《網(wǎng)絡安全審查辦法》修改了哪些內(nèi)容,原因是啥
2021年7月10日,國家網(wǎng)信辦官網(wǎng)發(fā)布了《網(wǎng)絡安全審查辦法(修訂草案征求意見稿)》(以下簡稱《修訂草案》),向社會公開征集意見。
正值國家網(wǎng)信辦對滴滴等企業(yè)實施網(wǎng)絡安全審查期間,故《修訂草案》的公布引發(fā)了社會強烈關注,各方紛紛對比新舊文件的差別。例如,在“關鍵基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務”之外,《修訂草案》規(guī)范的行為還增加了“數(shù)據(jù)處理者開展數(shù)據(jù)處理活動”;網(wǎng)絡安全審查工作機制成員單位增加了中國證監(jiān)會。尤其是,《修訂草案》對赴國外上市公司作了特殊規(guī)定,要求掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查,且在申報材料中應提供擬提交的IPO材料。而且,在審查關注的國家安全風險方面,針對赴國外上市行為新增了兩條:一是核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險;二是國外上市后核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被國外政府影響、控制、惡意利用的風險。
上述修訂基于何種考慮?代表了什么政策趨勢?除正被審查的企業(yè)外,已在國外上市或重要數(shù)據(jù)、個人信息處理者會受到什么影響?企業(yè)今后如何化解合規(guī)風險?這成為當前業(yè)內(nèi)十分關心的問題。為此,長期參與我國網(wǎng)絡安全重大政策法規(guī)研究起草工作的中國信息安全研究院副院長左曉棟接受了媒體專訪,談談他自己的看法。
7月10日,網(wǎng)信辦發(fā)布了《網(wǎng)絡安全審查辦法(修訂草案征求意見稿)》,開始征求意見。之前,網(wǎng)信辦陸續(xù)公布了滴滴等企業(yè)接受網(wǎng)絡安全審查的消息,結合此消息,該如何看待此次該辦法修訂的背景?
左曉棟:《網(wǎng)絡安全審查辦法》的修訂,發(fā)生在對滴滴等赴美上市企業(yè)審查期間,且其條款針對企業(yè)赴國外上市作了明確規(guī)定,所以大家很容易將這兩件事關聯(lián)起來,公眾的關注點也很容易停留在這上面。事實上,這次修訂是一次重大制度設計。
首先,《修訂草案》中相關上市要求條款是在落實最近中辦、國辦最近印發(fā)的《關于依法從嚴打擊證券違法活動的意見》精神。該意見要求“加強跨境監(jiān)管合作。完善數(shù)據(jù)安全、跨境數(shù)據(jù)流動、涉密信息管理等相關法律法規(guī)”。
其次,更重要和更實質(zhì)性的,《修訂草案》是為了落實《數(shù)據(jù)安全法》第二十四條的要求。該條提出,國家建立數(shù)據(jù)安全審查制度,對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。企業(yè)赴國外上市只是可能出現(xiàn)數(shù)據(jù)安全風險的一種具體情形,所以從整體上說,《修訂草案》是為了建立數(shù)據(jù)安全審查制度。
《數(shù)據(jù)安全法》將在2021年9月1日實施,此次審查辦法的修訂,表明數(shù)據(jù)安全法進入實施前緊鑼密鼓的準備階段,法律中設立的各項重大制度將逐步通過法規(guī)和細則予以落實。
《修訂草案》在數(shù)據(jù)安全法頒布后即刻發(fā)布,我們應該怎么看待網(wǎng)絡安全審查制度和數(shù)據(jù)安全審查制度的關系?兩者是否合并實施了?
左曉棟:關于網(wǎng)絡安全審查制度和數(shù)據(jù)安全審查制度的關系,社會上有幾種疑問。一是:這兩個制度是同一個部門實施嗎?在網(wǎng)絡安全審查制度已經(jīng)由國家網(wǎng)信部門實施的情況下,數(shù)據(jù)安全審查制度是否由中央國家安全領導機構的辦事機構或國家安全機關實施?二是:如果數(shù)據(jù)安全審查制度也由國家網(wǎng)信部門實施,那么網(wǎng)絡安全審查制度和數(shù)據(jù)安全審查制度會合并實施嗎?
這些疑問涉及到部門職責,需要權威部門給出解答。但有幾個事實是清晰的。一是中央網(wǎng)信辦已經(jīng)成立了一個新的局,即“網(wǎng)絡數(shù)據(jù)管理局”,最近的新聞中已經(jīng)披露了該局的一些公開活動;二是《修訂草案》所有新修訂內(nèi)容都明確指向了對數(shù)據(jù)處理活動影響國家安全風險的審查,且在《修訂草案》中這本身屬于網(wǎng)絡安全審查的一部分。這兩個事實應該能夠部分回答社會上的上述疑問。
另外,從技術上講,至少有以下三點也是明確的:
(1)《數(shù)據(jù)安全法》第二十四條提出數(shù)據(jù)安全審查制度的立法宗旨,就是防范數(shù)據(jù)處理活動帶來的國家安全風險,這與《修訂草案》的變動是一致的。
(2)網(wǎng)絡安全和數(shù)據(jù)安全不可能絕對剝離,且很多網(wǎng)絡安全風險來自數(shù)據(jù)處理活動,網(wǎng)絡安全審查制度天然應當包括對數(shù)據(jù)處理活動的審查。即使在修訂之前的《網(wǎng)絡安全審查辦法》中,也已經(jīng)考慮了“重要數(shù)據(jù)被竊取、泄露、損毀的風險”。因此,如將兩者嚴格分開甚至放在不同部門,本身有違科學規(guī)律。
(3)在國家已經(jīng)建立了整套網(wǎng)絡安全審查制度的前提下,不太可能也沒有必要另起爐灶重新建立一個數(shù)據(jù)安全審查辦公室、重新指定技術支撐機構,這在資源上也是浪費,且因技術上的部分重合必然帶來職責交叉。
當然,數(shù)據(jù)安全審查制度的建立是一個需要不斷探索的過程,我認為這次只是一個開頭,并不表明這個制度已經(jīng)完全建立起來了、所有的問題都解決了。但是其邁出了最重要的第一步,相信這個制度會隨著時間發(fā)展不斷健全完善。
滴滴等企業(yè)宣布被審查后,《修訂草案》才發(fā)布,此刻數(shù)據(jù)安全法還沒有正式生效,對此次審查的法律依據(jù)您如何評價?
左曉棟:滴滴被審查之初,的確很多人猜測是因為滴滴被列為了關鍵信息基礎設施。因為網(wǎng)絡安全審查的啟動條件是關鍵信息基礎設施運營者采購產(chǎn)品和服務時可能影響國家安全。甚至為此還引發(fā)了很多“陰謀論”。
事實上,這與滴滴是否被列為關基沒有必然關系,因為網(wǎng)絡安全審查的啟動還有第二種條件,即網(wǎng)絡安全審查機制成員單位認為網(wǎng)絡產(chǎn)品和服務可能影響國家安全。數(shù)據(jù)處理活動,顯然是一種“網(wǎng)絡服務”。
因此,對滴滴等企業(yè)啟動安全審查,法律依據(jù)是充分的。
不同的是,滴滴等這些企業(yè)存在的網(wǎng)絡安全風險,主要是數(shù)據(jù)安全風險,且因企業(yè)赴美上市而引發(fā)。因此,雖然法律依據(jù)充分,但舉一反三,盡快建立我國數(shù)據(jù)安全審查制度,針對特定領域的安全風險作出制度性安排,并針對企業(yè)赴國外上市等特殊場景明確制度細則,就成了當務之急。
數(shù)據(jù)安全法的確還沒有生效,但審查辦法的修訂也有一個過程。修訂完成開始實施時,一定會和數(shù)據(jù)安全法的生效日期保持協(xié)調(diào),也就是2021年9月1日。
《修訂草案》中的“數(shù)據(jù)處理者”適用于哪些企業(yè)?《修訂草案》通過后,已經(jīng)在境外上市的互聯(lián)網(wǎng)企業(yè)是否還需要進行網(wǎng)絡安全審查?還有哪些企業(yè)在處理數(shù)據(jù)時要主動申報網(wǎng)絡安全審查?
左曉棟:應當從數(shù)據(jù)安全法的實施范圍出發(fā)去理解“數(shù)據(jù)處理者”?!稊?shù)據(jù)安全法》規(guī)定,數(shù)據(jù)處理包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。這意味著,所有涉及上述數(shù)據(jù)處理活動的主體,只要其活動影響或可能影響國家安全,都應當接受網(wǎng)絡安全審查。從這個角度而言,修訂后的網(wǎng)絡安全審查辦法的規(guī)范對象較廣。
當然,對實施范圍的理解也要結合網(wǎng)絡安全審查辦法的特性。網(wǎng)絡安全審查是一種重要的威懾手段,既然是“威懾”,那就不可能輕易、頻繁使用。所以,雖然沒有規(guī)定哪類數(shù)據(jù)處理活動一定可以豁免網(wǎng)絡安全審查,但也不可能每一次的數(shù)據(jù)處理活動都要進行審查。但我個人認為,今后在這個問題上有必要制定進一步的細則?!缎抻啿莅浮返诹鶙l規(guī)定,掌握超過100萬用戶個人信息的運營者赴國外上市要申報網(wǎng)絡安全審查,這是一種明確的啟動條件。但其他情形下數(shù)據(jù)處理活動進入網(wǎng)絡安全審查程序的啟動條件是什么呢?評判標準是什么呢?這有待后續(xù)明確。
至于審查辦法的修訂稿實施后,哪些企業(yè)需要補充申報網(wǎng)絡安全審查,或者主動申報網(wǎng)絡安全審查,需要等待政策進一步的規(guī)定。但可以明確的是,從現(xiàn)在起,所有的數(shù)據(jù)處理者,特別是掌握了批量個人信息或重要數(shù)據(jù)的大型互聯(lián)網(wǎng)企業(yè)、公共服務機構,以及已經(jīng)在國外上市的互聯(lián)網(wǎng)企業(yè),要自行組織或者委托專業(yè)機構對本企業(yè)數(shù)據(jù)處理的合規(guī)性,特別是其數(shù)據(jù)處理是否可能影響國家安全,抓緊開展自查。
即使沒有網(wǎng)絡安全審查制度,相關企業(yè)也應該重視這項工作。因為《數(shù)據(jù)安全法》第三十條已經(jīng)對重要數(shù)據(jù)處理者規(guī)定了“定期開展風險評估”的義務?!秱€人信息保護法(二審稿)》第五十四條也規(guī)定了“合規(guī)審計”的義務,第五十五條規(guī)定了“事前進行風險評估”的義務。
《網(wǎng)絡安全審查辦法》在2020年剛剛印發(fā)實施時,很多人認為這個制度是“對外”的,但首次公開實施即針對國內(nèi)企業(yè)。特別是新增的第六條“掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查”,這更是針對國內(nèi)企業(yè),怎么理解這一情況?另外,第六條規(guī)定的100萬用戶的門檻并不高,是否意味著所有赴國外上市的企業(yè)都需要接受網(wǎng)絡安全審查?
左曉棟:有必要指出,網(wǎng)絡安全審查制度的實施從來就不是只“對外”或者“對內(nèi)”。這個制度一視同仁,目的是建立在開放環(huán)境下維護國家安全的能力。所謂“開放環(huán)境”,是指在全球化條件下,不可能閉關鎖國拒絕國外網(wǎng)絡產(chǎn)品和服務,但也不意味著國內(nèi)產(chǎn)品和服務就沒有風險。
另外還要指出,很多人將注意力放在審查滴滴是網(wǎng)絡安全審查制度首次彰顯威力,這種論斷有吸引眼球的嫌疑。加上前期的三年試行、去年一年的正式實施,這項制度已經(jīng)有四年之久的歷史了,怎么可能是第一次實施呢?又怎么可能只盯著國內(nèi)企業(yè)呢?因此,社會上炒作“首次”和“國內(nèi)企業(yè)”毫無意義。
《修訂草案》第六條的規(guī)定的確針對的國內(nèi)企業(yè),因為在國外上市是一種特定的可能導致數(shù)據(jù)安全風險的活動,是當前的一個熱點問題,國外企業(yè)在美國上市管他干什么?但這不是《修訂草案》新增審查內(nèi)容的全部。甚至根據(jù)《數(shù)據(jù)安全法》第二條的規(guī)定,不但境內(nèi)的國外、國內(nèi)企業(yè)開展數(shù)據(jù)處理活動要管,甚至境外的數(shù)據(jù)處理活動如果影響我國國家安全,不排除也要進行審查。
100萬的確不是一個高門檻,對目前主流互聯(lián)網(wǎng)服務而言,用戶可以輕易超出100萬。特別是企業(yè)到了可以上市的程度時,其用戶量更為可觀。但這個100萬的數(shù)字并不是從企業(yè)經(jīng)營規(guī)?;蚪?jīng)濟實力考慮的,而是綜合考慮了我國互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的實際情況、批量個人信息泄露后對國家安全和公共利益帶來的影響而確定的標準,主要考慮的是社會影響。實踐中,100萬用戶已經(jīng)是很大的群體,發(fā)生個人信息安全事件的影響已經(jīng)相當嚴重,所以說這個門檻是相對合適的。
特別審查程序從之前的45個工作日改為了3個月內(nèi)完成,相當于在過去的基礎上增加了半個月時間。這是否意味著審查程序會比過去更為復雜?這會不會對審查的技術準備工作帶來挑戰(zhàn)?
左曉棟:審查辦法修訂后,需要審查的情形增多,有的比較復雜,例如在國外上市這種情況。這次審查機制成員單位增加了證監(jiān)會,針對的也是這類情況。因此,特別審查程序的時間需要適當延長。
出于效率的考慮,常規(guī)審查程序的時長沒有變化。所以總體而言,審查程序沒有本質(zhì)變化。
但也要看到,《修訂草案》畢竟擴展了數(shù)據(jù)安全審查內(nèi)容,所以在具體的審查標準、技術手段、工作流程等方面,應當會做一些新的準備。
當然,一些人可能會關心,將來審查辦或審查技術與認證中心是不是會“忙不過來”?新增的工作肯定會有,但我認為也不至于出現(xiàn)忙不過來的情況。這里面可能有個認識上的誤區(qū)。如前所述,“審查”是一種非常規(guī)手段,不是“審計”,不是“評估”,不會事事審、時時審。