為落實《數據安全法》等法律法規的要求,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部等十三部門聯合修訂發布了《網絡安全審查辦法》,自2022年2月15日起施行。該辦法強化了對網絡平臺運營者赴國外上市可能帶來國家安全風險,對掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,施行強制性網絡安全審查。
為何修訂?有力承接落實上位法法律規定
國家安全審查是《國家安全法》設立的一項基礎性國家安全審查和監管的制度和機制。《國家安全法》第五十九條規定:“國家建立國家安全審查和監管的制度和機制,對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目,以及其他重大事項和活動,進行國家安全審查,有效預防和化解國家安全風險。”網絡安全審查制度與數據安全審查制度是《網絡安全法》《數據安全法》和《關鍵信息基礎設施安全保護條例》確立的兩項重要國家安全審查制度。
2020年6月1日施行的《網絡安全審查辦法》(以下簡稱原《審查辦法》)第二條提出:“關鍵信息基礎設施運營者(以下簡稱‘運營者’)采購網絡產品和服務,影響或可能影響國家安全的,應當按照本辦法進行網絡安全審查。”可見,原《審查辦法》中的網絡安全審查,主要是依據《網絡安全法》針對關鍵信息基礎設施運營者采購網絡產品和服務,影響或可能影響國家安全情形的安全審查制度。
隨著《數據安全法》于2021年9月1日正式實施,影響或者可能影響國家安全的數據處理活動也將面臨國家安全審查。由于原《審查辦法》只涉及了《網絡安全法》中的“網絡安全審查”制度,沒有涉及《數據安全法》中的“數據安全審查”內容,因此有必要在原《審查辦法》的基礎上增加數據安全審查的內容。
新修訂的《網絡安全審查辦法》第一條規定:“為了確保關鍵信息基礎設施供應鏈安全,保障網絡安全和數據安全,維護國家安全,根據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《關鍵信息基礎設施安全保護條例》,制定本辦法。”
從上述立法目的看,《網絡安全審查辦法》的上位法涉及三部法律和一部國務院條例,修訂后的《網絡安全審查辦法》在《國家安全法》和《網絡安全法》的基礎上,增加了《數據安全法》和《關鍵信息基礎設施安全保護條例》的法律依據。其中《數據安全法》明確提出“國家建立數據安全審查制度”;《關鍵信息基礎設施安全保護條例》要求“關鍵信息基礎設施的運營者采購網絡產品和服務可能影響國家安全的,應當按照國家網絡安全規定通過安全審查”。
這里需要說明,《網絡安全法》和《關鍵信息基礎設施安全保護條例》均要求關鍵信息基礎設施的運營者采購網絡產品和服務可能影響國家安全的,應當通過國家安全審查。但是《網絡安全法》于2017年6月1日開始實施,當時尚沒有出臺《網絡安全審查辦法》,《網絡安全法》第三十五條規定:“關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。”《網絡安全法》實施后的三年,《網絡安全審查辦法》于2020年6月1日實施,正式確立了網絡安全審查的規則和適用。因此,2021年9月1日開始實施的《關鍵信息基礎設施安全保護條例》第十九條則規定:“采購網絡產品和服務可能影響國家安全的,應當按照國家網絡安全規定通過安全審查。”《網絡安全法》僅規定“應當通過國家網信部門會同國務院有關部門組織的國家安全審查”;《關鍵信息基礎設施安全保護條例》則要求“應當按照國家網絡安全規定通過安全審查”,更強調了依網絡安全審查規則通過安全審查。
有何特色?網絡安全審查需要企業自查把關
《網絡安全審查辦法》從關鍵信息基礎設施的運營者采購網絡產品和服務,以及數據處理者開展數據處理活動的安全性和可能帶來的國家安全風險兩大視角,確立了網絡與數據安全審查的原則。《網絡安全審查辦法》第三條明確了網絡安全審查的“四個相結合”原則:一是堅持防范網絡安全風險與促進先進技術應用相結合;二是堅持過程公正透明與知識產權保護相結合;三是事前審查與持續監管相結合;四是企業承諾與社會監督相結合。
值得注意的是,保障網絡安全和數據安全,維護國家安全和發展利益是關鍵信息基礎設施運營者和數據處理者的法定主體責任。因此,網絡與數據安全審查應當以企業自查把關為前提,并對其網絡產品和服務的采購活動以及數據處理活動的安全性、合法性、風險性作出承諾,有效預防和化解國家安全風險,同時要接受社會的監督。
《網絡安全審查辦法》要求,關鍵信息基礎設施運營者申報網絡安全審查的采購活動時,應當通過采購文件、協議等要求產品和服務提供者配合網絡安全審查,并承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備,無正當理由不中斷產品供應或者必要的技術支持服務等。與此同時,關鍵信息基礎設施運營者還應當督促產品和服務提供者履行在網絡安全審查中作出的上述承諾。
如何把握?重點關注涉及安全風險因素
國家網絡安全審查,主要針對關鍵信息基礎設施運營者采購網絡產品和服務,以及網絡平臺運營者開展數據處理活動,影響或者可能影響國家安全的風險因素。
根據《網絡安全審查辦法》第十條的規定,網絡安全審查重點評估相關對象或者情形的以下國家安全風險因素:(一)產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或者破壞的風險;(二)產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;(三)產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;(四)產品和服務提供者遵守中國法律、行政法規、部門規章情況;(五)核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險;(六)上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網絡信息安全風險;(七)其他可能危害關鍵信息基礎設施安全、網絡安全和數據安全的因素。
從上述影響或者可能影響國家安全風險因素和審查權重上看,《網絡安全審查辦法》第十條(一)至(四)主要強調與關鍵信息基礎設施相關的網絡產品和服務引發的國家安全風險因素。需要指出的是,并不是關鍵信息基礎設施運營者采購的所有網絡產品和服務均需要進行國家網絡安全審查,《網絡安全審查辦法》所指的“網絡產品和服務”主要指核心網絡設備、重要通信產品、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務,以及其他對關鍵信息基礎設施安全、網絡安全和數據安全有重要影響的網絡產品和服務。
《網絡安全審查辦法》第十條(五)、(六)主要是針對核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險,以及上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險等。目前,我國數據立法將數據分為一般數據、重要數據、核心數據,這個數據分類的方法主要是基于數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度。
總之,《網絡安全審查辦法》第十條在原《審查辦法》第九條網絡安全審查重點評估的五大國家安全風險因素的基礎上新增了兩項重要因素:一是核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險;二是上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網絡信息安全風險。同時,新增加一條并列為《網絡安全審查辦法》第七條,即“掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。”這是一條強制性規定,也是一條不可逾越的紅線,任何網絡平臺運營者都必須嚴格遵守。(王春暉)
