---
name: csr-filing-advisor
description: >
  网络安全审查申报顾问——指导企业完成网络安全审查申报流程，
  判断是否需要申报及如何准备申报材料。适用情形：用户说"网络安全审查
  需要申报吗"、"CII采购安全审查流程"、"数据安全审查申报"、
  "申报材料怎么准备"、"审查不通过的后果"、"外资背景安全审查"。
argument-hint: "[企业性质 + 采购/数据处理活动描述 + 是否涉及外商投资]"
legal_frame: cn-mainland
last_reviewed: 2026-06
version: 1.0.0
risk_level: critical
escalation_triggers:
  - 确定需要申报网络安全审查
  - 涉及外资收购/控制CII运营者
  - 境外上市涉及数据处理活动
  - 申报被要求补充材料或审查不通过
trigger_phrases:
  - '备案'
  - '顾问'
  - '数据合规'
  - '个人信息'
  - 'PIPL'
---

# /csr-filing-advisor — China Mainland

## 法律背景与法规框架

《网络安全审查办法》（CSR办法）于2021年修订发布，2022年2月15日生效。该办法的核心机制是：关键信息基础设施运营者（CIIO）采购网络产品和服务，以及网络平台运营者开展数据处理活动，影响或可能影响国家安全的，须进行网络安全审查。2022年《数据出境安全评估办法》与CSR办法形成联动：数据出境安全评估中若发现可能影响国家安全的，也会触发网络安全审查。

审查重点包括：产品和服务的安全性、可控性（是否存在后门/供应链风险）、数据处理活动的国家安全影响、以及外国政府对中国数据资源的非正当访问风险。审查由网络安全审查办公室（设在国家网信办）会同12个部委组成的工作机制负责。审查期限通常为45个工作日，情况复杂可延长至90个工作日。

## 工作流程

### 第一步：触发条件判断

检查是否满足以下任一触发条件。满足任一条件即可能需要申报：

```
触发条件A — CIIO采购网络产品和服务
├─ 条件1：已收到CII认定通知
│   └─ 是 → 采购核心网络设备/重要通信设备/高性能计算/云服务
│       └─ 是 → 须申报
├─ 条件2：虽未收到CII认定通知但很可能被认定为CII
│   └─ 参照critical-infrastructure-checker进行预评估
│       └─ 高可能性 → 建议主动申报
└─ 条件3：CIIO采购数据处理服务/在线平台服务
    └─ 涉及个人信息处理 → 建议申报

触发条件B — 网络平台运营者数据处理活动
├─ 条件1：赴国外上市且处理100万人以上个人信息
│   └─ 是 → 必须申报（CSR办法 第7条）
├─ 条件2：赴香港上市且处理100万人以上个人信息
│   └─ 是 → 建议申报（视具体情况）
├─ 条件3：数据处理活动影响国家安全（如重要数据泄露风险）
│   └─ 是 → 必须申报
└─ 条件4：被CSR工作机制办公室约谈或通知
    └─ 是 → 必须申报

触发条件C — 特殊情形
├─ 外商投资/并购CIIO
│   └─ 外商投资安全审查+网络安全审查双重申报
└─ 境外政府要求提供中国境内数据
    └─ 必须申报
```

### 第二步：申报材料准备

**基础材料清单：**

| 序号 | 材料 | 说明 |
|------|------|------|
| 1 | 网络安全审查申报表 | 含企业基本信息、拟申报产品/服务/活动描述 |
| 2 | 拟采购产品/服务的合同或意向协议 | 如为数据处理活动申报，提供活动说明 |
| 3 | 产品/服务安全风险评估报告 | 自评估或第三方评估 |
| 4 | 安全测试报告 | 第三方安全检测机构出具 |
| 5 | 供应链安全评估 | 含供应商信息、代码可控性等 |
| 6 | 数据安全保护措施说明 | 含数据分类分级、访问控制等 |
| 7 | 可能影响国家安全的分析报告 | 法律分析+安全分析 |
| 8 | 法人资格证明 | 营业执照等 |

**特殊情形额外材料：**
- 涉及上市：招股说明书中数据安全章节、监管问询回复
- 涉及外资：股权结构图、实际控制人说明
- 涉及数据出境：数据出境安全评估结果

### 第三步：申报与审查流程管理

```
申报流程时间线：
Day 0: 提交申报材料
Day 10内: 审查办公室初步审查
    ├─ 材料不齐全会要求补正（15个工作日内补正）
    └─ 材料完整 → 正式受理
Day 45内: 完成审查（一般程序）
    ├─ 通过 → 发出审查通过通知
    ├─ 不通过 → 不得继续采购或开展数据处理活动
    └─ 情况复杂 → 延长至90个工作日
    └─ 特别审查程序 → 召开审查工作会议，报中央批准
```

**审查中的配合义务：**
- 如实回答审查人员的询问
- 按要求补充材料或说明情况
- 配合现场检查或技术测试
- 不得隐瞒或提供虚假材料

### 第四步：审查不通过的应对

审查不通过意味着不得继续采购相关产品/服务，或不得继续开展相关数据处理活动。

**应对策略：**
1. 审查结论中通常会指出不安全因素
2. 对不安全因素进行整改（如更换供应商/加强安全措施/调整业务模式）
3. 整改完成后重新申报审查
4. 在重新审查通过前，不得恢复相关活动

**特别监督：** 审查通过后，如发现申报材料不实或出现新的安全风险，审查工作机制可以撤销审查结论，要求重新审查。

### 第五步：输出申报评估报告

## 输出模板

```
═══════════════════════════════════════
网络安全审查申报评估
═══════════════════════════════════════
企业名称：[名称]
申报类型：[CIIO采购/数据处理活动/上市/外资并购]
触发条件：[条件描述]
═══════════════════════════════════════

## 申报必要性判断

[必须申报 / 建议申报 / 暂无需申报]

判断理由：
[具体分析]

## 风险预评估

🔴 HIGH RISK — [可能的审查风险点]
   涉及：[具体描述]
   建议：[提前准备的应对策略]

## 材料准备进度

| 材料 | 状态 | 责任人 |
|-----|------|-------|
| 申报表 | [待准备/已准备] | |
| 安全评估报告 | [待准备/已准备] | |
| ... | | |

## 升级建议

[如确定须申报，建议委托外部律所协助准备和提交]
```

## 升级决策门

以下情况须移交专业律师处理：

- 确定必须申报网络安全审查（须律所+安全机构联合准备）
- 涉及外资背景收购或控制CIIO（双重审查）
- 涉及境外上市且处理大量个人信息
- 审查中被要求补充材料或审查不通过
- 审查涉及国家秘密或敏感领域
- 申报材料涉及重大法律风险评估（如合同效力、控制权认定）

---
*Greater China Legal — data-compliance csr-filing-advisor v1.0.0*
*[model] — 基于《网络安全审查办法》（2021）框架*
