国家安全审查制度解析：内涵、触发与数据安全、网络安全维度的考量

国家安全审查制度解析：内涵、触发与数据安全、网络安全维度的考量宁宣凤张天杰裴梦然2在上述背景下，如何在保持对外开放的同时构建有效的安全屏障，以法律手段平衡经济发展与国家安全之间的关系，成为各国政府面临的重要课题。外商投资国家安全审查制度正是在此背景下应运而生，该制度的核心功能在于识别并防范可能对东道国造成不利影响的外商投资行为，从而维护国家主权和经济安全。2.中国国家安全审查制度功能定位和演进脉络我国为了适应新时代改革开放的新格局要求，在积极吸引外资的同时，也必须有效预防和化解可能出现的国家安全风险。为此，我国制定了专门针对外商投资的国家安全审查制度，不仅强调了对传统意义上的国家安全因素的关注，亦对网络安全、数据保护等新兴领域予以特别关注，力求实现外资准入便利化与国家安全保障的协同推进、互利共赢。2011年2月3日，国务院办公厅发布《关于建立外国投资者并购境内企业安全审查制度的通知》,首次确立了“外国投资者并购境内企业安全审查制度”。2011年8月25日，商务部发布了《商务部实施外国投资者并购境内企业安全审查制度的规定》,进一步细化了外国投资者向商务部提出并购境内企业安全审查申报的流程、应提交的文件和商务部及联席会议的审查工作安排。2015年7月1日，《中华人民共和国国家安全法》正式实施，首次在法律层面明确要求建立国家安全审查和监管的制度与机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目等进行国家安全审查。2020年1月1日实施的《中华人民共和国外商投资法》再次明确外商投资安全审查制度设立的必要性。2020年12月19日，国家发展改革委与商务部联合颁布《外商投资安全审查办法》(以下简称“《安审办法》”),对外商投资审查范围、审查机制等制度进行细化和升级，我国外商投资安全审查由此进入更为系统化、常态化的监管1.审查程序：从申报到作出审查决定安全审查由外商投资安全审查工作机制(以下简称“工作机制”)统筹实施。工作机制办公室设在国家发展改革委，由国家发展改革委、商务部牵头，承担外商投资安全审查的日常工作。安全审查的启动包括外国投资者或者境内相关当事人(以下统称“当事人”)主动申报，或是工作机制办公室依职权要求当事人进行申报。此外，有关机关、企业、社会团体、社会公众等认为外商投资影响或者可能影响国家安全的，可以向工作机制办公室提出审查建议。在实践中，工作机制办公室可以通过与其他相关部门之间的联动执法获取外商投资有关信息。例如在经营者集中申报过程中，若反垄断执法机构认为本次交易可能具有国家安全审查方面的担忧，可能会将交易相关情况转交至工作机制办公室进行审查。刘畅3为提升交易的可预期性，在正式递交国家安全申报前，当事人可以向工作机制办公室进行咨询，以获取本次交易是否触发国家安全审查的初步判断。在咨询过程中，当事人需要明确提供交易的基本信息，收购方、被收购方的情况以及交易结构等。通过这一阶段的预沟通，工作机制办公室可初步判断交易是否需要进行安全审查。若认为交易符合安全审查申报标准，当事人需提交完整的申报材料，由此正式进入安全审查申报程序。值得注意的是，外商投资安全审查程序的正式启动及审查时间表以工作机制办公室确认当事人提交的申报材料符合要求为起算点。这意味着，若首次提交材料不完善的，当事人需根据工作机制办公室的意见补充，直至材料的完整性被认可。此外，《安审办法》中还规定了“停钟”制度，即在审查程序正式启动前后，当事人补充提供材料的时间也不计入法定审查期限。2.审查范围：需申报的交易类型与标准根据《安审办法》对外商投资的定义1,外商投资包括以下类型：外国投资者单独或者与其他投资者共同在中国境内投资新项目或者设立企业；外国投资者通过并购方式取得中国境内企业的股权或资产；外国投资者通过其他方式在中国境内投资。从上述的规定来看，几乎所有常见的外商投资交易类型均涵盖在《安审办法》中，未具体列明的交易场景也通过兜底条款进行覆盖。进一步地，《安审办法》主要按照行业划分了两类需要进行申报的外商投资类型2,一类是对于涉及军工、军事设施等国防安全领域的投资，无论外国投资者的投资比例或者是否取得控制权，均强制性要求申报；而对于第二类涉及基础设施、能源资源、关键技术等关系国家安全的重要领域，则需要以取得“实际控制权”为申报触发条件，即当外国投资者通过股权、协议安排或特殊权利约定等方式取得所投资企业“实际控制权”时须进行申报。表1:需要进行申报的外商投资类型·军工、军工配套等关系国防安全的领域·在军事设施和军工设施周边地域投资·重要信息技术和互联网产品与服务外商投资行为并且取得对所投企业的实际控制权《安审办法》对于“实际控制权”采用了较为广泛的定义，包括外国投资者持有所投资企业50%以上股权；外国投资者持有所投资企业股权不足50%时，对所投资企业的董事会、股东会或者股东大会的决议产生重大影响；其他导致对所投企业经营决策、人事、财务、技术等产生重大影响的情形。《外商投资安全审查办法》第二条。2《外商投资安全审查办法》第四条。对于所涉行业而言，《安审办法》仅止步于列出关系国家安全的“重要领域”,并设置“其他重要领域”的兜底条款，并未明确这些重要领域的具体判断标准，亦未发布具体的行业清单以供参考，这种判断上的弹性与不确定性又因审查过程及结果的不公开性而进一步放大——缺乏参考先例，这也使得实践中对“重要领域”的界定与解读成为核心难点。从另一角度切入，结合近年来中国在网络安全与数据治理领域密集出台的《网络安全法》《数据安全法》《个人信息保护法》等法律法规，数据安全已明确上升至国家安全的战略高度。基于此，在对“重要领域”进行认定评估时，目标企业是否处理大规模个人信息或重要数据，其经营活动是否可能影响关键信息基础设施的安全性及稳定性，以及数据跨境流动是否存在潜在风险，已逐步成为关键估因素和维度。在实践操作中，涉数据密集型行业(如金融科技、云计算、出行平台、医疗健康等)或掌握重要数据的投资项目，其外资投资进入及股权变动事项，更易纳入国家安全审查的关注范围。三、数据安全评估逐步成为国家安全审查的重要维度2015年4月8日，国务院办公厅发布《自由贸易试验区外商投资国家安全审查试行办法》,首次将国家网络安全明确列入外商投资安全审查的范畴。而数据安全作为网络空间安全的核心支柱之一，《数据安全法》第二十四条规定的“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查”,该条款亦同步印证了国家对数据安全领域可能导致的国家安全的高度重视，以及对此类风险予以明确规制的立场。在探讨数据安全在外商投资国家安全审查中的具体影响前，需先厘清网络安全审查制度的核心内涵与适用逻辑，因其与存在紧密的衔接。2023年2月，中国证监会发布《境内企业境外发行证券和上市管理试行办法》,其第七条和第九条分别提出了企业境外发行上市过程中的数据合规要求，包括但不限于履行个人信息、重要数据出境合规义务，涉及安全审查时依法履行相关安全审查程序。在数据合规领域，前述安全审查程序通常是指通过我国《网络安全审查办法》确立的网络安全审查，其适用条件为：掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。同时，根据《网络安全审查办法》第十条，网络安全审查重点评估的国家安全风险因素包括：·产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；·产品和服务供应中断对关键信息基础设施业务连续性的危害；·产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风·产品和服务提供者遵守中国法律、行政法规、部门规章情况；·核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；·上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；以及·其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。尽管现行国家安全审查制度未单独列明数据安全专项审查因素，但鉴于网络安全审查与外商投资安全审查的核心目标均为防范“影响或者可能影响国家安全”的风险，网络安全审查制度中关于数据安全的评估逻辑，可作为外商投资安全审查明晰数据安全风险点的重要参照。5根据现行数据及个人信息保护法律法规，结合我们的既有项目经验，涉及外商投资活动的中国企业建议重点关注以下数据安全因素：《网络安全审查办法》设定的“100万用户个人信息”门槛，不仅是网络平台运营者赴境外上市主动申报审查的法定标准，也与多项个人信息保护专项合规要求的触发条件相衔接。例如，2025年7月国家网信办发布的《关于开展个人信息保护负责人报送工作的公告》,明确要求处理个人信息达到100万人的主体报送个人信息保护负责人；《人工智能拟人化互动服务管理暂行办法(征求意见稿)》第二十一条亦规定，注册用户达100万以上的服务提供者，需按规定开展安全评估并向属地省级网信部门提交报告。但需特别提示，国家安全审查实践中，监管部门对企业处理个人信息的关注门槛可能显著低于100万。此前已有案例证明，某中国企业在与外资开展交易前，主动就国家安全审查事宜与国家发改委沟通，尽管目标企业主营业务未直接落入《安审办法》第四条规定的国家安全重要领域，但因其经营过程中收集了数十万级(未达100万)自然人个人信息，主管部门仍对其个人信息收集、处理、存储的合规性予以高度关注，并要求该交易依法申报国家安全审查。此外，对于以供应链服务等ToB业务为主的企业，即便不直接面向社会公众提供服务，若在业务中处理、存储企业客户提供的个人信息(如数据中心受托存储客户数据等场景),亦不可低估合规风险。从监管视角来看，只要企业存在处理大量个人信息乃至敏感个人信息的可能性，就有可能因数据掌控能力被纳入“重要信息技术和互联网产品与服务”范畴，进而触发外商投资安全审查。我国自《数据安全法》确立了包含重要数据在内的数据分级分类保护制度，并首次通过行政法规级别的《网络数据安全管理条例》明确了重要数据的具体内涵，即“指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”。3由重要数据的前述定义可知，因其泄露或非法利用可能直接危害国家安全，掌握重要数据的目标企业引入外商投资活动落入国际安全审查的范畴可谓是“题中应有之义”,这也与网络安全审查的逻辑相吻合。根据现行法律法规与实践经验，判断企业是否掌握重要数据的标准主要分为两类：一是企业所属行业、领域或地区已出台对应的重要数据目录；二是由主管部门向企业作出明确告知。实践中，汽车领域、金融领域、电信领域等多个领域已通过部门规章、国家标准、行业标准等形式确立本行业领域内重要数据目录，北京自贸区、上海自贸区、海南自由贸易港等多地也已发布本地区数据跨境流动的负面清单，范围涵盖战略物资、大宗商品、自然资源、国防科技、卫生健康、互联网和电子商务等多种类型，为企业初步判断提供了明确指引。自《数据出境安全评估办法》《个人信息出境标准合同备案办法》及《促进和规范数据跨境流动规定》等相关规定构建起我国的数据出境监管体系后，数据跨境合规始终是网信办、公安部等监管部门的关注重点。3《网络数据安全管理条例》第六十二条。4网信上海：《亮剑浦江强化网络数据安全上海发布2025年执法典型案例》,/s/W_EDynONIILRWO72L7dVyA,2026年1月28日访问。62025年，某奢侈品企业因未通过数据出境安全评估、未订立个人信息出境标准合同，亦未完成个人信息保护认证，违规向境外总部传输用户个人信息，被公安网安部门依法处罚；此后，上海网信办亦对某酒店管理企业、某物业管理企业违规跨境传输个人信息的行为作出行政处罚并予以通报。4当前，数据作为新型生产要素的价值与作用持续凸显，市场主体的数据跨境流动需求随之快速增长，而数据跨境管理直接关乎国家安全。国家安全相关部门已多次发文5,明确提示关注数据出境安全风险，上述执法案例与监管举措，均印证了数据跨境合规流动对维护国家安全的重要意义与关键作用。·是否为关键信息基础设施运营者提供产品或服务关键信息基础设施作为一旦遭到破坏、丧失功能或者数据泄露可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统，即使目标企业并非关键信息基础设施运营者，而仅为其提供产品或服务，也可能因其产品或服务对关键信息基础设施的安全性、稳定性的影响而直接对国家安全产生连带影响。基于此，《关键信息基础设施保护安全保护条例》第十九条也提出了“运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查”的要求，并基于《网络安全审查办法》实际规范了相应安全审查的流程和要求。然而，关键信息基础设施运营者并非此触发条件唯一可能受到审查的主体，事实上，为其提供产品或服务的供应商也可能面临中央网信办启动的网络安全审查。例如，2023年3月，网信办对美光公司在华销售产品启动网络安全审查；同年5月，网信办认为“美光公司产品存在较严重网络安全问题隐患，对我国关键信息基础设施供应链造成重大安全风险，影响我国国家安全……我国内关键信息基础设施运营者应停止采购美光公司产品”。尽管前述审查的核心为产品本身的安全性而非产品提供方的外资属性，但不难看出，在目标企业为关键信息基础设施运营者提供产品或服务的情况下，其服务本身也易成为触发国家安全审查的关键点。1.审查流程介绍外商投资安全审查分为一般审查与特别审查两阶段。一般审查在决定审查之日起30个工作日内完成，但认为影响或可能影响国家安全的将启动特别审查，后者自启动之日起60个工作日完成，必要时可进一步延长。在审查期间，当事人不得实施投资。2.违规后果《安审办法》规定了三种审查结果，若申报的外商投资经审查后认为不影响国家安全的，将获得通过安全审查的决定，当事人可以实施投资；若影响国家安全的，将取得禁止投资的决定；若附条件通过安全审查的，当事人应当按照附加条件实施投资。若被禁止投资的，当事人则不得实施投资，已经实施的，应当限期处分股权或者资产以及采取其他必要措施，恢复到投资实施前的状态，以消除对国家安全的影响。未依法申报的法律后果同样具有强制约束力，对符合申报范围内的外商投资，当事人未依照《安审办法》的规定申报即实施投资的，由工作机制办公室责令限期申报；拒不申报的，责令限期处分股权或者资产以及采取其他必要措施，恢复到投资实施前的状态。5例如，2024年12月27日，国家安全部微信公众号发布《数据出境要注意安全》;2026年1月27日，国家安全部微信公众号发布《警惕这类数据