正透明与知识产权保护相结合

实施网络产品、服务与数据处理活动的安全审查必须保证公正透明，其中“公正”的前提是审查过程中的“透明”，只有保证审查过程中的“透明”规则和流程，才能保障公正审查制度的落实。

（三）坚持事前审查与持续监管相结合

（四）坚持企业承诺与社会监督相结合

保障网络安全和数据安全，维护国家安全和发展利益是关键信息基础设施运营者和数据处理者的法定主体责任。因此，网络与数据安全审查应当以企业自查把关为前提，并对其网络产品和服务的采购活动以及数据处理活动的安全性、合法性、风险性作出承诺，有效预防和化解国家安全风险，同时要接受社会的监督。

《网络安全审查办法》要求，关键信息基础设施运营者申报网络安全审查的采购活动时，应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查，并承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。与此同时，关键信息基础设施运营者还应当督促产品和服务提供者履行在网络安全审查中作出的上述承诺。

三、网络安全审查的重点对象

《网络安全审查办法》第十条（五）（六）主要是针对核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险，以及上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险等。目前，我国数据立法将数据分为一般数据、重要数据、核心数据，这个数据分类的方法主要是基于数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度。

2021年11月，国家网信办公布的《网络数据安全管理条例（征求意见稿）》明确提出，国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。“核心数据“，主要指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据；”重要数据“，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。

如何识别重要数据？国家市场监督管理总局和国家标准化委员会发布的《重要数据识别指南》（征求意见稿）确立了六项应遵循的基本原则：

二是突出保护重点：通过对数据分级，明确安全保护重点，使一般数据充分流动，重要数据在满足安全保护要求前提下有序流动，释放数据价值；

三是衔接既有规定：充分考虑地方已有管理要求和行业特色，与地方、部门已经制定实施的有关数据管理政策和标准规范紧密衔接；

四是综合考虑风险：根据数据用途、面临威胁等不同因素，综合考虑数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险，从保密性、完整性、可用性、真实性、准确性等多个角度识别数据的重要性；

五是定量定性结合：以定量与定性相结合的方式识别重要数据，并根据具体数据类型、特性不同采取定量或定性方法；

六是动态识别复评：随着数据用途、共享方式、重要性等发生变化，动态识别重要数据，并定期复查重要数据识别结果。

四、网络平台运营者赴国外上市须申报网络安全审查

网络平台，特别是大型网络平台的运营者拥有和处理着大量的重要数据、核心数据和海量的个人信息，其赴国外上市对国家安全具有重大影响和风险。为此，《网络安全审查办法》强化了对网络平台运营者赴国外上市可能带来国家安全风险，对掌握超过100万用户个人信息的网络平台运营者赴国外上市，施行强制性网络安全审查。

《网络安全审查办法》第十条在原《审查办法》第九条网络安全审查重点评估的五大国家安全风险因素的基础上新增了两项重要因素：一是核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；二是上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险。同时，新增加一条并列为《网络安全审查办法》第七条，即“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。“这是一条强制性规定，也是一条不可逾越的红线，任何网络平台运营者都必须严格遵守。

被列入《2021年中国网络与数字法治领域十大事件》之一的“网络安全审查办公室对‘滴滴出行’启动网络安全审查”，就是一起典型的网络平台运营者赴国外上市启动国家网络安全审查的事件。2021年6月30日，“滴滴出行”采用VIE架构（VariableInterestEntity)，即“可变利益实体”在美上市。这是境内主体为实现在境外上市采取的一种特别方式，其本质是境外上市实体与境内运营实体相分离，境外上市实体在境内设立全资子公司，该全资子公司并不实际开展主营业务，而是通过协议的方式控制境内运营实体的业务和财务，使该运营实体成为上市实体的可变利益实体，VIE架构最关键的问题是“控制”境内运营实体的业务。从“滴滴出行”于2021年6月11日向美国证券交易委员会递交的IPO招股书可以看到：“滴滴出行”的业务涵盖15个国家、4000个城市，年活跃用户在4.93亿，司机则有一千五百万，4.9亿年活跃用户。

2021年7月2日，网络安全审查办公室发出公告，宣布对滴滴出行启动网络安全审查。公告称，为防范国家数据安全风险，维护国家安全，保障公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对“滴滴出行”实施网络安全审查。为配合网络安全审查工作，防范风险扩大，审查期间“滴滴出行”停止新用户注册。这是自《网络安全审查办法》2020年6月1日出台以来，我国公开实施网络安全审查的第一案。

根据国家网信办等五部委发布的《汽车数据安全管理若干规定（试行）》的规定，涉及汽车的重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据，重要以下五类数据：一是军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；二是车辆流量、物流等反映经济运行情况的数据；三是汽车充电网的运行数据；四是包含人脸信息、车牌信息等的车外视频、图像数据；五是涉及个人信息主体超过10万人的个人信息；六是国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

2021年3月，美国美国证券交易委员会（SEC）通过了实施《控股外国公司问责法》(HoldingForeignCompaniesAccountableAct，简称HFCAA)的临时最终规则。12月，SEC发布修正案，最终确定了《外国公司问责法案》的实施规则，为HFCAA的实施建立了框架。根据HFCAA的规定，在美上市的外国公司向SEC提交文件，证明该公司不受外国政府拥有或掌控，并要求这些企业遵守美国上市公司会计师监督委员会（PCAOB）的审计标准，修正案还要求外国发行人在其年度报告中为自己及其任何合并的外国经营实体提供某些额外的披露。[显然，滴滴在美上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险。

依据HFCAA规定，如果外国上市公司连续三年未能提交美国上市公司会计监督委员会所要求的报告，允许SEC将其从交易所摘牌。事实上，滴滴在此前披露的招股书中已经提到了退市的风险。招股书称，根据美国证券交易委员会（SEC）的《外国公司问责法》（HFCAA），滴滴可能因为无法通过美国上市公司会计师监督委员会（PCAOB）的审计标准，而导致退市。[6]2021年12月3日，滴滴全球有限公司（NYSE:DIDI.N）发布公告称：“经认真研究，公司即日起启动在纽交所退市的工作，并启动在香港上市的准备工作。”[8]

五、赴港上市是否需要申报网络安全审查

《网络安全审查办法》（以下称《审查办法》）第七条规定：“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”该条的申报主体主要是针对“网络平台运营者”赴国外上市，至于赴香港上市的“网络平台运营者”是否需要申报网络安全审查，《审查办法》没有作出规定。显然，《审查办法》第七条的适用范围不包括赴香港上市，但是这并不意味着网络平台运营者或数据处理者赴香港上市不需要申报网络安全审查。

2021年11月14日，国家网信办公布《网络数据安全管理条例（征求意见稿）》（以下称《网络数据安全管理条例》），依据《网络数据安全管理条例》第十三条规定，数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：（一）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；（二）处理一百万人以上个人信息的数据处理者赴国外上市的；（三）数据处理者赴香港上市，影响或者可能影响国家安全的；（四）其他影响或者可能影响国家安全的数据处理活动。

《网络数据安全管理条例》属于国务院条例，其实施后的法律阶位高于《审查办法》；如果正式实施后的《网络数据安全管理条例》第十三条（二）和（三）将数据处理者赴国外上市和赴香港上市分开表述，其内涵在于香港是中华人民共和国香港特别行政区，属于中国主权范围，基本不存在《网络安全审查办法》第十条（六）关于“上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险”等因素。因此，《网络安全审查办法》对国内网络平台运营者或数据处理者赴香港上市是否需要申报网络安全审查没有作出要求。

2021年12月，中国证监会发布《国务院关于境内企业境外发行证券和上市的管理规定（草案征求意见稿）》（以下称《境外上市管理规定》），《境外上市管理规定》总体上支持依法合规的境内企业利用境外资本市场融资发展，不额外设置门槛和条件，但明确对四类情形实施严格的监管红线，不得赴境外上市：一是法律法规明确禁止上市融资；二是危害国家安全；三是存在重大权属纠纷；四是存在违法犯罪行为。

六、申报网络安全审查的材料与流程

当事人申报网络安全审查，应当提交以下三类材料，一是申报书，申报的主体包括关键信息基础设施的运营者和网络平台运营者，前者主要申报采购网络产品和服务，后者主要是开展数据处理活动，大多情况下的当事人既是关键信息基础设施的运营者，也是网络平台运营者；二是关于影响或者可能影响国家安全的分析报告，应重点围绕《网络安全审查办法》第十条的重点评估对象或者情形对影响或可能影响的国家安全风险因素进行分析；三是提交采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请文件，关键信息基础设施运营者除了应当提交采购文件、协议以及拟签订的合同，还应当要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等；首次公开募股（IPO）的当事人应当提交上市申请文件，包括公司章程、发起人协议、发起人姓名或者名称，发起人认购的股份数、出资种类及验资证明、招股说明书、代收股款银行的名称及地址、承销机构名称及有关的协议。除上述材料，网络安全审查办公室在网络安全审查过程中需要其他材料的，当事人也应当及时提交。

《网络安全审查办法》规定了严格的网络安全审查程序和审查期限，申报网络安全审查，网络安全审查办公室应当履行以下审核程序：

（一）网络安全审查办公室收到数据处理者的申报网络安全审查材料，在10个工作日内，确定是否需要审查，并书面通知当事人。处理的结果有两个，一是启动审查；二是无需审查；