數安條例百問23、24、25、26:關于網絡安全審查
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第十三條 數據處理者開展以下活動,應當按照國家有關規定,申報網絡安全審查:
(一)匯聚掌握大量關系國家安全、經濟發展、公共利益的數據資源的互聯網平臺運營者實施合并、重組、分立,影響或者可能影響國家安全的;
(二)處理一百萬人以上個人信息的數據處理者赴國外上市的;
(三)數據處理者赴香港上市,影響或者可能影響國家安全的;
(四)其他影響或者可能影響國家安全的數據處理活動。
大型互聯網平臺運營者在境外設立總部或者運營中心、研發中心,應當向國家網信部門和主管部門報告。
解讀
網絡安全審查制度的上位法有兩個。
一是《國家安全法》第五十九條:國家建立國家安全審查和監管的制度和機制,對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目,以及其他重大事項和活動,進行國家安全審查,有效預防和化解國家安全風險。
二是《網絡安全法》第三十五條:關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。
為落實法律的要求,國家互聯網信息辦于2017年5月印發了《網絡產品和服務安全審查辦法(試行)》,表明我國正式建立了該項制度。
經過三年的運行,國家互聯網信息辦對試行的審查辦法作了完善,于2020年4月印發了《網絡安全審查辦法》。
《網絡安全審查辦法》指出,關鍵信息基礎設施運營者采購網絡產品和服務,影響或可能影響國家安全的,應當進行網絡安全審查。
網絡安全審查的重點是評估采購網絡產品和服務可能帶來的國家安全風險,主要考慮以下因素:
(一)產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險;
(二)產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
(三)產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
(四)產品和服務提供者遵守中國法律、行政法規、部門規章情況;
(五)其他可能危害關鍵信息基礎設施安全和國家安全的因素。
從《網絡安全審查辦法》的規定看,最初并沒有對數據安全提出特別的關注。但隨著數字經濟的發展,數據安全對國家安全的影響不斷上升,客觀上需要將數據安全作為網絡安全審查的重點考量。
為此,國家互聯網信息辦對《網絡安全審查辦法》進行了修訂,并于2021年7月對《網絡安全審查辦法(修訂草案)》公開征求意見。修訂草案將網絡安全審查的對象范圍作了擴展。即,關鍵信息基礎設施運營者采購網絡產品和服務,數據處理者開展數據處理活動,影響或可能影響國家安全的,應當進行網絡安全審查。
網絡安全審查辦法修訂草案也同步增加了與數據有關的國家安全風險描述:
網絡安全審查重點評估采購活動、數據處理活動以及國外上市可能帶來的國家安全風險,主要考慮以下因素:
(一)產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞的風險;
(二)產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
(三)產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
(四)產品和服務提供者遵守中國法律、行政法規、部門規章情況;
(五)核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險;
(六)國外上市后關鍵信息基礎設施,核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險;
(七)其他可能危害關鍵信息基礎設施安全和國家數據安全的因素。
理論上,在《國家安全法》和《網絡安全法》已經為數據安全管理制度提供了充分的上位法依據的情況下,網絡安全審查制度的具體對象、范圍可以在部門規章中根據需要規定和調整。但為了強調數據安全對國家安全的重要性,有必要在《條例》中設立專門條款予以規定。
特別是,《條例》十三條新增的幾種需要進行網絡安全審查的情況,對當事方影響較大,應當通過法律或法規進行明確。這是為什么還要通過《條例》補充網絡安全審查制度的原因。
需要指出,《條例》十三條的內容與《網絡安全審查辦法(修訂草案)》不完全一致,相信《網絡安全審查辦法》的修訂稿在最終發布時會作相應修改。
對應條款
第十三條 數據處理者開展以下活動,應當按照國家有關規定,申報網絡安全審查:
(一)匯聚掌握大量關系國家安全、經濟發展、公共利益的數據資源的互聯網平臺運營者實施合并、重組、分立,影響或者可能影響國家安全的;
(二)處理一百萬人以上個人信息的數據處理者赴國外上市的;
(三)數據處理者赴香港上市,影響或者可能影響國家安全的;
(四)其他影響或者可能影響國家安全的數據處理活動。
大型互聯網平臺運營者在境外設立總部或者運營中心、研發中心,應當向國家網信部門和主管部門報告。
解讀
《數據安全法》第二十四條規定,國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。
因此,很多人關心,既然《條例》對網絡安全審查制度的修訂是出于數據安全的原因,那么《條例》為什么還稱其為“網絡安全審查”呢?《條例》第十三條是不是落實《數據安全法》第二十四條的規定?如果不是,數據安全審查的關切與網絡安全審查中對數據安全的關切是什么關系?換言之,網絡安全審查與數據安全審查是什么關系?
這個事情很明確,《條例》規定的網絡安全審查與《數據安全法》規定的數據安全審查沒有關系,今后會另外建立數據安全審查制度。
對應條款
第十三條 數據處理者開展以下活動,應當按照國家有關規定,申報網絡安全審查:
(一)匯聚掌握大量關系國家安全、經濟發展、公共利益的數據資源的互聯網平臺運營者實施合并、重組、分立,影響或者可能影響國家安全的;
(二)處理一百萬人以上個人信息的數據處理者赴國外上市的;
(三)數據處理者赴香港上市,影響或者可能影響國家安全的;
(四)其他影響或者可能影響國家安全的數據處理活動。
大型互聯網平臺運營者在境外設立總部或者運營中心、研發中心,應當向國家網信部門和主管部門報告。
解讀
《條例》第十三條分別對數據處理者赴國外上市和赴港上市作了規范。
此前,《網絡安全審查辦法(修訂草案)》第六條規定的是,掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。
《網絡安全審查辦法(修訂草案)》征求意見時,一些機構和專家將其解讀為,文件使用的是“國外”而不是“境外”,這意味著企業赴港上市不需要申報網絡安全審查。此次,隨著《條例》公開征求意見,上述猜測已可以止息,網絡安全審查的對象包括赴港上市活動。
但《條例》對赴國外上市和赴港上市的網絡安全審查要求不完全一樣。根據《條例》規定,處理一百萬人以上個人信息的數據處理者赴國外上市必須申報網絡安全審查,但數據處理者赴香港上市則不必須申報網絡安全審查,只有在影響或者可能影響國家安全時申報。
之所以作這樣的規定,主要是考慮到了香港雖屬“境外”,但其是中國的一部分,赴港上市的數據安全風險一般而言要比赴國外上市的風險低。
對應條款
第十三條 數據處理者開展以下活動,應當按照國家有關規定,申報網絡安全審查:
(一)匯聚掌握大量關系國家安全、經濟發展、公共利益的數據資源的互聯網平臺運營者實施合并、重組、分立,影響或者可能影響國家安全的;
(二)處理一百萬人以上個人信息的數據處理者赴國外上市的;
(三)數據處理者赴香港上市,影響或者可能影響國家安全的;
(四)其他影響或者可能影響國家安全的數據處理活動。
大型互聯網平臺運營者在境外設立總部或者運營中心、研發中心,應當向國家網信部門和主管部門報告。
解讀
《條例》對大型互聯網平臺運營者在境外設立總部或者運營中心、研發中心提出了安全要求,但這里的“報告”義務并非要求獲得審批,不屬于行政許可。
提出這一要求的背景是,當前數據安全已經被推向了網絡空間國際博弈的第一線。例如,美國前總統特朗普曾封殺微信、Tiktok,美國國務院曾提出了“清潔網絡”計劃,即:
清潔運營商:不受美國信任的中國電訊公司不能為美國和其他國家提供國際電信服務。
清潔應用商店:從美國應用程序商店中刪除不受信任的中國軟件。
清潔應用程序:美國正在阻止華為和其他不受信任的供應商預先安裝或下載美國最受歡迎的應用軟件。
清潔云端:保護美國最敏感的個人信息和商業知識產權,防止一些重要信息被阿里巴巴、百度、騰訊等中國公司運營的云端系統所獲取。
清潔電纜:努力確保連接全球互聯網的海底電纜傳輸的信息不會被破壞和泄露。
美國政府的這些舉動,都是打著“數據安全”的旗號。可以預見,今后類似的情況可能會越來越多。
不僅如此,美國還將觸角伸到了全世界。2018年3月,美國發布《云法案》。該法規定,在美國政府提出要求時,任何在云上存儲數據的美國公司都要將數據轉交給美國政府。而位于美國境外的公司,只要被美國法院認為“與美國有足夠聯系且受美國管轄”,也適用于上述規定。
更為惡劣的是,美國為了遏制中國的高科技發展,還開創了要求第三國對中國高科技企業高管進行抓捕的惡劣先例。
那么,如果掌握大量數據的大型互聯網平臺運營者在境外設立總部或者運營中心、研發中心,相當于“送上門去”。法律不會限制企業的國際化發展,但如涉及數據安全風險,有關情況要報告。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
