安全資訊

左曉棟：《網(wǎng)絡(luò )安全審查辦法》的修訂，發(fā)生在對滴滴等赴美上市企業(yè)審查期間，且其條款針對企業(yè)赴國外上市作了明確規定，所以大家很容易將這兩件事關(guān)聯(lián)起來(lái)，公眾的關(guān)注點(diǎn)也很容易停留在這上面。事實(shí)上，這次修訂是一次重大制度設計。

首先，《修訂草案》中相關(guān)上市要求條款是在落實(shí)最近中辦、國辦最近印發(fā)的《關(guān)于依法從嚴打擊證券違法活動(dòng)的意見(jiàn)》精神。該意見(jiàn)要求“加強跨境監管合作。完善數據安全、跨境數據流動(dòng)、涉密信息管理等相關(guān)法律法規”。

其次，更重要和更實(shí)質(zhì)性的，《修訂草案》是為了落實(shí)《數據安全法》第二十四條的要求。該條提出，國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動(dòng)進(jìn)行國家安全審查。企業(yè)赴國外上市只是可能出現數據安全風(fēng)險的一種具體情形，所以從整體上說(shuō)，《修訂草案》是為了建立數據安全審查制度。

《數據安全法》將在2021年9月1日實(shí)施，此次審查辦法的修訂，表明數據安全法進(jìn)入實(shí)施前緊鑼密鼓的準備階段，法律中設立的各項重大制度將逐步通過(guò)法規和細則予以落實(shí)。

左曉棟：關(guān)于網(wǎng)絡(luò )安全審查制度和數據安全審查制度的關(guān)系，社會(huì )上有幾種疑問(wèn)。一是：這兩個(gè)制度是同一個(gè)部門(mén)實(shí)施嗎？在網(wǎng)絡(luò )安全審查制度已經(jīng)由國家網(wǎng)信部門(mén)實(shí)施的情況下，數據安全審查制度是否由中央國家安全領(lǐng)導機構的辦事機構或國家安全機關(guān)實(shí)施？二是：如果數據安全審查制度也由國家網(wǎng)信部門(mén)實(shí)施，那么網(wǎng)絡(luò )安全審查制度和數據安全審查制度會(huì )合并實(shí)施嗎？

這些疑問(wèn)涉及到部門(mén)職責，需要權威部門(mén)給出解答。但有幾個(gè)事實(shí)是清晰的。一是中央網(wǎng)信辦已經(jīng)成立了一個(gè)新的局，即“網(wǎng)絡(luò )數據管理局”，最近的新聞中已經(jīng)披露了該局的一些公開(kāi)活動(dòng)；二是《修訂草案》所有新修訂內容都明確指向了對數據處理活動(dòng)影響國家安全風(fēng)險的審查，且在《修訂草案》中這本身屬于網(wǎng)絡(luò )安全審查的一部分。這兩個(gè)事實(shí)應該能夠部分回答社會(huì )上的上述疑問(wèn)。

另外，從技術(shù)上講，至少有以下三點(diǎn)也是明確的：

（1）《數據安全法》第二十四條提出數據安全審查制度的立法宗旨，就是防范數據處理活動(dòng)帶來(lái)的國家安全風(fēng)險，這與《修訂草案》的變動(dòng)是一致的。

（2）網(wǎng)絡(luò )安全和數據安全不可能絕對剝離，且很多網(wǎng)絡(luò )安全風(fēng)險來(lái)自數據處理活動(dòng)，網(wǎng)絡(luò )安全審查制度天然應當包括對數據處理活動(dòng)的審查。即使在修訂之前的《網(wǎng)絡(luò )安全審查辦法》中，也已經(jīng)考慮了“重要數據被竊取、泄露、損毀的風(fēng)險”。因此，如將兩者嚴格分開(kāi)甚至放在不同部門(mén)，本身有違科學(xué)規律。

（3）在國家已經(jīng)建立了整套網(wǎng)絡(luò )安全審查制度的前提下，不太可能也沒(méi)有必要另起爐灶重新建立一個(gè)數據安全審查辦公室、重新指定技術(shù)支撐機構，這在資源上也是浪費，且因技術(shù)上的部分重合必然帶來(lái)職責交叉。

當然，數據安全審查制度的建立是一個(gè)需要不斷探索的過(guò)程，我認為這次只是一個(gè)開(kāi)頭，并不表明這個(gè)制度已經(jīng)完全建立起來(lái)了、所有的問(wèn)題都解決了。但是其邁出了最重要的第一步，相信這個(gè)制度會(huì )隨著(zhù)時(shí)間發(fā)展不斷健全完善。

左曉棟：滴滴被審查之初，的確很多人猜測是因為滴滴被列為了關(guān)鍵信息基礎設施。因為網(wǎng)絡(luò )安全審查的啟動(dòng)條件是關(guān)鍵信息基礎設施運營(yíng)者采購產(chǎn)品和服務(wù)時(shí)可能影響國家安全。甚至為此還引發(fā)了很多“陰謀論”。

事實(shí)上，這與滴滴是否被列為關(guān)基沒(méi)有必然關(guān)系，因為網(wǎng)絡(luò )安全審查的啟動(dòng)還有第二種條件，即網(wǎng)絡(luò )安全審查機制成員單位認為網(wǎng)絡(luò )產(chǎn)品和服務(wù)可能影響國家安全。數據處理活動(dòng)，顯然是一種“網(wǎng)絡(luò )服務(wù)”。

因此，對滴滴等企業(yè)啟動(dòng)安全審查，法律依據是充分的。

不同的是，滴滴等這些企業(yè)存在的網(wǎng)絡(luò )安全風(fēng)險，主要是數據安全風(fēng)險，且因企業(yè)赴美上市而引發(fā)。因此，雖然法律依據充分，但舉一反三，盡快建立我國數據安全審查制度，針對特定領(lǐng)域的安全風(fēng)險作出制度性安排，并針對企業(yè)赴國外上市等特殊場(chǎng)景明確制度細則，就成了當務(wù)之急。

數據安全法的確還沒(méi)有生效，但審查辦法的修訂也有一個(gè)過(guò)程。修訂完成開(kāi)始實(shí)施時(shí)，一定會(huì )和數據安全法的生效日期保持協(xié)調，也就是2021年9月1日。

左曉棟：應當從數據安全法的實(shí)施范圍出發(fā)去理解“數據處理者”?！稊祿踩ā芬幎?，數據處理包括數據的收集、存儲、使用、加工、傳輸、提供、公開(kāi)等。這意味著(zhù)，所有涉及上述數據處理活動(dòng)的主體，只要其活動(dòng)影響或可能影響國家安全，都應當接受網(wǎng)絡(luò )安全審查。從這個(gè)角度而言，修訂后的網(wǎng)絡(luò )安全審查辦法的規范對象較廣。

當然，對實(shí)施范圍的理解也要結合網(wǎng)絡(luò )安全審查辦法的特性。網(wǎng)絡(luò )安全審查是一種重要的威懾手段，既然是“威懾”，那就不可能輕易、頻繁使用。所以，雖然沒(méi)有規定哪類(lèi)數據處理活動(dòng)一定可以豁免網(wǎng)絡(luò )安全審查，但也不可能每一次的數據處理活動(dòng)都要進(jìn)行審查。但我個(gè)人認為，今后在這個(gè)問(wèn)題上有必要制定進(jìn)一步的細則?！缎抻啿莅浮返诹鶙l規定，掌握超過(guò)100萬(wàn)用戶(hù)個(gè)人信息的運營(yíng)者赴國外上市要申報網(wǎng)絡(luò )安全審查，這是一種明確的啟動(dòng)條件。但其他情形下數據處理活動(dòng)進(jìn)入網(wǎng)絡(luò )安全審查程序的啟動(dòng)條件是什么呢？評判標準是什么呢？這有待后續明確。

至于審查辦法的修訂稿實(shí)施后，哪些企業(yè)需要補充申報網(wǎng)絡(luò )安全審查，或者主動(dòng)申報網(wǎng)絡(luò )安全審查，需要等待政策進(jìn)一步的規定。但可以明確的是，從現在起，所有的數據處理者，特別是掌握了批量個(gè)人信息或重要數據的大型互聯(lián)網(wǎng)企業(yè)、公共服務(wù)機構，以及已經(jīng)在國外上市的互聯(lián)網(wǎng)企業(yè)，要自行組織或者委托專(zhuān)業(yè)機構對本企業(yè)數據處理的合規性，特別是其數據處理是否可能影響國家安全，抓緊開(kāi)展自查。

即使沒(méi)有網(wǎng)絡(luò )安全審查制度，相關(guān)企業(yè)也應該重視這項工作。因為《數據安全法》第三十條已經(jīng)對重要數據處理者規定了“定期開(kāi)展風(fēng)險評估”的義務(wù)?！秱€(gè)人信息保護法（二審稿）》第五十四條也規定了“合規審計”的義務(wù)，第五十五條規定了“事前進(jìn)行風(fēng)險評估”的義務(wù)。

左曉棟：有必要指出，網(wǎng)絡(luò )安全審查制度的實(shí)施從來(lái)就不是只“對外”或者“對內”。這個(gè)制度一視同仁，目的是建立在開(kāi)放環(huán)境下維護國家安全的能力。所謂“開(kāi)放環(huán)境”，是指在全球化條件下，不可能閉關(guān)鎖國拒絕國外網(wǎng)絡(luò )產(chǎn)品和服務(wù)，但也不意味著(zhù)國內產(chǎn)品和服務(wù)就沒(méi)有風(fēng)險。

另外還要指出，很多人將注意力放在審查滴滴是網(wǎng)絡(luò )安全審查制度首次彰顯威力，這種論斷有吸引眼球的嫌疑。加上前期的三年試行、去年一年的正式實(shí)施，這項制度已經(jīng)有四年之久的歷史了，怎么可能是第一次實(shí)施呢？又怎么可能只盯著(zhù)國內企業(yè)呢？因此，社會(huì )上炒作“首次”和“國內企業(yè)”毫無(wú)意義。

《修訂草案》第六條的規定的確針對的國內企業(yè)，因為在國外上市是一種特定的可能導致數據安全風(fēng)險的活動(dòng)，是當前的一個(gè)熱點(diǎn)問(wèn)題，國外企業(yè)在美國上市管他干什么？但這不是《修訂草案》新增審查內容的全部。甚至根據《數據安全法》第二條的規定，不但境內的國外、國內企業(yè)開(kāi)展數據處理活動(dòng)要管，甚至境外的數據處理活動(dòng)如果影響我國國家安全，不排除也要進(jìn)行審查。

100萬(wàn)的確不是一個(gè)高門(mén)檻，對目前主流互聯(lián)網(wǎng)服務(wù)而言，用戶(hù)可以輕易超出100萬(wàn)。特別是企業(yè)到了可以上市的程度時(shí)，其用戶(hù)量更為可觀(guān)。但這個(gè)100萬(wàn)的數字并不是從企業(yè)經(jīng)營(yíng)規?；蚪?jīng)濟實(shí)力考慮的，而是綜合考慮了我國互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的實(shí)際情況、批量個(gè)人信息泄露后對國家安全和公共利益帶來(lái)的影響而確定的標準，主要考慮的是社會(huì )影響。實(shí)踐中，100萬(wàn)用戶(hù)已經(jīng)是很大的群體，發(fā)生個(gè)人信息安全事件的影響已經(jīng)相當嚴重，所以說(shuō)這個(gè)門(mén)檻是相對合適的。

左曉棟：審查辦法修訂后，需要審查的情形增多，有的比較復雜，例如在國外上市這種情況。這次審查機制成員單位增加了證監會(huì )，針對的也是這類(lèi)情況。因此，特別審查程序的時(shí)間需要適當延長(cháng)。

出于效率的考慮，常規審查程序的時(shí)長(cháng)沒(méi)有變化。所以總體而言，審查程序沒(méi)有本質(zhì)變化。

但也要看到，《修訂草案》畢竟擴展了數據安全審查內容，所以在具體的審查標準、技術(shù)手段、工作流程等方面，應當會(huì )做一些新的準備。

當然，一些人可能會(huì )關(guān)心，將來(lái)審查辦或審查技術(shù)與認證中心是不是會(huì )“忙不過(guò)來(lái)”？新增的工作肯定會(huì )有，但我認為也不至于出現忙不過(guò)來(lái)的情況。這里面可能有個(gè)認識上的誤區。如前所述，“審查”是一種非常規手段，不是“審計”，不是“評估”，不會(huì )事事審、時(shí)時(shí)審。