織密國家安全屏障 夯實數據安全“防火墻”
2月15日,由國家互聯網信息辦公室等十三部門聯合修訂發布的《網絡安全審查辦法》(以下簡稱新版《審查辦法》)正式施行。新版《審查辦法》以保障關鍵信息基礎設施供應鏈安全為切入點,細化網絡領域國家安全評估指標體系,織密國家安全屏障,在制度層面夯實國家數據安全“防火墻”。
構筑一體化保障網絡安全與數據安全的雙元審查機制
數據是數字經濟發展的“燃料”與“動力”,保障數據安全是實現我國數字經濟迭代發展的基本前提。依據《關鍵信息基礎設施安全保護條例》,關鍵信息基礎設施涉及公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業與領域,由于關鍵信息基礎設施吸納、容留、聚合各個門類的大數據資源,因而成為我國保障數據安全及網絡安全的核心前沿陣地。
2020年6月1日施行的舊版《網絡安全審查辦法》(以下簡稱舊版《審查辦法》)中,由于在制定時,數據安全法尚未制定生效,因而在缺乏上位法依據的情形下,舊版《審查辦法》并未包含明晰化與系統化的數據安全審查機制。在關鍵信息基礎設施領域,僅內置單一維度的網絡安全審查機制。相較于舊版《審查辦法》,新版《審查辦法》的制定依據增設數據安全法與《關鍵信息基礎設施安全保護條例》,從而構筑起一體化保障網絡安全與數據安全的雙元審查機制。
在沿襲舊版《審查辦法》內容的基礎上,新版《審查辦法》明確網絡安全審查的四項原則:其一,堅持防范網絡安全風險與促進先進技術應用相結合;其二,堅持過程公正透明與知識產權保護相結合;其三,堅持事前審查與持續監管相結合;其四,堅持企業承諾與社會監督相結合。總括而言,這四項原則不僅體現出在網絡領域國家數據安全監管方式的“剛柔相濟,協同共治”特征,而且深度契合“以監管促創新”與“以監管促發展”的數據安全發展觀念。
強化針對網絡領域數據安全的穿透式監管
為了避免網絡安全審查內容的寬泛化、模糊化與虛置化,新版《審查辦法》在承襲舊版《審查辦法》相關內容基礎上條分縷析,在關鍵信息基礎設施領域設定了全鏈條、多場景的,應當進行重點安全審查評估的風險因素。從時間維度而言,重點審查評估的風險因素包括“產品和服務使用后”與“產品和服務供應中斷”引發的關鍵信息基礎設施安全風險。從產品和服務屬性來說,重點審查評估的風險因素系產品和服務是否具有抗風險的安全性、開放性、透明性、來源多樣性以及供應渠道可靠性。從防范國際風險角度來說,重點審查評估的風險因素是政治、外交、貿易等因素導致供應中斷的風險以及數據跨境轉移風險。
值得注意的是,新版《審查辦法》還增設了前置性與即時性防范風險的規定,以強化針對關鍵信息基礎設施領域網絡安全與數據安全風險的源頭管控。譬如,依據新版《審查辦法》第十六條第二款,為了防范風險,當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施。此外,鑒于網絡安全審查的復雜性與專業性,新版《審查辦法》進一步完善網絡安全審查流程,大幅延長特別審查程序的一般期限,將其從舊版《審查辦法》規定的45個工作日修改為90個工作日,并強化實施網絡安全審查機構、人員的保密義務。這些機構、人員不僅應當嚴格保護知識產權,而且應當對在審查工作中“知悉的商業秘密、個人信息,當事人、產品和服務提供者提交的未公開材料,以及其他未公開信息”承擔保密義務。
為了強化針對網絡領域數據安全風險的全面性、科學性與穿透式監管,新版《審查辦法》拓展了監管主體、被監管主體、被監管行為的外延范疇。在監管主體層面,新版《審查辦法》將中國證券監督管理委員會增列為國家網絡安全審查工作的實施主體之一。這一增列舉措是為了更加有效地防范數據境外轉移可能導致的國家安全風險。由于中國證券監督管理委員會具有證券行業監管資質、職責與制度性工具,因而它能夠針對網絡平臺運營者赴國外上市的數據安全風險進行專業性與穿透式監管。
在被監管主體與被監管行為層面,舊版《審查辦法》僅規定單一主體“關鍵信息基礎設施運營者”,這一主體需要被安全審查的行為是“影響或者可能影響國家安全的”采購網絡產品和服務的行為,而新版《審查辦法》則增設了被監管主體“網絡平臺運營者”。依據新版《審查辦法》第二條第一款,只要網絡平臺運營者開展數據處理活動,影響或者可能影響國家安全的,就應當進行網絡安全審查。
為了防止監管對象過度泛化導致執法失焦的負面結果,新版《審查辦法》對該辦法所監管的網絡產品和服務范疇作出限縮性解釋與列舉,以提升國家監管機關執行效率,使其能夠聚焦審查可能具有重大國家安全風險的采購行為與數據處理行為。這類網絡產品和服務主要包括核心網絡設備、重要通信產品、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件等。
完善針對網絡平臺經營者赴國外上市的數據安全監管機制
由于我國頭部網絡平臺運營者在軸心型與輻射型相關市場掌控海量數據資源,因而這類平臺企業一般具有關鍵信息基礎設施屬性,其數據處理活動關涉國家安全與社會公眾福祉。根據美國《外國公司問責法案》等國外法律法規,我國網絡平臺運營者赴國外上市時,通常需要向國外監管機關披露、提供自身掌控的我國行業大數據,這不僅可能引發數據跨境轉移的國家安全風險,而且可能導致侵犯國內公眾隱私權益。譬如,去年多家頭部網絡平臺運營者被我國監管機關啟動調查,而調查動因就是這些企業赴國外上市的行為可能導致數據跨境轉移風險。
針對上述情況,完善網絡平臺運營者赴國外上市的數據安全監管機制,勢在必行。新版《審查辦法》第七條設定具有量化標準的強制性事先申報門檻,為網絡平臺運營者赴國外上市劃定清晰的監管“紅線”。依據該條規定,掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。根據新版《審查辦法》第八條,當事人申報網絡安全審查的材料包括擬提交的首次公開募股(IPO)等上市申請文件,這一規定能夠有效防范國內數據資源的非法外溢風險。
新版《審查辦法》還以負面清單方式,明確列舉了我國網絡平臺運營者赴國外上市可能觸發的風險因素,這既為監管機關圈定了對國家安全風險予以評估的著力點,又為具有赴國外上市規劃的網絡平臺運營者提供了自我合規審查的“路線圖”。譬如,依據新版《審查辦法》第十條,針對網絡平臺運營者赴國外上市進行網絡安全審查時,需要重點評估上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網絡信息安全風險。
綜上所述,在關鍵信息基礎設施運營領域,新版《審查辦法》構建了國家安全法、網絡安全法、數據安全法與《關鍵信息基礎設施安全保護條例》的聯動施行機制,為關鍵信息基礎設施運營者、網絡平臺運營者采購網絡產品和服務活動以及數據處理活動建章立制,以多維度、全鏈條監管,彌補過往監管機制的罅隙與空白,在法治層面確保關鍵信息基礎設施的可信任度。可以預期的是,在新版《審查辦法》架構下,對關鍵信息基礎設施具有監管職責的部門,將逐步制定各個細分行業、領域的網絡、數據安全風險預判指南,從而進一步筑牢保障國家網絡、數據安全的法治屏障。
